Vijfentwintig jaar NOREA, de beroepsorganisatie van IT-auditors

3 mei 2017
PDF
In dit artikel:

In 2017 bestaat NOREA 25 jaar. Gedurende deze periode, van 1992 tot 2017, heeft de informatietechnologie zich revolutionair ontwikkeld. De ‘Wet van Moore’, die een exponentiële groei van opslagcapaciteit en snelheid van computerchips voorspelde, heeft bijna vijftig jaar standgehouden en de gevolgen hiervan zullen voorlopig nog wel blijven doorwerken. Dit heeft geleid tot een ICT die een allesbepalende impact op de samenleving en de economie heeft: informatie wordt nu voortdurend on-line en real-time gedeeld. Dit gegeven onderstreept het belang van een betrouwbare en afdoende beveiligde informatievoorziening, waarover IT-auditors oordelen en adviseren.

Zwart schaap met vijf poten

Het IT-auditvakgebied, oorspronkelijk EDP-audit, is ontstaan als antwoord op de toegenomen automatiseringsgraad in de jaren zestig en zeventig van de vorige eeuw. Er ontstond toen behoefte aan gespecialiseerde ondersteuning van de accountant bij de jaarrekeningcontrole. Naar aanleiding van deze behoefte kwam een beroepsgroep tot ontwikkeling die nu overigens een veel breder terrein is gaan bestrijken dan alleen de ondersteuning van de jaarrekeningcontrole. IT-auditors beoordelen nu tal van aspecten en objecten van de ICT en adviseren daar ook over. De ontwikkeling van het vakgebied EDP-auditing, later IT-auditing, verliep zeker niet zonder voortdurende discussies over afbakening, definitie en scope van het vakgebied. Cor Kocks constateerde dit al in 1991 bij zijn aanvaarding van het ambt van hoogleraar EDP-Auditing aan de Erasmus Universiteit Rotterdam. Hij constateerde toen dat het vakgebied worstelde met een identiteitscrisis. Hij schreef: ‘EDP-auditors moeten daarom streven naar een éénduidige invulling van het wat en waarom en dienen dit tevens uit te dragen. Anders worden het zwarte schapen met vijf poten: zwart vanwege de miskenning, en met vijf poten omdat van EDP-auditors veel deskundigheid op een groot terrein wordt verondersteld’. Daarnaast was er altijd discussie over de verhouding tot het accountantsberoep, waaruit het vakgebied EDP-auditing is voortgekomen, terwijl accountants lang in de veronderstelling verkeerden dat ze ‘om de automatisering heen’ konden controleren.

Accountants verkeerden lang in de veronderstelling dat ze ‘om de automatisering heen’ konden controleren

 

Definities vakgebied EDP-auditing

Op verschillende momenten zijn in de afgelopen vijfentwintig jaar diverse definities van EDP/IT-auditing gepubliceerd (‘audire’ = luisteren/horen lat.):

 

EDP-audit is het door een onpartijdige deskundige kritisch beoordelen van de opzet en de werking van de automatiseringsorganisatie en de geautomatiseerde informatiesystemen waarbij de beoordeling zich richt op:

  • de betrouwbaarheid, dat wil zeggen de mate van interne controle en beveiliging (inclusief privacybewaking)

en eventueel op:

  • de doeltreffendheid (effectiviteit);
  • de doelmatigheid (efficiency).

(Informatie, september 19752)

 

EDP-auditing is het vakgebied dat zich bezighoudt met het beoordelen alsmede het richtinggevend adviseren met betrekking tot kwaliteitsaspecten van objecten in een omgeving waar gebruik wordt gemaakt van automatisering/informatietechnologie.

(Definitie EUR, 19893)

 

IT- of EDP-auditing is het vakgebied dat zich bezighoudt met het beoordelen van de kwaliteit van de informatievoorziening in een omgeving waar sprake is van het gebruik van informatietechnologie en van elektronische gegevensverwerking.

(Moonen, 19914)

 

IT-auditing is het werkterrein dat betrokken is bij het beoordelen van en adviseren over het gebruik van IT in organisaties.

(Van der Pijl, 20005)

 

Men definieert EDP-auditing ook wel als het vakgebied dat zich bezighoudt met de beoordeling en advisering ten aanzien van objecten van de informatievoorziening in een omgeving waarin gebruikt wordt gemaakt van automatisering (informatietechnologie). Daarmee stelt de EDP-auditor zich ten doel om kwalitatief en/of kwantitatief een bijdrage te leveren aan een geschikte organisatie van de informatievoorziening, waarmee de doelstellingen van de opdrachtgever gerealiseerd worden.

