Wat is IT auditing

Bedrijven en instellingen worden in toenemende mate afhankelijk van informatiesystemen. De informatiesystemen worden steeds belangrijker. Niet alleen voor de registratie van bijvoorbeeld financiële gegevens, maar ook voor de verkoop via internet en de interne informatievoorziening. Ze kunnen niet meer zonder. Een IT auditor is een persoon die een deskundig en onafhankelijk oordeel kan vellen over de kwaliteit van de informatievoorziening en de veiligheid en betrouwbaarheid van de informatiesystemen. De bedrijven en instellingen kunnen op basis van dit oordeel maatregelen treffen om de kwaliteit van de informatievoorziening en de beveiliging ervan te verbeteren. In dit artikel kom je op hoofdlijnen te weten wat een IT-auditor doet en hoe deze zijn werkzaamheden verricht.  

IT auditing is het vakgebied dat zich bezighoudt met de beoordeling van en advisering over de geautomatiseerde informatievoorziening. Deze beoordeling, ook wel audit genoemd, vindt plaats aan de hand van bepaalde normen. De normen hebben onder meer betrekking op de gebruikersorganisatie, de organisatie van de ontwikkeling van informatiesystemen, de verwerking van data en de beveiliging. De belangrijkste toetsingsnormen zijn opgenomen in:

ITIL bevat normen voor de ICT-dienstverlening en het beheer van de ICT-infrastructuur. ISO normen gaan vooral over de kwaliteitsborging. De code voor informatiebeveiliging bevat codes voor het ontwikkelen van de informatiebeveiliging en het bevorderen van het vertrouwen in de onderlinge handel en daarmee samenhangende uitwisseling van financiële en operationele gegevens en Cobit is een standaard voor de planning en organisatie, verwerving en implementatie van geautomatiseerde oplossingen, serviceniveau management en monitoring van de processen en het verkrijgen van onafhankelijke zekerheid over de kwaliteit van de informatievoorziening. Ook de NOREA (zie verder onder beroepsgroep) geeft geschriften en studierapporten uit waarin normen voor de geautomatiseerde gegevensverwerking zijn opgenomen.  

In het algemeen onderscheidt men vier categorieën kwaliteitsaspecten voor de automatisering:

• effectiviteit, hieronder vallen bijvoorbeeld de onderhoudbaarheid, testbaarheid en schaalbaarheid van informatiesystemen en de mate van ondersteuning van de bedrijfsprocessen door automatisering;

• efficiency, hieronder vallen de gebruikersvriendelijkheid, de zuinigheid en flexibiliteit;

• betrouwbaarheid, hieronder vallen onder meer de juistheid, volledigheid en tijdigheid van de informatieverwerking;

• continuïteit, in deze categorie zijn normen opgenomen over onder meer de mate van bedrijfszekerheid en uitwijkmogelijkheden in het geval van een calamiteit.  

De audit start met de opdrachtformulering, waarin is opgenomen waarover de auditor zich een oordeel moet vormen en welke normen hij daarbij hanteert. Uiteraard sluiten de auditor en de opdrachtgever een overeenkomst, waarin naast de opdracht ook afspraken zijn gemaakt over de rapportage, de kosten en wijze van declaratie en dergelijke.

Nadat de overeenkomst is gesloten, stelt de auditor aan de hand van een risico-analyse een auditplan op, waarin hij systematisch opneemt welke werkzaamheden hij gaat verrichten. Het auditplan beschrijft de werkzaamheden die nodig zijn voor het vellen van een kwalitatief hoogwaardig oordeel.

Vervolgens voert de IT auditor het auditplan uit. Hij interviewt de gecontroleerde en analyseert bewijsstukken en andere vastleggingen. Uiteraard legt hij ook zelf relevante eigen waarnemingen vast. Op basis van de bevindingen schrijft de auditor de auditrapportage en formuleert hij het oordeel. De auditrapportage is voorzien van bijlagen, waarin zijn opgenomen de gehanteerde normen en de bevindingen in relatie tot de gehanteerde normen.  

Sinds 1978 bestaat de Certified Information Systems Auditor (CISA) opleiding, de inmiddels wereldwijd geaccepteerde kwaliteitsstandaard voor IT auditors. De CISA-titel (Certified information systems auditor) achter de naam van een persoon geeft aan dat hij beschikt over de benodigde kennis en ervaring die hem in staat stelt op vakkundige wijze opdrachten uit te voeren op het gebied van informatiebeveiliging en auditing van informatiesystemen.  

In 1992 hebben Nederlandse IT auditors de Nederlandse Orde van Register EDP-auditors (NOREA) opgericht, naar analogie van de beroepsorganisatie van Registeraccountants, het NIVRA. EDP staat overigens voor electronic data processing. Tegenwoordig is het vakgebied van de EDP auditor veel breder dan de beoordeling van de elektronische dataverwerking. Daarom spreken ze van IT audits. De personen die over de benodigde kennis (postdoctorale opleiding) en werkervaring beschikt, mag zich inschrijven in het register van IT auditors en de titel RE voeren.