ISACA-NL. Onderzoek bij de grote IA-afdelingen in Nederland

ISACA-NL Onderzoek bij de grote IA-afdelingen in Nederland

INHOUDSOPGAVE

1 Inleiding. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 2 Onderzoeksopzet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 3 Onderzoeksuitkomsten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 4  Meest opmerkelijke bevindingen . . . . . . . . . . . . . . . . . . 10 Bijlagen A Onderzoeksvragenlijst . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 B ISACA Achtergrondinformatie / Background information . . . . . . . . . . . . . . . . . . . . . . . . . . 12 C Colofon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

ISACA-NL

Onderzoek bij de grote IA-afdelingen in Nederland  3

1

INLEIDING

Het terrein van IT-auditing is nationaal en internationaal continu in beweging. Om hierop in te spelen is ISACA de initiator, begeleider en ondersteuner voor tal van zaken op het IT-auditgebied. ISACA verricht research, verzorgt studies en certificeringen, publiceert vaktijdschriften, organiseert vooraanstaande internationale conferenties en geeft leiding aan lokale vakbijeenkomsten over tal van technische en bestuurlijke onderwerpen die relevant zijn voor RE’s en CISA’s. Jaarlijks groeit het aantal leden wereldwijd. Het Nederlandse chapter van ISACA telde per oktober 2010 1300 leden. Om meer en actueel inzicht te krijgen in de Nederlandse organisatie en werkwijzen van de grote IA-afdelingen met een accent op IT-auditing is hiernaar, op initiatief van het Nederlandse ISACA-chapter, in 2009 en 2010 een diepgaand onderzoek uitgevoerd. Niet eerder is er een dergelijk breed en diepgaand onderzoek uitgevoerd. In totaal zijn 24 IA-afdelingen via een gestructureerde vragenlijst intensief bevraagd. De verzamelde informatie is op tal van punten belangwekkend. Met dit onderzoek is een goed beeld verkregen van de actuele manier van opereren door grote IA-afdelingen. Ook zijn knelpunten geïnventariseerd alsmede ideeën ontwikkeld voor toekomstige, noodzakelijke wijzigingen op het gebied van IT-auditing en de inrichting van IA afdelingen. Met dit beeld kunnen we als ISACA-NL verder aan de slag. Projectleden: De heer drs. ing. K.P. Meindertsma RE RA CISA (projectleiding) De heer drs. J. Stierman RE CGEIT Projectondersteuning: Mevrouw V. Thiermann

ISACA-NL

Onderzoek bij de grote IA-afdelingen in Nederland  5

2. ONDERZOEKSOPZET

Organisatie & Personeel

ISACA Nederland heeft een onderzoek uitgevoerd bij bedrijven waarbij bij de IA afdelingen meer dan 5 IT auditors werkzaam zijn. Het onderzoek was erop gericht om informatie te verzamelen over de positie en werkwijzen van IT-auditors binnen IA-afdelingen in Nederland. Uit een voorverkenning werd duidelijk dat IT-audit een te kleine positie binnen IA heeft voor een daarop gericht onderzoek, zodat de interviews meer gericht zijn op IAafdelingen met een specifiek IT-audit accent. De IA-afdelingen zijn bevraagd over vier thema’s. De data zijn verzameld door het afnemen van een gestructureerde vragenlijst bij leidinggevende functionarissen van de IA-afdelingen. De gehele vragenlijst, die bestaat uit 29 vragen, is opgenomen in de bijlage. In totaal hebben 24 organisaties onderdeel uitgemaakt van het eerste onderzoek. Per organisatie is één gesprek gehouden. Voorafgaand aan elk interview werd de vragenlijst toegestuurd aan de te interviewen functionaris(sen). De gesprekken zijn gehouden vanaf maart 2009. In tabel 1 staan in alfabetische volgorde de namen van de 24 organisaties die hebben meegewerkt aan dit eerste onderzoek. Tabel 1 Organisatie

Organisatie

ABN/AMRO

Min. van Justitie

Achmea

NS

Equens

Nuon

Essent

PGGM

Fortis Bank NL

Philips

Gemeente Amsterdam

Rabobank

Vraag 1 Wat is de organisatorische plaats van de IA-afdeling (IT-audit)? Tabel 2: organisatorische plaats IA-afdeling

%1

rechtstreeks onder AC/RvC

10 %

onder RvB, met directe lijn AC

15 %

onder RvB

75 %

Afronding op 5%.

