Ontstaan
EDP-audit of tegenwoordig IT-audit is min of meer ontstaan vanuit de accountancy toen de automatisering van de gegevensverwerking (vandaar Electronic Data Processing) zijn intrede deed, ook voor de financiële administratie. Later is besloten de term EDP te vervangen door IT, Infomation Technlogy. Tegenwoordig is IT zo alom aanwezig, dat IT-auditors niet meer afkomstig zijn uit de accountancy en IT-audits veel verder gaan dan ondersteuning van de jaarrekeningcontrole. Zie ook 'objecten van IT-audits'. Overigens spreekt men in Amerikaanse literatuur veelal over information systems audit(or), vandaar ook CISA (zie hierna).Hoe word je IT-auditor
Er zijn twee manieren om erkend IT-auditor te worden. In Nederland doe je dat door een door de NOREA erkende postdoctorale opleiding tot IT-auditor met succes af te ronden, te voldoen aan eisen op het gebied van praktijkervaring en je in te schrijven bij de NOREA. De NOREA is de Nederlandse Orde van Register EDP- auditors. De door de NOREA erkende opleidingen worden verzorgd aan enkele Nederlandse universiteiten. Inschrijving bij de NOREA geeft het recht om de titel Register EDP-auditor, afgekort RE te dragen. De NOREA kent actieve en inactieve leden. Actieve leden moeten voldoen aan eisen op het gebied van administratieve organisatie. De RE titel geniet niet de wettelijke bescherming zoals de titel Registeraccountant (RA); de bescherming wordt ontleend aan het merkenrecht. Er zijn meer titels met de afkorting RE. Er is hoop geweest dat de RE een wettelijke taak zou krijgen in het kader van Wet Computercriminaliteit. Dit is echter niet gebeurd. Inmiddels zijn er echter wel enkele vormen van assessments en assurance waarbij voorgeschreven is dat RE's ingeschakeld moeten worden (zoals de DigID-assessments bij gemeenten). De andere mogelijkheid is de internationale weg te volgen. Dit is door met succes het examen voor de opleiding tot Certified Information Systems Auditor (CISA) te volgen. Dit examen wordt gehouden en de titel CISA wordt toegekend door ISACA. Vroeger stond dit voor Information Systems Audit & Control Association. Met de verbreding van het werkveld en de doelstellingen is ISACA nog enkel een acroniem. Overigens gelden ook voor inschrijving als CISA eisen aan praktijkervaring en permanente educatie. De CISA opleiding is erkend door de ANSI. Het examen wordt afgenomen in de vorm van een multiple choice. Deelnemen staat open voor iedereen die tijdig het examengeld betaalt. Als zodanig kan gesteld worden dat geen sprake is van een post-academisch niveau.Twee beroepsorganisaties
Uit het voorgaande volgt dat er dan ook twee beroepsorganisaties zijn. De NOREA wordt echter net als de NBA gedomineerd door de BIG4. Dit en het genoemde ontbreken van een wettelijke taak heeft ervoor gezorgd dat om erkenning te krijgen aansluiting is gezocht bij de IFAC, de International Federation of Auditors. Omdat vanuit Nederland het Koninklijk NIvRA, thans NBA, al lid was en er per land slechts één volwaardig lid mag zijn, is NOREA uitsluitend geassocieerd lid. Dit lidmaatschap van de IFAC schept echter de verplichting de standaarden en richtlijnen van de IFAC te implementeren. Hoewel dit enkel gebeurt waar dit zinvol wordt geacht, blijken deze toch te zeer opgesteld vanuit de jaarrekeningcontrole. Er is dan ook de nodige weerstand tegen deze standaarden en richtlijnen. Zoals aangegeven was ISACA was oorspronkelijk alleen gericht op CISA. Er heeft een verbreding plaatsgevonden naar governance & compliance, risk management en information systems management. Dat heeft geleid tot aanvullende certificeringen zoals CGEIT, CRISK en CISM. In 2012-2013 zijn de mogelijkheden onderzocht om als NOREA samen te gaan met ISACA. Deze fusie is echter in 2013 gestrand. De NOREA houdt nu een strategische verkenning hoe nu verder te gaan.Geen wettelijke taak
Hiervoor is al aangegeven dat RE geen wettelijk beschermde titel is zoals RA of AA, De RE beschikt ook niet over een wettelijke taak zoals de RA of AA in de vorm van de jaarrekeningcontrole. De NOREA heeft getracht draagvlak te creëren voor het werk van RE’s door een aantal producten te ontwikkelen zoals ZekeREZorg, ZekeRE Business en ZekeRE Privacy. Deze lijken niet echt succesvol te zijn. Van meer erkenning is sprake bij de DigID Assessments waarin nadrukkelijk een rol is vastgelegd voor de RE (voor meer over deze rol, zie hier). Over de rol van de IT-auditor als assurance provider heeft NOREA de volgende publicatie uitgebracht: “IT-assurance - zekerheid over uw IT”. Naast deze op het leveren van op ‘assurence’ gerichte diensten, kan de gecertificeerde IT-auditor uiteraard ook een veelheid aan andere (advies)diensten leveren. Hierop zijn (ook) de Code of Ethics en vigerende regels en richtlijnen vanuit de beroepsorganisatie van toepassing.
Definitie
Begin jaren 90 van de vorige
eeuw toen ik de post-doctorale
EDP-opleiding aan de VU
volgde, werd binenn deze
opleiding de volgende definitie
gehanteerd:
Een onafhankelijke en
onpartijdige beoordeling van de
betrouwbaarheid, beveiliging
(incl. privacy), effectiviteit en
efficiëntie van
geautomatiseerde
informatiesystemen, de
organisatie van de
automatiseringsafdelingen en
de technisch/organisatorische
infrastructuur van de
geautomatiseerde
gegevensverwerking. Deze
activiteit heeft betrekking op
zowel operationele systemen
als systemen in ontwikkeling.
ISO en auditing
De International Standards
Organisation (ISO) heeft ook
een aantal standaarden over
auditing uitgegegeven. Deze
zijn echter niet specifiek gericht
op IT-audit. Daarnaast voldoen
deze niet aan mijn criterium van
‘openheid’. De standaarden zijn
alleen tegen betaling
verkrijgbaar en mijns inziens
(veel) te duur.
