IT-AUDITS. Goed bekeken

Waarom een informatiesysteem laten kontroleren als het goed werkt ? Vraag het eens op de Brusselse beurs.

Zijn alle gegevens die uw computersystemen uitspuwen, wel korrekt ? En hoe komt u dat te weten als u het nooit laat kontroleren ? Of vertrouwt u uitsluitend op de kontrolesystemen die in uw systemen zijn ingebakken ?

Coopers & Lybrand (68.000 medewerkers in 130 landen en een omzet van 5,5 miljard dollar) voert alleen informatietechnologie-audits (IT-audits) uit als haar klanten daarom verzoeken. Eddy Schuermans, audit partner : “Momenteel is het inderdaad zo dat er heel weinig bedrijven zijn die systematisch IT-audits laten uitvoeren die leiden tot een “certifikaat”. “

Luc Kordel is koördinator van CISA (Certified Information Systems Auditors) voor België en Luxemburg, deel van de internationale beroepsvereniging ISACA ; hij is ook door het Nederlandse Norea gecertificeerd als registered IT-auditor. “Een IT-auditor kijkt eerst naar het interne kontrolesysteem dat op verschillende niveaus uitgewerkt is, ” legt hij uit. Pas daarna waardeert hij de kwaliteit van de verschillende systeemkomponenten zoals hard- en software, faciliteiten, omgeving, personeel enzovoort.

NIVEAUS VAN KONTROLE.

Grotere computersystemen beschikken over log- en auditbestanden, die omgezet worden in leesbare overzichten, de zogenaamde boordtabellen, waarmee aan de direktie kan worden gerapporteerd. Dat zijn de kontroles van het eerste niveau.

Pas bij voortgezette kontrole komt de IT-auditor aan de bak. Zegt Luc Kordel : “Hij valideert de kontroles van het eerste niveau en evalueert hun effektiviteit en efficiëntie, op basis van de risico’s die verbonden zijn aan die bepaalde aktiviteit. “

IT-auditors maken een onderscheid tussen harde en zachte kontrolemaatregelen. Als er een autentifikatieprocedure loopt op de computersystemen, dan is dat een harde maatregel want gemakkelijk kontroleerbaar. Er zijn ook zachte maatregelen zoals het instellen van een etische kode om misbruiken te voorkomen. Die maatregelen zijn minder gemakkelijk te kontroleren, maar als ze suksesvol worden toegepast, verminderen ze wel het risico.

Harde maatregelen zijn bijvoorbeeld ook de kontroleprocedures die meestal aanwezig zijn voor belangrijke processen zoals software-ontwikkeling en uitbating van computers. Eddy Schuermans : “Hoe sterker die kontroles, hoe hoger de kwaliteit van de uiteindelijke produkten : gegevens, programma’s en diensten. ” Omdat een slechte kwaliteit van de “eindprodukten” die door de computersystemen worden afgegeven ook belangrijke financiële gevolgen kan hebben denk maar aan foutieve balansen, verlies aan konkurrentiële slagkracht omdat andere bedrijven beschikken over uw bedrijfsgeheimen enzovoort wordt de audit van informatiesystemen en IT-omgevingen door de externe auditor beschouwd als een integraal deel van de financiële audit die door de bedrijfsrevisor wordt uitgevoerd. Eddy Schuermans : “De integriteit van de financiële gegevens is een resultante van de doeltreffendheid van de geprogrammeerde en manuele procedures die aan de basis van die cijfers liggen. “

Luc Kordel : “IT-audits worden in overleg met het management uitgevoerd in het kader van een meerjarenplan. Dat plan wordt opgesteld aan de hand van een risico-analyse. “

Zowel bij het opstellen van de auditplanning als bij de voorbereiding van een auditprojekt en bij de uitvoering ervan is er tegenwoordig samenwerking tussen de IT-auditor en de geauditeerden. Alhoewel u in België niet wettelijk verplicht wordt om IT-audits te laten uitvoeren (in tegenstelling tot Nederland bijvoorbeeld), wordt er toch steeds meer rekening gehouden met de aanbevelingen van de IT-auditor naarmate het belang van de informatie toeneemt.

Soms vraagt het management om de tussenkomst van een IT-auditor om systemen efficiënter en doeltreffender te laten werken, of vanuit de zorg om het naleven van wettelijke bepalingen zoals bescherming van privé-sfeer en softwarelicentie-overeenkomsten. Ook tijdens de ontwikkelingsfaze van nieuwe systemen kunnen IT-auditors nuttig zijn ; zij proberen dan de efficiëntie en kwaliteit van het projekt te optimalizeren.

