Nieuws 29 mei 2008

'Internal auditors moeten kennis over informatiebeveiliging verbeteren'

Internal auditors vinden dat hun kennis over informatiebeveiliging en risicomanagement nog tekortschiet. Dat blijkt uit onderzoek van Protiviti onder 516, voornamelijk Noord-Amerikaanse, internal auditors.

Protiviti, dienstverlener op het gebied van internal auditing en risicomanagement, vroeg de auditors te inventariseren op welke gebieden hun kennis moet verbeteren. In de categorie 'algemene technische kennis' noemden de ondervraagden als grootste manco kennis van ISO 27000, een internationale standaard voor informatiebeveiliging, gevolgd door Enterprise Risk Management (ERM) en frauderisicomanagement.

Volgens Protiviti is deze uitkomst niet verrassend, gezien de steeds grotere afhankelijkheid van IT en het grote aantal beveiligingsincidenten.

Dat risicomanagement op de plaatsen twee en drie eindigt, verklaart het bedrijf uit de toegenomen aandacht voor het complete scala aan risico's dat organisaties loopt, nadat de inspanningen de laatste jaren vooral gericht waren op compliance met de Sarbanes-Oxley Act.

Kennis van IFRS komt dit jaar, in tegenstelling tot het onderzoek uit 2007, niet meer in de top vijf voor, waarschijnlijk omdat Amerikaanse ondernemingen de mogelijkheid van harmonisatie van IFRS en US GAAP steeds serieuzer nemen.

In de categorie 'technology/audit process knowledge' kwam de volgende top drie uit de bus:

1. Computer-assisted audit techniques (CAATs)
2. Continuous auditing
3. Data analysis tools

Op het gebied van persoonlijke competenties zien de internal auditors het onderhouden van goede contacten met bestuurscommissies als belangrijkste verbeterpunt. Volgens Protiviti is dat niet verrassend, gezien het feit dat besturen meer dan ooit verwachten volledig op de hoogte te zijn van het reilen en zeilen in de onderneming, en hierbij steunen op het werk van de internal-auditafdeling.