Praktische gids over Information Systems Auditing

24 februari 2015

ISACA/COBIT publiceerde zojuist een praktische handreiking voor ICT-auditors om met degelijke rapportages adequate assurance te bieden.

Is u ook wel eens een ICT-auditrapport onder ogen gekomen dat

• Een onlogische opbouw had, waardoor de boodschap nauwelijks begrijpbaar was?

• Vol fouten zat, met verkeerde terminologie en vreemde voorbeelden?

• Niet alle systemen behandelde en dus niet zonder nadere info te beoordelen was?

• Niet duidelijk uitlegde hoe de audit opgezet en uitgevoerd werd?

• Geen eenduidige bevindingen en conclusies bevatte en/of geen aanbevelingen, noch een weging van gelopen risico’s?

• Geen gebruik maakte van (internationale) standaards?

Een audit-rapport conform de bovenomschreven lijnen kan nooit enige zekerheid bieden dat (u erop kunt vertrouwen dat) de prestaties van de ICT-operaties en systemen acceptabel zijn, dat er voldoende controls zijn, waarmee echt gewerkt wordt; dat strategisch plan en de uitwerking daarvan deugen en passen bij de doelstellingen van de organisatie.

Zo een auditverslag kan dus niet gebruikt worden voor de doelen waarvoor het bedoeld is.

COBIT, Control Objectives for Information and related Technology (COBIT) is een framework voor het gestructureerd inrichten en beoordelen van een IT-beheeromgeving, ontwikkeld door de Amerikaanse Information Systems Audit and Control Association (ISACA) en het IT Governance Institute (ITGI).

ISACA/COBIT heeft zojuist onder de titel Information Systems Auditing: Tools and Techniques een praktische gids voor ICT-auditing uitgebracht, die stap voor stap uitlegt hoe ICT-auditors een degelijk en logisch opgebouwd rapport kunnen en moeten opstellen, compliant met de IS Audit and Assurance Standaards en de IS Audit and Assurance Guidelines zoals eerder uitgebracht door ISACA.

Downloadable via www.isaca.org/COBIT/

Arne Lasance