IT-audit

IT-auditing is het vakgebied dat zich bezighoudt met het beoordelen van de automatisering van de organisatie en de organisatie van de automatisering. IT-auditing is een specialisme binnen het auditing-vakgebied. Het specialisme wordt meer en meer gevraagd bij uitvoering van accountantscontroles.

Geschiedenis

Tot enkele jaren geleden^{[(sinds) wanneer?]} heette het vakgebied EDP-auditing, ofwel beoordeling van electronic data processing. De laatste decennia^{[(sinds) wanneer?]} heeft IT-auditing zich verbreed tot de relatie bedrijfsprocessen en ICT. De aandacht ligt nu minder op het rekencentrum en systeemontwikkelafdelingen. Aanleiding voor het ontstaan van het vakgebied is de toenemende automatiseringsgraad. De verwerking van administratieve processen vindt steeds meer plaats binnen geautomatiseerde informatiesystemen. Hierdoor kan een accountant veelal niet meer voldoende zekerheid krijgen omtrent de getrouwheid van de financiële verslaglegging van organisaties. Het doorgronden van geautomatiseerde informatiesystemen vergt andere kennis dan alleen bedrijfseconomie en administratieve organisatie.

Hoewel IT audits aanvankelijk grotendeels als ondersteuning van de jaarrekeningcontrole werden uitgevoerd zijn informatiebeveiliging, beheersing van de automatisering (IT governance) en privacy tegenwoordig van belang. IT auditors zijn tegenwoordig ook veelvuldig betrokken bij toetsing van de opzet, bestaan en werking van algemene beheersingsmaatregelen rondom automatisering uitgevoerd door derde partijen vanwege verregaande uitbesteding (cloud computing).

In het begin van de 21e eeuw stond het vakgebied sterk in de belangstelling doordat door wet- en regelgeving de eis van aantoonbaarheid van het in control zijn van organisaties bij het management kwam te liggen. Wetten en regels als SOX (Sarbanes-Oxley) en Basel II betekenen dat onderzoeken naar de beheersing van de ICT mede de basis zijn voor de controle van de verantwoording door de directie van de onderneming.

Onderzoeken

Binnen IT-auditing bestaan de volgende objecten van onderzoek:

• technische infrastructuur (technical audit)
• operationeel informatiesysteem (system audit)
• procesinrichting (bijvoorbeeld ITIL-audits)
• beheersingssystemen in het algemeen, waarbij het IT-auditrapport is bedoeld ten behoeve van derden, vaak derde partij mededelingen genoemd (TPM-audits: ISAE3402, of naar Amerikaanse regelgeving SSAE18-verklaringen)
• softwarepakket, beveiligingssysteem of webomgeving, uitmondend in certificering of accreditering
• plaats van delict (fraude- en forensische onderzoeken)
• informatiebeveiliging
• privacy

Kenmerkend voor het vakgebied auditing is dat een onderzoek plaatsvindt ten opzichte van een eerder opgesteld en afgestemd normenkader. Zonder normenkader is een onderzoek feitelijk geen audit.

Kwalificatie als IT-auditor

De meest voorkomende kwalificaties als IT auditor in Nederland zijn de volgende:

• RE, Register EDP-Auditor, NOREA, een post-initiële masteropleiding (van VU, TIAS School for Business and Society, Erasmus Universiteit of Universiteit van Amsterdam) en 3 jaar relevante werkervaring zijn vereist.
• CISA, Certified Information Systems Auditor, ISACA, het behalen van een examen, baccalaureus diploma en 5 jaar relevante werkervaring zijn vereist.

Deze kwalificaties komen ook weleens voor in Nederland:

• QICA, Qualification in Computer Auditing, IIA UK, het behalen van twee examens alsook twee jaar relevante werkervaring. Deze kwalificatie is in 2008 beeindigd voor nieuwe deelnemers.^[1]
• MCom: Master of Computer Auditing, Johannesburg Universiteit, Stellenbosch Universiteit.^[2][3]
• Executive Master (MSc) IT Governance & Assurance, Antwerp Management School.^[4]

Naast de RE en CISA zijn de hiernavolgende certificeringen ook veelvoorkomend binnen IT auditing:

• CIA, Certified Internal Auditor, IIA, veelal werkzaam als internal auditor in combinatie met IT audit werkzaamheden.
• CISM, Certified Information Security Manager, ISACA, gericht op het proces van informatiebeveiliging.
• CISSP, Certified Information Systems Security Professional, ISC², veelal werkzaam als technical auditor.
• RA, Register Accountant, KNBA, veelal werkzaam als accountant in combinatie met IT audit werkzaamheden.
• RO, Register Operational Auditor, IIA, veelal werkzaam als operational auditor in combinatie met IT audit werkzaamheden.

Met uitzondering van de RA-titel is het voeren van beroepskwalificaties niet beschermd door Nederlandse beroepswetgeving zoals dit het geval is bij bijvoorbeeld accountants en notarissen. Beroepskwalificaties zijn veelal alleen beschermd op basis van civielrecht.

Wet- en regelgeving

• NL: AFM, WCC en Wet bescherming persoonsgegevens
• VS: Sarbanes-Oxley, National Institute of Standards and Technology, Health Insurance Portability and Accountability Act, Payment Card Industry Data Security Standards, SSAE18, CCPA
• Int: Basel II, ISAE3402, ISO 27000 serie
• EU: GDPR

Referenties

1. IIA Qualification in Computer Auditing | Qualifications | IIA. www.iia.org.uk. Geraadpleegd op 27 juni 2024.
2. Masters lectured options: MCom (Computer Auditing). www.sun.ac.za. Geraadpleegd op 27 juni 2024.
3. (en) MCom in Computer Auditing (Coursework). University of Johannesburg. Geraadpleegd op 27 juni 2024.
4. (en) Executive Master in IT Governance & Assurance | Course - Program | AMS. Antwerp Management School. Geraadpleegd op 27 juni 2024.

Externe links

• Nederlandse Orde van EDP-auditors
• ISACA België
• ISACA Nederland
• ISACA Internationaal
• ISSA Internationaal
• Platform voor Informatie Beveiliging