Trends in IT internal audit



Vergelijkbare documenten
Internal Audit Charter

II. VOORSTELLEN VOOR HERZIENING

Berry Kok. Navara Risk Advisory

Doel van de rol Iedere Compliance Officer heeft als doel het beheersen van de risico s die BKR loopt in haar strategische en operationele processen.

Post Graduate IT Audit opleiding

GOVERNANCE, RISK & COMPLIANCE WHITEPAPER

Grip op fiscale risico s

Op 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'.

DNB BEOORDELINGSKADER VOOR DE AUDITFUNCTIE BIJ TRUSTKANTOREN INGEVOLGE DE RIB WTT 2014

Risk & Compliance Charter Clavis Family Office B.V.

INTERNATIONALE CONTROLESTANDAARD 610 HET IN AANMERKING NEMEN VAN DE INTERNE AUDITWERKZAAMHEDEN

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

COMPLIANCE RADAR HET MEEST COMPLETE BESTURINGSSYSTEEM VOOR GEMEENTEN.

GEMEENTELIJKE TELECOMMUNICATIE MOBIELE COMMUNICATIE. Bijlage 04 Kwaliteitsborging en auditing

Governance, Risk and Compliance (GRC) tools

Actieplan naar aanleiding van BDO-onderzoek. Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012

IT Beleid Bijlage R bij ABTN

Toezien op privacy naleving bij (IT) leveranciers; ISO of ISAE 3000?

KPMG s Identity and Access Management Survey 2008

KWALITEIT 1 SITUATIE 2 TEST

Jacques Herman 21 februari 2013

Advies. Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag

Reglement audit committee van de raad van commissarissen

Wat zijn de risicomanagement eisen uit IORP II en wat is de bestuurlijke impact?

Onderzoek Soft controls bij interne accountantsdiensten: Terugkoppeling bevindingen

SAP Risk-Control Model. Inzicht in financiële risico s vanuit uw SAP processen

Grip op diversiteit aan beveiligingseisen: Compliant zijn en blijven, maar hoe? VIAG themadag Drs. D.J. van der Poel RE RA 21 maart 2014

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars!

KENNISSESSIE. How Shared Service Centers (SSC) can use Big Data

De volgende stap naar certificering!

Reglement audit committee

Bantopa Terreinverkenning

EFFECT NIEUWE ISO-NORMEN MANAGEMENTSYSTEEM OP ISO 19011

BEVEILIGINGSARCHITECTUUR

I T S X. Informatiebeveiliging, IT Audit & Compliance, Security as a Service, Risicomanagement, Educatie

1 Audits van de Toekomst; een stap dichterbij

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system!

ISO 14001:2015 Readiness Review

Thema EA VERSUS IA Tekst Drs. Margot Hovestad RO Drs. Huub van Hout RA CIA Beeld NFP Photography

Optimaliseren afsluiten rapportage proces: juist nu!

Adding value to test tooling Hoe en waarom DevOps de wereld van performance testen verandert

MARKETEER RESULTAATGEBIEDEN. Wat kan ik doen om de doelen te bereiken? (Activiteiten) Wat moet ik bereiken? (Doelen)

Meer Business mogelijk maken met Identity Management

Regie op persoonsgegevens. Ron Boscu Directeur

Gedragseffecten in de (internal) audit-professie. 25-jarig jubileum Internal Auditing & Advisory 29 juni 2018

Hoezo dé nieuwe ISO-normen?

beter leren, fijner werken, sneller groeien Performance Management workshop HR Live congres The Courseware Company Welkom!

Uw specialist in technisch management

Wat is Cyber Security Management? 3 oktober ISA / Hudson Cybertec Arjan Meijer Security Consultant

MKB Cloudpartner Informatie TPM & ISAE

Beleid Informatiebeveiliging InfinitCare

LIO NOREA bijeenkomst 4 februari 2019

Reglement risk committee van de raad van commissarissen

SOC 1-rapportages Onderzoek naar ervaringen in de praktijk met een wereldwijde standaard

NOREA Visie Brigitte Beugelaar. 14 september 2015

Charco & Dique. De auditfunctie bij trustkantoren. Risk Management & Compliance

Charco & Dique. De auditfunctie bij trustkantoren. Risk Management & Compliance

2014 KPMG Advisory N.V

Verschillen en overeenkomsten tussen SOx en SAS 70

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level!