(Van Praat, 19926)

 

Op basis van een analyse van de verschillende definities en ontwikkelingen is getracht een nieuwe definitie van EDP-auditing te ontwikkelen: EDP-auditing is de tak van wetenschap welke zich bezighoudt met het in de verschillende fasen beoordelen van en adviseren over de kwaliteit van de informatievoorziening in een omgeving waarin sprake is van informatietechnologie ten behoeve van de beheersing daarvan.

(De Bruijn, 19937)

 

Vanzelfsprekend hanteert ook de beroepsorganisatie Norea een definitie voor het werkveld van IT-auditing. In het jaarboek 2004/2005 geeft Norea aan dat een IT-auditor de informatietechnologie in een organisatie beoordeelt. Een gekwalificeerde IT-auditor geeft volgens Norea onpartijdige oordelen en adviezen over de kwaliteitsaspecten van IT.

(NOREA, 20048)

 

Register EDP-auditors worden geacht op te treden als EDP-auditor wanneer zij op grond van een onderzoek met betrekking tot de situatie ten aanzien van informatietechnologie in een organisatie een oordeel of advies geven.

(NOREA, 20099)

Ontstaan NOREA

In 1983 werd binnen het Nederlands Genootschap voor Informatica (NGI) een sectie EDP-auditing opgezet. In het toenmalige NGI-hoofdbestuur zat Margaret van Biene-Hershey, die later ook een belangrijke rol bij de VU-opleiding en bij NOREA zou vervullen. Vanuit het bedrijfsleven ontstond behoefte aan een gedegen opleiding tot EDP-auditor in plaats van de interne opleidingen die de bedrijven destijds zelf organiseerden. In 1986 begon de Vrije Universiteit Amsterdam een postdoctorale opleiding EDP-auditing, gevolgd door de universiteiten van Tilburg en Rotterdam. Aan de VU werd door enkele afgestudeerden de Orde van Register EDP-auditors (ORE) opgericht. De leden van de ORE gingen de titel Register EDP-auditor (RE) voeren, die als een beschermd merk werd gedeponeerd bij het Benelux Merkenbureau.

Mede op aandringen van het ministerie van Onderwijs ontstond in 1989 een interuniversitair overleg tussen de EDP-auditopleidingen. Daarbij bleek dat de opleidingen behoefte hadden aan een landelijk opgezette beroepsorganisatie. Deze kon dan onder meer worden belast met het onafhankelijk toezicht op de kwaliteit en erkenning van de opleidingen op basis van gemeenschappelijke eindtermen. Vervolgens groeide er een brede samenwerking tussen de opleidingen, studentenverenigingen, EDP-auditafdelingen van banken, accountantskantoren en overheidsauditdiensten. Hieruit is ten slotte NOREA voortgekomen. Er werd een oprichtingscomité gevormd met vertegenwoordigers van de voornoemde stakeholders. Op 30 maart 1992 is de oprichtingsakte van de Nederlandse Orde van Register EDP-auditors bij de notaris gepasseerd. De ORE-leden werden vervolgens opgenomen in het NOREA-register en ORE droeg het recht om de RE-titel te voeren over aan NOREA.

Op 3 juni 1992 vond het oprichtings-symposium plaats aan de Vrije Universiteit Amsterdam onder de titel ‘EDP-auditing georganiseerd’. Het aantal deelnemers aan dit evenement was groot: zo’n 350 personen gaven blijk van hun belangstelling. Niet alleen EDP-auditors namen deel, maar ook managers, informatici, accountants en organisatieadviseurs, afkomstig uit diverse geledingen van het bedrijfsleven en de overheid. De rol van symposiumvoorzitter werd vervuld door de toenmalige voorzitter en later erelid van de NOREA, de heer Frans Kordes, destijds president van de Algemene Rekenkamer. De eerste spreker was minister van Justitie, Ernst Hirsch Ballin. Hij benadrukte het potentiële belang van NOREA voor de samenleving maar constateerde, onder verwijzing naar het voornoemde citaat van Cor Kocks over het zwarte schaap met de vijf poten, dat hij evenmin exact wist wat een EDP-auditor nu feitelijk is.

