Assurance, audit en advies: IT-auditor zoek de verschillen Adviesdiensten bij de NOREA ACAM/VDA-dag Amsterdam, 21 juni 2012 Jurgen van der Vlugt
Assurance, audit en advies: IT-auditor zoek de verschillen
Adviesdiensten bij de NOREAACAM/VDA-dagAmsterdam, 21 juni 2012
Jurgen van der Vlugt
ACAM/VDA-dag 21 juni 2012 Adviesdiensten 2
Agenda
• Studie: Opdracht, doelstellingen, startbeeld
• Studie: Resultaat
• Discussies: • Reglementeren Ja/nee
• De Anderen• Deskundigheid• GADs in spanningsveld ?
• Wat wél
ACAM/VDA-dag 21 juni 2012 Adviesdiensten 3
Opdracht; doelstelling
NOREA-discussie → Via Vaktechnische Commissie:• Overzicht van het fenomeen ‘adviesdiensten’• Of en hoe eventueel reglementeren
Binnen de kaders van het NOREA-‘Huis’ Ter bevordering kwaliteit van uitvoering van adviesdiensten
Werkgroep Adviesdiensten:L. (Leo) Benschop MSc RE QSA CISA, NoordbeekH. (Hub) Heijnen MIM, Verdonck, Klooster & AssociatesH.G.P. (Huub) Lucassen RE RA, Ernst &YoungMr.drs. J. (Jan) Roodnat RE RA, RAD / AuditDienst RijkDrs. E. (Erwin) Veth RE, INGIr.drs. J. (Jurgen) van der Vlugt RE CISA CRISC, Maverisk, penvoerderIng. J.M. (Koos) Ziere RE CISA, AuditZie
ACAM/VDA-dag 21 juni 2012 Adviesdiensten 4
(IT-auditwerkzaamheden)
Statuten, artikel 10:
Register EDP-auditors worden geacht
op te treden als EDP-auditor wanneer zij
op grond van een onderzoek met betrekking tot de situatie ten aanzien van de informatie-technologie in een organisatie
een oordeel of advies geven
ACAM/VDA-dag 21 juni 2012 Adviesdiensten 5
•C1 RaamwerkAssurance-opdrachten
•C2 RichtlijnAssurance-opdrachten
A1 Statuten
• A2 Huishoudelijkreglement
• A3 Reglement vantoelating
• A4 ReglementBeroepsethiek
• A5 Reglement vanTucht
• A6 Reglement vanberoep
• A7 Richtlijn PE• A8 Regeling Over-
stappers enherintreders
B1 Reglement Gedragscode
• E Advies
Invulling in ontwikke-ling
B2 Reglement Beroepsbeoefening
• G Uitvoeringsrichtlijnen (Opdrachtaanvaarding, Documentatie)
• H Handreikingen (ZekeRE Business, ZekeRE Zorg); studierapporten, Handboek en ‘De EDP-Auditor’
B3 Reglement KwaliteitsBeheersing NOREA
• D AuditAssessmentReviewQuick ScanBeoordelingAnalyse
• F ‘Niet-Actief’(zoals Inbusiness of
gepensioneerd)
[Geen invulling] – [B2 en B3 n.v.t.]
Onderzoek, met als Resultaat een Uiting Inspanning
Gericht op beoordeling van wat ís Toekomstgericht
Beeld bij start
ACAM/VDA-dag 21 juni 2012 Adviesdiensten 6
Agenda
• Studie: Opdracht, doelstellingen, startbeeld
• Studie: Resultaat ←
• Discussies: • Reglementeren Ja/nee
• De Anderen• Deskundigheid• GADs in spanningsveld ?
• Wat wél
ACAM/VDA-dag 21 juni 2012 Adviesdiensten 7
Resultaat
• Inleiding• Scope• Generieke adviesproces• Taxonomie
• Input- en proces(kwaliteits)vereisten• Passendheid, haalbaarheid, effectiviteit• Elders• Aanzetten tot reglementering
ACAM/VDA-dag 21 juni 2012 Adviesdiensten 8
Scope
Een adviesdienst is de uitvoering van een opdracht waarbij een IT-auditor een advies formuleert op basis van een onderzoek, bedoeld om de beoogde gebruiker te ondersteunen bij besluitvorming op het gebied van informatietechnologie in een organisatie.
•Deliverable: Advies•Formele opdracht•Geschikte adviesvraag
•Onderzoek
•Duurzame vastlegging (‘rapport’ ++)
ACAM/VDA-dag 21 juni 2012 Adviesdiensten 9
Taxonomie
ACAM/VDA-dag 21 juni 2012 Adviesdiensten 10
Passendheid, haalbaarheid, effectiviteit• Passendheid
• Onmiddellijke aansluiting
• Contextuele fit
• Haalbaarheid• Inpasbaarheid
• Acceptatie-inspanning
• Effectiviteit• Prestatie
• Accepteerbaarheid
• Toekomstvastheid• Inherente factoren
• Contextuele begeleiding
• (Miniem tot game changer)
• Flexibiliteit en onderhoudbaarheid
ACAM/VDA-dag 21 juni 2012 Adviesdiensten 11
Elders
• IFAC, ISACA, AICPA (et al), FEE, ROA/Ooa: ×
• NBA: 4400 / 5500n → ×
• IIA: Secties C• Standaard• ‘Gedwongen collisie’• ‘Werkprogramma’s’
• Zeer beperkte literatuur (‘consulting’)
ACAM/VDA-dag 21 juni 2012 Adviesdiensten 12
Agenda
• Studie: Opdracht, doelstellingen, startbeeld
• Studie: Resultaat
• Discussies: ←• Reglementeren Ja/nee
• De Anderen• Deskundigheid• GADs in spanningsveld ?
