x
Nieuwsbrief

Ontvang het laatste nieuws van Ferocia in de mail. Meld je nu direct aan!

Het belang van een goede IT-auditopleiding op HBO niveau
Financial auditing kent een lange historie maar drie decennia geleden is het vakgebied in een stroomversnelling geraakt met het ontstaan van een aantal nieuwe vak specialismen, zoals IT-auditing en operational auditing.

IT Auditor post bachelor opleiding en masterclass

Kies voor de vierdaagse masterclass of negendaagse opleiding (post bachelor) IT Auditing. Na afronding ben je in staat om gedegen adviezen uit te brengen en daarnaast een (leidende) rol te spelen in verander- en verbetertrajecten op het gebied van IT in je organisatie.

Bekijk de opleiding

Gelijkertijd is naast de klassieke NIVRA beroepsopleiding voor accountants er ook een verkorte postdoctorale opleidingsvariant bij gekomen.‚Äč Deze academische variant werd direct de standaard opleidingsaanpak voor de nieuwe ontstane auditspecialismen. Inmiddels heeft de tijd niet stil gestaan en is de behoefte aan IT-audit kennis alleen maar verder toegenomen. Deze behoefte ie echter van een minder generalistische en academische aard zoals die nu wordt aangeboden door de universiteiten. Onderstaand zullen deze ontwikkelingen nader worden besproken, alsmede de mogelijkheden die dit biedt voor nieuwe HBO variant binnen de audit opleiding.

De oorsprong

Financial auditing of accountancy heeft decennia lang de basis gevormd voor het audit vakgebied. Centraal daarbij staat het controleren van de jaarrekening en het afgeven van een accountantsverklaring ten behoeve van investeerders en beleggers die daarmee wisten deze financiële gegevens ook voldoende betrouwbaar waren. De accountant had daarmee ook een duidelijk maatschappelijke functie en het is dan ook niet verwonderlijk dat zijn werkzaamheden in de wet zijn vastgelegd. Deze focus op het assurance aspect heeft er wel toe geleid dat het accountancy beroep in het algemeen als sterk reactief en afstandelijk van aard wordt beschouwd, een attitude die ook steeds minder past in onze huidige cultuur.

De omslag

In de jaren tachtig van de vorige eeuw kwamen een aantal ontwikkelingen in een stroomversnelling. Allereerst de stormachtige groei van de informatietechnologie en de invloed daarvan op de bedrijfsvoering. De sterk toegenomen snelheid van communicatie gekoppeld aan een vergaande mondialisering, deden steeds complexere en organisatie structuren ontstaan. Om dit ook maatschappelijk te reguleren ontstond niet alleen veel nieuwe regelgeving, maar ook de behoefte aan gespecialiseerde deskundigen en toezichthouders om dit alles te implementeren en in goede banen te leiden.

Nieuwe richtingen

Het is niet verwonderlijk dat in de jaren tachtig als eerste het nieuwe vakgebied van IT-auditing ontstond, op de voet gevolgd door operational auditing. Hoewel de maatschappelijke behoeft aan advies en zekerheid (assurance) aan beide vakgebieden ten grondslag heeft gelegen, is het interessant te zien dat hun ontwikkeling twee verschillende richtingen is uitgaan.

Hoewel het gaat om accentverschillen heeft IT-auditing in haar ontwikkeling steeds sterk aansluiting gezocht bij de accountancy en speelt ook de assurance nog steeds binnen IT-auditing een belangrijke rol. Mede daardoor heeft IT-auditing bij de grote accountancy kantoren haar eigen plaats gevonden.

Operational auditing daarin tegen heeft zich veel meer ontwikkeld in de richting van de internal auditing en aansluiting gezocht bij de IIA. De nadruk binnen operational auditing ligt dan ook veel meer op het adviserende karakter dan het bieden van zekerheid.

Ondanks deze verschillen wordt bij beide nieuwe auditspecialismen veel waarde gehecht aan zowel de kwaliteit van de opleiding, als de professionaliteit van de werkzame professionals. Voor beiden vakrichtingen zijn aparte postdoctorale universitaire opleidingen opgericht, alsmede eigen vakverenigingen met een openbaar register van gekwalificeerde Register IT-auditors (RE’s) en Register Operational auditors (RO’s).

Integrale auditor

Tegenwoordig is -met name binnen interne auditafdelingen- de strikte driedeling tussen financial, IT en operational auditing, steeds moeilijker vol te houden. Om de eigen organisatie goed te kunnen blijven adviseren, is een integrale audit aanpak noodzakelijk.

Zo is de IT-component inmiddels in vrijwel alle geldingen van de bedrijfshuishouding doorgedrongen en is elke audit daarmee ook een beetje een IT-audit geworden. Maar ook de invoering (naar US voorbeeld) van Control Frameworks en de aandacht voor zogenaamde In Control Statements, heeft het belang van management control en daarmee operational auditing nadrukkelijk onderstreept.

Binnen veel van de bestaande interne auditafdelingen wordt al jaren getracht een omslag te maken van de klassieke financial audit functie naar een nieuwe integrale audit aanpak. De werkzaamheden inzake de jaarrekeningcontrole zijn in veel gevallen inmiddels uitbesteed aan een extern kantoor, maar het eigen interne verander en integratie traject verloopt meestal minder voorspoedig.

