Wie leest een redactioneel stuk?
Om eerlijk te zijn, zelf doe ik dat hoogstzelden, uitsluitend als het een nieuw tijdschrift betreft of als de samenstelling vragen oproept. Compact is wellicht nieuw voor een deel van de lezers, ook al bestaat dit vakblad intussen meer dan dertig jaar. Dit redactionele artikel is voorzien van een overzichtsschema en een beknopte thema-inleiding.
Waarom een themanummer van Compact over de gereedschapskist van de ICT-auditor?
De automatisering van de automatisering is lang onderontwikkeld gebleven, evenzo de automatisering van ICT-auditing. Terwijl in de periode 1975-1995 het accent lag op software voor gegevensanalyses (Computer Assisted Audit Tools, CAAT’s), aangevuld met spreadsheettoepassingen, is de laatste jaren software voor diverse typen audits door ICT-auditors ontwikkeld of commercieel beschikbaar gekomen. De voordelen van deze automatisering zijn: het verhogen van de efficiëntie van audits én vervolgaudits, het volledig en gedetailleerd maken van de auditprocedures en het reproduceren van audits (met dezelfde resultaten!). Ook kunnen hiermee real-time audits worden uitgevoerd, zoals reeds in de praktijk toegepast bij enkele online-applicaties. De nadruk ligt sterk op gegevensintegriteit en beveiliging, voor aspecten als beschikbaarheid en vertrouwelijkheid is tot op heden minder software ontwikkeld. Er zijn ook enkele nadelen aan tooling verbonden. Dat zijn niet alleen de kosten van ontwikkeling c.q. aanschaf, installatie en onderhoud, maar ook kan deze software bestaande beheersingsmaatregelen doorbreken. De software dient veelal vrijwel onbeperkte autorisaties op de doelsystemen te krijgen. Bovendien luidt een bekend gezegde ‘a fool with a tool is still a fool’.
Welke tooling bevat deze gereedschapskist?
In onderstaand model is niet-limitatief aangegeven welke softwarehulpmiddelen op dit moment worden toegepast door ICT-auditors. Het managen van een ICT-auditafdeling is hier overigens buiten beschouwing gelaten.
Klik hier voor grotere afbeelding
Op welke tools wordt in deze Compact ingegaan?
De artikelen gaan in op de verschillende gereedschappen, en wel de tooling voor: procesmodellering, SPARK risicoanalyse, gegevensanalyse (CAAT), SAP-beveiliging en -controls, infrastructuuranalyse, platformbeveiliging en benchmarking van ICT-risico’s. In voorgaande Compact-edities is al aandacht besteed aan tooling voor IFRS-invoering[Compact 2003/2.], e-business risicomanagement[Compact 2001/5.], internetpenetratietests[Compact jubileumuitgave 1999/2&3.] en ICT-scorecard/dashboards[Compact 2002/3.]. In de komende edities volgen nog artikelen over geautomatiseerde ondersteuning van audits van autorisaties, ICT-auditplanning, continuïteitsplanning en de kwaliteit van softwarecode.
Ik wens u veel leesplezier!