Objecten van onderzoek

Met de brede ontwikkeling die InformatieTechnologie (IT) de afgelopen jaren heeft meegemaakt, is ook een veelheid aan objecten ontstaan die door IT-auditors onderzocht kunnen worden. Het gaat al lang niet meer alleen om administratieve systemen alleen. Denk ook aan productiebesturing (PCS of Scada), medische systemen, systemen in auto’s en domotica. Samengevat moet het object van onderzoek leiden tot een zinvolle opdracht die goed af te bakenen is. Deze afbakening geldt met name qua verantwoordelijkheid voor het object. Overigens kan tijdens de uitvoering van het onderzoek blijken dat de verantwoordelijkheid voor onderdelen van het object niet duidelijk is vastgelegd, althans minder duidelijk dan bij de start van het onderzoek was aangenomen.

Invulling NOREA

Het Raamwerk voor Assurance opdrachten van de NOREA zegt hierover: 31. Het object van onderzoek en de informatie omtrent het object van onderzoek van een assuranceopdracht kunnen veel vormen aannemen zoals: • niet-financiële resultaten of posities (bijvoorbeeld de prestaties van een entiteit) waarbij de informatie omtrent het object van onderzoek kan bestaan uit de belangrijkste indicatoren voor doelmatigheid en effectiviteit; • fysieke kenmerken (bijvoorbeeld de omvang van een beschikbare capaciteit) waarbij de informatie omtrent het object van onderzoek kan bestaan uit een document waarin de gedetailleerde beschrijving daarvan is opgenomen; • systemen en processen (bijvoorbeeld het interne beheersingsysteem of het geautomatiseerde systeem van een entiteit) waarbij de informatie omtrent het object van onderzoek kan bestaan uit een bewering over de effectiviteit; • gedrag (bijvoorbeeld corporate governance, naleving van regelgeving, personeelsbeleid) waarbij de informatie omtrent het object van onderzoek kan bestaan uit een verklaring over de naleving of een verklaring over de effectiviteit. 32. Objecten van onderzoek hebben verschillende kenmerken, waaronder de mate waarin de informatie daarover kwalitatief dan wel kwantitatief is, objectief dan wel subjectief is, historisch dan wel toekomstig is en betrekking heeft op een bepaald moment dan wel op een bepaalde periode. Deze kenmerken zijn van invloed op: 1. de nauwkeurigheid waarmee het object van onderzoek kan worden geëvalueerd of kan worden getoetst aan toetsingsnormen; en 2. de overtuigingskracht van de beschikbare informatie. Het assurance-rapport geeft aan welke kenmerken van bijzondere betekenis zijn voor de beoogde gebruikers. 33. Een geschikt object van onderzoek: 1. is identificeerbaar en kan op eenduidige wijze worden geëvalueerd of worden getoetst aan de vastgestelde toetsingsnormen; en 2. is van zodanige aard dat de informatie daarover onderworpen kan worden aan procedures voor het verzamelen van toereikende informatie om een conclusie met een redelijke mate of, indien van toepassing, met een beperkte mate van zekerheid te onderbouwen.

Invulling ISACA

ISACA heeft recent (25 mei 2013) een addendum op Cobit 5 uitgebracht specifiek gericht op het gebruik van Cobit in het kader van Assurance. Dit addendum volgt de indeling van Cobit 5 in termen van processen, enablers, e.d., en bevat als zodanig ook een indeling in audit objecten.

Oudste indeling De oudste indeling van objecten volgt de (Angelsakssche) indeling naar soorten ‘controls’: • application controls = (de geprogrammeerde controles in) het informatiesysteem • general controls = (de voor alle informatiesystemen geldende maatregelen en  procedures in) het rekencentrum (datacenter) • user controls = (de maatregelen en procedures in de gebruikersorganisatie Zie ook NIvRA-26.  

NIvRA-53 De opvolger van NIvRA-26 was gebaseerd op “Controle van de informatieverwerking van K.IJ. Mollema RA en onderscheidde objecten in componenten en activiteiten ten aanzien van die objecten, Via koppeling aan zes critteria ontstonden dan zinvolle afbakeningen van onder- zoeken. Dit geschrift werd door de grote audit firms al minder toegepast dan NIvRA-26 dat een aantal nog steeds geldige principes en voorgeschreven bewoordingen bevat..