De betekenis van IT-auditing voor risicobeheersing en IT-governance

het jaarverslag. 1 Inleiding In het kader van Corporate Governance worden in toenemende mate eisen gesteld aan de beheersing van bedrijfsprocessen. Hiermee wordt getracht de betrouw baarheid van verantwoordingen te waarborgen. Het bestuur van organisaties moet aantoonbaar maken dat zij de bedrijfsprocessen beheerst. De inzet van informatietechnologie (IT) vormt een belangrijke schakel in de beheersing van de bedrijfsprocessen. IT dient daarom een integraal onderdeel van de risicobeheersing van de organisatie uit te maken. IT-governance is een direct onderdeel van Corporate Governance. Voor de beoordeling van het IT-risico in het verantwoordingsproces is specialistische kennis van IT en IT-beheersing nodig. Daarom schakelen management, bestuur en accountant veelvuldig de IT-auditor in. De IT-auditor voert General IT-control onderzoeken uit en rapporteert aan management, bestuur en accountant die kennis nemen van de IT-controlebevindingen. Op basis hiervan kan: het management eff ectief de kwaliteit van risicobeheersing verbeteren; het bestuur het toezicht op IT-governance en het risico managementproces eff ectief vervullen; de accountant effi ciënt zijn jaarrekeningcontrole met user en application controls inrichten. In theorie lijkt dit eenvoudig, maar in de praktijk blijkt telkens weer dat de informatie en communicatie tussen IT-auditor, management, bestuur en accountant verre van optimaal is. Het ontbreekt structureel aan een concrete vertaalslag van de IT-controlebevindingen naar de betekenis voor risicobeheersing, ITgovernance en jaarrekeningcontrole. Enerzijds wordt de betekenis van de IT-controlebevindingen onvoldoende geïnterpreteerd en anderzijds lukt het de C.F. van Bommel RE en L.C. Peek RE RO zijn als IT-auditors