EDP-audit is dood, leve IT-auditing. Niemand die serieus genomen wil worden zal het nog in zijn hoofd halen om een jongere collega uit te leggen wat ‘electronic data processing’ heeft betekend. Een lustrum is altijd een goede gelegenheid om terug te blikken, maar vooral ook om iets nieuws aan te kondigen. Twee coryfeeën uit de gelederen van de Nederlandse Orde van Register EDP-Auditors (Norea) luiden de nieuwe term in, IT-audit. Het afscheid van de oude term en het verwelkomen van een nieuwe.
Bij het in zwang komen van edp-auditing (electronic data processing) werd voor de registeraccountant informatie verzameld om de financiële jaarrekening te kunnen controleren. In de jaren daarna beoordeelde een edp-auditor, de RE, het rekencentrum en testte hij de informatiesystemen op hun betrouwbaarheid. In de jaren tachtig maakten de toenmalige edp-auditors een begin met het onderzoeken van meer ’technische zaken’ als besturingssystemen en databases.
Het huidige werkterrein van de IT-auditor kent veel meer domeinen dan voorheen; ook IT is in de afgelopen vijf jaar enorm veranderd. EDP is inmiddels een achterhaald begrip en beweringen dat electronic data processing het gehele vakgebied Informatie Technologie en Informatisering en Communicatie afdekken, kunnen niet serieus bedoeld zijn. Dit geldt wel voor het begrip IT, dat algemeen geaccepteerd is. Slechts weinigen weten nog wat edp betekent. Dat maakt het uitleggen van de inhoud en de toegevoegde waarde van het vakgebied er niet makkelijker op.
Domeinen van de Norea
De moderne IT-auditor beoordeelt meer de kwaliteitsaspecten van informatietechnologie. Terwijl men zich vroeger in het bijzonder concentreerde op betrouwbaarheid, continuïteit en beveiliging is de huidige auditor, de RE, in staat een breder spectrum van kwaliteitsaspecten te beoordelen. De volgende zes domeinen, ontleend aan het nog te publiceren Norea-geschrift ‘IT-auditing aangeduid’, vallen onder het begrip IT-auditing.
Het domein informatiestrategie omvat het geheel van doelstellingen, uitgangspunten en randvoorwaarden voor het omgaan met informatie binnen een onderneming en voor het organiseren van de informatievoorziening. IM/IT-management slaat op de voorwaarden die de leiding van een organisatie dient te scheppen om geautomatiseerde systemen te ontwikkelen, te beheren en te gebruiken, alsmede op de voorwaarden om deze processen te besturen. De leiding moet ook kunnen vaststellen of wordt voldaan aan de doelstellingen en randvoorwaarden die zij in de informatiestrategie heeft geformuleerd.
Het volgende domein betreft de informatiesystemen; dat wil zeggen de geautomatiseerde processen die primair ontworpen zijn om gegevens – opgeslagen in computers en overdraagbaar door middel van communicatietechnieken – te genereren of te manipuleren. Het geheel van organisatie en hulpmiddelen, primair bedoeld voor het ontwikkelen en gebruiken van informatiesystemen, behoort eveneens tot het domein van informatiesystemen. Domein nummer vier zijn de technische systemen, geïmplementeerd in hardware en systeemprogrammatuur om die aan te sturen. Deze systemen ondersteunen de geautomatiseerde processen binnen de informatie- en de processystemen door het aansturen en geautomatiseerd beheersen van de hardware.
Processystemen, het volgende domein, zijn ontworpen om elektronische interfaces en daarmee apparaten (robots) aan te sturen. Het zijn geen informatiesystemen omdat ze niet primair zijn ontworpen om de mens te ondersteunen bij het verwerken van gegevens; er worden apparaten aangestuurd. Tot dit domein behoren tevens alle organisaties met een primaire verantwoordelijkheid voor deze systemen, alsmede de daarbij gebruikte hulpmiddelen. Het zesde domein, de operationele automatiseringsondersteuning, omvat alle activiteiten van een organisatie die gericht zijn op het beheren en beschikbaar houden van de technische infrastructuur en de onder beheer zijnde IT-systemen (conform de afgesproken standaarden en ‘service level agreements’, alsmede de administratie daarvan). De operationele automatiseringsondersteuning van het organisatie-onderdeel betreft installatie, beheer en onderhoud van de automatiseringsmiddelen die ter beschikking staan van de gebruiker (inclusief de geleverde programmatuur).
Het bovenstaande impliceert dat informatiestrategie, IM/IT-management en processystemen nadrukkelijk tot het vakgebied van IT-auditing dienen te worden gerekend.
