RvC wil meer dan wettelijke informatie van IT-auditor
Commissarissen zouden graag meer informatie van de IT-auditor ontvangen dan die wettelijk verplicht is. Dat blijkt uit onderzoek van KPMG. Rob Fijneman, academic director van TIAS Executive Master of IT-Auditing en lid van de Raad van Bestuur bij KPMG is mede-auteur van dit onderzoek ‘Toezicht op IT’.
Beeld: © Nationale Beeldbank
Een grote meerderheid van de ongeveer 50 ondervraagde commissarissen is van mening dat de rol van de accountant en de IT-auditor verder moet gaan dan de werkzaamheden en rapportage die wettelijk verplicht zijn bij de jaarrekeningcontrole. Ongeveer de helft geeft aan dat zij graag additionele informatie willen hebben van de IT-auditor over specifieke IT-aspecten, zoals een beoordeling van de grote IT-projecten en meer diepgaande beoordeling van de security.
30% van de ondervraagden wil graag dat de IT-auditor jaarlijks een brede risicoanalyse uitvoert op alle aspecte inclusief kwaliteit en toekomstbestendigheid van de IT-systemen, security, grote IT-projecten, kwaliteit van de IT-organisatie, IT-belemmeringen om de strategie te realiseren, etc. Bij het opstellen van deze risicoanalyse werkt de (externe) IT-auditor uiteraard samen met de afdeling Internal Audit. Met name de onafhankelijkheid van deze rapportage door de (externe) IT-auditor wordt door de commissarissen als belangrijk gezien.
De uitkomsten van dit onderzoek biedt kansen voor de IT-auditor, zegt Fijneman. “De IT-auditor kan onafhankelijk inzicht geven in risico’s en projecten. De leden van RvC geven aan dat onafhankelijke inzicht graag te ontvangen.”