​Help de auditor komt langs! (deel 2)


Enkele maanden geleden schreef ik (hier) al over mijn rol als IT-auditor. De komende maanden mag ik voor een klant deze rol weer gaan vervullen. Een goed moment om nog eens stil te staan wat ik dan eigenlijk doe en hoe dit in een breder kader past. Laat ik jullie hierin meenemen zodat het fenomeen audit en auditor een stuk minder vaag en eng wordt, zoals het helaas soms wordt ervaren.

Welke soorten audits zijn er?

Er zijn meerdere soorten auditors die elk hun eigen specialisme hebben. Zo zijn er:

  • compliance-auditors die onderzoeken of er voldaan wordt aan (opgelegde) wet en regelgeving.
  • financial auditors die de boekhouding en financiële stromen controleren.
  • IT-auditors (zoals ik) die de beheersing van een IT-omgeving kunnen beoordelen.

Binnen de IT-audits zijn ook weer verschillende opdelingen te maken. Een intern onderzoek naar informatiebeveiliging is bijvoorbeeld een ander soort opdracht dan de accountant die zekerheid wil over het financiële systeem. En ja, het gaat beide over beheersing (denk: plan-do-check-act), het gaat beide over processen en het gaat ook zeker over kwaliteit. Alleen de scope en diepgang zijn compleet anders. Ook zijn er nog een aantal audits te bedenken met een heel specifieke focus, zoals een audit op de Digid-koppeling, of bijvoorbeeld een ISAE3402-verklaring (heel vroeger SAS70) dat gaat over de beheersing van processen van een outsourcingpartij.

Welk doel heeft een audit?

Dat ligt aan hetgeen de gebruiker (afnemer) wil met de auditrapportage en de meetlat die gehanteerd wordt. Daarbij komt ook het drie partijen model; Voor een audit zijn namelijk 3 partijen noodzakelijk:

  • De auditee, de entiteit (organisatie en/of afdeling) die gecontroleerd, geaudit, gaat worden
  • De auditor; de persoon, of het team, dat de audit, controle, gaat uitvoeren
  • De gebruiker (van de rapportage); de entiteit die de rapportage gaat ontvangen en zekerheid wil verlenen over hetgeen wat onderzocht is.

De normen (de meetlat) die de auditor gebruikt voor zijn onderzoek worden aangeleverd door de auditee. Althans, zo schrijft de theorie voor. In de praktijk wordt vaak op aanraden van de auditor of gebruiker een stelsel van normen overeengekomen op basis waarvan de audit uitgevoerd wordt. Uiteindelijk gaat het altijd over het verkrijgen van zekerheid.

Welke diepgang heeft een audit?

Dat ligt aan de zekerheid (vakterm/Engels: assurance) die het onderzoek moet gaan brengen. En dat ligt dan weer aan hetgeen de gebruiker met de rapportage wil gaan doen. Deze diepgang wordt in de terminologie van de auditor vaak uitgedrukt in ‘redelijke mate van zekerheid’ en ‘beperkte mate van zekerheid’. Volledige zekerheid is nooit te verkrijgen.

Deze mate van zekerheid bepaalt onder andere of alleen de opzet beoordeeld wordt, of dat ook het bestaan en of de werking onderzocht wordt. Bij een opzetbeoordeling worden alleen documenten bestudeerd op juistheid en volledigheid van het beschreven proces, beleid of technische inrichting. Een beoordeling van bestaan is een test van één voorbeeld. Een beoordeling van werking is een controle over een langere tijdsperiode.

