1. Assurance, audit en advies:
IT-auditor zoek de verschillen
Adviesdiensten bij de NOREA
ACAM/VDA-dag
Amsterdam, 21 juni 2012
Jurgen van der Vlugt
2. Agenda
• Studie: Opdracht, doelstellingen, startbeeld
• Studie: Resultaat
• Discussies:
• Reglementeren Ja/nee
• De Anderen
• Deskundigheid
• GADs in spanningsveld ?
• Wat wél
ACAM/VDA-dag 21 juni 2012 Adviesdiensten 2
3. Opdracht; doelstelling
NOREA-discussie → Via Vaktechnische Commissie:
• Overzicht van het fenomeen ‘adviesdiensten’
• Of en hoe eventueel reglementeren
Binnen de kaders van het NOREA-‘Huis’
Ter bevordering kwaliteit van uitvoering van adviesdiensten
Werkgroep Adviesdiensten:
L. (Leo) Benschop MSc RE QSA CISA, Noordbeek
H. (Hub) Heijnen MIM, Verdonck, Klooster & Associates
H.G.P. (Huub) Lucassen RE RA, Ernst &Young
Mr.drs. J. (Jan) Roodnat RE RA, RAD / AuditDienst Rijk
Drs. E. (Erwin) Veth RE, ING
Ir.drs. J. (Jurgen) van der Vlugt RE CISA CRISC, Maverisk, penvoerder
Ing. J.M. (Koos) Ziere RE CISA, AuditZie
ACAM/VDA-dag 21 juni 2012 Adviesdiensten 3
4. (IT-auditwerkzaamheden)
Statuten, artikel 10:
Register EDP-auditors worden geacht
op te treden als EDP-auditor wanneer zij
op grond van een onderzoek met betrekking tot de
situatie ten aanzien van de informatie-
technologie in een organisatie
een oordeel of advies geven
ACAM/VDA-dag 21 juni 2012 Adviesdiensten 4
5. Beeld bij start
Onderzoek, met als Resultaat een Uiting Inspanning
A1 Statuten
B1 Reglement Gedragscode
B2 Reglement Beroepsbeoefening
B3 Reglement KwaliteitsBeheersing NOREA
• A2 Huishoudelijk • C1 Raamwerk • D Audit • E Advies • F ‘Niet-Actief’
reglement Assurance- Assessment (zoals In
• A3 Reglement van opdrachten Review Invulling in business of
toelating Quick Scan ontwikke- gepensioneerd)
• A4 Reglement • C2 Richtlijn Beoordeling ling
Beroepsethiek Assurance- Analyse [Geen invulling] –
• A5 Reglement van opdrachten [B2 en B3 n.v.t.]
Tucht
• A6 Reglement van • G Uitvoeringsrichtlijnen
beroep
(Opdrachtaanvaarding, Documentatie)
• A7 Richtlijn PE
• A8 Regeling Over-
stappers en • H Handreikingen (ZekeRE Business, ZekeRE Zorg);
herintreders studierapporten, Handboek en ‘De EDP-Auditor’
Gericht op beoordeling van wat ís Toekomstgericht
ACAM/VDA-dag 21 juni 2012 Adviesdiensten 5
6. Agenda
• Studie: Opdracht, doelstellingen, startbeeld
• Studie: Resultaat ←
• Discussies:
• Reglementeren Ja/nee
• De Anderen
• Deskundigheid
• GADs in spanningsveld ?
• Wat wél
ACAM/VDA-dag 21 juni 2012 Adviesdiensten 6
8. Scope
Een adviesdienst is de uitvoering van een opdracht waarbij
een IT-auditor een advies formuleert op basis van een
onderzoek, bedoeld om de beoogde gebruiker te
ondersteunen bij besluitvorming op het gebied van
informatietechnologie in een organisatie.
•Deliverable: Advies
•Formele opdracht
•Geschikte adviesvraag
•Onderzoek
•Duurzame vastlegging (‘rapport’ ++)
ACAM/VDA-dag 21 juni 2012 Adviesdiensten 8
14. • Witte vlek(ken) invullen past bij Huis • Pluriformiteit advies
• Het hindert niet; algemeenheden • Inhoudelijke kwaliteit ..?
• Toekomstgerichtheid ..?
• Eenvoudig op te stellen • Gebruiker = opdrachtgever
• Houvast • Geen standaardisatie conclusie
• Geen standaardisatie procedures
• Bureaucratie met mindere ‘fit’ en wel
overheadkosten
Versus professionaliteit en flexibiliteit
• Maatschappij wenst ont-regeling
• Niet ‘ de mindere collega’s in toom
houden’ (Waard/gasten)
Weging ..?
• Reglement Gedragscode geldt nog!