1

Bij de 24 onderzochte instellingen komt een positionering van de IA-afdeling onder de Raad van Bestuur verreweg, met circa 75%, het meeste voor. Een kwart van de IA-afdelingen heeft een directe lijn naar het Audit Committee.

Als we de 24 onderzochte organisaties indelen naar sector, dan krijgen we de volgende verhoudingsgetallen over het aantal medewerkers per auditor. Uitgewerkt is een minimale en maximale variant. De sector Banken/Verzekeringen en Overheid met ICTaccent heeft verhoudingsgewijs het meeste aantal auditors. De sector Industrie blijft wat achter. Sector

ratio auditor – medew.

Shell

KLM

SNS Reaal

sector Industrie

1 - 1730

1 - 740

KPN

UWV

sector Overheid

1 - 1050

1 - 550

Min. van Buitenlandse Zaken

Van Lanschot

sector Banken / Verzekeringen

1 - 270

1 - 90

Min. van Defensie

Vodafone

6  Onderzoek bij de grote IA-afdelingen in Nederland

Tabel 4 frequentie AC-bijeenkomsten per jaar

Tabel 3

ING

Aan de 24 instellingen die hebben meegewerkt aan dit onderzoek is een vragenlijst voorgelegd met 29 vragen. De verzamelde onderzoeksuitkomsten, uitgewerkt per vraag, komen hierna aan de orde.

Nagenoeg alle onderzochte organisaties hebben een Audit Committee. Eén instelling heeft nog geen Audit Committee, maar is bezig dit te formeren.

De personele omvang van de onderzochte IA-afdelingen loopt zeer sterk uiteen, van 12 tot 700 fte.

Rijksauditdienst

3. ONDERZOEKSUITKOMSTEN

Vraag 4 Is er een Audit Committee en hoe functioneert dat?

Vraag 2 Wat is de omvang van de IA-afdeling en karakteristiek van de medewerkers?

Heineken

De instellingen zijn ingedeeld naar sector/bedrijfstak, waarbij de volgende sectoren zijn onderscheiden: Banken/Verzekeringen, Industrie, Overheid (algemeen) en Overheid met ICT-accent. Indien per sector opmerkelijke bevindingen zijn gevonden, zijn deze in de rapportage opgenomen.

Bij tien organisaties is de groep van gebruikers/afnemers van audit-werkzaamheden gelijk aan de groep van opdrachtgevers. Een kleine 60%, veertien instellingen, geeft aan dat de audits niet alleen door de opdrachtgevers worden gebruikt, maar ook door derden. Als een ‘derde’ gebruiker wordt het vaakst de externe accountant genoemd.

min.

max.

Afgezet tegen het totale aantal auditors van de onderzochte IA-afdelingen, beschikt circa 13% van de auditors over een RE-titel en heeft circa 4% van de auditors een CISA-titel. Vraag 3 Wie zijn de opdrachtgevers en door wie worden de uitkomsten van de audits gebruikt? Drie instellingen noemen als enig opdrachtgever van de IA-afdeling het Audit Committee. De overige 21 instellingen geven aan dat het Audit Committee niet hun enige opdrachtgever is, maar dat er meerdere zijn. Aanvullend worden met name genoemd de Raad van Bestuur en/of directies Business Units.