Een voorbeeld:

  • Opzet: Bij het beoordelen van een changeproces betekent dit dat ik de procesdocumentatie doorneem en voor bij bijvoorbeeld de beheersing van een server neem ik het inrichtingsdocument door.
  • Bestaan: Voor het changeproces geldt dat ik hier ga kijken naar één change en daarbij ga ik vaststellen of deze het changeproces heeft gevolgd zoals beschreven. Voor de server zou dit betekenen dat ik één willekeurige server selecteer en ga vaststellen of de instellingen allemaal zo zijn als beschreven in het inrichtingsdocument.
  • Werking: Over een bepaalde periode van tijd, vaak zal dit een (kalender)jaar betreffen, zal de organisatie moeten aantonen dat bijvoorbeeld alle wijzigingen netjes conform het geldende changeproces zijn verlopen en voor de server geldt dat er een manier moet zijn waaruit ik kan achterhalen dat de instellingen het hele jaar juist zijn geweest.

Je ziet al dat hoe verder je gaat, hoe meer er gecontroleerd zal worden en hoe meer afhankelijkheden er komen naar andere maatregelen. Die op hun beurt ook weer gecontroleerd moeten worden. Dit kost meer tijd, van zowel de auditor als auditee. Maar goed, alle zekerheid komt met z’n tijd, en dus ook kosten.

En nu je dit weet?

Kan je hopelijk een audit beter plaatsen. Belangrijk is altijd om te achterhalen wat het doel is van de audit en welke scope en diepgang deze gaat krijgen. Op deze manier kan je als auditee ook een betere voorbereiding treffen. Zo kun je bijvoorbeeld de juiste stukken alvast klaarzetten en daarbij een overzicht maken van welke stukken op welke manier aan de beoordeling kunnen bijdragen.

Natuurlijk sluit ik deze blog af met de melding dat je alle werkzaamheden om ‘het op orde’ te krijgen niet doet voor de auditor. Dit is iets wat ik maar al te vaak hoor; “omdat het moet van de auditor”.

Ik heb geprobeerd dit zo goed mogelijk uit te leggen, maar goed hè beroepsdeformatie… vertel het me als er nog iets onvoldoende duidelijk is en ik schrijf er nog een paar woorden over.

DEEL DIT ARTIKEL
VOLG ONZE BLOGS

Gerelateerde blog artikelen

  • Nieuwe spelregels voor DigiD-aansluitingen

    Hebben we eindelijk de boel op orde, veranderen ze de norm weer! Met nieuwe normen is het altijd weer uitzoeken wat er hetzelfde is gebleven, wat er veranderd is en wat je als organisatie nu moet gaan aanpassen.

    Lees verder
  • Verbeter de informatiebeveiliging

    Mijn ervaringen bij een middelgrote gemeente

    Lees verder
  • Geld verliezen of risico’s beheersen - de three lines of defence

    Het ‘3 lines of defence’-model (3LoD) is een standaard controle model dat veel gebruikt binnen de risicomanagement- en accountancy-wereld, maar vindt steeds meer toepassing binnen bedrijven.

    Lees verder
  • Vertrouwen door controle

    Vertrouwen is goed, controle is beter. Of was het nou andersom: controle is goed, vertrouwen is beter. Of zijn er mogelijk meerdere soorten vertrouwen en meerdere soorten controle?

    Lees verder
  • Oh nee, de auditor komt langs!

    Het zoemt als een mantra door de organisatie...de auditor komt langs, de auditor komt langs. Zorg dat alles op orde is. Laten we die ordner nog even bijwerken, is het datacenter netjes, laten we de rondslingerende papieren nog opruimen, etc.

    Lees verder
  • Security awareness - Briefjes bij de koffieautomaat?

    Van elke medewerker wordt verwacht dat zij een bepaalde mate van security awareness hebben. Of in goed Nederlands, beveiligingsbewustzijn. Dat deze medewerker bewust is van de acties die zij dagelijks uitvoeren en wat voor een gevolgen dit kan hebben ten aanzien van de informatiebeveiliging.

    Lees verder
  • Patching: Theoretisch niet moeilijk

    Hét proces voor het op orde houden van de updates op al je machines. In elke norm voor informatie-beveiliging (ISO27001, BIR, BIG, NEN7510) komt patching terug en ook bij de DigiD-audit wordt de patching gecontroleerd. Hoe kan je in jouw organisatie ook dit proces voldoende op orde krijgen?

    Lees verder