KPMG
'IT-auditor is meer dan controleur van informatietechnologie'
22 april 2005
IT-auditors moeten niet slechts als uitvoerders regels verifiëren,
maar moeten kritisch blijven handelen en denken en moeten actief
verbeteringen aandragen. Dit in tegenstelling tot de opvatting dat een
IT-auditor controle- en advieswerk niet mag combineren om
belangenverstrengeling te voorkomen.
Dit stelt Rob Fijneman in zijn oratie 'IT-auditing: grenzeloos of
gelimiteerd' die hij op 22 april uitsprak bij de aanvaarding van het
ambt van hoogleraar in de EDP-auditing aan de Universiteit van
Tilburg. Fijneman is tevens partner bij KPMG Information Risk
Management.
Fijneman: "Een IT- of EDP-auditor beoordeelt de informatietechnologie
van een organisatie of onderneming. Het beroep bestaat inmiddels
ongeveer veertig jaar en heeft net als de IT zelf een stormachtige
ontwikkeling doorgemaakt. Naast beoordeling omvat IT-auditing namelijk
ook advieswerk. Met name Information Risk Management heeft in de jaren
negentig een hoge vlucht genomen. IT-auditors brengen de risico's in
kaart die een organisatie loopt wat betreft informatietechnologie en
dragen hiervoor actief oplossingen aan. Dit advieswerk is in die
periode sterk gegroeid. De ondersteuning van de IT-auditor aan de
accountant bij de jaarrekeningcontrole vormt in die tijd nog slechts
een marginaal deel van alle IT-auditwerkzaamheden. Maar in analogie
met de accountantswereld, waar door een aantal boekhoudschandalen de
accountants tot een sterke afbakening van hun terrein worden
gedwongen, is er ook in IT-auditing een 'back-to-the-roots'-trend waar
te nemen. IT-auditing zou zich weer primair moeten richten op
beoordeling van de kwaliteit van de aanwezige informatietechnologie".
Volgens Fijneman is de recente 'back-to-the-roots'-trend in
IT-auditing overigens niet per se een stap terug in de tijd.
Kerncompetenties benoemen geeft in zijn ogen helderheid en maakt de
klant duidelijk waar de IT-auditor voor staat. Ook voor een verdere
reglementering van het beroep is hij te vinden, met name de wijze van
uitvoering van een IT-audit behoeft meer structurering. De hoogleraar
waarschuwt echter ook voor overregulering, zoals dreigt door de vele
regels vanuit met name de Verenigde Staten.
Als voorbeelden van goede initiatieven op dit gebied, noemt Fijneman
de Code of ethics van de International Foundation of Accountants, die
ook de Norea, de Nederlandse beroepsorganisatie, onderschrijft. De
code met beginselen als integriteit, objectiviteit, deskundigheid en
geheimhouding kan bijdragen aan het zorgvuldig uitvoeren van audit én
advieswerk. Ook het 'never-stop-asking-model' van de Tias Business
School prijst Fijneman als een goed voorbeeld van hoe de
IT-auditfunctie kwalitatief hoogwaardig kan worden uitgeoefend.
Voor nadere informatie: Andy Bellm, telefoon (020) 656 7039
© 2005 KPMG Holding N.V., member of KPMG International, a Swiss
cooperative. All rights reserved.