Enige tijd later publiceerde het Financieele Dagblad onder de titel ‘Elektronische gegevensverwerking vraagt om nieuwe waakhonden’ een paginagroot portret van Voorzitter Kordes en secretaris Bongers van de Nederlandse Orde van Register EDP-auditors. Hun stelling was ‘EDP vergt een neutrale beoordeling, dus niet door automatiseringsmensen zelf. Dit vormt het bestaansrecht van de EDP-auditor, die zich volgens de definitie bezighoudt met het op onpartijdige wijze beoordelen van Electronic Dataprocessing-systemen en -organisaties op de aspecten nut, continuïteit en doelmatigheid. Simpel gesteld kan hij worden omschreven als een nieuw soort waakhond op het gebied van kennisverwerking’.

Het eerste NOREA-bestuur bestond uit Frans Kordes (voorzitter, Algemene Rekenkamer), Bram van den Berg (Moret, Ernst & Young), prof. Margaret van Biene-Hershey (Vrije Universiteit), Marcel Bongers (secretaris, Credit Lyonnais Bank), Henk Bronts (KPMG-Klynveld), Ton Eikenaar (Coopers & Lybrand Dijker Van Dien), prof. Wim Hartman (Erasmus Universiteit), Frank Merkus (Orde van Register EDP-auditors), prof. Karel Wilschut (Katholieke Universiteit Brabant) en Henk de Zwart (ministerie van Financiën/EDP Audit Pool).

In hoog tempo ontwikkelde NOREA tijdens en na de oprichtingsfase een structuur van commissies en werkgroepen om de kwaliteit van de beroepsoefening te waarborgen. Deze gremia namen de verschillende taken, gericht op de doelstellingen van de beroepsorganisatie ter hand: toelating tot het register, permanente educatie, het formuleren van gedragsregels en richtlijnen, organiseren van vaktechnische bijeenkomsten en symposia, publiciteit en voorlichting. Het bestuur werd bij het uitvoeren van haar taken geadviseerd door een Raad voor Beroepsethiek en een Raad van Advies. Ook werd een Reglement van Tucht vastgesteld, waardoor klachten tegen Register EDP-auditors kunnen worden behandeld door een onafhankelijke Raad van Tucht.

NOREA-publicaties

Er werden ook studiecommissies opgericht die aan de basis stonden van vaktechnische publicaties, studierapporten en handreikingen. Een vaktechnische commissie werd ingesteld om de kwaliteit van deze publicaties te waarborgen. Er werd een redactie ingesteld, die met het kwartaaltijdschrift ‘De EDP-Auditor’ (vanaf 2010 ‘de IT-Auditor’) een traditie inzette van een reeks vaktechnische publicaties, inmiddels zijn er al ruim 25 jaargangen. Daarnaast heeft NOREA samen met het Koninklijk NIVRA (nu NBA) en uitgeverij Kluwer, het initiatief genomen tot de publicatie van het Handboek EDP-Auditing, als een losbladig standaardwerk met een zelfstandige redactie. Verder verschenen de volgende NOREA-publicaties:

 

  • De Wet Computercriminaliteit (Studierapport 1, 1994)
  • Een kwaliteitsmodel voor Register EDP-Auditors (Studierapport 2, 1997)
  • IT-auditing aangeduid (Geschrift nr. 1, 1998)
  • Het Millenniumprobleem beheerst (NOREA/NOvAA/NIVRA Handreiking, 1998)
  • Handleiding ZekeRE Business (Handreiking 2001)
  • Raamwerk voor ontwikkeling normenstelsels en standaarden (Studierapport 3, 2002)
  • Handleiding ZekeRE Privacy (Handreiking 2002)
  • Handreiking Oordelen (Handreiking 2003)
  • IT-Governance, een verkenning (Studierapport 2004)
  • Beoordelingskader ZekeREzorg DBC’s (Handreiking 2005)
  • Contouren voor Compliance, Handreiking Raamwerk Privacy Audit (CBP/NIVRA/NOREA 2005)
  • IT-Recht, Quick reference voor IT-auditors (Handreiking 2005)
  • Het profiel van de audit (NOREA/VERA Update on ICT & Control, congresbundel 2005)
  • Beoordelingskader ZekeREzorg 2 AWBZ (Handreiking 2006)
  • Automatiseringscontracten, een handreiking voor IT-auditors (IT Recht, 2006)
  • Auditor, whose business are you in? (NOREA/VERA Update on ICT & Control, congresbundel 2006)
  • Role based auditing (NOREA/VERA Update on ICT & Control, congresbundel 2007)
  • Normen voor de beheersing van uitbestede ICT-processen (NOREA/PvIB Studierapport 2007)
  • Risk Management (NOREA/VERA Update on ICT & Control, congresbundel 2008)
  • Het juridisch kader van betrouwbaar elektronisch berichtenverkeer (Handreiking, IT-Recht 2009)
  • Studie Adviesdiensten (Studierapport 2012)
  • Model Handboek Kwaliteitsbeheersing NOREA (Handreiking 2013)
  • Het Europees Privacyrecht in beweging (Handreiking, IT-Recht 2013)
  • Privacy Impact Assessment (Handreiking 2013, update 2015)
  • Algemene Beheersing van IT-diensten (Studierapport NOREA/PvIB 2015)
  • DigiD-Assessments (Handreiking 2015, Updates 2016 en 2017)
  • ZekeRE Zorg: DBC’s Op weg naar Transparantie (Handreiking, update 2015)
  • Cybersecurity Assessment (Handreiking 2015)
  • SOC 2 Rapporten (Handreiking in het Nederlands en Engels 2016)

