Post on 12-May-2015
ISACA NL Chapter
1. Opzet onderzoek
2. Resultaten onderzoek
3. ISACA’s Top 5; de meest opmerkelijke uitkomsten
4. Discussie & vervolg
Totaal 24 organisaties Banken / Verzekeringen : 9 Industrie : 9 Overheid : 6
Totaal 29 vragen Organisatie / Personeel Bezetting en financiën Uitvoering AlgemeenGemiddelde interviewduur: 1,5 uren
ABN/AMRO Achmea Equens Essent Fortis Bank NL Gemeente Amsterdam Heineken ING KLM KPN Min. Buitenlandse Zaken Min. Defensie
Min. Justitie NS Nuon PGGM Philips Rabobank Rijksauditdienst Shell SNS Reaal UWV Van Lanschot Vodafone
1 Organisatorische plaats van de IA-afdeling
- ca. 10% rechtstreeks onder AC/RvC- ca. 15% onder RvB, met directe lijn AC- ca. 75% onder RvB
2a Omvang & opbouw van de IA-afdeling
- kengetallen per sector
ratio auditor-medewerkers
sector min. max.
. industrie 1 - 1730 1 – 740
. overheid 1 – 1050 1 – 550
. banken / verzekeringen 1 – 270 1 – 90
. overheid, IT accent 1 – 275 1 – 75
2b Omvang & opbouw van de IA-afdeling
- 2443 auditors, bij onderzochte bedrijvendaarvan:. ca. 13% RE-titel (obv totaal-gem.). ca. 4% CISA-titel (obv totaal-gem.)
3 Opdrachtgevers van audits en gebruikers
- Opdrachtgever(s). ca. 10% alleen Audit Committee (AC). ca. 90% naast AC:
RvB/directeuren/anderen
- Gebruikers van informatie. ca. 60% gebruik door ook anderen dan
opdrachtgever(s), zoals externe accountant
4 Werking / frequentie Audit Committee
(AC)
4 Werking / frequentie Audit Committee (AC)
- ca. 5% nog geen AC, wel in de maakca. 95% wel AC
- frequentie AC: . ca. 10% < 2 x per jaar
. ca. 45% 2-4 x per jaar. ca. 45% > 4 x per jaartendens: frequentie verhogen
5a Productiviteit auditors
- ca. 35%: doet niet aan productiviteitsmeting- ca. 65%: doet wel aan (enige vorm van) productiviteitsmeting
. hoe? Meest genoemd:tijdschrijven in uren (directe
uren). aantal uren productief:
min. 1000 – max. 1400 uren
5b Productiviteit auditors
- audit o/b/w:. netto duur: gemiddeld 250 uren
min. 80 / max. 6000 uren. doorlooptijd: gemidd. 6 - 8 weken. aanbevelingen/audit: 2-50. classificatie: L/M/H en soms
risicofactor. afhandelingsduur: H < 3 mnd (max.
6 mnd), M < 3-6 mnd, L < 12 mnd
. openstaande aanbev.: max 200
. controle afhandeling niét bij IAD
6 Waar ligt de nadruk op (OA/ITA/FA)?
- ca. 30% nadruk FA- ca. 20% nadruk OA- ca. 15% nadruk ITA- ca. 35% mix van FA/OA/ITA
7 Werving personeel
- Op alle mogelijke manieren; geen eenduidige lijn hierin (bijv. via docentschap, headhunting, eigen site)
- Over adverteren-sec is men minder tevreden
8 Carrièreplanning medewerkers
- overal loopbaanbeleid; beleid verschilt per organisatie, loopt uiteen van ‘altijd blijven’ tot vertrekken na 3-4 jaar- beeld ‘vertrekkende’ IT-auditors:
50% intern (blijft bij organisatie) / 50% extern- beeld per sector:
. bedrijfsleven: organisatiebreed-loopbaanbeleid
. banken & verzekeringen: weinig mobiliteitsprikkels
. overheid: externe overstap
9 HRM-cyclus
- Alle IA-afdelingen (100%) werken met een HRM-cyclus. Overal functionerings- en beoordelings-
gesprekken- Persoonlijke Ontwikkelplannen (POP’s) zijn
gemeengoed
10 Opleidingen
- Alle instellingen bieden opleidings-mogelijkheden. Studie sterk gestimuleerd.
Overheid kent meest ruime studiefaciliteiten
- . RE voor IT-auditor verplicht. CISA etc. populair bij internationale bedrijfsleven
11 Specialisten, inhuur of eigen mensen?
- ca. 15% geen inhuur- ca. 85% wel inhuur, vnl. specialisten zoals hacking internet, mainframe, SAP
- recessie -> minder inhuur-> inhuur-stop (bij ca. 90%)-> bedrijfsleven: zelfs geen invulling van vacatures eigen afdeling
12 Hoe wordt het jaarlijkse budget bepaald?
Genoemde werkwijzen:- historie 16 x- benchmark 10 x- risico-analyse als basis 8 x
13 Worden kosten doorberekend?
- ca. 45% nee- ca. 55% ja, waarbij .