ISACA-NL

%1

frequentie AC-bijeenkomsten: < 2 x per jaar

10 %

frequentie AC-bijeenkomsten: 2-4 x per jaar

45 %

frequentie AC-bijeenkomsten: > 4 x per jaar

45 %

dat in de vorm van tijdschrijven met urenverantwoording. Maar twee instellingen registreren en sturen de productiviteit op basis van output/resultaten. Circa 35% van de instellingen doet aan geen enkele vorm van productiviteitsmeting. De productie-urennorm voor auditors loopt van 1.000 tot 1.400 uren per jaar. Over auditonderzoeken (onderzoeken naar opzet, bestaan en werking) zijn de volgende ervaringsgegevens verzameld: • het aantal uren voor het uitvoeren van een auditonderzoek verschilt erg per instelling. Het loopt van 80 tot 6.000 uren. Gemiddeld vergt een onderzoek 250 uren; • de doorlooptijd per onderzoek bedraagt gemiddeld 6 tot 8 weken; • het aantal aanbevelingen per audit varieert van 2 tot 50; • de meest voorkomende classificatiewijze van de aanbevelingen is een indeling naar prioriteit voor het afhandelen van de aanbevelingen: prioriteit-hoog (H), prioriteit-midden (M) en prioriteit-laag (L). Een aantal instellingen voegt daar ook een risicofactor aan toe; • de afhandelingtermijn waarbinnen een aanbeveling afgehandeld moet zijn bedraagt, gemiddeld genomen, voor een H-aanbeveling 3 maanden, voor een M‑aanbeveling 3 tot 6 maanden en voor een L-aanbeveling 12 maanden; • er staan gemiddeld maximaal 200 aanbevelingen open; • de controle op de afhandeling van de aanbevelingen is in de meeste gevallen niet bij de IAD ondergebracht. Vraag 6 Waar ligt de nadruk op (OA/ITA/FA)? Tabel 5

Afronding op 5%.

1

Het aantal bijeenkomsten van het Audit Committee per jaar, laat enige spreiding zien. Een tendens van de laatste tijd is dat het aantal bijeenkomsten toeneemt, wat wordt toegeschreven aan de economische omstandigheden. Bij de sector Industrie heeft veelal een of enkele commissaris(sen) van de RvC zitting in het Audit Committee. Naast dat interne functionarissen zitting hebben, is het hier gebruikelijk dat het Audit Committee wordt aangevuld met de externe accountant van het bedrijf, op incidentele dan wel op vaste basis. Dit beeld is vrijwel gelijk bij de Banken/Verzekeringen. Bij de sector Overheid is er geen of weinig externe inbreng zichtbaar. De SG is in de regel de voorzitter van het Audit Committee. Vraag 5 Wordt de productiviteit van de auditors gemeten? Zijn er normen/ervaringscijfers? Van de organisaties die de productiviteit van de auditors meten, circa 65% van de instellingen, doet het merendeel ISACA-NL

nadruk werkzaamheden

%1

nadruk Financial Audit (FA)

30 %

nadruk Operational Audit (OA)

20 %

nadruk IT-audit (ITA)

15 %

mix van FA/OA/ITA

35 %

Afronding op 5%.

1

De nadruk ligt nog steeds op Financial Audit. Door de economische omstandigheden is er voorts een tendens waarneembaar naar meer Financial Auditing. Vraag 7 Hoe wordt personeel aangetrokken? Indien personele uitbreiding aan de orde is, blijken bedrijven op alle mogelijke manieren te werk te gaan. Genoemd zijn o.a.: werving via docentschap, headhunting, eigen site, eigen netwerk en gespecialiseerde werving- en selectiebureaus. Als gevolg van de economische ontwikkelingen wordt momenteel, scherper dan voorheen, nagegaan of een vacature überhaupt moet worden ingevuld en/of deze inOnderzoek bij de grote IA-afdelingen in Nederland  7

tern kan worden opgelost. In de sector Industrie worden auditors momenteel niet vervangen.

Vraag 11 Worden specialisten ingehuurd of worden ze zelf opgeleid?

Opvallend vaak is tijdens het onderzoek aangegeven dat wervingsadvertenties slechte resultaten opleveren.

Een drietal instellingen geeft aan dat ze geen specialisten (meer) inhuren; de specialisten zijn eerder aangetrokken of zijn/worden intern opgeleid. De overige organisaties huren wel in.

Vraag 8 Wordt er iets gedaan aan carrièreplanning van het personeel? Alle onderzochte IA-afdelingen hebben een loopbaanbeleid voor de IA-functionarissen. Wel is de uitwerking nogal verschillend, vooral per sector.

De inhuur beperkt zich tot specialistische aandachtsgebieden, zoals beveiliging internet, mainframe en SAP. Er wordt scherper dan voorheen gekeken of inhuur echt noodzakelijk is.