Een groot deel van de risico’s bevindt zich in computersystemen en netwerken

NOREA zet de toon

In 1997 vierde NOREA het eerste lustrum in het Concertgebouw te Amsterdam. Onder de titel ‘Rendement op Onzekerheid’ werd een toonzettend symposiumprogramma gecombineerd met het slotconcert van het tiende Franz Liszt Festival, waarvan NOREA een van de sponsors was.

Toenmalig voorzitter Kor Mollema benadrukte de rol en positie van de IT-auditor ten opzichte van het topmanagement van grote ondernemingen: ‘In de maatschappelijke discussie over Corporate Governance en in belangwekkende rapporten daarover van de Cadbury Commissie (UK) en van de Treadway Commissie (US) is duidelijk geworden dat het verschaffen van een verklaring bij de jaarrekening van bedrijven onvoldoende assurance biedt. In diverse praktijkgevallen heeft deze verklaring onvoldoende bescherming geboden tegen verval van interne integriteit en management control. De verklaring is daarop ook niet primair gericht. Daarom zijn aanvullende maatregelen nodig zoals een systeem van self-risk assurance en systeem-georiënteerde audit. In organisaties met een hoge graad van automatisering – en dat zijn allang niet meer uitsluitend financiële instituten – spreekt het vanzelf dat een groot deel van de risico’s en controlemechanismen zich bevinden in geavanceerde computersystemen en -netwerken. Hier komen we op terreinen waar de IT-auditor zich thuis voelt. Deze is gespecialiseerd in het vervaardigen van momentopnamen die de integriteit en effectiviteit van deze netwerken en systemen zichtbaar maken. Als zodanig kan hij/zij assurance verschaffen aan de topleiding en toezichthoudende organen. In combinatie met de accountant, die parallel zich een oordeel vormt over de juistheid en volledigheid van de financiële representatie, ontstaat zo een sterke steunpilaar voor corporate governance ofwel behoorlijk bestuur.’

In 1998 en 1999 ontstaat, mede door de internethype en de komst van e-business, een belangrijke impuls voor IT-auditactiviteiten in relatie tot betrouwbare e-commercetoepassingen en/of informatiebeveiliging. Bovendien werpt het ‘millenniumprobleem’ zijn schaduw vooruit. In samenwerking met NIVRA en NOvAA worden een ‘Audit-Alert’ en een speciale handreiking gepubliceerd over het millenniumprobleem. Het effect is dat het bewustzijn van bedrijven en organisaties op het terrein van IT-beheersing op een hoger niveau wordt gebracht, waarbij IT-auditors op grote schaal worden ingezet.