• Objectiviteit, deskundigheid, zorgvuldigheid
• Professioneel gedrag!
• De IT-auditor aanvaardt te allen tijde de
verantwoordelijkheid op te treden in het
algemeen belang en behartigt dientenge-
Weging ..? volge niet uitsluitend de belangen van een
individuele opdrachtgever.
Daartoe neemt de IT-auditor bij zijn
optreden deze Code in acht en handelt in
ACAM/VDA-dag 21 juni 2012 Adviesdiensten
overeenstemming daarmee. 14
15. Voorlopig
Uitkomst:
• Niet reglementeren
• Wel stimuleren
• Kennisname (waarvan akte)
• Toepassing (…)
Risico: Weinig houvast (?), anything goes
ACAM/VDA-dag 21 juni 2012 Adviesdiensten 15
16. Discussie 2:
De Anderen
Assurance – Audit – … │ Advies │ … –
→ │← → │← → │←
ACAM/VDA-dag 21 juni 2012 Adviesdiensten 16
17. De grenzen, deel I
Onderzoeksrichting
Of
Assurance Non-assurance
Advies Non-advies
Specifieke o.w. Non-specifieke o.w.
Audit/assessment/review/beoordeling/doorlichting/…
Risico: Form over substance discussies
ACAM/VDA-dag 21 juni 2012 Adviesdiensten 17
18. De grenzen
Deel II
• Advies: Mening over toekomst
• Voortschrijdende werkelijkheid
• Voortschrijdend inzicht
• Separate, specifieke opdracht/vraag
• Resultaatverplichting:
Duurzame vastlegging
• In Business
• ‘Consulting’
• Overeengekomen specifieke
werkzaamheden (!)
• Inspanningsverplichting (karakter)
• Open ended (?)
• Afhankelijk van uw Charter…
Risico: Manusje van alles
ACAM/VDA-dag 21 juni 2012 Adviesdiensten 18
19. Discussie 3:
Deskundigheid
• Advies(verzoek) kan over van alles gaan
• Deskundigheid: Traditioneel versus Alles
• Potentie bij huidige staffing
• Verbreding instroommogelijkheden ?
• Push: Autonoom ontwikkelen, waarmaken
• Pull: Vraag creëren ..?
Risico: Gelokt, geslagen
ACAM/VDA-dag 21 juni 2012 Adviesdiensten 19
20. Discussie 4:
GADs in een spanningsveld ?
• Minder de onafhankelijke toehoorder?
Meer speler in een spel?
• Niet altijd zuiver (man/bal)
• Niet altijd zichtbaar
• Niet altijd 1-tegen-1
• Alle stakeholders …?
• Geen one-offs?
• Langere termijn → Komt eigen advies tegen
• Ook nog GAD → Komt eigen advies tegen
ACAM/VDA-dag 21 juni 2012 Adviesdiensten 20
21. Advies: Mijnenveld
• Resultaat (product) onduidelijk, poly-
interpretabel
• Denk aan openbaarheid
• Vereist eenduidigheid
• Vereist voorzichtigheid
• Vereist niet ‘een’ mening te geven
• Dus …
ACAM/VDA-dag 21 juni 2012 Adviesdiensten 21
22. Agenda
• Studie: Opdracht, doelstellingen, startbeeld
• Studie: Resultaat
• Discussies:
• Reglementeren Ja/nee
• De Anderen
• Deskundigheid
• GADs in spanningsveld ?
• Wat wél ←
ACAM/VDA-dag 21 juni 2012 Adviesdiensten 22
23. Wat wél
• Van standaard naar dynamische audits
• Meer project reviews etc.
• Geen Adviesdiensten, wel a tempo
• Continuous
• Monitoring en/of Assurance
ACAM/VDA-dag 21 juni 2012 Adviesdiensten 23
26. Contact details
Jurgen van der Vlugt
NOREA, Vaktechnische Commissie (nog even)
NOREA, vh Commissie Educatie, Commissie (Herziening) Beroepsregels
ISSA, Global Ethics Committee
http://www.norea.nl/Norea/Actueel/Nieuws/Studie+Adviesdiensten.aspx
Maverisk Consultancy, IS Audit and Advisory services
Ir.drs. J. van der Vlugt RE CISA CRISC
• Jvdvlugt@maverisk.nl
• LinkedIn, Twitter (etc.etc.)
• Tel +31-(0)6-206.648.23
ACAM/VDA-dag 21 juni 2012 Adviesdiensten 26
Notas del editor
ACAM/VDA-dag 21 juni 2012
ACAM/VDA-dag 21 juni 2012 Operations Risk 'Management'Van plank misslaan naar spijker op de kop ISSA NL Eurojust Den Haag June 20 2012ISACA Roundtable 5 maart 2012 Breukelen