KOSTPRIJS.

Wat moet dat allemaal kosten, zult u zich afvragen. Daar valt zoals dat vaak het geval is bij sterk gespecializeerde diensten geen eenvoudig antwoord op te geven. De interne auditor, vast in dienst van het bedrijf waarvan hij de informatiesystemen kontroleert, is uiteraard een bediende. De externe auditor hangt een prijskaartje aan zijn diensten die hij baseert op de grootte van de konfiguratie die gekontroleerd moet worden, de complexiteit van zijn opdracht enzovoort.

In de meeste gevallen zit u een paar keer rond de tafel met uw IT-auditor om een projekt af te bakenen naar taakstelling en prijs. In sommige gevallen zal hij een globaal voorstel doen, in andere gevallen zal hij het werk opsplitsen in fazen. De kostprijs zal alvast voor sommige bedrijfsleiders een struikelblok zijn om een audit te laten uitvoeren.

Toch vindt Eddy Schuermans dat Belgische bedrijven best wat meer oog zouden mogen hebben voor IT-audits : “Het spreekt vanzelf dat in een “informatiemaatschappij” IT op een meer systematische basis moet geaudit worden. Er zijn hiertoe trouwens duidelijke aanzetten in de VS, waar belangrijke datacenters op een jaarlijkse basis worden geaudit en gecertificeerd. In Europa zou men ook tot dergelijke verplichtingen mogen overgaan. “

IT grijpt inderdaad in op alle vlakken van ons leven. Bovendien zijn nogal wat IT-managers best tevreden met hun auditor. Hij helpt bij het uitstippelen van het beleid, en hij is van onschatbare waarde bij het opstarten van projekten omdat hij de zaken meer vanop afstand bekijkt. Dat bespaart dan weer geld omdat er minder fouten worden gemaakt en het projekt sneller operationeel is.

CERTIFIKATIE.

Voor Eddy Schuermans is het profiel van een IT-auditor allereerst iemand met een goede kennis van de bedrijfswereld en de bedrijfsprocessen. “Het is op basis van deze kennis dat hij de echte risico’s van informatietechnologieën voor de bedrijfswereld kan inschatten. Daarnaast moet hij beschikken over een verdere vorming in informatietechnologie. “

Jarenlang hebben IT-auditors zich door zelfstudie moeten vormen omdat er geen specifieke opleiding bestond. Sinds het begin van de jaren ’90 organizeren een aantal opleidingsinstituten echter IT-auditkursussen. Zo zijn er de kursussen van de Belgische Vereniging van Banken, de Belgische Kamer van Rekenplichtingen, de Handelshogeschool in Antwerpen en in het biezonder de IPO Management School met het enige volledige programma in België.

Om zeker te zijn dat een IT-auditor weet waarover hij spreekt, is een lidmaatschap van de ISACA wel handig. De Information Systems Audit and Control Association is zowel in België als in Luxemburg de enige professionele ledenorganizatie die zich volledig toelegt op de audit, beveiliging en kontrole van informatiesystemen. Zij werd in 1969 in de Verenigde Staten opgericht en groeide ondertussen uit tot een internationale wereldorganizatie die meer dan 14.000 IT-auditors groepeert.

Eén van de belangrijkste taken van de ISACA is de voorbereiding en de organizatie van het eksamen dat toegang geeft tot de certifikatie als Certified Informations Systems Auditor. Het CISA-certifikaat wordt toegekend aan de kandidaat IT-auditors die geslaagd zijn in een eksamen en een minimum aan beroepservaring kunnen voorleggen.

En hoe zit dat nu met de IT-systemen van de Brusselse beurs, die de jongste tijd wegens pannes niet uit het nieuws te branden zijn ? Blijkt dat, volgens een zeer betrouwbare bron, er inderdaad een IT-audit is geweest. Minstens vijf jaar geleden met name. Sinds de modernizering van de systemen daar is begonnen, is een audit niet meer aan de orde geweest.

ALPHONS EBERLIN

LUC KORDEL EN HENDRIK CEULEMANS, IT-AUDITORS De kontrolesystemen kontroleren.

– Luc Kordel, CISA, RE Wetstraat 5 2060 Antwerpen. Luc. Kordel ping. be of na de kantooruren op 03/236.22.43.

– Hendrik Ceulemans is lidmaatschapskoördinator van Isaca, 100620.1613 compuserve. com.

– Coopers & Lybrand, tel. 02-774 4253 of fax 02-774 4299. Mail naar Martine Kumps, marcom manager, mkumpsnn reach. com.