IT-audit
Van Wikipedia
IT-audit is het vakgebied dat zich bezighoudt met het beoordelen van de automatisering van de organisatie en de organisatie van de automatisering. IT-audit is een specialisme binnen het audit-vakgebied. het specialisme wordt meer en meer gevraagd bij uitvoering van accountantscontroles.
Inhoud |
[bewerk] Geschiedenis
Tot enkele jaren geleden heette het vakgebied EDP-Auditing, ofwel beoordeling van Electronic Data Processing. De laatste decennia heeft IT-audit zich verbreed tot de relatie bedrijfsprocessen en ICT en richt de aandacht zich minder op het rekencentrum en systeemontwikkelafdelingen. Aanleiding voor het ontstaan van het vakgebied is de toenemende automatiseringsgraad. Doordat de verwerking van administratieve processen steeds meer binnen geautomatiseerde informatiesystemen plaatsvond, kon een accountant veelal onvoldoende zekerheid meer krijgen omtrent de getrouwheid van de financiële verslaglegging van organisaties. Het doorgronden van geautomatiseerde informatiesystemen vergt andere kennis dan alleen bedrijfseconomie en administratieve organisatie.
In de loop van de tijd is de aandacht meer en meer verlegd van het product geautomatiseerde informatiesystemen naar ontwikkel- en beheerprocessen.
De laatste tijd staat het vakgebied sterk in de belangstelling doordat wet- en regelgeving de eis van aantoonbaarheid van het in control zijn van organisaties neerleggen bij het (top-)management. Wetten en regels als SOX (Sarbanes-Oxley) en Basel II betekenen dat onderzoeken naar de beheersing van de ICT mede de basis is voor de controle op de verantwoording door het topmanagement.
[bewerk] Onderzoeken
Binnen IT-audit bestaan de volgende objecten van onderzoek:
- technische infrastructuur (technical audit)
- beoordeling van informatiesystemen (system audit)
- procesinrichting (bijvoorbeeld ITIL-audits)
- third party memorandum (TPM-audits, bijv. ten behoeve van SAS 70-verklaringen)
- certificering en accreditering
- fraude en forensische onderzoeken (dit is gebonden aan een vergunning van justitie)
Kenmerkend voor het vakgebied audit is dat een onderzoek plaatsvindt ten opzichte van een eerder opgesteld en afgestemd normenkader. Zonder normenkader is een onderzoek feitelijk geen audit.
[bewerk] Kwalificatie als IT-auditor
Er bestaan twee trajecten om je als IT-auditor te kwalificeren:
Een Nederlandse variant:
- NOREA RE (Register EDP Auditor) certificering: de kandidaat dient een door de Norea geaccrediteerde postdoctorale opleiding te hebben gevolgd, dient minimaal 3 jaar relevante ervaring te hebben en dient aan de eis van Permanente Educatie te voldoen. Erkende opleidingen worden gegeven door de VU in Amsterdam, TIAS in Tilburg, Erasmus Universiteit in Rotterdam en de Universiteit van Amsterdam.
Een internationale variant:
- ISACA CISA-certificering. Deze certificering is mogelijk na het afleggen van een examen van 200 multiple choice vragen, 5 jaar relevante werkervaring, onderwerping aan de code of professional ethics, het voldoen aan de eis van permanente educatie en het volgen van de information systems auditing standards. De ISACA CISA certificering is geaccrediteerd door American National Standards Institute (ANSI) onder nummer ISO/IEC 17024:2003.
Nota bene: Het voeren van de kwalificatie CISA is niet beschermd door de Nederlandse wet, de toevoeging RE wel.
[bewerk] Wet- en regelgeving
- NED:WCC en WBP
- US: Sarbanes-Oxley
- Int: Basel II
- US: Health Insurance Portability and Accountability Act (HIPAA)
- Int: SAS 70