Befimmo NV. Reglement van de interne audit

"Baselines: eigenwijsheid of wijsheid?"

De essentie van de nieuwe ISO s. Dick Hortensius, NEN Milieu & Maatschappij

Wie ben ik? WHY: Definitie audit. Effectief auditprogramma (opbouw) GoRisk. NEN Introductie-evenement ISO AUDITING IN BEWEGING

Invloed van IT uitbesteding op bedrijfsvoering & IT aansluiting

Rollen in Risk Management

OPERATIONEEL RISKMANAGEMENT. Groningen, maart 2016 Wim Pauw

ISO 9001: Business in Control 2.0

Risico s managen is mensenwerk

Portfoliomanagement software van Thinking Portfolio

BENT U ER KLAAR VOOR?

Naast basiscompetenties als opleiding en ervaring kunnen in hoofdlijnen bijvoorbeeld de volgende hoofd- en subcompetenties worden onderscheiden.

Readiness Assessment ISMS

Een Information Security Management System: iedereen moet het, niemand doet het.

Opdrachtgeverschap 2.0. Toezien op de afspraken in de verwerkersovereenkomst

WIJ ZIJN ALLEEN OPEN TUSSEN 9.00 EN UUR. Tele Train heeft het antwoord

Whitepaper Integratie Videoconferentie. Integreer bestaande UC oplossingen met Skype for Business

ZekereZorg3 Informatieveiligheid in de Zorg. Nico Huizing RE RA

Risicomanagement en NARIS gemeente Amsterdam

Waarde creatie door Contract Management

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services

De visie van Centric op datamanagement

Compliance Charter. Pensioenfonds NIBC

ENSIA. Het audit perspectief. René IJpelaar Achmed Bouazza Werkgroep ENSIA. 4 juli 2017

Kortom, van visie naar werkelijkheid!

PinkSCAN. Verbeter de kwaliteit van uw IT dienstverlening

8.5 Information security

Business Impact Anlayses worden in de meeste organisaties eens per jaar of eens per halfjaar geactualiseerd en bevatten meestal beschrijvingen van:

Business Process Management

Meerwaarde Internal Audit functie. 16 maart 2017

Informatiebeveiliging, noodzakelijk kwaad of nuttig? DNV Business Assurance. All rights reserved.

The digital transformation executive study

Interne audits, het rendement

Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol

Transcriptie:

