Management

Governance
Audit

IT-auditors kunnen het niet meer bijbenen

Middelen ontbreken om kennis bij te spijkeren en nieuwe ontwikkelingen het hoofd te bieden.

© CC0 - Pixabay,  geralt
30 augustus 2017

Middelen ontbreken om kennis bij te spijkeren en nieuwe ontwikkelingen het hoofd te bieden.

De snelle IT-ontwikkelingen bieden bedrijven volop kansen te innoveren. De uitgaven voor het indammen van nieuwe risico's die zo ontstaan, die hobbelen er zoals te doen gebruikelijk wat achteraan.  

Die conclusie dringt zich op na lezing van het rapport IT Internal Audit: Multiplying risks amid scarce resources, van KPMG. Al formuleren de onderzoekers zelf iets omzichtiger.

Uit internationaal onderzoek van KPMG onder 250 ondernemingen blijkt dat 40 procent van de interne auditors die IT de maat nemen, op dit moment vooral oog heeft voor de belangrijkste operationele risico’s. Het gaat daarbij om activiteiten als het verrichten van algemene IT-controles, controles van de applicaties die de onderneming gebruikt en het beheer van de toegang tot de systemen om de risico's van het falen van interne procedures en de ongeoorloofde toegang tot de kwetsbare bedrijfssystemen in te dammen.

Aan de risico’s die de onderneming gaat lopen bij inzet van robotica, machine learning, kunstmatige intelligentie (algoritmes) en het Internet of Things besteden IT auditors binnen Internal Auditfuncties (IAF’s) nog nauwelijks aandacht, constateert KPMG. Al is het besef dat die terreinen aandacht verdienen, wel aanwezig. En de auditors verwachten daar ook wat mee te doen: 63 procent denkt er volgend jaar meer aandacht aan te gaan besteden.

Comfortzone

De onderzoekers van KPMG moeten het nog zien. Volgens hen opereren IT auditors nog te veel vanuit hun comfortzone, vanuit de kennis die ze beheersen. Die houding wordt vooral veroorzaakt door een gebrek aan kennis van de nieuwe technologieën, aldus KPMG. De IT-auditors zien dat zelf ook wel in. Met name de kennis op het terrein van cybersecurity, data & analytics en privacy laat volgens de respondenten te wensen over.

Daarnaast speelt een rol dat bedrijven er weinig geld voor beschikbaar stellen. “De toenemende druk op de IAF’s om meer aandacht te besteden aan de ‘nieuwe’ risico’s houdt geen gelijke tred met het geld dat bedrijven hieraan uitgeven”, constateert Bart van Loon, partner bij KPMG’s Internal Audit, Risk & Compliance Services. “Ruim 40 procent geeft aan dat de budgetten voor de IT internal audit functie gelijk blijven. Bijna 10 procent voorziet dit jaar en volgend jaar zelfs een daling. Ruim 30 procent geeft aan dat dit soort budgetten wellicht zou kunnen stijgen. Maar als de investeringen niet minimaal op hetzelfde niveau blijven ontstaat er een reëel gevaar dat de IT internal auditor niet in staat zal blijken te zijn om voldoende zekerheid te bieden bij alle soorten risico’s die de onderneming loopt. Dus niet alleen de risico’s die betrekking hebben op de kernactiviteiten. Wij zien overigens wel dat Internal Auditfuncties in Nederland hierin in toenemende mate investeren.”

Aan de bel trekken

KPMG vindt wel dat het tijd wordt voor een waarschuwingssignaal van de interne IT-auditors "Gezien het tempo waarin nieuwe risico’s op veel bedrijven afkomen, is het overigens wel de verantwoordelijkheid van de IAF om het bestuur en auditcommissie te wijzen om op de huidige beperkingen van de audits die zij kunnen leveren”, zegt Huck Chuah van KPMG. Daarbij moeten ze aandringen op slim investeren in de auditfunctie. "Om het budget te kunnen oprekken hebben bedrijven een aantal mogelijkheden, zoals het verder automatiseren van de audit workflow, het invoeren van agile auditing en de inzet van auditors die beschikken over de laatste IT kennis, zoals auditors met een hackersachtergrond", zegt Chuah.

