ONDERZOEK
IT-AUDIT VERKLARING
Inleiding en achtergrond onderzoek IT-jaarverslag met IT-auditverklaring
De afhankelijkheid en inzet van Informatietechnologie (IT) is de afgelopen jaren gestegen. Veel bedrijven kunnen zonder de inzet van IT hun doelstellingen niet bereiken. De kwaliteit van de IT is in veel gevallen een kritieke succesfactor geworden.
Over IT wordt echter maar in beperkte mate gerapporteerd aan derden. De reikwijdte van bijvoorbeeld de jaarrekeningcontrole is in zijn huidige vorm te beperkt om een adequaat oordeel te vellen over de beheersing van IT. Laat staan dat daarnaast ook nog ruimte is om bijvoorbeeld vast te stellen of een organisatie voldoende
veerkrachtig
is om bijvoorbeeld IT discontinuïteit of cyberaanvallen in voldoende mate te kunnen weerstaan. Een specifiek IT-jaarverslag voorzien van een IT-auditverklaring zou dit kunnen oplossen.
De beroepsorganisatie van register IT-auditors NOREA (Nederlandse Organisatie voor Register EDP-Auditors) heeft vergevorderde plannen voor een IT-auditverklaring. Volgens de NOREA groeit in de bestuurskamers van Nederlandse ondernemingen en hun stakeholders de behoefte aan een onafhankelijk oordeel over de opzet en inrichting van de IT.
In deze enquête wil NOREA onderzoeken welke voorkeuren en afwegingen leven bij het topmanagement van organisaties in Nederland. De vragenlijst gaat daarbij in op de structuur en inhoud van het IT-jaarverslag, de IT-auditverklaring, de wenselijkheid daarvan en toegevoegde waarde voor zowel de onderneming zelf als haar stakeholders.
Het invullen van de vragenlijst neemt ongeveer 10 minuten van uw tijd in beslag. De beantwoording van de vragen is anoniem. Uw gegevens worden niet vastgelegd in onze systemen, tenzij u bij de laatste vraag uw gegevens invult.
Wij nodigen u graag uit de vragenlijst in te vullen en danken u alvast hartelijk voor het invullen.
Mocht u vragen hebben, dan kunt u contact opnemen met de onderzoekers via e-mail
norea@norea.nl
of via telefoonnummer 020-3010380.
Het bestuur van NOREA.
1. Persoonlijke vragen
1.1 In welk jaar bent u geboren?
1.2 Wat is uw hoogst genoten opleiding?
Post doctoraal / Post master
Universitair
HBO
MBO
Voortgezet onderwijs
Lagere school
Anders, namelijk:
1.3 Beschikt u over een beroepstitel?
RE
RA
RO
RC
RT
RI
AG
CFA
FRM
CISA
CISSP
Anders, namelijk:
1.4 Wat is uw functie?
CEO
CFO
CIO
CRO
CTO
Commissaris
Externe toezichthouder
Lid Audit Comittee
Anders, namelijk:
1.5 Hoe lang werkt u al in deze functie bij uw onderneming?
2. Vragen over de onderneming
2.1 Is uw onderneming aan een beurs genoteerd?
AEX
DAX
CAC
LSE
NYSE
Midkap
Nasdaq
Nee
Anders, namelijk:
2.2 Heeft uw onderneming te maken met een externe toezichthouder?
Nee
Ja, welke:
2.3 Wat is de grootte van uw onderneming gemeten naar het aantal medewerkers?
< 50
> 50 - < 250
> 250 - < 1.000
> 1.000 - < 5.000
> 5.000 - < 20.000
> 20.000 - < 50.000
> 50.000
Anders, namelijk:
