Met de komst van de laatste golf van informatietechnologieën zoals Big Data SAAS, PAAS, sociale media, etc., is het de moeite waard om de basisprincipes van een IT audit weer eens door te lopen. Meestal, wanneer dergelijke nieuwe technologieën ontstaan, zijn de problemen dezelfde als voorheen. De aanpak bij een IT audit is te doen wat IT-auditors altijd doen: onderzoek of de opzet en werking van processen op het gebied van risicomanagement, beheersing en besturing toereikend zijn, wanneer zij worden geconfronteerd met de uitdagingen van de nieuwe technologieën. Laten we terug gaan naar de kern van de IT audit en waar IT audit om gaat. Het bepalen van risico's en de juiste maatregelen om de risico's tot een aanvaardbaar niveau terug te brengen of ze te accepteren.

Wat is IT audit niet?

Het gaat niet om (traditionele) financiële controle of controle van de boekhouding. Dat is materiaal voor de accountants. Al sinds de geldwisselaars in de middeleeuwen tot de introductie van computers in de jaren 50 van de vorige eeuw, zijn er controle systemen. Met het in gebruik nemen van computersystemen ontstond een nieuwe bron van risico’s met de (wijze van) verwerking van de gegevens (informatie). Voor IT auditors zaak om de nieuwe risico’s te gaan begrijpen en ze te beoordelen.

Een ander misverstand is dat IT audit ook de compliance test. Niet alleen de naleving van de regels maar ook de uitzonderingen erop, bijvoorbeeld uitzonderingen door de medewerkers. Dat is een taak voor de manager. De IT auditor onderzoekt de effectiviteit van systemen die de bedrijfsprocessen ondersteunen. De effectiviteit van het ontwerp van de regels (design) wordt tevens tegen de beoogde doelstelling aangehouden. Waar de regels niet worden nageleefd (effectiveness) is belangrijk voor de IT auditor, omdat het een symptoom zou kunnen zijn van een groter probleem in de organisatie. Dit kan een risico- of control factor in zich hebben bijvoorbeeld een defect systeem of een business proces wat niet ‘loopt’ maar wel van invloed is op een organisatie (onderdeel).

De rol van controls

Een van de zaken waar rekening mee gehouden moet worden waar het gaat om controls is de rol die zij spelen bij een IT audit is dat men zich bewust moet zijn van de zekerheid van de doeltreffendheid van een control om een risico te beperken tot een aanvaardbaar niveau. IT auditors zijn hier goed in, maar de vraag is of managers en medewerkers de realiteit van een control (kunnen) begrijpen.

IT-auditors, aan de andere kant, moeten zich realiseren dat een control kosten met zich meebrengt maar ook toegevoegde waarde biedt. Kosten in de zin van euro’s: voor ontwerp, implementatie en beheer van het control. De kosten kunnen ook zitten in de impact van een control of operationele efficiency. Het gaat erom dat de IT auditor de balans vinden tussen deze kosten. Voordelen kunnen ook reëel en concreet zijn. Dat evenwicht is gemakkelijker om te beschrijven dan om in de praktijk te onderscheiden.

Een voorbeeld: een organisatie wil een effectief wachtwoordbeleid voeren. Wijsheid hierbij is de afweging van de investering in relatie tot het risico van onbevoegde toegang. Dit betekent dat als het risico van onbevoegde toegang hoog is, de periode van wijziging op bijv. 90 dagen komt te staan. Zodra dit beleid wordt geïmplementeerd kunnen er onbedoelde kosten ontstaan door bijv. wijzigingen (bij vergeten wachtwoorden) en de uitvoering van de wijziging (beheerder).

In het algemeen geldt: hoe hoger het risico, hoe hoger het belang van de control wordt in het mitigeren van het risico. IT auditors moeten daarom het niveau van de restrisico’s bij hun aanbevelingen over de controls, overwegen.

Controls zijn vaak opgenomen in (geautomatiseerde) systemen. Dat feit alleen al suggereert dat IT auditors worden betrokken bij het helpen met het ontwerp, zolang de onafhankelijkheid dat toelaat. Alle stakeholders in het beoordelingsproces willen controls die “goed genoeg” zijn, zodat zaken als “goed” kunnen worden gerapporteerd. Maar wat is “goed genoeg” en wat is “goed”? Risico is meestal niet onderworpen aan een absolute meting.

Managers hebben de neiging om controls en risico te ontkennen of (niet?) te begrijpen. Ze leggen hun aandacht bij het maken van winst of het eenvoudig overleven, waardoor ze de realiteit van restrisico niet zien en alles doen om een slecht resultaat te voorkomen. Goede managers begrijpen de (rest) risico’s en maken vaak de juiste keuzes. Zij hebben het ‘rampenplan’ goed in het vizier. Een van de uitdagingen voor IT-auditors is dan ook om managers te helpen inzicht te krijgen in de echte (rest) risico’s en het nemen van de juiste beslissingen daarop.

Om het restrisico goed te kunnen beoordelen zouden we op een ‘holistische wijze’ naar risico’s en controls moeten (leren) kijken, aangezien sommige controls niet IT gerelateerd zijn. Een handmatig uit te voeren control wordt niet altijd gezien als een middel om het risico te mitigeren. Een restrisico in één bepaalde omgeving kan best geadresseerd worden door een controle uit een ander gebied. Daarom is het belangrijk om, in gedachten, te overwegen op welke wijze het restrisico zich gaat gedragen in de werkelijkheid.

De scope van het restrisico betekent dat de IT auditor een kaart in gedachten heeft van alle zaken in de IT omgeving, welke daarvan echt/relevant zijn en welke niet kloppen of buiten de scope vallen. Uit de praktijk blijkt dat IT audits verschillende issues opleveren, maar ze vallen niet altijd binnen de scope van de audit. Het uitgangspunt van een IT audit issue dient vooral uit te gaan van het zakelijk perspectief. De motivering van de IT auditor bij een hoog risico dient vooral redelijk, realistisch en business georiënteerd te zijn. De IT auditor moet hiervoor in staat zijn dit effectief te kunnen communiceren.