Bij de sector Banken/Verzekeringen is de teneur dat eenmaal opgeleide functionarissen worden ‘vastgehouden’ voor de IA-afdeling; er zijn – uitzonderingen daargelaten - weinig of geen mobiliteitsprikkels. Vraag 9 Is er een HRM-cyclus en hoe ziet die eruit?

Tabel 8 %1

ja, wel tijdschrijven

85 %

nee, geen tijdschrijven

15 %

Tabel 10 geïntegreerde auditbenadering

%1

ja, geïntegreerde auditbenadering

70 %

nee, geen geïntegreerde auditbenadering

30 %

Afronding op 5%.

1

Vraag 17 Hoe komt men tot te auditen objecten? Is er een jaarlijks auditplan? Hoe wordt dat opgesteld? Nagenoeg alle IA-afdelingen werken op basis van een jaarlijks auditplan.

Afronding op 5%.

1

Het grootste deel van de instellingen doet aan tijdschrijven. Een kwart hiervan geeft overigens aan dat er niet op wordt gestuurd. De instellingen doen relatief weinig met de verzamelde tijdschrijfgegevens. Vraag 15 Wat is het bestaansrecht van de (IT) audit-afdeling?

Bezetting & Financiën Vraag 12 Hoe wordt het jaarlijkse budget bepaald? Hoe gaat dat procedureel?

De hoofdreden die de meeste keren genoemd is als grondslag voor het bestaan van de (IT) audit-afdeling, is assurance. De overig genoemde redenen volgen op ruime afstand hiervan.

Tabel 6

Tabel 9

Werkwijzen bepaling jaarlijks budget

aantal keren genoemd

redenen bestaansrecht IT (audit)-afdeling

aantal keren genoemd

Als grote lijn komt naar voren dat bij het opstellen van het plan, de volgende aspecten een rol spelen: • risico-analyse; • financieel belang; • toegevoegde waarde ICT. De instellingen geven algeheel genomen aan dat de meeste aandacht uitgaat naar het aspect risico-analyse. Tabel 11

Historie

16 x

assurance

17 x

Benchmark

10 x

verbeteren ICT/processen

7x

ja, jaarlijks auditplan

95 %

Risico-analyse als basis

8x

hoger management is overtuigd van meerwaarde

5x

nee, geen jaarlijks auditplan

5%

verplichting/regelgeving (van eigen en/of andere organisatie)

4x

Alle IA-afdelingen werken met een HRM-cyclus. Functionerings- en beoordelingsgesprekken zijn bij alle organisaties gemeengoed. Ook het persoonlijk ontwikkelingsplan (POP), als ontwikkelingscontract tussen werkgever en werknemer, is een HRM-instrument dat bij nagenoeg alle afdelingen bekend is en gebruikt wordt.

De veruit meest genoemde werkwijze voor het bepalen van het jaarlijkse budget is de historische lijn: bij het opstellen en onderbouwen van de nieuwe IA-begroting wordt teruggegrepen op het budget van voorgaande jaren. Andere, minder vaak, genoemde werkwijzen voor het bepalen van het budget, zijn benchmark en het uitvoeren van risico-analyses als basis voor het aantal uit te voeren audits.

Vraag 10 Wordt er wat gedaan aan opleidingen en in hoeverre worden die gefaciliteerd?

Vraag 13 Kan de afdeling de kosten doorberekenen aan opdrachtgevers? Hoe verkopen de afdelingen zichzelf ?

Het volgen van opleidingen wordt door alle IA-afdelingen als een vanzelfsprekend gegeven gemeld. Studie wordt door allen zeer sterk gestimuleerd. De sector Overheid kent de meest ruime studiefaciliteiten; praktisch alle studievoorstellen van medewerkers worden zonder veel voorwaarden gehonoreerd.

