Interne Audit, aanvraagformulier

Zet je informatiesystemen zo op dat het eenvoudig is om een Interne Audit uit te voeren. Een Interne Audit kan plaatsvinden naar aanleiding van een incident maar kunnen we ook periodiek uitvoeren.

Met een Interne Audit is fraude te achterhalen

Binnen een informatiesysteem dienen een aantal waarborgen te zijn ingebouwd die er voor zorgen dat we fraude voorkomen. De integriteit van de gegevens moet ook blijven bestaan. Ondanks deze waarborgen kan het voorkomen dat er als het gevolg van een storing of een complot iets mis ging. Hierbij kunnen we denken aan :

• Het uitvallen van het systeem tijdens de verwerking van een transactie.
• Dat gebruikers buiten de programmatuur om data wijzigen.
• Het ongeoorloofd wijzigen van programmatuur.
• Het toekennen van te veel autorisaties aan één persoon.

Deze situaties zijn bij een goed georganiseerd systeembeheer door de ICT organisatie te achterhalen. Het bewijzen van een complot via systeemtechnische methoden is echter veel moeilijker. Alle handelingen zijn dan juist uitgevoerd door de juiste personen. Een quick scan is in dit soort gevallen vaak onvoldoende.

Audittrail

Het enige wat dan nog rest is het Audittrail. Onder het Audittrail verstaan we het volgen van een transactie binnen het informatiesysteem. Met het Audittrail moeten we echter al bij de bouw van het systeem rekening houden. Transacties moeten tijdens de gehele verwerking bijvoorbeeld hetzelfde nummer blijven houden, terwijl we d.m.v. logging alle statusovergangen moeten bijhouden.

Voor het aanvragen van een interne audit op één van de genoemde punten is een “Voorbeeld formulier Interne Audit” gemaakt. Niet alle rubrieken kan de aanvrager invullen, deze zal de ontvanger later moeten beantwoorden. Op het formulier komen de volgende rubrieken voor :

Elementen IT Audit formulier

• Aanvrager: Binnen een organisatie kunnen meerdere personen behoefte hebben aan een interne audit. Dit kunnen b.v. zijn het hoofd van een afdeling of een controleur van een accountantsdienst. Wie daadwerkelijk audits mogen aanvragen moet duidelijk zijn aan de hand van een autorisatielijst.
• Aanvraagdatum: Datum waarop de interne audit is aangevraagd.
• Akkoorddatum: Datum waarop het verzoek voor een interne audit is goedgekeurd door de daarvoor verantwoordelijke instantie zoals bijvoorbeeld de accountantsdienst.
• Afdeling: Afdeling waar het auditobject zich bevindt.
• Systeemeigenaar: Naam en paraaf van de eigenaar van het informatiesysteem waarop de audit plaatsvindt.
• Contactpersoon: De afdelingscontactpersoon die de audit vanuit de gebruikersorganisatie begeleid. Bij kleine informatiesystemen zal dit tevens de systeemeigenaar zijn.
• Verificatie AD: De accountantsdienst dienen we altijd van een interne audit op de hoogte te stellen. Er was immers altijd een aanleiding voor een audit en er zal ook een resultaat zijn. Over deze zaken zal de accountantsdienst in de interim controle rapporteren.
• Auditobject: Bij een interne audit zijn er meerdere objecten denkbaar. Dit kunnen zijn de verwerking van transacties; de werking van een programmamodule of de doelmatigheid van een afdeling.
• Telefoonnummer: Telefoonnummer van de contactpersoon.

Inhoudelijke elementen:

• Toelichting: Er dient een verklaring te komen waarom een audit is aangevraagd. Aan de hand van deze verklaring kunnen de bevoegde instanties bepalen of de interne audit wel rechtmatig is. Dit kan zowel vooraf en achteraf zijn.
• Audit periode: Het volgen van transacties; het gebruik van een module; of de mutatiegraad van een bestand kan over een bepaalde periode moeten plaatsvinden om zo een goede indruk te krijgen. Deze periode dienen we nauwkeurig aan te geven.
• Betrokken Auditobjecten: Binnen een audit kunnen we meerdere objecten tegelijkertijd beoordelen. Het gaat daarbij bijvoorbeeld om een combinatie van autorisaties voor programmamodules en de bestanden waarop daadwerkelijk is gemuteerd.
• Specifiek Audittype: Er dient te zijn aangegeven welk audittype we daadwerkelijk vragen. Dit kunnen zijn : Mutaties op tabellen; Volgen audittrail; Autorisatiesge­bruiker; Ch­ec­ken con­tro­le­ge­tal; enzovoort.
• Audittechniek: Voor het uitvoeren van een technische audit komen verschillende technieken in aanmerking, deze technieken kunnen zijn: SQL-query; Specifiek program­ma; Logging verwer­king; Opvragen systeemtabel.
• Behandelaar: Voor het uitvoeren van een interne audit wijzen we een behandelaar aan. Het is echter mogelijk dat de behandelaar de audit intern uitbesteed. Mogelijk aan een afdeling die meer expertise heeft over de te gebruiken audittechniek.
• Conclusies:  De resultaten van de audit leiden tot conclusies en aanbevelingen deze geven we hier kort weer. De daadwerkelijke uitvoering van de aanbevelingen vallen onder de verantwoordelijkheid van de opdrachtgever/aanvrager.
• Terugkoppeling aan aanvrager: De aanvrager neemt de resultaten van de interne audit in ontvangst en parafeert hiervoor.

Klik hier (InterneAudit.pdf) om het formulier te downloaden.

Discussieer mee op LinkedIn.