IT-audit

Uit Wikipedia, de vrije encyclopedie
Ga naar: navigatie, zoeken

IT-auditing is het vakgebied dat zich bezighoudt met het beoordelen van de automatisering van de organisatie en de organisatie van de automatisering. IT-auditing is een specialisme binnen het auditing-vakgebied. Het specialisme wordt meer en meer gevraagd bij uitvoering van accountantscontroles.

Geschiedenis[bewerken]

Tot enkele jaren geleden heette het vakgebied EDP-Auditing, ofwel beoordeling van Electronic Data Processing. De laatste decennia heeft IT-auditing zich verbreed tot de relatie bedrijfsprocessen en ICT en richt de aandacht zich minder op het rekencentrum en systeemontwikkelafdelingen. Aanleiding voor het ontstaan van het vakgebied is de toenemende automatiseringsgraad. Doordat de verwerking van administratieve processen steeds meer binnen geautomatiseerde informatiesystemen plaatsvond, kon een accountant veelal onvoldoende zekerheid meer krijgen omtrent de getrouwheid van de financiële verslaglegging van organisaties. Het doorgronden van geautomatiseerde informatiesystemen vergt andere kennis dan alleen bedrijfseconomie en administratieve organisatie.

In de loop van de tijd is de aandacht meer en meer verlegd van het product geautomatiseerde informatiesystemen naar ontwikkel- en beheerprocessen.

De laatste tijd staat het vakgebied sterk in de belangstelling doordat wet- en regelgeving de eis van aantoonbaarheid van het in control zijn van organisaties neerleggen bij het (top-) management. Wetten en regels als SOX (Sarbanes-Oxley) en Basel II betekenen dat onderzoeken naar de beheersing van de ICT mede de basis zijn voor de controle van de verantwoording door de directie van de onderneming.

Onderzoeken[bewerken]

Binnen IT-auditing bestaan de volgende objecten van onderzoek:

  • technische infrastructuur (technical audit)
  • operationeel informatiesysteem (system audit)
  • procesinrichting (bijvoorbeeld ITIL-audits)
  • beheersingssystemen in het algemeen, waarbij het IT-auditrapport is bedoeld ten behoeve van derden, vaak third party mededelingen genoemd (TPM-audits, of naar Amerikaanse regelgeving SAS 70-verklaringen)
  • softwarepakket, beveiligingssysteem of webomgeving, uitmondend in certificering of accreditering
  • plaats van delict (fraude- en forensische onderzoeken)

Kenmerkend voor het vakgebied auditing is dat een onderzoek plaatsvindt ten opzichte van een eerder opgesteld en afgestemd normenkader. Zonder normenkader is een onderzoek feitelijk geen audit.

Kwalificatie als IT-auditor[bewerken]

De meest voorkomende kwalificaties als IT auditor in Nederland zijn de volgende:

Naast de RE en CISA zijn de hiernavolgende certificeringen ook veelvoorkomend binnen IT auditing:

  • CIA, Certified Internal Auditor, IIA, veelal werkzaam als internal auditor in combinatie met IT audit werkzaamheden.
  • CISM, Certified Information Security Manager, ISACA, gericht op het proces van informatiebeveiliging.
  • CISSP, Certified Information Systems Security Professional, ISC², veelal werkzaam als technical auditor.
  • RA, Register Accountant, NIVRA, veelal werkzaam als accountant in combinatie met IT audit werkzaamheden.
  • RO, Register Operational Auditor, IIA, veelal werkzaam als operational auditor in combinatie met IT audit werkzaamheden.

Met uitzondering van de RA-titel is het voeren van beroepskwalificaties niet beschermd door Nederlandse beroepswetgeving zoals dit het geval is bij bijvoorbeeld accountants en notarissen. Beroepskwalificaties zijn veelal alleen beschermd op basis van civielrecht.

Wet- en regelgeving[bewerken]

Externe links[bewerken]