Gebrek aan kennis en het niet juist kunnen inschatten wat IT of operational auditing nu precies inhoudt, is daarvan een belangrijke oorzaak. Uiteraard is het mogelijk om -als accountant na de nodige werkjaren ervaring- nogmaals een postdoctorale RE of RO opleiding te volgen, maar niet iedereen heeft daar nog de tijd voor en ook de kosten zijn aanzienlijk. Een HBO-audit die de stof iets minder diepgaand maar wel in samenhang behandelt, zou goed in die behoefte kunnen voorzien. Daarnaast duurt een post-HBO audit opleiding vaak niet meer dan een half jaar en is uiteraard ook aanzienlijk goedkoper. Kortom ideaal voor een ervaren audit professional die zich graag wil verbreden, maar dat ook snel, praktisch en betaalbaar wil houden.

Nieuwe ontwikkelingen

Niet alleen binnen interne auditafdelingen maar ook binnen de bedrijfsvoering als geheel zijn nieuwe specialismen aan het ontstaan. Specifiek binnen het IT-vakgebied is bijvoorbeeld de laatste jaren een sterke toename aan security specialisten te constateren. Overigens wordt voor de nabije toekomst ook een dergelijk groei verwacht voor privacy specialisten. Voor deze technisch en operationeel gerichte specialisten bestaan wel een groot aantal (vaak US georiënteerde) certificeringsmogelijkheden, maar deze vormen geen samenhangend geheel. Zelfs de internationaal bekende CISA certificering van ISACA, die speciaal is bedoeld als kwaliteitswaarborg voor het IT-audit vakgebied, ontstijgt niet het niveau van een -vooral security gericht- examen. Kortom geen alternatief om de IT auditkennis structureel te verdiepen.

Ook het IT auditvak heeft de laatste jaren niet stil gestaan en er is een aantal duidelijke nieuwe ontwikkeling te zien. De belangrijkste daarvan is een steeds verdere toename van de complexiteit en integratie van systemen die een steeds diepgaander technische kennis vereist. Met name voor mensen met een stevige IT-governance en/of security achtergrond is dit een uitgelezen kans om een stapje in de richting IT-auditing te maken. Op dit moment echter ontbreekt het aan goede opleidingsmogelijkheden. Dan gaat het niet alleen om de barrière van tijd en kosten die de huidige academische RE opleidingen opwerpen, maar ook de academische vooropleiding die van studenten wordt verwacht. Kortom ook voor deze sterk groeiende groep van specialisten, zou een goede IT-audit opleiding op HBO niveau dan ook zeer wenselijk zijn.

Een bijkomende ontwikkeling van meer recente datum is dat ook de grote auditkantoren en de aldaar werkzame RE’s voor hun onderzoeken in toenemende mate gebruik maken van security specialisten voor allerhande technische test werkzaamheden zoals pentesten en securityscans. Ook hier is een nieuwe vakgebied aan het ontstaan met een grote vraag naar technisch geschoolde specialisten met een generieke kennis van IT-auditing. Precies de doelgroep waar ook de HBO IT-audit opleiding zich op richt.

Nog een andere interessante ontwikkeling in de IT en daarmee ook het IT-auditvak, is het belang van het (functionele) applicatie en informatie management. Dit gaat om vragen als; Biedt de IT wel de optimale mogelijkheden die de bedrijfsvoering verlangt? Van deze meer op applicatieve en informatiestromen gerichte experts wordt steeds meer specifieke en situationele kennis gevraagd. Ook daarbij laat de IT auditor zich graag ondersteunen, en bij voorkeur door lokale specialisten die over een zekere audit-basiskennis beschikken

IT auditor opleiding

Conclusie

De komende jaren zal er nog volop behoefte blijven bestaan aan hooggeschoolde audit kennis die nu al wordt geleverd door de universiteiten. Van deze audit specialisten zal echter wel een steeds diepgaandere IT audit kennis worden verwacht.

Daarnaast zal ook in toenemende mate behoefte gaan ontstaan aan zowel technische als functionele specialisten met een generalistische audit kennis. Daarbij gaat het dan om een range van specialisten van security specialisten, van functionele en proces deskundigen tot compliancy en privacy juristen.

Waar de universiteiten om verschillende reden niet kunnen voorzien in aan deze behoefte, kan een IT-audit opleiding op HBO-niveau dit zeer zeker wel. Zo wordt vanuit de AVANS hogeschool al enige jaren een compacte IT-audit opleiding aangeboden die eenzelfde breedte en samenhang heeft als de universitaire variant, maar minder dan een half jaar duurt. Binnen afzienbare tijd zal het ook mogelijk worden om deze opleiding af te kunnen ronden met het bekende CISA certificaat. Tenslotte wordt nagedacht over een aanvullend opleidingstraject waarbij de nadruk zal komen te liggen op de praktische vaardigheden van IT-auditing en het gebruik van specifieke tooling. Dit als een bijzondere verdieping voor de meer theoretisch geschoolde IT-auditor.

Door: Winfried Nanninga RE CISA

Terug naar overzicht
Copyright 2017 | Ferocia.nl | Juridisch | Sitemap | Colofon