IT-auditing is het vakgebied dat zich bezighoudt met het beoordelen van de automatisering van de organisatie en de organisatie van de automatisering. IT-auditing is een specialisme binnen het auditing-vakgebied. Het specialisme wordt meer en meer gevraagd bij uitvoering van accountantscontroles.

Geschiedenis

bewerken

Tot enkele jaren geleden[(sinds) wanneer?] heette het vakgebied EDP-auditing, ofwel beoordeling van electronic data processing. De laatste decennia[(sinds) wanneer?] heeft IT-auditing zich verbreed tot de relatie bedrijfsprocessen en ICT. De aandacht ligt nu minder op het rekencentrum en systeemontwikkelafdelingen. Aanleiding voor het ontstaan van het vakgebied is de toenemende automatiseringsgraad. De verwerking van administratieve processen vindt steeds meer plaats binnen geautomatiseerde informatiesystemen. Hierdoor kan een accountant veelal niet meer voldoende zekerheid krijgen omtrent de getrouwheid van de financiële verslaglegging van organisaties. Het doorgronden van geautomatiseerde informatiesystemen vergt andere kennis dan alleen bedrijfseconomie en administratieve organisatie.

Hoewel IT audits aanvankelijk grotendeels als ondersteuning van de jaarrekeningcontrole werden uitgevoerd zijn informatiebeveiliging, beheersing van de automatisering (IT governance) en privacy tegenwoordig van belang. IT auditors zijn tegenwoordig ook veelvuldig betrokken bij toetsing van de opzet, bestaan en werking van algemene beheersingsmaatregelen rondom automatisering uitgevoerd door derde partijen vanwege verregaande uitbesteding (cloud computing).

In het begin van de 21e eeuw stond het vakgebied sterk in de belangstelling doordat door wet- en regelgeving de eis van aantoonbaarheid van het in control zijn van organisaties bij het management kwam te liggen. Wetten en regels als SOX (Sarbanes-Oxley) en Basel II betekenen dat onderzoeken naar de beheersing van de ICT mede de basis zijn voor de controle van de verantwoording door de directie van de onderneming.

Onderzoeken

bewerken

Binnen IT-auditing bestaan de volgende objecten van onderzoek:

  • technische infrastructuur (technical audit)
  • operationeel informatiesysteem (system audit)
  • procesinrichting (bijvoorbeeld ITIL-audits)
  • beheersingssystemen in het algemeen, waarbij het IT-auditrapport is bedoeld ten behoeve van derden, vaak derde partij mededelingen genoemd (TPM-audits: ISAE3402, of naar Amerikaanse regelgeving SSAE18-verklaringen)
  • softwarepakket, beveiligingssysteem of webomgeving, uitmondend in certificering of accreditering
  • plaats van delict (fraude- en forensische onderzoeken)
  • informatiebeveiliging
  • privacy

Kenmerkend voor het vakgebied auditing is dat een onderzoek plaatsvindt ten opzichte van een eerder opgesteld en afgestemd normenkader. Zonder normenkader is een onderzoek feitelijk geen audit.

Kwalificatie als IT-auditor

bewerken

De meest voorkomende kwalificaties als IT auditor in Nederland zijn de volgende:

Deze kwalificaties komen ook weleens voor in Nederland:

Naast de RE en CISA zijn de hiernavolgende certificeringen ook veelvoorkomend binnen IT auditing:

  • CIA, Certified Internal Auditor, IIA, veelal werkzaam als internal auditor in combinatie met IT audit werkzaamheden.
  • CISM, Certified Information Security Manager, ISACA, gericht op het proces van informatiebeveiliging.
  • CISSP, Certified Information Systems Security Professional, ISC², veelal werkzaam als technical auditor.
  • RA, Register Accountant, KNBA, veelal werkzaam als accountant in combinatie met IT audit werkzaamheden.
  • RO, Register Operational Auditor, IIA, veelal werkzaam als operational auditor in combinatie met IT audit werkzaamheden.

Met uitzondering van de RA-titel is het voeren van beroepskwalificaties niet beschermd door Nederlandse beroepswetgeving zoals dit het geval is bij bijvoorbeeld accountants en notarissen. Beroepskwalificaties zijn veelal alleen beschermd op basis van civielrecht.

Wet- en regelgeving

bewerken

Referenties

bewerken
  1. IIA Qualification in Computer Auditing | Qualifications | IIA. www.iia.org.uk. Geraadpleegd op 27 juni 2024.
  2. Masters lectured options: MCom (Computer Auditing). www.sun.ac.za. Geraadpleegd op 27 juni 2024.
  3. (en) MCom in Computer Auditing (Coursework). University of Johannesburg. Geraadpleegd op 27 juni 2024.
  4. (en) Executive Master in IT Governance & Assurance | Course - Program | AMS. Antwerp Management School. Geraadpleegd op 27 juni 2024.
bewerken