ISACA NL Chapter

1. Opzet onderzoek

2. Resultaten onderzoek

3. ISACA’s Top 5; de meest opmerkelijke uitkomsten

4. Discussie & vervolg

 

Totaal 24 organisaties Banken / Verzekeringen : 9 Industrie : 9  Overheid : 6

Totaal 29 vragen Organisatie / Personeel Bezetting en financiën Uitvoering AlgemeenGemiddelde interviewduur: 1,5 uren

 

ABN/AMRO Achmea Equens Essent Fortis Bank NL Gemeente Amsterdam Heineken ING KLM KPN Min. Buitenlandse Zaken Min. Defensie

Min. Justitie NS Nuon PGGM Philips Rabobank Rijksauditdienst Shell SNS Reaal UWV Van Lanschot Vodafone

1 Organisatorische plaats van de IA-afdeling

- ca. 10% rechtstreeks onder AC/RvC- ca. 15% onder RvB, met directe lijn AC- ca. 75% onder RvB

2a Omvang & opbouw van de IA-afdeling  

- kengetallen per sector

ratio auditor-medewerkers

sector min. max.

. industrie 1 - 1730 1 – 740

. overheid 1 – 1050 1 – 550

. banken / verzekeringen 1 – 270 1 – 90

. overheid, IT accent 1 – 275 1 – 75

2b Omvang & opbouw van de IA-afdeling  

- 2443 auditors, bij onderzochte bedrijvendaarvan:. ca. 13% RE-titel (obv totaal-gem.). ca. 4% CISA-titel (obv totaal-gem.)

  3 Opdrachtgevers van audits en gebruikers

- Opdrachtgever(s). ca. 10% alleen Audit Committee (AC). ca. 90% naast AC:

RvB/directeuren/anderen

- Gebruikers van informatie. ca. 60% gebruik door ook anderen dan

opdrachtgever(s), zoals externe accountant

  4 Werking / frequentie Audit Committee

(AC)

  4 Werking / frequentie Audit Committee (AC)

- ca. 5% nog geen AC, wel in de maakca. 95% wel AC

- frequentie AC: . ca. 10% < 2 x per jaar

. ca. 45% 2-4 x per jaar. ca. 45% > 4 x per jaartendens: frequentie verhogen

5a Productiviteit auditors

- ca. 35%: doet niet aan productiviteitsmeting- ca. 65%: doet wel aan (enige vorm van) productiviteitsmeting

. hoe? Meest genoemd:tijdschrijven in uren (directe

uren). aantal uren productief:

min. 1000 – max. 1400 uren

 

5b Productiviteit auditors

- audit o/b/w:. netto duur: gemiddeld 250 uren

min. 80 / max. 6000 uren. doorlooptijd: gemidd. 6 - 8 weken. aanbevelingen/audit: 2-50. classificatie: L/M/H en soms

risicofactor. afhandelingsduur: H < 3 mnd (max.

6 mnd), M < 3-6 mnd, L < 12 mnd

. openstaande aanbev.: max 200

. controle afhandeling niét bij IAD

  6 Waar ligt de nadruk op (OA/ITA/FA)?

- ca. 30% nadruk FA- ca. 20% nadruk OA- ca. 15% nadruk ITA- ca. 35% mix van FA/OA/ITA

7 Werving personeel

- Op alle mogelijke manieren; geen eenduidige lijn hierin (bijv. via docentschap, headhunting, eigen site)

- Over adverteren-sec is men minder tevreden

8 Carrièreplanning medewerkers

- overal loopbaanbeleid; beleid verschilt per organisatie, loopt uiteen van ‘altijd blijven’ tot vertrekken na 3-4 jaar- beeld ‘vertrekkende’ IT-auditors:

50% intern (blijft bij organisatie) / 50% extern- beeld per sector:

. bedrijfsleven: organisatiebreed-loopbaanbeleid

. banken & verzekeringen: weinig mobiliteitsprikkels

. overheid: externe overstap

  9 HRM-cyclus

- Alle IA-afdelingen (100%) werken met een HRM-cyclus. Overal functionerings- en beoordelings-

gesprekken- Persoonlijke Ontwikkelplannen (POP’s) zijn

gemeengoed

  10 Opleidingen

- Alle instellingen bieden opleidings-mogelijkheden. Studie sterk gestimuleerd.

Overheid kent meest ruime studiefaciliteiten

- . RE voor IT-auditor verplicht. CISA etc. populair bij internationale bedrijfsleven

  11 Specialisten, inhuur of eigen mensen?

- ca. 15% geen inhuur- ca. 85% wel inhuur, vnl. specialisten zoals hacking internet, mainframe, SAP

- recessie -> minder inhuur-> inhuur-stop (bij ca. 90%)-> bedrijfsleven: zelfs geen invulling van vacatures eigen afdeling

  12 Hoe wordt het jaarlijkse budget bepaald?

Genoemde werkwijzen:- historie 16 x- benchmark 10 x- risico-analyse als basis 8 x

13 Worden kosten doorberekend?

- ca. 45% nee- ca. 55% ja, waarbij .