Definitie van kwaliteit
Om misverstanden te voorkomen definieert de Norea zeven kwaliteitsaspecten. Een eenduidige benadering biedt een opdrachtgever de mogelijkheid precies aan te geven wat van de IT-auditor verwacht mag worden bij het onderzoeken van de verschillende domeinen. De zeven aspecten worden elk met een aantal voorbeelden van deelaspecten aangeduid.
Het eerste kwaliteitsaspect, effectiviteit, betreft de mate waarin een object in overeenstemming is met de eisen en doelstellingen van de gebruikers en of een object bijdraagt aan de organisatiedoelstellingen zoals die in de informatiestrategie zijn vastgelegd. Effectiviteit hangt samen met de reikwijdte van organisatorische bevoegdheden en of die in overeenstemming zijn met de technische en applicatieve mogelijkheden. Ook de ‘bruikbaarheid’ komt hierbij aan de orde: is het systeem afgestemd op de cultuur van de organisatie. Voorts heeft dit aspect betrekking op de ‘ondersteuning van de besluitvorming’ ofwel, levert de informatievoorziening een bijdrage aan de vorming van het beleid en het nemen van besluiten op managementniveau?
Het tweede kwaliteitsaspect heeft te maken met efficiëntie.
Dit is de verhouding tussen de gerealiseerde en begrote kosten van een object. Onder kosten verstaat de Norea hier de kosten die bestemd zijn voor het realiseren van het uit de organisatiedoelstellingen voortvloeiende gewenste prestatieniveau van het object. Hieronder vallen drie deelaspecten. Ten eerste ‘zuinigheid’: het prestatieniveau in verhouding tot het verbruik van middelen uit de technische infrastructuur met de daarbij behorende kosten. Vervolgens de ‘herbruikbaarheid’ van delen van een informatiesysteem en op de derde plaats ‘de mate waarin de productiviteit van gebruikers toeneemt’.
Exclusiviteit en integriteit
Het derde kwaliteitsaspect valt onder de noemer exclusiviteit; in hoeverre maken personen of apparatuur via geautoriseerde procedures en beperkte bevoegdheden gebruik van IT-processen? Deelaspecten hiervan zijn ‘autorisatie’ (de adequate delegatie van bevoegdheden), ‘authenticiteit’ (de adequate verificatie van geïdentificeerde personen of apparatuur), ‘identificatie’ (het mechanisme ter herkenning van personen of apparatuur) en ‘controle op bevoegdheden’ (het geautomatiseerd vaststellen of geïdentificeerde personen of apparatuur de gewenste handelingen mogen uitvoeren).
In deze opsomming van kwaliteitsfactoren volgt integriteit, dat zoveel wil zeggen als de mate waarin het object (gegevens en informatie-, technische- en processystemen) in overeenstemming is met de afgebeelde werkelijkheid. Wederom onderverdeeld in drie deelaspecten: ‘volledigheid’ (de mate van zekerheid dat het object volledig aanwezig is), ‘nauwkeurigheid’ (overeenstemming van het aggregatieniveau van de presentatie met de werkelijkheid) en ‘waarborging’ (de vraag of de correcte werking van de IT-processen is gewaarborgd).
Controleerbaarheid, kwaliteitsaspect nummer 5, slaat op de mogelijkheid om kennis te verkrijgen over de structurering (documentatie) en werking van een object. Dit aspect houdt ook in dat de auditor moet kunnen vaststellen of de informatieverwerking is uitgevoerd in overeenstemming met de overige kwaliteitsaspecten. Ook hiervan mogen de deelfactoren niet uit het oog worden verloren: ’testbaarheid’ (hoe is de integere werking van programmatuur te meten?), ‘meetbaarheid’ (zijn er voldoende meet- en controlepunten aanwezig?) en ‘verifieerbaarheid’ (is de integere werking van een object te peilen?).
Continuïteit en beheersbaarheid
Continuïteit behelst de mate van continue beschikbaarheid van een object en de ongestoorde voortgang van de gegevensverwerking. Ook hierin zijn drie delen te onderscheiden: ‘beschikbaarheid’ (de mate waarin gegevens en IT-processen de organisatie op de momenten die de organisatie heeft geëist ondersteunen), ‘portabiliteit’ (de overdraagbaarheid van het informatiesysteem naar verschillende technische infrastructuren) en ‘herstelbaarheid’ (het gemak en de snelheid waarmee de informatievoorziening hersteld kan worden na een storing).