• Wat wél
ACAM/VDA-dag 21 juni 2012 Adviesdiensten 13
Discussie 1:Reglementeren Ja/Nee
ACAM/VDA-dag 21 juni 2012 Adviesdiensten 14
Weging ..?
• Pluriformiteit advies• Inhoudelijke kwaliteit ..?• Toekomstgerichtheid ..?• Gebruiker = opdrachtgever
• Geen standaardisatie conclusie• Geen standaardisatie procedures
• Bureaucratie met mindere ‘fit’ en wel overheadkosten Versus professionaliteit en flexibiliteit
• Maatschappij wenst ont-regeling• Niet ‘ de mindere collega’s in toom
houden’ (Waard/gasten)
• Reglement Gedragscode geldt nog!• Objectiviteit, deskundigheid, zorgvuldigheid• Professioneel gedrag!• De IT-auditor aanvaardt te allen tijde de
verantwoordelijkheid op te treden in het algemeen belang en behartigt dientenge-volge niet uitsluitend de belangen van een individuele opdrachtgever. Daartoe neemt de IT-auditor bij zijn optreden deze Code in acht en handelt in overeenstemming daarmee.
• Witte vlek(ken) invullen past bij Huis• Het hindert niet; algemeenheden• Eenvoudig op te stellen• Houvast
Weging ..?
ACAM/VDA-dag 21 juni 2012 Adviesdiensten 15
Voorlopig
Uitkomst:
• Niet reglementeren• Wel stimuleren
• Kennisname (waarvan akte)• Toepassing (…)
Risico: Weinig houvast (?), anything goes
ACAM/VDA-dag 21 juni 2012 Adviesdiensten 16
Discussie 2: De Anderen
Assurance – Audit – … │ Advies │ … – → │← → │← → │←
ACAM/VDA-dag 21 juni 2012 Adviesdiensten 17
De grenzen, deel IOnderzoeksrichting
Assurance Non-assurance
Advies
Specifieke o.w.
Non-advies
Non-specifieke o.w.
Of
Audit/assessment/review/beoordeling/doorlichting/…
Risico: Form over substance discussies
ACAM/VDA-dag 21 juni 2012 Adviesdiensten 18
De grenzenDeel II
• Advies: Mening over toekomst• Voortschrijdende werkelijkheid• Voortschrijdend inzicht• Separate, specifieke opdracht/vraag• Resultaatverplichting:
Duurzame vastlegging
• In Business• ‘Consulting’• Overeengekomen specifieke
werkzaamheden (!)• Inspanningsverplichting (karakter)• Open ended (?)
• Afhankelijk van uw Charter…
Risico: Manusje van alles
ACAM/VDA-dag 21 juni 2012 Adviesdiensten 19
Discussie 3: Deskundigheid
• Advies(verzoek) kan over van alles gaan• Deskundigheid: Traditioneel versus Alles
• Potentie bij huidige staffing• Verbreding instroommogelijkheden ?
• Push: Autonoom ontwikkelen, waarmaken• Pull: Vraag creëren ..?
Risico: Gelokt, geslagen
ACAM/VDA-dag 21 juni 2012 Adviesdiensten 20
Discussie 4: GADs in een spanningsveld ?
• Minder de onafhankelijke toehoorder?Meer speler in een spel?• Niet altijd zuiver (man/bal)• Niet altijd zichtbaar• Niet altijd 1-tegen-1• Alle stakeholders …?
• Geen one-offs?• Langere termijn → Komt eigen advies tegen
• Ook nog GAD → Komt eigen advies tegen
ACAM/VDA-dag 21 juni 2012 Adviesdiensten 21
Advies: Mijnenveld
• Resultaat (product) onduidelijk, poly-interpretabel
• Denk aan openbaarheid• Vereist eenduidigheid• Vereist voorzichtigheid• Vereist niet ‘een’ mening te geven
• Dus …
ACAM/VDA-dag 21 juni 2012 Adviesdiensten 22
Agenda
• Studie: Opdracht, doelstellingen, startbeeld
• Studie: Resultaat
• Discussies: • Reglementeren Ja/nee
• De Anderen• Deskundigheid• GADs in spanningsveld ?
• Wat wél ←
ACAM/VDA-dag 21 juni 2012 Adviesdiensten 23
Wat wél
• Van standaard naar dynamische audits• Meer project reviews etc.• Geen Adviesdiensten, wel a tempo
• Continuous• Monitoring en/of Assurance
ACAM/VDA-dag 21 juni 2012 Adviesdiensten 24
Ten slotte
ACAM/VDA-dag 21 juni 2012 Adviesdiensten 25
26
Contact detailsJurgen van der VlugtNOREA, Vaktechnische Commissie (nog even)NOREA, vh Commissie Educatie, Commissie (Herziening) BeroepsregelsISSA, Global Ethics Committee
http://www.norea.nl/Norea/Actueel/Nieuws/Studie+Adviesdiensten.aspx
Maverisk Consultancy, IS Audit and Advisory servicesIr.drs. J. van der Vlugt RE CISA CRISC• [email protected]• LinkedIn, Twitter (etc.etc.)• Tel +31-(0)6-206.648.23
ACAM/VDA-dag 21 juni 2012 Adviesdiensten