Er is een club met potentie ontstaan in een beroep dat nadrukkelijker zichtbaar werd in de maatschappij

Permanente Educatie als noodzakelijke overlevingsstrategie

Uiteraard kan de gekwalificeerde IT-auditor een dergelijke rol uitsluitend vervullen wanneer hij of zij bereid is om de uitdaging aan te gaan gelijke tred te houden met de razendsnelle ontwikkeling van de informatietechnologie en daarnaast een open vizier heeft voor de ontwikkelingen in de moderne bedrijfs- en organisatiekunde. Daarom hecht NOREA veel waarde aan Permanente Educatie. Niet alleen in de vorm van een verplichte urenbesteding maar ook door een cursus- en symposiumprogramma aan te bieden. De congres- en symposiumonderwerpen in de afgelopen jaren geven een aardige illustratie van relevante thema’s in het schier grenzeloze vakgebied van de IT-auditor:

 

  • Trends in informatietechnologie, trends voor EDP-auditing? (1992)
  • Gedistribueerde database (1993)
  • EDP-auditing, Praktijk en Perspectief (1993)
  • Wet Computercriminaliteit (1994)
  • EDP-auditor, hoe verklaart u het? (1994)
  • Meer rendement uit IT (1995)
  • Telematica (1995)
  • Beveiligingsaspecten van Internet (1995)
  • Systeem audits (1996)
  • Due Diligence (1996)
  • Overheid en IT, Big Brother of Goed Huisvader (1996)
  • Financials in Business (1997)
  • De EDP-auditor bij de implementatie van informatiesystemen (1998)
  • E-commerce, trust or threat (1998)
  • Beoordeling van een veranderende IT-organisatie in beweging (1999)
  • E-business (2000)
  • Telecommunicatie (2000)
  • IT-audit Actueel (2001)
  • Update on IT-Assurance Services (2001)
  • Informatiesystemen en -management (2002)
  • Assurance over IT, behoort dat tot de mogelijkheden? (Update on IT 2003)
  • Audit na SOx (Update on IT 2004)
  • Het profiel van de audit (Update on IT 2005)
  • Auditor, whose business are you in? (Update on IT 2006)
  • Role based auditing (Update on IT 2007)
  • IT-assurance (IT-auditorsdag 2008)
  • Risk Management: business meets audit risk (Update 2008)
  • Change, Innovatie & Inspiratie (IT-auditorsdag 2009)
  • Effectief en efficient (IT-Auditorsdag 2010)
  • Cybersecurity en IT-audit (IT-auditorsdag 2011)
  • Leren van andere beroepsgroepen, professionals en bedrijfstakken (IT-auditorsdag 2012)
  • Visie 2020 (IT-auditorsdag 2013)
  • Wicked Problems or Simple Solutions (Update on IT 2013)
  • Governance, Risk & Compliance in Europees Perspectief’ (IT-Auditorsdag 2014)
  • Project en Programmamanagement (IT-auditorsdag 2015)
  • Fintech en Blockchain (IT-auditorsdag 2016)

Beroepsorganisatie in grenzeloos vakgebied

Op 4 april 2002 vierde NOREA haar tweede lustrum in theater ’t Spant te Bussum onder de titel ‘10 jaar beroepsorganisatie in een grenzeloos vakgebied’. Mede naar aanleiding van de inschrijving van de duizendste RE in het register constateerde toenmalig NOREA-voorzitter Nico Schouten in zijn openingstoespraak dat er een club met potentie was ontstaan in een beroep dat steeds nadrukkelijker zichtbaar werd in de maatschappij. In tegenstelling tot de algemene verwachting, bleek het grootste deel van de IT-auditors werkzaam te zijn in het interne beroep. Dat vond hij een belangrijke indicatie dat bedrijven en organisaties de kwaliteit van hun IT serieus waren gaan nemen. Hij benadrukte dat RE’s dit konden ondersteunen met kwalitatief goed werk en door hun deskundigheid op peil te houden. Belangrijker dan regels noemde hij het principe van ‘de rechte rug’, een eigenschap die bij auditors ‘in de genen hoort te zitten’. Tijdens dit lustrumsymposium, kort voor de Tweede Kamerverkiezingen van 2002, vond een politieke forumdiscussie plaats met enkele innovatiespecialisten van de politieke partijen, onder wie Francine Giskens (D’66) Diederik Samsom (PvdA) en Hella Vôute (VDD), over ‘de zorgplicht en de dijkbewaking van de digitale delta’. Zij gaven hun reacties op de stelling ‘de tijd is rijp voor een verplichte IT-verantwoording’.