Wakker worden

Volgens Van Loon moeten bedrijven zich nu toch echt gaan realiseren, dat de risico's van nieuwe technologieën groter worden en voortdurend veranderen. “Voor veel bedrijven is het van essentieel belang is om te kunnen profiteren van de commerciële mogelijkheden die de nieuwe technologieën bieden. Technologieën die aanzienlijke risico’s met zich mee kunnen brengen en bedrijven steeds vaker het doelwit maken van hackers en fraudeurs. Naast cyber security moeten met name de data privacy risico’s veel meer aandacht krijgen van de IT internal auditor. Zeker nu een groot aantal ondernemingen voor de beslissing staat of zij hun data wel of niet over te brengen naar de cloud. Het belang van data privacy wordt benadrukt door de invoering van de General Data Protection Regulation in de Europese Unie en de Algemene Verordening Gegevensbescherming in Nederland. Bedrijven die hier niet aan voldoen kunnen vanaf mei 2018 boetes tot 4 procent van hun jaaromzet worden opgelegd.”

Het volledige rapport is te vinden op de website van KPMG.

 

Lees meer over
Lees meer over Management OP AG Intelligence
4
Reacties
Anoniem 02 september 2017 14:37

Kennis schort te kort en snelle nieuwe ontwikkelingen niet bij te benen ?
Wel eens gedacht aan toepassing van E-learning ?
Just in time leren, knowledge at your fingertips, on going en in time kennis tot je nemen.

Anoniem 30 augustus 2017 16:03

Zonder af te willen dingen op de de opgehaalde gegevens en de relevantie van het onderzoek zie ik in de interpretatie ook sprake van een hetzelfde "oud denken" als wat de onderzoekers in de praktijk aantreffen.
Het punt is namelijk dat van de geschetste nieuwe uitdagingen de risico's niet alleen maar tot het IT domein behoren. Risico's hangen sterk samen met de toepassingsgebieden. Nog steeds is het toepassingsgebied van onder toezicht staande IT vooral dat van administratieve processen met de daarbij bekende risk drivers zoals functiescheiding (logische toegangsbeveiliging), gegevensintegriteit (aansluitingscontroles) , malware (technische beveiliging). Het speelveld verschuift echter naar gebieden waar beheersing van aan administratieve toepassingen gerelateerde standaard risico's niet volstaan.
De vraag is dan als eerste of deze "nieuwe" risico's door IT controls beheerst moeten worden (met expertise van de IT auditors) of dat hier sprake is van een nieuw speelveld.
Als voorbeeld een drone die buiten luchtvaartzones moet blijven. Voor IT is dit niets anders dan juiste specificaties en voor IT audit niets anders dan standaard toezicht op ontwikkel, test en acceptatie. Maar is IT audit ook de geëigende partij om zich uit te spreken over de specificaties zelf? En over ethische aspecten in de software van zelfrijdende auto's over wie te beschermen (voetganger of bestuurder)?
Meer en meer is zichtbaar dat de diversiteit in het gebruik van technologie groter wordt en technologie wordt toegepast op terreinen waar beheersmaatregelen bij mogelijke risico's niet alleen meer vanuit de technologie beredeneerd kunnen worden, maar vanuit het gebruik. Beheersmaatregelen zullen dan ook in andere richtingen gaan (zoals een drone vliegbewijs) met controls die niet in het domein van een IT-auditor vallen (Radar toezicht en opsporing).
Voor bedrijven neigt dit eerder naar meer audit bemoeienis gedreven vanuit productaansprakelijkheid met hooguit IT-audit controle op de borging van bijbehorende specificaties in de IT.

Anoniem 30 augustus 2017 13:09

Helaas heeft KPMG zélf boter op het hoofd.

Anoniem 30 augustus 2017 12:15

Een geluk dat ze bij KPMG natuurlijk wel die kennis in huis hebben en zich met graagte laten inhuren om dat tegen een comfortabel tarief in te vullen.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.