18 Trends in IT internal audit Kim van Houwelingen RE, drs. Micha Sjoerts en Brigitte Beugelaar RE RA Mw. C.M. van Houwelingen RE is als adviseur werkzaam bij KPMG IT Advisory voor de service line Financial Services. Zij is als auditor en adviseur betrokken bij de service line IRM in Internal Audit en heeft ervaring met detacheringsopdrachten binnen de IAD. vanhouwelingen.kim@kpmg.nl Drs. M. Sjoerts is compliance en internal control specialist bij Sara Lee International. Daarvoor was zij werkzaam bij KPMG IT Advisory waar zij zich als adviseur voornamelijk heeft beziggehouden met IT-Audit, IT attestation en IT-projectadvisory. Mw. B. Beugelaar RE RA is director bij KPMG IT Advisory en verantwoordelijk voor de ontwikkeling van de service line IRM in Internal Audit. Zij heeft een brede ervaring in de Financial Services-sector ten aanzien van IT-auditing en IT-advisory op het gebied van IT Risk en Compliance. beugelaar.brigitte@kpmg.nl Veel organisaties ervaren een continue druk en verandering als gevolg van het huidige economische klimaat. Geconfronteerd met een afnemende markt rationaliseren organisaties; onderdelen worden samengevoegd of activiteiten worden ingekrompen. De technologie die systemen en processen bij elkaar houdt, gaat mee in deze veranderingen, hetgeen leidt tot een aantal specifieke risico s. De IT internal auditor heeft een integrale en belangrijke rol in het moni toren van deze risico s, deze functie ontwikkelt zich dan ook snel in deze turbu lente tijden. Dit artikel bespreekt de resultaten van een EMA (Europe, Middle East and Africa)-survey naar de trends en ontwikkelingen inzake IT internal audit. Inleiding (Informatie) Technologie speelt een steeds prominentere rol in het dagelijks bestaan van organisaties. Als gevolg hiervan worden organisaties kwetsbaarder voor doelbewuste sabotage in deze hectische tijd. Daarnaast is het aantal gevallen van onopzettelijk verlies van data en het falen van IT toegenomen. In deze omgeving zijn de rol en de betekenis van de IT internal auditor sterk toegenomen, met als doel het waarborgen van de beveiliging van commerciële data en de reputatie van organisaties. In het najaar van 2008 is door KPMG IT Advisory een internationaal onderzoek uitgevoerd naar de rol van de IT internal auditor. De resultaten van dit onderzoek zijn gepresenteerd in KPMG s 2009 IT Internal Audit Survey, The status of IT Audit in Europe, the Middle East and Africa. In totaal hebben 297 organisaties verspreid over twintig landen en meerdere sectoren meegewerkt aan het onderzoek. De volgende onderwerpen zijn in kaart gebracht: organisatie en planning, teambezetting en vaardigheden, het gebruik van tools, rapportageproces en kwaliteit. In dit artikel is een samenvatting opgenomen van een aantal trends, dat gesignaleerd is in de IT Internal Audit Survey. Tevens bevat het een korte samenvatting van de discussie vanuit de ronde tafel Trends in IT Audit die in juli 2009 is gehouden.

Compact_ 2010_1 19 Organisatie en planning Planningsproces De invloed van een goede planning en planningscyclus op het succes van de IT-auditactiviteiten dient niet te worden onderschat. Het merendeel van de respondenten geeft aan dat zij een formeel planningsproces hebben ten aanzien van het bepalen van de juiste scope van de controlewerkzaamheden. Tevens wordt beaamd dat het opstellen van een gedetailleerde planning essentieel is voor het waarborgen dat organisatierisico s worden geadresseerd in het auditplan. Het op frequente basis evalueren en aanpassen van de auditplanning, mede ook naar aanleiding van de huidige economische situatie en wijzigingen in de strategie en bedrijfsstructuren, vindt bij een minderheid van de onderzochte bedrijven plaats. Het is daarom aan te bevelen op frequentere basis de auditplanning te evalueren en eventueel te herzien om zo tijdig te kunnen anticiperen op veranderingen in de in- en externe omgeving. Gebruik van standaardraamwerken Bij de planning en uitvoering van de IT-auditwerkzaamheden wordt steeds meer gebruikgemaakt van standaardraamwerken, waarmee een gestructureerde aanpak wordt gefaciliteerd en focus wordt aangebracht in de analyse van de bedrijfs- en technologierisico s binnen de organisatie. Aangegeven is dat het merendeel van de organisaties het Cobit-raamwerk hanteert, gevolgd door het ISO 17999-raamwerk (figuur 1). Integratie van IT-audit met andere disciplines Er is een duidelijke verandering waarneembaar van een traditionele uitvoering van de IT-auditwerkzaamheden naar een meer proactieve aanpak waarin IT-audit streeft naar het opleveren van waardecreërende IT-auditactiviteiten. Er is daardoor meer samenwerking en afstemming met de IT en de business Figuur 2. Rapportering door het IAD. in de uitvoering van de werkzaamheden. Daarnaast is er ook sprake van meer integratie met de algemene auditors, met compliance-auditors en met SOx-auditors. Een voorbeeld betreft de betrokkenheid van IT-auditors bij de review van grootschalige (IT-) projecten. Ook kan door de IT-auditor, juist in de huidige tijden, een meer prominente rol ingevuld worden ten aanzien van onder meer strategische (IT-) processen. De werkzaamheden van de IT-auditor variëren van het voldoen aan wet- en regelgeving en het formuleren van informatiebeveiligingsstandaarden, tot aan het toetsen van projecten om nieuwe informatiesystemen te implementeren. Belangrijk is dat IT internal audit zich bewust is van en aandacht besteedt aan het waarborgen van de onafhankelijkheid en objectiviteit van de eigen functie. De onpartijdigheid (en hiermee de integriteit) van de auditor is één van de kernelementen van het bestaansrecht en dient derhalve te worden geborgd door middel van het planningsproces en het vaststellen van de juiste rapportagelijnen. Goedkeuring auditplan en -rapportage Figuur 1. Gehanteerde raamwerken. Het onderzoek bracht aan het licht dat bij ruim de helft van de respondenten (63%) het auditplan wordt goedgekeurd door het Audit Committee. Helaas wordt bij 10% van de respondenten het plan door het verantwoordelijk IT-management goedgekeurd, hetgeen een risico is voor de onafhankelijkheid van de auditafdeling ten opzichte van het IT-management. Idealiter dient het hoofd van het Internal Audit Department (IAD), waaronder IT internal audit valt, te rapporteren aan de Raad van Bestuur of aan het Audit Committee, om op deze wijze de onafhankelijkheid van het IAD ten opzichte van de organisatie te waarborgen. Figuur 2 laat zien dat dit helaas in slechts 30% van de deelnemende organisaties het geval is.