Van EDP- naar IT-Auditor 2.0

Op 19 april 2012 vierde NOREA haar twintigjarig jubileum in theater- en congrescentrum Orpheus te Apeldoorn met een feestelijk lustrumsymposium. Aanwezig waren ongeveer 300 leden en genodigden. Toenmalig voorzitter Ard Niesen noemde in zijn openingstoespraak het perspectief van een mogelijke fusie met het Nederlandse ISACA-Chapter. In dat verband vond ook een rondetafelgesprek plaats met enkele coryfeeën uit de NOREA-geschiedenis over verleden, heden en toekomst van NOREA. Het gesprek stond onder leiding van oud-voorzitter Adri de Bruijn. Deelnemers waren Marcel Bongers, medeoprichter van NOREA en voorzitter van de Commissie van Toelating, oud-voorzitter en erelid Kor Mollema, oud-voorzitter Hans Donkers en Henk de Zwart, toen voorzitter van het College Kwaliteitsonderzoek. Hans Donkers constateerde in dat verband: ‘terugkijkend stel ik vast dat er één weeffout is gemaakt in de NOREA-geschiedenis, die we mogelijk nog moeten herstellen: de RE is ondertussen “wereldberoemd” in Nederland, terwijl ons vakgebied sterk internationaal is georiënteerd. Daarom moeten we alsnog een antwoord formuleren zodat we een internationale connectie kunnen maken’. Het fusievoornemen liep in het najaar van 2012 op niets uit, mede door onbegrip van het internationale ISACA-bestuur voor de specifieke Nederlandse situatie van een beroepsorganisatie die universitaire opleidingen accrediteert. Omdat geen financieel ingroeimodel of grandfathering werd toegestaan, vond het NOREA-bestuur de kloof niet te overbruggen. Desondanks bleef de goede samenwerking met het Nederlandse ISACA-chapter behouden. De IT-auditorsdag, het Security-congres en de Round Tables zijn gezamenlijke activiteiten, en sinds 2016 ondersteunt NOREA ook de backoffice van ISACA Nederland. Dat NOREA zelfstandig bleef voortbestaan was in april 2013 ook aanleiding voor de instelling van de Commissie Visie 2020. De commissie, geleid door Hans Donkers, kreeg als taak een toekomstverkenning uit te voeren. De commissie gaf in september 2014 in haar eindrapport aan, grote urgentie voor een koerswijziging te zien. Elders in deze IT-Auditor geeft de huidige NOREA-voorzitter Jeroen Biekart daar meer inzicht in, met een schets van de strategische doelstellingen het bijbehorende actieplan van het NOREA-bestuur – beide naar aanleiding van het advies van de Commissie Visie 2020.

Het vijfde lustrumsymposium in 2017 heeft als titel: ‘Auditor of Innovative Technologies’. Daarmee wordt de vraag opgeworpen of de IT-auditor van de toekomst ook een rol zal spelen bij de beoordeling van de risico’s van het Internet of Things en ontwikkelingen als automotive, smart technologies en blockchain.

 

Noten

  1. ‘EDP auditing teneinde … of zwart schaap met vijf poten’. Rede in verkorte vorm uitgesproken bij de aanvaarding van het ambt van hoogleraar in de EDP auditing aan de Erasmus Universiteit Rotterdam op 24 oktober 1991 (drs. H.C. Kocks RA).
  2. EDP-Auditing teneinde… of zwart schaap met vijf poten, drs. H.C. Kocks RA, pag. 9
  3. EDP-Auditing teneinde… of zwart schaap met vijf poten, drs. H.C. Kocks RA, pag. 35
  4. IT-auditing: grenzeloos of gelimiteerd?, inaugurele oratie prof.dr. R.G.A. Fijneman RE RA 2005, pag.7
  5. IT-auditing: grenzeloos of gelimiteerd?, inaugurele oratie prof.dr. R.G.A. Fijneman RE RA 2005, pag.7
  6. EDP-Auditing in de Praktijk, Jan van Praat 2003, pag. 14
  7. EDP-auditing, wat is het? Adri de Bruijn RE RA in ‘de EDP-Auditor’ 2e jaargang nr.2, 1993, pag. 25 e.v.
  8. IT-auditing: grenzeloos of gelimiteerd?, inaugurele oratie prof.dr. R.G.A. Fijneman RE RA 2005, pag.8
  9. Optreden als EDP-auditor, in: Statuten NOREA, zoals gepubliceerd in RE-gids 2009/2010, pag. 43.

Drs. W. (Wilfried) J.A. Olthof

Wilfried Olthof is directeur van NOREA en heeft daarvoor functies vervuld bij de Perscombinatie, het ministerie van VROM en de Vrije Universiteit Amsterdam. Hij heeft Politicologie en Bestuurswetenschappen gestudeerd.