Onder beheersbaarheid verstaat de Norea de mate waarin het object kan worden aangestuurd en bijgestuurd, zodat het object bij voortduring aan de daaraan gestelde eisen voldoet. Beheersbaarheid is te verdelen in: ‘onderhoudbaarheid’ (het gemak waarmee correctieve, adaptieve en perfectieve wijzigingen zijn aan te brengen en waarmee de functionaliteit is aan te passen), ‘connectiviteit’ (het gemak waarmee koppelingen met andere systemen tot stand kunnen komen en het gemak waarmee onderdelen binnen een systeem op elkaar aansluiten en aangepast kunnen worden), ‘effectiviteit’ (de efficiency en de tijdigheid van correctieve maatregelen – niet te verwarren met het eerder genoemde hoofd-kwaliteitsaspect effectiviteit) en ‘beveiliging’ (de bescherming van waarden tegen ongeautoriseerde en ongewenste ingrepen en calamiteiten alsmede de maatregelen om de gevolgen te minimaliseren).
Specialisatie in objecten
Genoeg over domeinen en kwaliteitsaspecten. Uit het voorgaande zou men nu kunnen afleiden dat de reikwijdte van de IT-auditing is uitgebreid, zowel wat betreft onderzoeksobjecten als kwaliteitsaspecten. Eén IT-auditor zal echter niet op al de genoemde terreinen voldoende deskundigheid kunnen opbouwen en de actualiteit daarvan in stand kunnen houden. Individuele RE’s zullen zich specialiseren op enkele objectgebieden. Om een verantwoorde beroepsuitoefening te waarborgen, heeft Norea de RE’s vanaf het ontstaan van de orde een aantal verplichtingen opgelegd; opleidingseisen (postdoctoraal EDP-auditing), ervaringsvereisten (drie jaar), gedrags- en beroepsregels, permanente educatie en een tuchtregeling. Daarnaast worden binnenkort richtlijnen uitgebracht over opdrachtsaanvaarding, dossiervorming en rapportage. Het totale pakket verplichtingen en richtlijnen moet zorgen voor een kwalitatief goede beroepsuitoefening, dat wil zeggen adequate toegevoegde waarde door de IT-auditor, RE.
Management als opdrachtgever
De eerste edp-auditors rapporteerden aan de registeraccountants. Door de stormachtige ontwikkeling in de informatietechnologie heeft het afgelopen decennium een verschuiving plaatsgehad in de richting van het management als opdrachtgever. De IT-auditor beoordeelt en adviseert in dienst van alle managementniveaus binnen organisaties. Met enkele voorbeelden is dat ook duidelijk te staven.
Het IT-management verlangt advies over de millennium- en euro-problematiek, daarnaast zijn stabiliteit en de beveiliging van open infrastructuren zoals Internet veel voorkomende opdrachten. Encryptie, beveiliging en beheersing van nieuwe technologieën als Java en Windows NT maken deel uit van het onderzoek. Ook wenst het management een onafhankelijk oordeel, de zogenoemde ’third party mededelingen’, over de leverancier van het netwerk en bijvoorbeeld over door derden verrichtte activiteiten. Bovendien zijn de nieuwe ontwikkelingsmethodieken vaak object van een ‘audit’. In de adviserende sfeer worden dikwijls ‘performance’-analyses en ‘benchmarking’ uitgevoerd.
Het topmanagement van een onderneming vraagt de auditor te beoordelen in hoeverre de IT-gulden nuttig besteed wordt en of de vaak omvangrijke projecten met bijbehorende continue veranderingsprocessen in de hand te houden zijn. Bovendien vindt men onderzoek naar het gebruik van technologieën, zoals datacommunicatie-infrastructuren en de toegenomen afhankelijkheid en mogelijkheden daarvan, van groot strategisch belang.
Het financieel management verwacht advies wanneer het grote pakketten (van Baan en Sap bijvoorbeeld) wil implementeren. De financiële afdeling is ook geïnteresseerd in de doorbelastingssystematieken van de automatiseringskosten en de ’trade off’ tussen ontwikkelings- en onderhoudskosten. Ook dergelijke uitdagingen krijgt de IT-auditor voorgeschoteld. Het operationele management stelt belang in de voordelen van geautomatiseerde controle- en beveiligingsstructuren. Dit moet gestalte krijgen door met behulp van IT de operationele processen optimaal te ondersteunen. Bovendien zorgt de decentralisatietendens voor additionele behoefte aan beheersingstechnieken.
Al deze specifieke eisen van de verschillende echelons geven aan dat het management als primaire opdrachtgever van IT-auditors optreedt.
