Profiel

De rol van de IT-auditor
De rol van de IT-auditor kan per opdracht verschillen. Deze rollen kunnen worden samengevat in twee hoofdfuncties, te weten de attestfunctie en de adviesfunctie. Om deze functies te kunnen uitvoeren heeft de IT-auditor bepaalde kennis en ervaring nodig. Deze opleiding leidt op voor beide hoofdfuncties.

Profiel attestfunctie
De attestfunctie van de IT-auditor houdt in het geven van een onafhankelijk en onpartijdig oordeel over de mate waarin één of meer (bestaande dan wel toekomstige) objecten uit de IT-domeinen voldoen aan de in de opdracht overeengekomen kwaliteitsaspecten. Daarnaast wordt van de IT-auditor verwacht dat hij niet alleen een oordeel weet te geven omtrent IT-objecten, maar ook in staat is om - mede op basis van zijn werkzaamheden - adviezen te geven ter opheffing van geconstateerde gebreken, zowel gevraagd als ongevraagd (natuurlijke adviesfunctie).
Naast algemene gedragskenmerken die de IT-auditor behoort te bezitten, zoals communicatieve eigenschappen, oordeelvorming, probleemanalyse, integriteit en klantgerichtheid, dient de IT-auditor voor het uitvoeren van de attestfunctie voldoende deskundigheid (kennis en ervaring) te hebben en zich te laten leiden door de eigen en onbevooroordeelde overtuiging.

Profiel adviesfunctie
De adviesfunctie van de IT-auditor houdt in het doen van aanbevelingen respectievelijk het geven van raad op het deskundigheidsgebied van de IT-auditor (dat is ontleend aan zijn kennis en ervaring op het gebied van de IT-domeinen). Uitdrukkelijk dient te worden opgemerkt dat onafhankelijkheid en onpartijdigheid van de IT-auditor hier geen rol spelen. Het essentiële verschil ten opzichte van de attestfunctie zit in het doel van de adviesfunctie, te weten het doen van voorstellen voor het creëren van nieuwe (toekomstige) situaties. Daarnaast verwacht het management dat de IT-auditor zich in deze functie vereenzelvigt met zijn advies en het welslagen van zijn advies in de praktijk.
In het kader van zijn adviesfunctie dient de IT-auditor natuurlijk onbevooroordeeld en integer te zijn en te handelen conform de van toepassing zijnde gedrags- en beroepsregels.

Basiscompetenties
Elke IT-Auditor dient, onafhankelijk van zijn rol, competent te zijn op de volgende gebieden:

  • auditing, interne controle en accountantscontrole;
  • beveiliging, risicobeheersing en continuïteitsmanagement;
  • methoden en technieken voor systeemontwikkeling en -onderhoud;
  • methoden en technieken voor gegevensopslag en -verwerking;
  • financieel-economische facetten van besturingsprocessen in organisaties (met name ten behoeve van planning, budgettering en beslissingscalculaties).

Afhankelijk van de opdracht dient een IT-auditor op de volgende competentiegebieden over meer of minder deskundigheid te beschikken: organisatiekunde, bestuurlijke informatieverzorging (zowel van systeemontwikkelingsorganisaties, rekencentra als van gebruikersorganisaties), IT-strategie (informatiebeleid en informatieplanning), technische systemen (zoals besturingssystemen, databasemanagementsystemen, datacommunicatiesystemen en middleware), technische infrastructuren, functionele systemen (zoals ERP en e-commerce), functionele architecturen en juridische aspecten.

De IT - domeinen

De IT-domeinen zijn afgeleid uit de binnen een organisatie te beheersen processen. De NOREA heeft de volgende domeinen van IT-auditing onderscheiden:

  • Informatiestrategie
  • IM/IT-management
  • Informatiesystemen
  • Technische Systemen
  • Processystemen en
  • Operationele Automatiseringsondersteuning

Kwaliteitsaspecten

Kwaliteitsaspecten zijn de invalshoeken of eigenschappen ten aanzien van een object waarover een oordeel kenbaar wordt gemaakt. Het gaat hierbij om effectiviteit, efficiëntie, exclusiviteit, integriteit, controleerbaarheid, continuïteit en beheersbaarheid.