Tabel 7

8  Onderzoek bij de grote IA-afdelingen in Nederland

Vraag 14 Is er sprake van tijdschrijven? tijdschrijven

Grosso modo hebben de IA-afdelingen eenzelfde verticale carrièrelijn: jr./assist. auditor --> medior auditor --> sr. auditor/specialist --> hoofd/manager. De doorlooptijd hiervan varieert van 3 tot 5 jaar. Van de auditors die de IA-afdeling verlaten, maakt circa 50% een interne overstap door het vervullen van een andere functie binnen dezelfde organisatie, en verlaat circa 50% de organisatie. Bij de sector Industrie is de lijn zichtbaar dat het IA-personeelsbeleid onderdeel uitmaakt van de totale managementontwikkeling. Met andere woorden: auditors kunnen binnen het concern doorgroeien naar andere functies bij andere afdelingen. Een dergelijke horizontale carrièremogelijkheid is minder zichtbaar bij de sector Overheid. Als functionarissen daar hun carrièreplafond binnen de IA-afdeling hebben bereikt, blijven ze zitten op deze functie of ze stappen over naar een functie buiten de organisatie.

Van de onderzochte instellingen blijkt een kleine meerderheid de kosten door te berekenen. Van de instellingen die de kosten doorberekenen, berekent ongeveer 40% alle kosten door. Circa 60% berekent de kosten gedeeltelijk of soms door. Bij alle organisaties is er sprake van gedwongen winkelnering.

doorberekenen kosten

%1

ja, wel doorberekening

55 %

nee, geen doorberekening

45 %

Uitvoering Vraag 16 Is er sprake van een geïntegreerde auditbenadering waarbij de diverse disciplines op een bepaalde manier met elkaar samenwerken? Een grote meerderheid van de instellingen meldt dat zij relevante disciplines op elkaar afstemt bij het opzetten en uitvoeren van auditwerkzaamheden. Met name geïntegreerd werken van FA en ITA is genoemd, waarbij dan wel vaak vanuit een FA-invalshoek wordt vertrokken.

Afronding op 5%.

1

ISACA-NL

ISACA-NL

auditplan

1

%1

Afronding op 5%.

Vraag 18 Hoe ziet rapportering eruit? Worden standaard bewoordingen gebruikt? Van de bevraagde IA-afdelingen werkt circa 95% met vaste formats bij het opstellen van hun rapportages en presentaties. Driekwart daarvan heeft ver uitgewerkte formats. De teneur is verder: hoe groter de IA-afdeling, hoe groter het aantal formats en sjablonen en de mate van detaillering daarbij. Vraag 19 In hoeverre is standaardisering van werkmethoden doorgevoerd? Zo’n 60% van de IA-afdelingen geeft aan dat zij werkt met gestandaardiseerde werkmethoden. Onderzoek bij de grote IA-afdelingen in Nederland  9

Het meest genoemd zijn standaarden voor opdrachtomschrijving, werkprogramma’s, eindrapportages en dossiervorming. En ook hier komt, net als bij vraag 18, de lijn naar voren dat de mate van standaardisering toeneemt, naarmate de IA-afdeling groter is.

meeste aantal keren genoemd. Opmerkelijk is voorts dat de geïnterviewde groep, zonder uitzondering, aangeeft bekend te zijn met richtlijnen, maar dat ze die weinig praktijkgericht vinden. Zo worden feitelijk voorgeschreven teksten vaak niet gebruikt.

Vraag 24 Is er sprake van elektronische dossiervorming? Ruim 70% van de instellingen geeft aan te werken met elektronische dossiervorming.

Slechts 20% van de IA-afdelingen acht dergelijke regelgeving wel nodig. Men voorziet daardoor een essentiële verbetering van de positie van de IT-auditor. Sommigen van hen achten aanvullende wetgeving zelfs essentieel voor het voortbestaan van de IT-auditor.

Van alle beschikbare richtlijnen, acht een groot aantal organisaties de richtlijnen van de IIA als het meest toegesneden op de praktijk. Maar ook bij de IIA-richtlijnen plaatst men kanttekeningen qua praktische toepasbaarheid. Vraag 22 Wat zijn de belangrijkste obstakels voor goed functioneren?

Vraag 27 Welke trends neemt u waar met betrekking tot het auditvak in het algemeen en IT-audit in het bijzonder?

Slechts een kleine 10% van de ondervraagde IA-afdelingen geeft aan dat er geen hindernissen zijn. Ruim 90% meldt dat er wel aspecten zijn die belemmerend werken voor een goede functie-uitoefening. De genoemde obstakels zijn hierna gecategoriseerd naar belemmeringen binnen de IA-afdeling en belemmeringen buiten de IA-afdeling.