. ca. 40% alle kosten doorberekend

. ca. 60% kosten gedeeltelijk/soms doorberekend

- bijna overal: gedwongen winkelnering

14 Tijdschrijven

- ca. 15% nee- ca. 85% ja

- Indruk: met gegevens wordt relatief weinig gedaan

15 Wat is het bestaansrecht van de (IT) audit- afdeling?

Genoemde redenen:- assurance 17 x- verbeteren ICT/processen 7 x- hoger management is overtuigd 5 x

van meerwaarde- verplichting/regelgeving 4 x

(van eigen en/of andere organisatie)

17 Jaarlijks auditplan?

OKAY KAREL – KIES JE VOLGENDE AUDIT-OBJECT

17 Jaarlijks auditplan?

- ca. 5% nee- ca. 95% ja

Auditplan wordt m.n. opgesteld op basis van: - risico-analyse (13 x genoemd)- financieel belang- toegevoegde waarde ICT

  18 Hoe zit rapportering eruit?

- ca. 5% geen vast format- ca. 95% wel format (rapport of presentatie), daarvan

. ca. 75% ver doorgevoerde uitwerking met standaard-sjablonen

- Teneur: hoe groter de afdeling, hoe meer (gedetailleerde) formats/sjablonen

19 Standaardisering van werkmethoden?

- ca. 60% ja, zoals bij. opdrachtomschrijving. werkprogramma. eindrapport. dossiervorming

- Teneur: hoe groter de afdeling, hoe meer gestandaardiseerde werkmethoden

20 Welke normenkaders?

Meest genoemde kaders:- Cobit 15 x - Itil 10 x- Overig/divers 12 x

21 Richtlijnen

- Meest genoemde richtlijnen: . Norea 16 x . IAA 9 x. Nivra 9 x . Isaca 7 xVoor banken:. ook AFM en DNB

- Meestal wordt aansluiting gezocht bij IAA.- Bewoordingen zoals ‘meer/mindere mate van zekerheid’ worden zoveel mogelijk vermeden.- Feitelijk voorgeschreven teksten vaak niet gebruikt.

22 Belangrijkste obstakels voor goed functioneren?

- ca. 10% geen obstakel- ca. 90% diverse obstakels. Meest genoemd:

. binnen IA:* kwaliteit (9x)* capaciteit (4x)

. buiten IA: * twijfel meerwaarde/‘tegenwerking’ IA (6x)* trage besluitvorming (5x)* ervaring IA-er als spion

23 Audittools

Meest genoemd:- ACL 12 x- IDEA 11 x- SAP-(CSI) tools 5 x- rest/divers 11 x

 

24 Elektronische dossiervorming?

DE SECTIE OVERTRANSPARANTIE IS TOCH OOK BIJGEVOEGD?

24 Elektronische dossiervorming?

- ca. 30% nee- ca. 70% ja

- Meest genoemde software: TMate (9x)

  25 Is huidige economische situatie van

invloed op de uitvoering van het werk?

- ca. 50% nee- ca. 50% ja,

vooral tot uiting komend in:. strakker toezicht. druk om efficiënter te werken

26 Moet er regelgeving komen vergelijkbaar met WTA, voor IT-auditors?

- ca. 80% nee- ca. 20% ja

27 Welke trends (audit-vak algemeen, IT-audit in het bijzonder)?

- meer risk gedreven- meer focus op FA- continuous monitoring / auditing- audit en advies geïntegreerd

28 Outcourcing IT (welk deel, welke invloed)

- ca. 90% heeft delen van IT geoutsourced- ca. 15% is betrokken bij outsourcing

contract - ca. 40% eist/heeft zelf toegang tot de

externe partij voor audit- ca. 30% mag niet auditen bij externe

partij -> in plaats daarvan:SAS en TPM

29 Hoe ziet de toekomst voor IT-audit eruit?

- ca. 45% goed -> voorziet in toekomst meer IT-audit- ca. 40% matig -> acht verbetering IT-auditors nodig (qua opleiding, werk- wijzen, samenwerking e.d.)- ca. 15% slecht

1. Bestaansrecht is voornamelijk het geven van assurance

2. Weinig ervaring met productiemeting(Waar besteedt auditor tijd aan? Daardoor budget voornamelijk historisch bepaald.)

3. Audit committee niet altijd onafhankelijk

4. IT-auditor vaak niet betrokken bij outsourcing

5. Voorschriften en richtlijnen van beroepsorganisaties worden beperkt gevolgd

 

ZO - EN VERTEL EENS WAT JE MET DE AANBEVELINGEN

HEBT GEDAAN

Onderzoeksuitkomsten grote IA-afdelingenin Nederland - 2009

Discussie / Focuspunten ?Nu – Toekomstig ?Nationaal / Internationaal ?

Vervolg ?