Wikipedia

IT-audit

(Doorverwezen vanaf EDP-auditing)

IT-auditing is het vakgebied dat zich bezighoudt met het beoordelen van de automatisering van de organisatie en de organisatie van de automatisering. IT-auditing is een specialisme binnen het auditing-vakgebied. Het specialisme wordt meer en meer gevraagd bij uitvoering van accountantscontroles.

Geschiedenis bewerken

Tot enkele jaren geleden[(sinds) wanneer?] heette het vakgebied EDP-auditing, ofwel beoordeling van electronic data processing. De laatste decennia[(sinds) wanneer?] heeft IT-auditing zich verbreed tot de relatie bedrijfsprocessen en ICT. De aandacht ligt nu minder op het rekencentrum en systeemontwikkelafdelingen. Aanleiding voor het ontstaan van het vakgebied is de toenemende automatiseringsgraad. De verwerking van administratieve processen vindt steeds meer plaats binnen geautomatiseerde informatiesystemen. Hierdoor kan een accountant veelal niet meer voldoende zekerheid krijgen omtrent de getrouwheid van de financiële verslaglegging van organisaties. Het doorgronden van geautomatiseerde informatiesystemen vergt andere kennis dan alleen bedrijfseconomie en administratieve organisatie.

In de loop van de tijd[(sinds) wanneer?] is de aandacht meer en meer verlegd van het product geautomatiseerde informatiesystemen naar ontwikkel- en beheerprocessen.

In het begin van de 21e eeuw stond het vakgebied sterk in de belangstelling doordat door wet- en regelgeving de eis van aantoonbaarheid van het in control zijn van organisaties bij het management kwam te liggen. Wetten en regels als SOX (Sarbanes-Oxley) en Basel II betekenen dat onderzoeken naar de beheersing van de ICT mede de basis zijn voor de controle van de verantwoording door de directie van de onderneming.

Onderzoeken bewerken

Binnen IT-auditing bestaan de volgende objecten van onderzoek:

  • technische infrastructuur (technical audit)
  • operationeel informatiesysteem (system audit)
  • procesinrichting (bijvoorbeeld ITIL-audits)
  • beheersingssystemen in het algemeen, waarbij het IT-auditrapport is bedoeld ten behoeve van derden, vaak third party mededelingen genoemd (TPM-audits, of naar Amerikaanse regelgeving SAS 70-verklaringen)
  • softwarepakket, beveiligingssysteem of webomgeving, uitmondend in certificering of accreditering
  • plaats van delict (fraude- en forensische onderzoeken)

Kenmerkend voor het vakgebied auditing is dat een onderzoek plaatsvindt ten opzichte van een eerder opgesteld en afgestemd normenkader. Zonder normenkader is een onderzoek feitelijk geen audit.

Kwalificatie als IT-auditor bewerken

De meest voorkomende kwalificaties als IT auditor in Nederland zijn de volgende:

Naast de RE en CISA zijn de hiernavolgende certificeringen ook veelvoorkomend binnen IT auditing:

  • CIA, Certified Internal Auditor, IIA, veelal werkzaam als internal auditor in combinatie met IT audit werkzaamheden.
  • CISM, Certified Information Security Manager, ISACA, gericht op het proces van informatiebeveiliging.
  • CISSP, Certified Information Systems Security Professional, ISC², veelal werkzaam als technical auditor.
  • RA, Register Accountant, KNBA, veelal werkzaam als accountant in combinatie met IT audit werkzaamheden.
  • RO, Register Operational Auditor, IIA, veelal werkzaam als operational auditor in combinatie met IT audit werkzaamheden.

Met uitzondering van de RA-titel is het voeren van beroepskwalificaties niet beschermd door Nederlandse beroepswetgeving zoals dit het geval is bij bijvoorbeeld accountants en notarissen. Beroepskwalificaties zijn veelal alleen beschermd op basis van civielrecht.

Wet- en regelgeving bewerken

Externe links bewerken

Overgenomen van "https://nl.wikipedia.org/w/index.php?title=IT-audit&oldid=65039512"