Vraag 20 Welke normenkaders worden bij IT-audits gehanteerd? Tabel 12 gehanteerde normenkaders

aantal keren genoemd

COBIT

15 x

ITIL

10 x

divers

12 x

Cobit is het meest genoemde normenkader, gevolgd door ITIL. Daaropvolgend worden verschillende, uiteenlopende kaders genoemd waarmee (ook) gewerkt wordt. Een groot aantal instellingen geeft aan dat zij bij het toepassen van normenkaders frequent het internet raadpleegt.

Binnen de IA-afdeling worden als belangrijkste obstakels genoemd: • een tekort aan kwalitatief goede functionarissen; • naast kennis is door de geïnterviewden vaak aangegeven dat er tekortgeschoten wordt qua competenties, zoals overtuigingskracht en mondelinge en schriftelijke uitdrukkingsvaardigheid; • een tekort aan personele capaciteit (kwantiteit). Buiten de IA-afdeling worden als belangrijkste obstakels genoemd: • twijfel van anderen (binnen en buiten de organisatie) over de meerwaarde van de IA-afdeling. De twijfel vertaalt zich er soms naar dat de IA-afdeling wordt tegengewerkt; • trage besluitvorming over IA-voorstellen en IA-plannen; • het ervaren dat de IA-functionaris als een spion of indringer wordt gezien. Het constructief samenwerken met anderen wordt daardoor bemoeilijkt. Vraag 23 Worden er audittools gebruikt? Zo ja, welke?

Vraag 21 Welke richtlijnen met accent op IT-audit, worden in acht genomen?

Een veelheid aan tools wordt gebruikt, waarbij ACL en IDEA het meest genoemd zijn.

Tabel 13

Tabel 14

richtlijnen

aantal keren genoemd

gebruikte audittools

aantal keren genoemd

NOREA

16 x

ACL

12 x

IIA

9x

IDEA

11 x

NIVRA

9x

SAP(CSI-)tools

5x

ISACA

7x

divers

11 x

Van de IT-audit richtlijnen die de instellingen zeggen in acht te nemen, zijn de richtlijnen van NOREA het 10  Onderzoek bij de grote IA-afdelingen in Nederland

Samengevat zijn de volgende antwoorden gegeven over waargenomen trends over het auditvak en IT-auditing: • meer risk gedreven; • meer focus op Financial Auditing; • continuous monitoring / auditing; • audit en advies integreren. Vraag 28 Als IT wordt geoutsourced, welk deel dan en welke invloed heeft dat op de werkzaamheden van IT-audit? De bevindingen over het gebruik zijn verdeeld, waarbij een neutrale tot licht negatieve uitkomst overheerst. Eén IA-afdeling zegt dat zij in de nabije toekomst stopt met elektronische dossiervorming.

Circa 90% van de organisaties heeft delen van IT geoutsourced (werkplekken, mainframe, et cetera).

Algemeen Vraag 25 Is de huidige economische situatie en het denken over integer zakendoen van invloed op de uitvoering van het werk? De uitkomst is fifty-fifty: 50% van de IA-afdelingen zegt dat de huidige economische situatie en discussie over integer zakendoen geen invloed heeft op het werk en 50% zegt van wel. De laatstgenoemde groep meldt dat dit zich in het bijzonder uit in: • een strakker toezicht op de werkzaamheden; • een druk om efficiënter te werken. Vraag 26 Zou er regelgeving vergelijkbaar met WTA moeten komen voor IT-auditors? Tabel 15 regelgeving – WTA

%1

Ja

20 %

Nee

80 %

Afronding op 5%.

1

ISACA-NL

Een grote meerderheid geeft aan dat er geen regelgeving à la WTA moet komen. Deze groep van tegenstanders is daar merendeels ook zeer uitgesproken over: beslist geen extra regelgeving.

ISACA-NL

Over de mate van invloed die dit heeft op de IT-auditwerkzaamheden, zijn in dit onderzoek de volgende gegevens verzameld: • circa 15% is betrokken bij het outsourcingstraject; ongeveer 85% is hier niet bij betrokken; • circa 40% heeft zelf toegang tot de externe partij voor het uitvoeren van audits; • circa 30% mag niet auditen bij de externe partij. In deze situatie wordt in de regel een SAS-70 of een TPM-verklaring gevraagd. Onderzoek bij de grote IA-afdelingen in Nederland  11

4.