Maatschappelijke belangen
Ook door het toegenomen maatschappelijke belang van informatietechnologie neemt de behoefte toe aan de onafhankelijke audit-functie. Met name doet dit zich voor als gebruikers niet in staat zijn te constateren of de IT-diensten bij voortduring aan algemeen geaccepteerde eisen voldoen. En vooral wanneer een leverancier hieraan vanuit zijn positie en belang niet genoeg aandacht besteedt, schreeuwen de risico’s die hierdoor ontstaan, om de onafhankelijke IT-auditor. Op dit vlak zijn er signalen genoeg die zorgen baren. Neem de computercriminaliteit, die het management ertoe brengt om een auditor uit te nodigen een uitspraak te doen over de mate waarin deze vorm van criminaliteit zijn onderneming wezenlijk bedreigt. De rapportage die de Wet Computercriminaliteit verlangt van de registeraccountant wordt dan ook hoofdzakelijk door RE’s voorbereid.
Een andere zorgwekkende tendens is die van de privacywetgeving. Deze wet ter bescherming van de geregistreerde persoonsgegevens geeft burgers het recht om te verlangen dat hun gegevens in geautomatiseerde systemen veilig liggen opgeslagen, onbereikbaar voor onbevoegden. Een onderneming wil dus van haar RE horen dat zij aan de in de wet gestelde eisen voldoet. Zo zijn risico’s niet ondenkbaar wanneer iemand van moderne diensten gebruik wil maken op bijvoorbeeld Internet voor aankopen met behulp van een creditcard. Betalingsverkeer en vertrouwelijke informatie vereisen een uitspraak van de IT-auditor over de beveiliging.
Meer zorgelijke tendensen
Door outsourcing kan een hoge concentratie van afhankelijkheid ontstaan, denk aan beschikbaarheid en integriteit. Een rol hierin spelen de (multi)nationale providers van computercentrum-faciliteiten. De jaarlijks terugkerende onafhankelijke beoordeling van kwaliteits- en beheersaspecten van de grote rekencentra bij de overheid is het werk van IT-auditors.
De tendens bij menig bedrijf om de activiteiten terug te brengen tot de ‘core business’, schept de behoefte aan certificering van de standaard software-applicaties die nodig zijn om dit doel te bereiken. Ook hier kan de auditor een rol spelen.
Afhankelijk zijn van een ‘value added network’, zoals Swift of ADN, impliceert dat de mening van de IT-auditor gewenst is over de exclusiviteit, continuïteit en integriteit van zo’n netwerk. Daarnaast wordt de auditor gevraagd om een uitspraak te doen over de integriteit van de kostentoerekening en de ‘oplageverklaringen’ over het aantal aansluitingen of elektronische abonnees.
Ook de zorg om de beheersing van het millenniumvraagstuk – de tijd begint te dringen – resulteert in een nieuwe uitdaging aan de IT-auditor.
Gemiste kansen in de IT-sector leiden tot grote juridische inspanningen. In preventieve zin worden steeds meer contracten afgesloten zoals ‘service level agreements’, projectcontracten en escrow-overeenkomsten. En ook hier geldt dat frequent IT-auditors in dit soort situaties geraadpleegd worden.
Een nieuwe fase
Kortom, de uitbreiding van de reikwijdte van het vakgebied, de verschuiving in typen opdrachtgevers en de dynamiek in de maatschappelijke ontwikkelingen tonen aan dat er een nieuwe fase voor de IT-auditor is ingetreden. De Norea (Nederlandse Orde van Register EDP-Auditors) neemt zich voor om ‘met een heldere terminologie en met een nieuwe overkoepelende naamgeving, IT-auditing – tezamen met de deskundigheidswaarborgen, afgedwongen door de beroepsorganisatie Norea – waarborgen te bieden voor een verantwoorde beroepsuitoefening’. Zij meent dat alleen op die wijze de toegevoegde waarde van de IT-auditor voor management, IT-professionals in bedrijfsleven en overheid optimaal kan zijn.
Prof. M.E. van Biene-Hershey RE is zelfstandig gevestigd als IT-auditor. Zij is hoogleraar EDP-audit aan de Vrije Universiteit en bestuurslid Norea.
Drs. M.A. Bongers RE RA is Hoofd Accountantsdienst van de Kas-Associatie N.V. Hij is bestuurslid Norea.
De Nederlandse Orde van Register EDP-Auditors (Norea) wijzigt de naam voor het vakgebied waarin haar leden, de Register EDP-auditors (RE’s), zich bewegen. In plaats van edp-auditing heet het vakgebied voortaan IT-auditing. De naam van de vereniging, Norea, blijft ongewijzigd. Ook de aanduiding Register EDP-auditor (afgekort RE) blijft onveranderd, omdat RE een bredere bekendheid begint te krijgen. IT-auditors zijn vanaf heden dus lid van de Norea, met RE achter hun naam.
