De beroepsorganisatie van IT-auditors

Nederland behoort tot de wereldtop als het gaat om automatisering en het gebruik van internet. Nederland is een knooppunt in het wereldwijde internetverkeer. Veel van de transatlantische internetkabels komen in Nederland aan land en vertakken zich van daaruit over Europa.

IT speelt een belangrijke rol in ons dagelijks leven. Met de mogelijkheden die de technologie ons biedt, krijgen we echter ook te maken met nieuwe risico’s. Onze afhankelijkheid van technologie en van veilige en betrouwbare software wordt steeds groter. Privacy en online security zijn voorwaarden voor het online vertrouwen, economische groei en maatschappelijk welzijn.

Veel organisaties kunnen geen dag meer zonder IT zonder in continuïteitsgevaar te komen. Hierdoor zijn de risico’s sterk veranderd. Het risico van cybercrime wordt steeds groter en de gevolgen ervan steeds complexer. Een incident binnen een organisatie kan al snel economische en maatschappelijke gevolgen hebben voor alle organisaties in de online keten.

Nederland heeft niet alleen een sterke digitale infrastructuur maar heeft ook een sterk ontwikkeld IT-audit beroepsgroep. IT-auditors zijn onafhankelijk van IT-leveranciers en toetsen de kwaliteit, veiligheid en continuïteit van IT-systemen en IT-infrastructuren inclusief de bijbehorende (IT-)organisatie en processen.

IT-auditing is in Nederland is een hoog ontwikkeld vakgebied doordat Nederland het enige land ter wereld is met een post-master IT-audit opleiding met minimaal 1.700 studie-uren. Na het behalen van het eindexamen en drie jaar relevante werkervaring, kan men zich als RE (Register EDP-Auditor) inschrijven in het register van de beroepsorganisatie NOREA (Nederlandse Orde van Register EDP-Auditors).

NOREA is geaccrediteerd door de NBA (Nederlandse Beroepsorganisatie van Accountants) waardoor RE’s op gelijke voet met registeraccountants opereren. Op dit moment zijn ongeveer 1.800 RE’s bij NOREA ingeschreven en NOREA houdt toezicht op de kwaliteit van de beroepsuitoefening van deze RE’s.

In onze gedigitaliseerde wereld kennen IT-auditors drie aandachtsgebieden, te weten:

- Waarborgen van de continuïteit van IT om reputatieschade en verlies van omzet te voorkomen;
- Beheersen van (Cyber)risico's om betrouwbare gegevensverwerking te waarborgen;
- Beveiliging van het 'goud' (de data) en waarborgen dat deze data betrouwbaar blijft.

De IT-auditor combineert zijn/haar technische en bedrijfskennis om relevante IT gerelateerde risico’s en de benodigde maatregelen om een betrouwbare continue gegevensverwerking en beveiliging van gegevens te waarborgen (digital trust). Alles gericht op het in stand houden van de processen en systemen die cruciaal zijn voor onze economie en maatschappij.

Een IT-auditor heeft door dit alles steeds meer een maatschappelijke rol gekregen. Veel instanties en bedrijven hebben dit reeds herkend en hebben IT-auditors in dienst genomen om IT risico’s in de business processen, en daarbuiten, te helpen beheersen.

En daarmee wordt Nederland en de rest van de wereld weer een stuk veiliger.

Een IT-auditor oordeelt en adviseert over IT in bedrijven en organisaties. Als professional is hij de aangewezen deskundige om een onafhankelijke beoordeling uit te voeren. Het vakgebied werd aanvankelijk aangeduid als EDP-auditing (Electronic Data Processing). Tegenwoordig geven we de voorkeur aan de aanduiding ‘IT-auditing’.

Betrouwbaarheid en continuïteit van IT
IT maakt de bedrijfsprocessen in organisaties steeds effectiever en efficiënter. Tegelijkertijd worden we steeds meer afhankelijker van IT. Dat vergroot de behoefte aan betrouwbare systemen om inkomstenderving, reputatieschade en schadeclaims te voorkomen. Zekerheid over de kwaliteit van IT is van groot belang. Niet alleen omwille van de continuïteit en kwaliteit van vitale bedrijfsprocessen, maar ook vanwege de hoge eisen die tegenwoordig worden gesteld aan transparantie, IT-governance (goed ondernemingsbestuur) en compliance (voldoen aan wet- en regelgeving).

Zekerheid (‘Assurance’)
Hoge eisen gelden ook voor (deels) uitbestede of ingehuurde diensten of voor dataverwerking en -opslag in shared service-centra. Zekerheid over IT krijgt u door een onafhankelijke Register IT-auditor (RE) een IT-assuranceonderzoek uit te laten voeren. IT-assurance kan zekerheid bieden over elk denkbaar IT-object. Bij een assurance-opdracht is doorgaans sprake van drie partijen: ten eerste een partij die zich verantwoordt, ten tweede de toetsende IT-auditor en ten derde een partij die gebruikmaakt van de uitkomsten van het onafhankelijke oordeel van de IT-auditor. De gebruiker wil objectieve informatie ontvangen over de mate waarin de dienstverlening in overeenstemming is met de afgesproken eisen. Met die informatie kan bijvoorbeeld het management of de raad van bestuur beoordelen of de outsourcing van het rekencentrum in India in control is, maar ook of een groot project volgens planning verloopt. Een toezichthoudende autoriteit die eist dat de Wet bescherming persoonsgegevens binnen uw bedrijf wordt nageleefd, zal deze informatie ook gebruiken. Het gaat kortom om het versterken van het vertrouwen in de zich verantwoordende partij.

De Register IT-auditor (RE): uw onafhankelijke en betrouwbare partner
Register IT-auditors zijn op grond van hun opleiding en ervaring de aangewezen deskundigen om IT-assurance opdrachten uit te voeren. IT-auditors hebben de erkende universitaire opleiding tot IT-auditor voltooid en kunnen tenminste drie jaar praktijkervaring aantonen. Pas dan kunnen ze worden ingeschreven als Register EDP-auditor (RE). Met de inschrijving in het register verbinden ze zich aan de gedrags- en beroepsregels en zijn ze onderworpen aan tuchtrechtspraak.

RE’s hebben kennis van informatietechnologie, bestuurlijke informatievoorziening, organisatiekunde en methoden en technieken van onderzoek. Bovendien hebben zij ervaring met kosten van IT en toepassingsgebieden. Een RE geeft onpartijdige adviezen en oordelen over kwaliteitsaspecten van IT. De toegevoegde waarde van de RE wordt inmiddels onderkend door toezichthouders als de Nederlandsche Bank, De Autoriteit Financiële Markten en het College bescherming persoonsgegevens.

RE doet meer dan alleen IT-assurance
U kunt een RE voor meer inschakelen dan alleen IT-assurance. Een RE kan meedenken en adviseren over alle informatietechnologie in uw organisatie. De RE is een professional die op grond van zijn opleiding en praktijkervaring beschikt over de juiste deskundigheid met betrekking tot softwarepakketten, IT-projecten, -beheersing en beveiliging.