Vraag 29 Hoe ziet de toekomst voor IT-audit eruit?

A. D  e governance van de Audit Functie is nog niet overal goed geregeld (plaats AC en rapportage structuur IA-audit).

Tabel 16 toekomst IT-audit

%1

Goed

45 %

Matig

40 %

Slecht

15 %

MEEST OPMERKELIJKE BEVINDINGEN

B. H  oofden van de IA-afdeling kunnen nauwelijks vanuit de functie aangeven wat de omvang van de afdeling moet zijn. Benchmarks en historische informatie zijn hiervoor richtinggevend.

Afronding op 5%.

1

Een ruime meerderheid, circa 85%, ziet de toekomst voor IT-audit redelijk tot zeer rooskleurig in. Een kleine 15% heeft een donker vooruitzicht.

C. V  oor het effectief en efficiënt functioneren van een IA-afdeling is een minimum omvang noodzakelijk.

De groep die de toekomst matig positief inschat, vindt wel dat er op diverse aspecten van IT-auditing verbetering nodig is, zoals op het gebied van opleiding, werkwijzen en samenwerking.

D. D  e hoofdtaak van de IA-afdeling is het geven van Assurance. E. Er wordt in het algemeen een risicoanalyse methodiek gebruikt om te bepalen welke objecten onderzocht dienen te worden. F. V  oorschriften en richtlijnen van de verschillende beroepsorganisaties worden selectief gevolgd. G. D  e geïnterviewden vinden dat er niet meer regels moeten komen ook niet van de overheid. H. D  e IA-afdeling is meestal niet betrokken bij onderzoeken naar diensten die derden voor de eigen organisatie uitvoeren (bijvoorbeeld bij application services).

12  Onderzoek bij de grote IA-afdelingen in Nederland

ISACA-NL

ISACA-NL

Onderzoek bij de grote IA-afdelingen in Nederland  13

Bijlagen A  Onderzoeksvragenlijst

Uitvoering

Organisatie / Personeel

16. Is er sprake van een geïntegreerde auditbenadering waarbij de diverse disciplines op een bepaalde manier met elkaar samenwerken?

1. Wat is de organisatorische positionering van de IA afdeling (IT-audit)?

17. Hoe komt men tot te auditen objecten? Is er een jaarlijks auditplan?

2. Wat is de omvang van de afdeling, karakteristiek medewerkers?

18. Hoe ziet rapportering eruit. Worden standaard bewoordingen gebruik?

3. Wie zijn de opdrachtgevers en door wie worden de uitkomsten van de audits gebruikt?

19. In hoeverre is standaardisering van werkmethoden doorgevoerd?

4. Is er een Audit Committee en hoe functioneert dat?

20. Welke normenkaders worden gehanteerd?

5. Wordt de productiviteit van de auditors gemeten? Zijn er normen/ervaringscijfers?

21. Welke richtlijnen met accent op IT-audit worden in acht genomen?

6. Waar ligt de nadruk op (OA/ITA/FA)? Wie bepaalt die?

22. Wat zijn de belangrijkste obstakels voor goed functioneren?

7. Hoe wordt personeel aangetrokken?

23. Worden er audittools gebruikt? Zo ja, welke audittools worden gebruikt?

8. Wordt er iets gedaan aan carrièreplanning van het personeel?

24. Is er sprake van elektronische dossiervorming?

9. Is er een HRM-cyclus en hoe ziet die eruit?

Algemeen

10. Wordt er wat gedaan aan opleidingen en in hoeverre worden die gefaciliteerd?

25. Is huidige economische situatie en het denken over integer zakendoen van invloed op de uitvoering van het werk?

11. Worden specialisten ingehuurd of worden ze zelf opgeleid?

Bezetting en Financiën 12. Hoe wordt het jaarlijkse budget bepaald? Hoe gaat dat procedureel? 13. Kan de afdeling de kosten doorberekenen aan opdrachtgevers? Hoe verkopen de afdelingen zichzelf ? 14. Is er sprake van tijdschrijven? 15. Wat is het bestaansrecht van de (IT) audit-afdeling?