2.4 Wat is de grootte van uw onderneming gemeten in omzet in 2020 (in EUR)?
< 10.000 miljoen
> 10.000 miljoen - < 50.000 miljoen
> 50.000 miljoen - < 100.000 miljoen
> 100.000 miljoen - < 500.000 miljoen
> 500.000 miljoen - < 1 miljard
> 1 miljard - < 5 miljard
> 5 miljard
2.5 In welke geografie is uw onderneming werkzaam?
Nederland
Europa
Amerika
Noord-Amerika
Zuid-Amerika
Midden-Oosten
Afrika
Azië
Australië
2.6 Heeft uw onderneming een one-tier structuur of een two-tier structuur?
One-tier structuur
Two-tier structuur
7 + 4 =
*
Email
2.7 Onder welke industriesector schaart u uw onderneming?
Financiële sector
IT-sector
Handelsonderneming
Logistiek & vervoer
Detailhandel
Groothandel
Industriële onderneming
Overheid
Dienstverlening (audit en consultancy)
Dienstverlening (geen audit en consultancy)
Zorgsector
Anders, namelijk:
3. IT in uw onderneming
3.1 Hoe belangrijk vindt u IT in uw bedrijf?
I
II
III
IV
V
3.2 Hoe afhankelijk is uw onderneming van IT voor haar functioneren?
I
II
III
IV
V
3.3 Hoe belangrijk is de IT van uw onderneming voor uw afnemers en/of ketenpartners?
I
II
III
IV
V
3.4 Hoe belangrijk is IT in de dienstverlening aan uw klanten?
I
II
III
IV
V
3.5 Wat is daarvoor de reden?
3.6 Hoe afhankelijk is uw onderneming van de goede werking van uitbestede IT?
I
II
III
IV
V
3.7 Hoe ernstig acht u de gevolgen van een IT calamiteit in termen van reputatie bij uw klanten, betrokkenen? (denk aan uitval, datalekken, non-compliance).
I
II
III
IV
V
3.8 Hoe groot acht u de maatschappelijke schade als gevolg van een IT falen bij uw onderneming voor klanten en andere betrokkenen?
I
II
III
IV
V
3.9 Hoe goed schat u uw inzicht in de kwaliteit van IT in uw onderneming?
I
II
III
IV
V
3.10 Wat zijn de hoogste IT-risico’s bij uw onderneming?
I
II
III
IV
V
Continuïteit
Cybersecurity
Privacy
Logische Toegangsbeveiliging
Data lekken
3.11 Heeft u nog andere hoge IT risico's binnen uw onderneming?
Nee
Ja, namelijk
3.12 Werkt uw onderneming voornamelijk
10% van de omzet
20% van de omzet
60% van de omzet
80% van de omzet
100% van de omzet
Business-to-business
Business-to-consumer
3.13 Is uw organisatie weleens gehackt?
3.14 In welk jaar was dat?
4. IT-jaarverslag
4.1 Welke waarde zou u toekennen aan een oordeel van een onafhankelijke IT-auditor over de kwaliteit van IT in uw onderneming?
