LIBER AMICORUM - IBR
LIBER AMICORUM - IBR
LIBER AMICORUM - IBR
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
40·JARIG BESTAAN i.B.R.<br />
Eenmaal het systeem in aanbouw is of voltooid, is het aanbrengen van bijkomende<br />
controles niet enkel buitensporig duur of erg moeilijk te realiseren, doch vaak ook niet<br />
effectief. Een systeem dat niet met beveiligings- en controleerbaarheidsoogmerken<br />
werd gebouwd kan onmogelijk via achteraf aangebrachte maatregelen waterdicht<br />
worden gemaakt. Zowel de beoordeling van de ingebouwde controles als de specificatie<br />
van de door de auditor gewenste audit modules (om het systeem controleerbaar<br />
te maken) moeten de fasering van het ontwikkelingsproces volgen. Een einde-fase<br />
ingreep is o.i. onvoldoende. Deze noodzakelijke vroege tussenkomst van de auditor<br />
als expert in interne controle schept het gevaar dat hij adviezen gaat verstrekken die<br />
hij achteraf zelf moet beoordelen. Omdat het ontwikkelingsproces bestaat uit een<br />
groot aantal stappen, waarbij elke stap voortbouwt op de opties die in de vorige stap<br />
werden genomen, zullen adviezen die in de beginfase werden gegeven in latere stappen<br />
nog moeilijk kunnen worden gekeerd. Toch is dit onvermijdelijk. Enkel beroep<br />
doen op een post-audit is onvoldoende:<br />
«Conventional IT audit is often directed towards post event reviews of controls in<br />
systems. ( ... ) To meet management's concerns IT auditors have to C .. ) extend their<br />
reviews to assist in the ongoing assessments» (McCusker, 1992).<br />
Toch moet de IT-auditor zo veel mogelijk binnen zijn rol van onafhankelijk beoordelaar<br />
blijven. Het is de taak van de IT-auditor de gebruikers en interne (en eventueel<br />
externe) auditors te stimuleren hun controle- en controleerbaarheidsvereisten zo volledig<br />
en correct mogelijk te formuleren. De IT-auditor zal erop toezien dat deze vereisten<br />
zo goed mogelijk worden opgenomen en geTmplementeerd. Hij mag daarbij uiteraard<br />
nooit zijn onafhankelijkheid in diskrediet brengen door zelf die vereisten te gaan<br />
implementeren. Hij moet o.i. ook behoedzaam zijn met het zelf formuleren van vereisten.<br />
Het is beter dat deze definiering door andere partijen gebeurt. In het CICA rapport<br />
wordt gesteld: «Internal auditors should participate in the review of control specifications<br />
for the system and should assist users to verify that an adequate system of<br />
internal control and management trails has been designed» (CICA, 1986, p. 37).<br />
In de bekende SAC-studie van het I.I.A. wordt eveneens een voorzichtige benadering<br />
bepleit: «Because of the objectivity required to assess the quality of controls, internal<br />
auditors should not be directly responsible for any tasks subject to audit. As audit<br />
users of the system, they may be involved in specifying auditability requirements and<br />
may act as consultants with regard to control specifications» (SAC, 1991, p. 69). Dit<br />
ligt in de lijn van, maar gaat o.i. toch iets verder dan, het Statement of Responsibilities<br />
of Internal Auditors (1976):<br />
«Objectivity is essential to the audit function. Therefore, internal auditors should not<br />
C .. ) engage in any C .. ) activity which they would normally review and appraise and<br />
which could be reasonably construed to compromise the independence of the internal<br />
auditor. The internal auditor's objectivity need not be adversely affected, however,<br />
by determining and recommending standi3rds of control to be applied in the development<br />
of the systems and procedures being reviewed.»<br />
271