ISACA-NL

26. Zou er regelgeving vergelijkbaar met WTA moeten komen voor IT-auditors? 27. Welke trends neemt u waar met betrekking tot het auditvak in het algemeen en IT-audit in het bijzonder? 28. Als IT wordt geoutsourced, welk deel dan en welke invloed heeft dat op de werkzaamheden van ITaudit? 29. Hoe ziet de toekomst voor IT-audit eruit?

Onderzoek bij de grote IA-afdelingen in Nederland  15

B ISACA - Achtergrondinformatie / Background information ISACA got its start in 1967, when a small group of individuals with similar jobs - auditing controls in the computer systems that were becoming increasingly critical to the operations of their organizations - sat down to discuss the need for a centralized source of information and guidance in the field. In 1969, the group formalized, incorporating as the EDP Auditors Association. In 1976 the association formed an education foundation to undertake large-scale research efforts to expand the knowledge and value of the IT governance and control field. Today, ISACA’s membership - more than 75,000 strong worldwide - is characterized by its diversity. Members live and work in more than 160 countries and cover a variety of professional IT-related positions - to name just a few, IS auditor, consultant, educator, IS security professional, regulator, chief information officer and internal auditor. Some are new to the field, others are at middle management levels and still others are in the most senior ranks. They work in nearly all industry categories, including financial and banking, public accounting, government and the public sector, utilities and manufacturing. This diversity enables members to learn from each other, and exchange widely divergent viewpoints on a variety of professional topics. It has long been considered one of ISACA’s strengths. Previously known as the Information Systems Audit and Control Association, ISACA now goes by its acronym only, to reflect the broad range of IT governance professionals it serves.

ISACA-NL

Another of ISACA’s strengths is its chapter network. ISACA has more than 170 chapters established in over 70 countries worldwide, and those chapters provide members education, resource sharing, advocacy, professional networking and a host of other benefits on a local level. Find out if there’s a chapter near you. Since its inception, ISACA has become a pace-setting global organization for information governance, control, security and audit professionals. Its IS auditing and IS control standards are followed by practitioners worldwide. Its research pinpoints professional issues challenging its constituents. Its Certified Information Systems Auditor (CISA) certification is recognized globally and has been earned by more than 55,000 professionals since inception. The Certified Information Security Manager (CISM) certification uniquely targets the information security management audience and has been earned by more than 7,000 professionals. It publishes a leading technical journal in the information control field, the Information Systems Control Journal. It hosts a series of international conferences focusing on both technical and managerial topics pertinent to the IS assurance, control, security and IT governance professions. Together, ISACA and its affiliated IT Governance Institute lead the information technology control community and serve its practitioners by providing the elements needed by IT professionals in an ever-changing worldwide environment. More information: www.ISACA.nl.

Onderzoek bij de grote IA-afdelingen in Nederland  17

C  Colofon Dit is een uitgave van ISACA Netherlands chapter. Verdere verspreiding van het onderzoeksrapport is uitsluitend toegestaan met bronvermelding. Dit document bevat foto’s die afkomstig zijn van de website Wikimedia Commons (http://commons.wikimedia. org/wiki/Hoofdpagina) en die onder bepaalde licenties beschikbaar zijn gesteld. Een overzicht van welke foto’s onder welke licentie vallen, is hieronder weergegeven: Creative Commons Naamsvermelding-GelijkDelen 3.0 Unported (CC BY-SA 3.0), http://creativecommons. org/licenses/by-sa/3.0/deed.nl: Foto inhoudsopgave (jetski), eigenaar: Backlit Creative Commons Naamsvermelding 3.0 Unported (CC BY 3.0), http://creativecommons.org/licenses/ by/3.0/deed.nl: Foto onderzoeksopzet (raderen), eigenaar: Diacritica Creative Commons Naamsvermelding 2.0 Unported (CC BY 2.0), http://creativecommons.org/licenses/ by/2.0/deed.nl: Foto vraag 28 (vacature call center India), eigenaar: Paul Keller

Downloaden en publiceren is uitsluitend toegestaan met bronvermelding

ISACA-NL

Onderzoek bij de grote IA-afdelingen in Nederland  19