20 Trends in IT internal audit Teambezetting en vaardigheden Het gebruik van tools Teambezetting Het vinden van de juiste balans tussen technische kennis en organisatiebrede proceskennis blijft een uitdaging voor leidinggevenden binnen IAD s. Het vormen van de juiste bezetting kan enerzijds door het aantrekken van nieuwe medewerkers van buiten de organisatie en anderzijds door het trainen/ ontwikkelen van het bestaande team. Daarnaast kan ook de onderlinge samenwerking tussen IT-audit en andere auditdisciplines een belangrijke bijdrage leveren in het waarborgen dat kennis wordt opgebouwd om bedrijfsbrede en IT-specifieke issues te adresseren. Het merendeel van de organisaties uit het onderzoek heeft een gecombineerde auditafdeling. Van planning van de audit tot en met de rapportering, auditors steunen in toenemende mate op geautomatiseerde tools om het auditproces te ondersteunen. In de KPMG-survey is de toepassing van tools onderzocht. Hieruit blijkt dat tools voornamelijk worden ingezet voor data-analyse (figuur 3). Verrassend genoeg worden de tools die bijdragen aan meer focus op de auditactiviteiten en een efficiënter gebruik van de beschikbare auditcapaciteit, nog niet veel gebruikt voor aspecten zoals planning en risk- en controls -analyse. Ondanks dat er zeer veel belangstelling is voor continuous auditing software, vindt de werkelijke ontwikkeling en implementatie daarvan nog in weinig organisaties plaats. De vaardigheden die boven aan het verlanglijstje van IAD s staan zijn onder andere informatiebeveiliging en specifieke applicatiekennis zoals van ERP-systemen. Opleiden of werven? Door het merendeel van de organisaties is aangegeven dat niet alle noodzakelijke kennis intern aanwezig is. Dit blijkt uit het feit dat 55% van de respondenten aangeeft de juiste kennis en vaardigheden aan te trekken door middel van externe werving. In de huidige economische situatie is dit echter niet altijd een optie. Er is daarom een stijgende lijn te zien in het aantal bedrijven dat ervoor kiest de huidige staf verder op te leiden. Een tegenstrijdige bevinding is echter dat het aantal beschikbare opleidingsuren teleurstellend laag is. Bij ongeveer een derde van de respondenten is slechts één week per jaar beschikbaar voor opleiding. Een groot gedeelte van dit opleidingsbudget wordt bovendien eerder besteed aan het behalen van de noodzakelijke certificering, dan aan het trainen van vaardigheden. Het is van belang dat bedrijven meer formele opleidingsplannen ontwikkelen om ontbrekende kennis en vaardigheden en trainingsbehoeften te kunnen identificeren. Dit is tevens bevorderlijk voor de motivatie en retentie van het huidige personeel. Een derde manier waarop het tekort aan kennis en vaardigheden wordt opgelost, is het tijdelijk inhuren van externe IT-auditors. Meer dan een derde van de deelnemende bedrijven geeft aan gebruik te maken van dergelijke diensten van externen. Het is de verwachting dat dit aantal sterk gaat toenemen in de komende maanden. Enerzijds is door de externe inhuur de benodigde kennis op korte termijn beschikbaar, anderzijds wordt meer flexibiliteit bereikt (ten opzichte van het aannemen van nieuwe medewerkers). Algemeen beschikbare tools zoals Microsoft Excel en Microsoft Access zijn de meest gebruikte toepassingen door het IAD. De gebruikersvriendelijkheid van deze tools helpt hierbij. Echter, deze tools kennen hun beperkingen. Denk bijvoorbeeld aan de kans op ongewenste aanpassingen in de data en de beveiliging. Rapportageproces en kwaliteit Het werk van de IT internal auditor wordt meer zichtbaar binnen de organisaties als hierover wordt gecommuniceerd aan het management op het juiste niveau. Door het presenteren van de bevindingen aan topmanagement wordt gewaarborgd dat een beter begrip ontstaat over de issues die van invloed zijn op de organisatie. Alleen op deze manier kan worden bereikt dat de IT internal audit-functie aan belang wint binnen de organisatie, dat er top-down steun is voor deze functie en dat er een toenemende zichtbaarheid voor internal audit op managementniveau ontstaat. Bijna alle respondenten van het onderzoek presenteren de ITauditbevindingen en -aanbevelingen in een formeel rapport. Figuur 3. Toepassingen van tooling.

