Hoor-en-wederhoor Tuchtrecht heeft uitgewezen dat hoor-en-wederhoor een essentiële stap is die niet mag worden overgeslagen.  

Hoofdstappen

Een IT-audit is te beschrijven in de vorm van een proces. Dit proces kent de volgende hoofdstappen: • Voorbereiding / planning • Uitvoering • Rapportage • Evaluatie Onderstaand volgt een toelichting op elk van deze hoofdstappen. Het gaat daarbij om een onderzoek dat past bij de gegeven definitie (ik vermijd hier bewust de term ‘assurance’).

Voorbereiding / planning

I n deze hoofdstap is het zinvol onderscheid te maken tussen interne en externe IT-audits. Aan de onderwerpen ‘objecten’ en ‘normenkaders’ wordt op afzonderlijke pagina’s aandacht besteed. Interne IT-audit(or)s Interne IT-auditors worden geacht te beschikken over een audit charter, kennis van de organisatie en een jaarplan. Op deze wijze is bekend welke audits van welke objecten dienen plaats te vinden en wat de planning van die audits in de tijd is. Welke audits dit zijn kan gebaseerd zijn op risicoanalyse en (aanvullende) criteria. Zodra de audit volgens de planning aan de beurt is, kan deze gestart worden. Op dat moment wordt er dan een plan van aanpak opgesteld voor de audit zelf met een afbakening van de scope en de diepgang én het van toepassing zijnde normenkader. Afhankelijk van de gekozen werkwijze kan men nog per audit een opdrachtbevestiging opstellen en laten ondertekenen door het (hoogste) management. In voorkomend geval is het mogelijk met gestandaardiseerde audit programma’s te werken. Externe IT-audit(or)s Hierbij is het uitgangspunt dat sprake is van individuele opdrachtverstrekking. De IT-auditor moet dan eerst kennis opdoen van het object van onderzoek (’understanding the business), enerzijds om de scope en diepgang goed te kunnen af te kunnen bakenen, duidelijkheid te verkrijgen over het te hanteren normenkader en een plan van aanpak en auditprogramma op te stellen, anderzijds om te kunnen bepalen of de opdracht geaccepteerd kan worden. De opdracht moet schriftelijk verleend (bevestigd) worden. Na de opdrachtbevestiging kan eventueel nog een verdiepingsslag plaatsvinden van ‘understanding the business’.

Uitvoering

Tijdens deze fase vindt eerst een inventarisatie plaats van de feitelijke situatie (Ist). Hiertoe wordt controleinformatie verzameld en in het dossier opgenomen. Dit verzamelen kan op verschillende manieren plaatsvinden en is mede afhankelijke van de gewenste diepgang. Hierbij kan in voorkomend geval sprake zijn van systeemgerichte en gegevensgerichte werkzaamheden. Ook kan gebruik worden gemaakt van Computer Assisted Audit Techniques (CAATs) ook wel samengevat tot Audit Software. De feitelijke situatie wordt vervolgens geconfronteerd met het normenkader (de Soll situatie). De verschillen tussen Soll en Ist worden geanalyseerd. Het is gebruikelijk om hierbij aan te geven welk(e) risico(s) de organisatie loopt als gevolg van de geconstateerde afwijkingen. Dit kan betekenen dat ook onderzocht wordt of de organisatie niet op een alternatieve wijze invulling heeft gegeven aan de norm ofwel compenserende maatregelen aanwezig zijn.

Rapportage

De rapportage wordt eerst in concept opgesteld, Vervolgens wordt deze besproken met de auditee: het toepassen van hoor- en wederhoor. Dit hoor-en-wederhoor richt zicht op de juistheid en volledigheid van de bevindingen, ofwel de feiten. Dit kan ertoe leiden dat de auditee aanvullende informatie moet verstrekken en/of de auditor nog aanvullend werk moet verrichten om zekerheid te krijgen over die feiten. Het is aan de IT-auditor om op basis van deze feiten tot conclusies (al dan niet in de vorm van een samenvattend oordeel) en aanbevelingen te komen. De rapportage en het dossier worden veelal aan een collegiale peer review onderworpen voordat het rapport in definitieve vorm wordt uitgebracht. Zeker voor externe IT-auditors is het gebruikelijk om het rapport vergezeld te laten gaan van een presentatie.

Evaluatie

Deze stap zal in de praktijk niet altijd plaatsvinden. Vanuit de optiek van kjwaliteitsmanagement is het echter een goed gebruik om achteraf te evalueren hoe de IT-audit is verlopen. Op basis hiervan kunnen dan ‘lessons learned’ opgesteld worden. Deze kunnen leiden tot verbeteringen in de aanpak (Het Handboek IT-audit) en volgende audits.

Definitie Begin jaren 90 van de vorige eeuw toen ik de post-doctorale EDP-opleiding aan de VU volgde, werd binenn deze opleiding de volgende definitie gehanteerd: Een onafhankelijke en onpartijdige beoordeling van de betrouwbaarheid, beveiliging (incl. privacy), effectiviteit en efficiëntie van geautomatiseerde informatiesystemen, de organisatie van de automatiseringsafdelingen en de technisch/organisatorische infrastructuur van de geautomatiseerde gegevensverwerking. Deze activiteit heeft betrekking op zowel operationele systemen als systemen in ontwikkeling.   

Drie partijen Bij assurance opdrachten is sprake van drie partijen: een IT- auditor, een verantwoor-delijke partij en de beoogde gebruikers van het audit rapport.  

Diepgang Hierbij wordt veelal het onderscheid gehanteerd naar opzet, bestaan en/of werking. Naarmate de diepgang groter is moet de auditor meer ‘(substantive) tests’ uitvoeren.