help-auditor-komt-langs-deel-2-1200

Enkele maanden geleden schreef ik (hier) al over mijn rol als IT-auditor. De komende maanden mag ik voor een klant deze rol weer gaan vervullen. Een goed moment om nog eens stil te staan wat ik dan eigenlijk doe en hoe dit in een breder kader past. Laat ik jullie hierin meenemen zodat het fenomeen audit en auditor een stuk minder vaag en eng wordt, zoals het helaas soms wordt ervaren.

Welke soorten audits zijn er?

Er zijn meerdere soorten auditors die elk hun eigen specialisme hebben. Zo zijn er:

  • compliance-auditors die onderzoeken of er voldaan wordt aan (opgelegde) wet en regelgeving.
  • financial auditors die de boekhouding en financiële stromen controleren.
  • IT-auditors (zoals ik) die de beheersing van een IT-omgeving kunnen beoordelen.

Binnen de IT-audits zijn ook weer verschillende opdelingen te maken. Een intern onderzoek naar informatiebeveiliging is bijvoorbeeld een ander soort opdracht dan de accountant die zekerheid wil over het financiële systeem. En ja, het gaat beide over beheersing (denk: plan-do-check-act), het gaat beide over processen en het gaat ook zeker over kwaliteit. Alleen de scope en diepgang zijn compleet anders. Ook zijn er nog een aantal audits te bedenken met een heel specifieke focus, zoals een audit op de Digid-koppeling, of bijvoorbeeld een ISAE3402-verklaring (heel vroeger SAS70) dat gaat over de beheersing van processen van een outsourcingpartij.

Welk doel heeft een audit?

Dat ligt aan hetgeen de gebruiker (afnemer) wil met de auditrapportage en de meetlat die gehanteerd wordt. Daarbij komt ook het drie partijen model; Voor een audit zijn namelijk 3 partijen noodzakelijk:

  • De auditee, de entiteit (organisatie en/of afdeling) die gecontroleerd, geaudit, gaat worden
  • De auditor; de persoon, of het team, dat de audit, controle, gaat uitvoeren
  • De gebruiker (van de rapportage); de entiteit die de rapportage gaat ontvangen en zekerheid wil verlenen over hetgeen wat onderzocht is.

De normen (de meetlat) die de auditor gebruikt voor zijn onderzoek worden aangeleverd door de auditee. Althans, zo schrijft de theorie voor. In de praktijk wordt vaak op aanraden van de auditor of gebruiker een stelsel van normen overeengekomen op basis waarvan de audit uitgevoerd wordt. Uiteindelijk gaat het altijd over het verkrijgen van zekerheid.

Welke diepgang heeft een audit?

Dat ligt aan de zekerheid (vakterm/Engels: assurance) die het onderzoek moet gaan brengen. En dat ligt dan weer aan hetgeen de gebruiker met de rapportage wil gaan doen. Deze diepgang wordt in de terminologie van de auditor vaak uitgedrukt in ‘redelijke mate van zekerheid’ en ‘beperkte mate van zekerheid’. Volledige zekerheid is nooit te verkrijgen.

Deze mate van zekerheid bepaalt onder andere of alleen de opzet beoordeeld wordt, of dat ook het bestaan en of de werking onderzocht wordt. Bij een opzetbeoordeling worden alleen documenten bestudeerd op juistheid en volledigheid van het beschreven proces, beleid of technische inrichting. Een beoordeling van bestaan is een test van één voorbeeld. Een beoordeling van werking is een controle over een langere tijdsperiode.

Een voorbeeld:

  • Opzet: Bij het beoordelen van een changeproces betekent dit dat ik de procesdocumentatie doorneem en voor bij bijvoorbeeld de beheersing van een server neem ik het inrichtingsdocument door.
  • Bestaan: Voor het changeproces geldt dat ik hier ga kijken naar één change en daarbij ga ik vaststellen of deze het changeproces heeft gevolgd zoals beschreven. Voor de server zou dit betekenen dat ik één willekeurige server selecteer en ga vaststellen of de instellingen allemaal zo zijn als beschreven in het inrichtingsdocument.
  • Werking: Over een bepaalde periode van tijd, vaak zal dit een (kalender)jaar betreffen, zal de organisatie moeten aantonen dat bijvoorbeeld alle wijzigingen netjes conform het geldende changeproces zijn verlopen en voor de server geldt dat er een manier moet zijn waaruit ik kan achterhalen dat de instellingen het hele jaar juist zijn geweest.

Je ziet al dat hoe verder je gaat, hoe meer er gecontroleerd zal worden en hoe meer afhankelijkheden er komen naar andere maatregelen. Die op hun beurt ook weer gecontroleerd moeten worden. Dit kost meer tijd, van zowel de auditor als auditee. Maar goed, alle zekerheid komt met z’n tijd, en dus ook kosten.

En nu je dit weet?

Kan je hopelijk een audit beter plaatsen. Belangrijk is altijd om te achterhalen wat het doel is van de audit en welke scope en diepgang deze gaat krijgen. Op deze manier kan je als auditee ook een betere voorbereiding treffen. Zo kun je bijvoorbeeld de juiste stukken alvast klaarzetten en daarbij een overzicht maken van welke stukken op welke manier aan de beoordeling kunnen bijdragen.

Natuurlijk sluit ik deze blog af met de melding dat je alle werkzaamheden om ‘het op orde’ te krijgen niet doet voor de auditor. Dit is iets wat ik maar al te vaak hoor; “omdat het moet van de auditor”.

Ik heb geprobeerd dit zo goed mogelijk uit te leggen, maar goed hè beroepsdeformatie… vertel het me als er nog iets onvoldoende duidelijk is en ik schrijf er nog een paar woorden over.

 

Consultant Mark Tissink helpt organisaties om informatiebeveiliging écht op orde te krijgen. Hij heeft als IT-auditor gewerkt bij KPMG en de Rabobank.

Heeft u een vraag?

Neem contact op