I
II
III
IV
V
4.2 Waaraan zou u de voorkeur geven: een oordeel van een externe onafhankelijke IT-auditor of een interne IT-auditor?
4.3 Wat is (zijn) daarbij uw overweging(en)?
4.4 Hoe hoog vindt u het belang van een jaarrekening gecontroleerd door een accountant?
I
II
III
IV
V
4.5 Hoe hoog vindt u het belang van een IT-jaarverslag gecontroleerd door een IT-auditor?
I
II
III
IV
V
4.6 Stelling: IT krijgt voldoende aandacht in het huidige jaarverslag.
I
II
III
IV
V
4.7 Zo nee, wat zou u willen toevoegen?
4.8 Hoe hoog is de toegevoegde waarde van een aparte IT-audit verklaring voor:
I
II
III
IV
V
1. De RvB?
2. De RvC
3. De aandeelhouders
4. De medewerkers
5. Het hoofd IT
6. Het maatschappelijk verkeer
7. Investeerders
8. Banken
9. Toezichthouders
4.9 Wat zouden onderdelen van een IT-audit verklaring kunnen zijn (die worden onderzocht)?
I
II
III
IV
V
• Vooruitblik (1-3 jaren)
• IT-strategie
• Gebruik moderne IT
• Belangrijke projecten
• Risico-analyse gericht op de inzet van IT
• Patching
• Versiebeheer
• Continuïteit
• Toegangs-beveiliging
• Change Management
• Security
• Cybersecurity
• Uitbesteding
• Investeringen in IT
• Kwaliteit project-Management
• Kwaliteit Systeem-ontwikkeling
• Afhankelijkheid derde partijen
• Innovatief vermogen
4.10 Wat heeft uw voorkeur: Een IT-verslag waarin iedere onderneming over dezelfde onderwerpen moet rapporteren of een IT-verslag waarin alleen gerapporteerd hoeft te worden over wat voor de betreffende onderneming belangrijk is?
I
II
III
IV
V
4.11 Kunt u aangeven wat de redenen zijn voor uw keuze?
4.12 Heeft het uw voorkeur om de inhoud van het IT-verslag vooral kwalitatief van aard laten zijn of juist vooral kwantitatief en meetbaar?
I
II
III
IV
V
4.13 In welke mate vindt u het wenselijk dat per onderwerp een doelstelling en maatregelen worden opgenomen?
4.13A Doelstelling
Zeer wenselijk
Wenselijk
Onwenselijk
Niet wenselijk
Zeer onwenselijk
4.13B Maatregelen
Zeer wenselijk
Wenselijk
Onwenselijk
Niet wenselijk
Zeer onwenselijk
4.14 Zou het IT-jaarverslag vooruitkijkend en/of terugkijkend van aard moeten zijn?
Vooruit kijkend
Zowel vooruit kijkend als achteruit kijkend
Achteruit kijkend
4.15 Kunt u aangeven wat de reden(en) is(zijn) voor uw keuze bij de vorige vraag?
4.16 Zou er nog een onderscheid gemaakt moeten worden tussen de omvang van ondernemingen (zoals klein, middelgroot en groot)?
I
II
III
IV
V
4.17 Kunt u aangeven wat de redenen zijn voor uw keuze?
4.18 Zou in het IT-jaarverslag een verklaring van de externe IT-auditor moeten worden opgenomen?
Ja
Nee
4.19 Voor wie zou het IT-jaarverslag worden opgesteld
I
II
III
IV
V
Maatschappelijk verkeer
Stakeholders
Intern topmanagement
Investeerders
Analisten
4.20 Zouden de kosten voor een IT-jaarverslag hoger of lager moeten zijn vergeleken met een regulier jaarverslag over de balans en winst- en verliesrekening?
Veel hoger
Hoger
Gelijk
Minder
Veel minder
4.21 Wat zijn de redenen van uw keuze?
4.22 Stelling: het IT-jaarverslag zou een wettelijke verplichting moeten hebben?
I
II
III
IV
V
4.23 Als er geen wettelijke verplichtingen zouden zijn, hoe belangrijk zou u de volgende publicaties vinden?
I
II
III
IV
V
Jaarrekening
Jaarverslag
IT-jaarverslag
Kwartaalrapporten
4.24 Zou u willen deelnemen aan een pilot-onderzoek uitgevoerd door of namens NOREA zodra de uitkomsten van dit onderzoek bekend zijn?
Ja
Nee
Misschien
4.25 Wilt u persoonlijk worden geïnformeerd over de uitkomsten van dit onderzoek, dan vragen wij u om uw naam en e-mail in te vullen. Wij nemen dan contact met u op zodra de onderzoeksresultaten bekend zijn. Ook houden wij u op de hoogte van relevante ontwikkelingen.
Ja, ik wil graag persoonlijk worden geïnformeerd en ben akkoord dat deze gegevens worden bewaard door NOREA.
Nee
Mijn naam is
Mijn e-mailadres is
naam@bedrijf.nl
4.26 Heeft u nog aanvullende opmerkingen of suggesties naar aanleiding van dit onderzoek?