Compact_ 2010_1 21 Hetgeen opvallend is, is dat slechts 6% van de organisaties de resultaten presenteert op executive-managementniveau. Positiever is het hoge percentage (72%) van organisaties dat zijn bevindingen rapporteert aan het Audit Committee. Externe auditors ontvangen echter in slechts 37% van de gevallen een kopie van dit rapport (figuur 4). Dit toont een serieuze discrepantie aan tussen interne en externe rapportering. Er kan beargumenteerd worden dat het werk van internal audit irrelevant is voor de externe auditors. Echter, voor de externe audit kan dit leiden tot gemiste kansen om te bouwen op of om gebruik te maken van werk dat is verricht door hun collega s van het IAD. Het meten van kwaliteit Figuur 4. Rapportagelijnen. De kwaliteit van het werk van IT internal audit wordt door ongeveer de helft van de organisaties gemeten. De meerderheid daarvan heeft geen kwaliteitscontroles ingericht en in 41% van de gevallen wordt alleen een informeel assessment of geen assessment uitgevoerd. Feedback vanuit management omtrent de tevredenheid over de dienstverlening wordt aan 44% van de IAD s verstrekt. De vraag is dan: Hoe kunnen deze organisaties dan vol vertrouwen zijn dat de diensten die worden geleverd aan klanten van acceptabele kwaliteit zijn? KPMG gelooft dat het definiëren van performance-indicatoren een effectieve manier is om de toegevoegde waarde van IT internal audit aan het management te presenteren. Ronde tafel Trends in IT Audit Naar aanleiding van de EMA-survey is in juli 2009 een ronde tafel Trends in IT Audit georganiseerd. Deze ronde tafel werd georganiseerd voor IT internal auditors uit diverse branches. Naast KPMG-presentaties over de survey en dataprivacy, gaf een gastspreker van ING (Dirk Brouwer) een toelichting op de inrichting en werkwijze van de interne-auditafdeling binnen ING. Surveybespreking De resultaten van de survey gaven aanleiding tot diverse discussies en uiteenlopende standpunten. Eén van de discussies die gevoerd werd, betrof de vraag hoe organisaties omgaan met de rapportering van bevindingen op verschillende niveaus binnen de organisatie, welke tools hierbij worden ingezet en hoe opvolging van bevindingen wordt gewaarborgd. Uit de discussie blijkt dat organisaties verschillend hiermee omgaan en dat er eigenlijk geen eenduidig antwoord gegeven kan worden. De grootte van de organisatie, de interne processen en de volwas- senheid van een IAD zijn daarbij van bepalende invloed. Een aantal suggesties kwam naar voren zoals: meer samenwerking met risk management om bevindingen vast te leggen in een gezamenlijk systeem en ook te monitoren qua opvolging; het meer groeperen van bevindingen afhankelijk van het niveau waarop gerapporteerd wordt en periodiek een geconsolideerde rapportage uitbrengen aan het management; het hanteren van Cobit als model als een belangrijk uitgangspunt in het proces. Invloed economische crisis Daarnaast is stilgestaan bij de impact van de economische crisis op de werkzaamheden van de IT internal audit-functie. Uit de discussie kwam naar voren, dat teruggaan naar de basis van het auditproces een belangrijke ontwikkeling is. Dat wil zeggen dat IT internal audit zelf in de lead is om de auditobjecten te bepalen. Dit in tegenstelling tot het verleden, waarin een meer servicegericht concept naar IT-management gehanteerd werd. Een andere ontwikkeling betreft het strak managen van de auditplanning en het weglaten van bijvoorbeeld managementreacties in IT-auditrapporten om de snelheid van uitbrengen van rapporten te waarborgen. Belangrijke constatering was om in het huidige klimaat meer aandacht te besteden aan de beheersing van fraudeaspecten, security awareness en de beheersing van processen en systemen. Dataprivacy Als laatste is het onderwerp dataprivacy in de internal audit toegelicht. Bij dataprivacy draait het om de vertrouwelijkheid waarmee met klantgegevens wordt omgegaan en welke rol een IT internal auditor heeft in dit proces. Belangrijke constatering