. ca. 40% alle kosten doorberekend
. ca. 60% kosten gedeeltelijk/soms doorberekend
- bijna overal: gedwongen winkelnering
14 Tijdschrijven
- ca. 15% nee- ca. 85% ja
- Indruk: met gegevens wordt relatief weinig gedaan
15 Wat is het bestaansrecht van de (IT) audit- afdeling?
Genoemde redenen:- assurance 17 x- verbeteren ICT/processen 7 x- hoger management is overtuigd 5 x
van meerwaarde- verplichting/regelgeving 4 x
(van eigen en/of andere organisatie)
17 Jaarlijks auditplan?
OKAY KAREL – KIES JE VOLGENDE AUDIT-OBJECT
17 Jaarlijks auditplan?
- ca. 5% nee- ca. 95% ja
Auditplan wordt m.n. opgesteld op basis van: - risico-analyse (13 x genoemd)- financieel belang- toegevoegde waarde ICT
18 Hoe zit rapportering eruit?
- ca. 5% geen vast format- ca. 95% wel format (rapport of presentatie), daarvan
. ca. 75% ver doorgevoerde uitwerking met standaard-sjablonen
- Teneur: hoe groter de afdeling, hoe meer (gedetailleerde) formats/sjablonen
19 Standaardisering van werkmethoden?
- ca. 60% ja, zoals bij. opdrachtomschrijving. werkprogramma. eindrapport. dossiervorming
- Teneur: hoe groter de afdeling, hoe meer gestandaardiseerde werkmethoden
20 Welke normenkaders?
Meest genoemde kaders:- Cobit 15 x - Itil 10 x- Overig/divers 12 x
21 Richtlijnen
- Meest genoemde richtlijnen: . Norea 16 x . IAA 9 x. Nivra 9 x . Isaca 7 xVoor banken:. ook AFM en DNB
- Meestal wordt aansluiting gezocht bij IAA.- Bewoordingen zoals ‘meer/mindere mate van zekerheid’ worden zoveel mogelijk vermeden.- Feitelijk voorgeschreven teksten vaak niet gebruikt.
22 Belangrijkste obstakels voor goed functioneren?
- ca. 10% geen obstakel- ca. 90% diverse obstakels. Meest genoemd:
. binnen IA:* kwaliteit (9x)* capaciteit (4x)
. buiten IA: * twijfel meerwaarde/‘tegenwerking’ IA (6x)* trage besluitvorming (5x)* ervaring IA-er als spion
23 Audittools
Meest genoemd:- ACL 12 x- IDEA 11 x- SAP-(CSI) tools 5 x- rest/divers 11 x
24 Elektronische dossiervorming?
DE SECTIE OVERTRANSPARANTIE IS TOCH OOK BIJGEVOEGD?
24 Elektronische dossiervorming?
- ca. 30% nee- ca. 70% ja
- Meest genoemde software: TMate (9x)
25 Is huidige economische situatie van
invloed op de uitvoering van het werk?
- ca. 50% nee- ca. 50% ja,
vooral tot uiting komend in:. strakker toezicht. druk om efficiënter te werken
26 Moet er regelgeving komen vergelijkbaar met WTA, voor IT-auditors?
- ca. 80% nee- ca. 20% ja
27 Welke trends (audit-vak algemeen, IT-audit in het bijzonder)?
- meer risk gedreven- meer focus op FA- continuous monitoring / auditing- audit en advies geïntegreerd
28 Outcourcing IT (welk deel, welke invloed)
- ca. 90% heeft delen van IT geoutsourced- ca. 15% is betrokken bij outsourcing
contract - ca. 40% eist/heeft zelf toegang tot de
externe partij voor audit- ca. 30% mag niet auditen bij externe
partij -> in plaats daarvan:SAS en TPM
29 Hoe ziet de toekomst voor IT-audit eruit?
- ca. 45% goed -> voorziet in toekomst meer IT-audit- ca. 40% matig -> acht verbetering IT-auditors nodig (qua opleiding, werk- wijzen, samenwerking e.d.)- ca. 15% slecht
1. Bestaansrecht is voornamelijk het geven van assurance
2. Weinig ervaring met productiemeting(Waar besteedt auditor tijd aan? Daardoor budget voornamelijk historisch bepaald.)
3. Audit committee niet altijd onafhankelijk
4. IT-auditor vaak niet betrokken bij outsourcing
5. Voorschriften en richtlijnen van beroepsorganisaties worden beperkt gevolgd
ZO - EN VERTEL EENS WAT JE MET DE AANBEVELINGEN
HEBT GEDAAN
Onderzoeksuitkomsten grote IA-afdelingenin Nederland - 2009
Discussie / Focuspunten ?Nu – Toekomstig ?Nationaal / Internationaal ?
Vervolg ?