Veel organisaties ervaren een continue druk en verandering als gevolg van het huidige economische klimaat. Geconfronteerd met een afnemende markt rationaliseren organisaties; onderdelen worden samengevoegd of activiteiten worden ingekrompen. De technologie die systemen en processen bij elkaar houdt, gaat mee in deze veranderingen, hetgeen leidt tot een aantal specifieke risico’s. De IT internal auditor heeft een integrale en belangrijke rol in het monitoren van deze risico’s, deze functie ontwikkelt zich dan ook snel in deze turbulente tijden. Dit artikel bespreekt de resultaten van een EMA (Europe, Middle East and Africa)-survey naar de trends en ontwikkelingen inzake IT internal audit.
Inleiding
(Informatie) Technologie speelt een steeds prominentere rol in het dagelijks bestaan van organisaties. Als gevolg hiervan worden organisaties kwetsbaarder voor doelbewuste sabotage in deze hectische tijd. Daarnaast is het aantal gevallen van onopzettelijk verlies van data en het falen van IT toegenomen. In deze omgeving zijn de rol en de betekenis van de IT internal auditor sterk toegenomen, met als doel het waarborgen van de beveiliging van commerciële data en de reputatie van organisaties.
In het najaar van 2008 is door KPMG IT Advisory een internationaal onderzoek uitgevoerd naar de rol van de IT internal auditor. De resultaten van dit onderzoek zijn gepresenteerd in KPMG’s 2009 IT Internal Audit Survey, The status of IT Audit in Europe, the Middle East and Africa. In totaal hebben 297 organisaties verspreid over twintig landen en meerdere sectoren meegewerkt aan het onderzoek. De volgende onderwerpen zijn in kaart gebracht: organisatie en planning, teambezetting en vaardigheden, het gebruik van tools, rapportageproces en kwaliteit.
In dit artikel is een samenvatting opgenomen van een aantal trends, dat gesignaleerd is in de IT Internal Audit Survey. Tevens bevat het een korte samenvatting van de discussie vanuit de ronde tafel Trends in IT Audit die in juli 2009 is gehouden.
Organisatie en planning
Planningsproces
De invloed van een goede planning en planningscyclus op het succes van de IT-auditactiviteiten dient niet te worden onderschat. Het merendeel van de respondenten geeft aan dat zij een formeel planningsproces hebben ten aanzien van het bepalen van de juiste scope van de controlewerkzaamheden. Tevens wordt beaamd dat het opstellen van een gedetailleerde planning essentieel is voor het waarborgen dat organisatierisico’s worden geadresseerd in het auditplan. Het op frequente basis evalueren en aanpassen van de auditplanning, mede ook naar aanleiding van de huidige economische situatie en wijzigingen in de strategie en bedrijfsstructuren, vindt bij een minderheid van de onderzochte bedrijven plaats. Het is daarom aan te bevelen op frequentere basis de auditplanning te evalueren en eventueel te herzien om zo tijdig te kunnen anticiperen op veranderingen in de in- en externe omgeving.
Gebruik van standaardraamwerken
Bij de planning en uitvoering van de IT-auditwerkzaamheden wordt steeds meer gebruikgemaakt van standaardraamwerken, waarmee een gestructureerde aanpak wordt gefaciliteerd en focus wordt aangebracht in de analyse van de bedrijfs- en technologierisico’s binnen de organisatie. Aangegeven is dat het merendeel van de organisaties het Cobit-raamwerk hanteert, gevolgd door het ISO 17999-raamwerk (figuur 1).
Figuur 1. Gehanteerde raamwerken.
Integratie van IT-audit met andere disciplines
Er is een duidelijke verandering waarneembaar van een traditionele uitvoering van de IT-auditwerkzaamheden naar een meer proactieve aanpak waarin IT-audit streeft naar het opleveren van waardecreërende IT-auditactiviteiten. Er is daardoor meer samenwerking en afstemming met de IT en de business in de uitvoering van de werkzaamheden. Daarnaast is er ook sprake van meer integratie met de ‘algemene’ auditors, met compliance-auditors en met SOx-auditors. Een voorbeeld betreft de betrokkenheid van IT-auditors bij de review van grootschalige (IT-) projecten. Ook kan door de IT-auditor, juist in de huidige tijden, een meer prominente rol ingevuld worden ten aanzien van onder meer strategische (IT-) processen.
De werkzaamheden van de IT-auditor variëren van het voldoen aan wet- en regelgeving en het formuleren van informatiebeveiligingsstandaarden, tot aan het toetsen van projecten om nieuwe informatiesystemen te implementeren. Belangrijk is dat IT internal audit zich bewust is van en aandacht besteedt aan het waarborgen van de onafhankelijkheid en objectiviteit van de eigen functie. De onpartijdigheid (en hiermee de integriteit) van de auditor is één van de kernelementen van het bestaansrecht en dient derhalve te worden geborgd door middel van het planningsproces en het vaststellen van de juiste rapportagelijnen.
Goedkeuring auditplan en -rapportage
Het onderzoek bracht aan het licht dat bij ruim de helft van de respondenten (63%) het auditplan wordt goedgekeurd door het Audit Committee. Helaas wordt bij 10% van de respondenten het plan door het verantwoordelijk IT-management goedgekeurd, hetgeen een risico is voor de onafhankelijkheid van de auditafdeling ten opzichte van het IT-management.
Idealiter dient het hoofd van het Internal Audit Department (IAD), waaronder IT internal audit valt, te rapporteren aan de Raad van Bestuur of aan het Audit Committee, om op deze wijze de onafhankelijkheid van het IAD ten opzichte van de organisatie te waarborgen. Figuur 2 laat zien dat dit helaas in slechts 30% van de deelnemende organisaties het geval is.
Figuur 2. Rapportering door het IAD.
Teambezetting en vaardigheden
Teambezetting
Het vinden van de juiste balans tussen technische kennis en organisatiebrede proceskennis blijft een uitdaging voor leidinggevenden binnen IAD’s. Het vormen van de juiste bezetting kan enerzijds door het aantrekken van nieuwe medewerkers van buiten de organisatie en anderzijds door het trainen/ ontwikkelen van het bestaande team. Daarnaast kan ook de onderlinge samenwerking tussen IT-audit en andere auditdisciplines een belangrijke bijdrage leveren in het waarborgen dat kennis wordt opgebouwd om bedrijfsbrede en IT-specifieke issues te adresseren. Het merendeel van de organisaties uit het onderzoek heeft een gecombineerde auditafdeling.
De vaardigheden die boven aan het verlanglijstje van IAD’s staan zijn onder andere informatiebeveiliging en specifieke applicatiekennis zoals van ERP-systemen.
Opleiden of werven?
Door het merendeel van de organisaties is aangegeven dat niet alle noodzakelijke kennis intern aanwezig is. Dit blijkt uit het feit dat 55% van de respondenten aangeeft de juiste kennis en vaardigheden aan te trekken door middel van externe werving. In de huidige economische situatie is dit echter niet altijd een optie. Er is daarom een stijgende lijn te zien in het aantal bedrijven dat ervoor kiest de huidige staf verder op te leiden.
Een tegenstrijdige bevinding is echter dat het aantal beschikbare opleidingsuren teleurstellend laag is. Bij ongeveer een derde van de respondenten is slechts één week per jaar beschikbaar voor opleiding. Een groot gedeelte van dit opleidingsbudget wordt bovendien eerder besteed aan het behalen van de noodzakelijke certificering, dan aan het trainen van vaardigheden.
Het is van belang dat bedrijven meer formele opleidingsplannen ontwikkelen om ontbrekende kennis en vaardigheden en trainingsbehoeften te kunnen identificeren. Dit is tevens bevorderlijk voor de motivatie en retentie van het huidige personeel.
Een derde manier waarop het tekort aan kennis en vaardigheden wordt opgelost, is het tijdelijk inhuren van externe IT-auditors. Meer dan een derde van de deelnemende bedrijven geeft aan gebruik te maken van dergelijke diensten van externen. Het is de verwachting dat dit aantal sterk gaat toenemen in de komende maanden. Enerzijds is door de externe inhuur de benodigde kennis op korte termijn beschikbaar, anderzijds wordt meer flexibiliteit bereikt (ten opzichte van het aannemen van nieuwe medewerkers).
Het gebruik van tools
Van planning van de audit tot en met de rapportering, auditors steunen in toenemende mate op geautomatiseerde tools om het auditproces te ondersteunen. In de KPMG-survey is de toepassing van tools onderzocht. Hieruit blijkt dat tools voornamelijk worden ingezet voor data-analyse (figuur 3).
Figuur 3. Toepassingen van tooling.
Verrassend genoeg worden de tools die bijdragen aan meer focus op de auditactiviteiten en een efficiënter gebruik van de beschikbare auditcapaciteit, nog niet veel gebruikt voor aspecten zoals planning en risk- en ‘controls’-analyse. Ondanks dat er zeer veel belangstelling is voor continuous auditing software, vindt de werkelijke ontwikkeling en implementatie daarvan nog in weinig organisaties plaats.
Algemeen beschikbare tools zoals Microsoft Excel en Microsoft Access zijn de meest gebruikte toepassingen door het IAD. De gebruikersvriendelijkheid van deze tools helpt hierbij. Echter, deze tools kennen hun beperkingen. Denk bijvoorbeeld aan de kans op ongewenste aanpassingen in de data en de beveiliging.
Rapportageproces en kwaliteit
Het werk van de IT internal auditor wordt meer zichtbaar binnen de organisaties als hierover wordt gecommuniceerd aan het management op het juiste niveau. Door het presenteren van de bevindingen aan topmanagement wordt gewaarborgd dat een beter begrip ontstaat over de issues die van invloed zijn op de organisatie. Alleen op deze manier kan worden bereikt dat de IT internal audit-functie aan belang wint binnen de organisatie, dat er top-down steun is voor deze functie en dat er een toenemende zichtbaarheid voor internal audit op managementniveau ontstaat.
Bijna alle respondenten van het onderzoek presenteren de IT-auditbevindingen en -aanbevelingen in een formeel rapport. Hetgeen opvallend is, is dat slechts 6% van de organisaties de resultaten presenteert op executive-managementniveau. Positiever is het hoge percentage (72%) van organisaties dat zijn bevindingen rapporteert aan het Audit Committee. Externe auditors ontvangen echter in slechts 37% van de gevallen een kopie van dit rapport (figuur 4).
Figuur 4. Rapportagelijnen.
Dit toont een serieuze discrepantie aan tussen interne en externe rapportering. Er kan beargumenteerd worden dat het werk van internal audit irrelevant is voor de externe auditors. Echter, voor de externe audit kan dit leiden tot gemiste kansen om te bouwen op of om gebruik te maken van werk dat is verricht door hun collega’s van het IAD.
Het meten van kwaliteit
De kwaliteit van het werk van IT internal audit wordt door ongeveer de helft van de organisaties gemeten. De meerderheid daarvan heeft geen kwaliteitscontroles ingericht en in 41% van de gevallen wordt alleen een informeel assessment of geen assessment uitgevoerd. Feedback vanuit management omtrent de tevredenheid over de dienstverlening wordt aan 44% van de IAD’s verstrekt. De vraag is dan: Hoe kunnen deze organisaties dan vol vertrouwen zijn dat de diensten die worden geleverd aan klanten van acceptabele kwaliteit zijn?
KPMG gelooft dat het definiëren van performance-indicatoren een effectieve manier is om de toegevoegde waarde van IT internal audit aan het management te presenteren.
Ronde tafel Trends in IT Audit
Naar aanleiding van de EMA-survey is in juli 2009 een ronde tafel Trends in IT Audit georganiseerd. Deze ronde tafel werd georganiseerd voor IT internal auditors uit diverse branches. Naast KPMG-presentaties over de survey en dataprivacy, gaf een gastspreker van ING (Dirk Brouwer) een toelichting op de inrichting en werkwijze van de interne-auditafdeling binnen ING.
Surveybespreking
De resultaten van de survey gaven aanleiding tot diverse discussies en uiteenlopende standpunten. Eén van de discussies die gevoerd werd, betrof de vraag hoe organisaties omgaan met de rapportering van bevindingen op verschillende niveaus binnen de organisatie, welke tools hierbij worden ingezet en hoe opvolging van bevindingen wordt gewaarborgd. Uit de discussie blijkt dat organisaties verschillend hiermee omgaan en dat er eigenlijk geen eenduidig antwoord gegeven kan worden. De grootte van de organisatie, de interne processen en de volwassenheid van een IAD zijn daarbij van bepalende invloed. Een aantal suggesties kwam naar voren zoals:
- meer samenwerking met risk management om bevindingen vast te leggen in een gezamenlijk systeem en ook te monitoren qua opvolging;
- het meer groeperen van bevindingen afhankelijk van het niveau waarop gerapporteerd wordt en periodiek een geconsolideerde rapportage uitbrengen aan het management;
- het hanteren van Cobit als model als een belangrijk uitgangspunt in het proces.
Invloed economische crisis
Daarnaast is stilgestaan bij de impact van de economische crisis op de werkzaamheden van de IT internal audit-functie. Uit de discussie kwam naar voren, dat ‘teruggaan naar de basis van het auditproces’ een belangrijke ontwikkeling is. Dat wil zeggen dat IT internal audit zelf in de lead is om de auditobjecten te bepalen. Dit in tegenstelling tot het verleden, waarin een meer servicegericht concept naar IT-management gehanteerd werd.
Een andere ontwikkeling betreft het strak managen van de auditplanning en het weglaten van bijvoorbeeld managementreacties in IT-auditrapporten om de snelheid van uitbrengen van rapporten te waarborgen. Belangrijke constatering was om in het huidige klimaat meer aandacht te besteden aan de beheersing van fraudeaspecten, security awareness en de beheersing van processen en systemen.
Dataprivacy
Als laatste is het onderwerp dataprivacy in de internal audit toegelicht. Bij dataprivacy draait het om de vertrouwelijkheid waarmee met klantgegevens wordt omgegaan en welke rol een IT internal auditor heeft in dit proces. Belangrijke constatering was dat de complexiteit en impact van dataprivacy op organisaties afhankelijk is van het type business en de klantsamenstelling. Wet- en regelgeving op dit vlak is in beweging en het is van belang dat IAD’s hier ook van op de hoogte zijn.
Hoe verder?
Naar aanleiding van de onderzoeksresultaten en de onderwerpen besproken tijdens de ronde tafel worden de volgende verbeteracties voorgesteld om zo de effectiviteit en daarmee de toegevoegde waarde van IT internal audit in de bedrijfsvoering te vergroten:
- IT internal audit dient meer betrokken te zijn bij vraagstukken op het gebied van de bedrijfsvoering en IT-besluitvorming, zonder dat zij haar onafhankelijkheid verliest. De kennis op het gebied van bedrijfsrisico’s en technologische risico’s dient gelijkmatig te worden vertegenwoordigd.
- In hectische tijden veranderen het commerciële en het organisatorische landschap voortdurend. Het reviewen van de auditplanning op basis van een ‘rolling forecast’ of kwartaalbasis maakt het mogelijk adequaat te reageren op verandering en risico’s.
- Standaard risico- en planningsraamwerken bieden ondersteuning om de audit beter te focussen op de business en de aanwezige risico’s.
- Afstemmen van IT-auditactiviteiten met andere governance-activiteiten kan schaalvoordelen en synergie opleveren. Ook het geïntegreerd laten samenwerken van IT-auditors en ‘algemene’ auditors kan kennisuitwisseling faciliteren.
- Auditplannen dienen te worden goedgekeurd door het Audit Committee en het hoofd IAD dient aan de Raad van Bestuur of het Audit Committee te rapporteren.
- Verbeteren van het kennisniveau op het gebied van IT-security.
- Meer gebruikmaken van geautomatiseerde tools kan bijdragen aan de effectiviteit en efficiency van audits.
Literatuur
[Fijn09] R. Fijneman en R. Poch, KPMG’s 2009 IT Internal Audit Survey, The status of IT Audit in Europe, the Middle East, and Africa, March 2009.
[GAIN09] Global Audit Information Network – The Institute for Internal Auditors, Knowledge Alert, 2009 hot topics for the internal audit profession, January 2009.