22 Trends in IT internal audit was dat de complexiteit en impact van dataprivacy op organisaties afhankelijk is van het type business en de klantsamenstelling. Wet- en regelgeving op dit vlak is in beweging en het is van belang dat IAD s hier ook van op de hoogte zijn. Hoe verder? Naar aanleiding van de onderzoeksresultaten en de onderwerpen besproken tijdens de ronde tafel worden de volgende verbeteracties voorgesteld om zo de effectiviteit en daarmee de toegevoegde waarde van IT internal audit in de bedrijfsvoering te vergroten: IT internal audit dient meer betrokken te zijn bij vraagstukken op het gebied van de bedrijfsvoering en IT-besluitvorming, zonder dat zij haar onafhankelijkheid verliest. De kennis op het gebied van bedrijfsrisico s en technologische risico s dient gelijkmatig te worden vertegenwoordigd. In hectische tijden veranderen het commerciële en het organisatorische landschap voortdurend. Het reviewen van de auditplanning op basis van een rolling forecast of kwartaalbasis maakt het mogelijk adequaat te reageren op verandering en risico s. Standaard risico- en planningsraamwerken bieden ondersteuning om de audit beter te focussen op de business en de aanwezige risico s. Afstemmen van IT-auditactiviteiten met andere governance-activiteiten kan schaalvoordelen en synergie opleveren. Ook het geïntegreerd laten samenwerken van IT-auditors en algemene auditors kan kennisuitwisseling faciliteren. Auditplannen dienen te worden goedgekeurd door het Audit Committee en het hoofd IAD dient aan de Raad van Bestuur of het Audit Committee te rapporteren. Verbeteren van het kennisniveau op het gebied van IT-security. Meer gebruikmaken van geautomatiseerde tools kan bijdragen aan de effectiviteit en efficiency van audits. Literatuur [Fijn09] R. Fijneman en R. Poch, KPMG s 2009 IT Internal Audit Survey, The status of IT Audit in Europe, the Middle East, and Africa, March 2009. [GAIN09] Global Audit Information Network The Institute for Internal Auditors, Knowledge Alert, 2009 hot topics for the internal audit profession, January 2009.

2026 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback