superior results. Boston: Harvard Business School Press
8. Appendix 1: vragenlijst
Voor mijn masterscriptie onderzoek ik de rol van IT bij de jaarrekeningcontrole door (aanstaande) accountants en IT-auditors een vragenlijst voor te leggen. Bij organisaties neemt de automatisering en het gebruik van IT toe. Om deze reden is het interessant om te onderzoeken hoe de accountant en IT-auditor deze toenemende rol van IT in de jaarrekeningcontrole betrekken. Het betreft een beperkt aantal vragen en het duurt ongeveer 5-10 minuten om de vragenlijst in te vullen. Uw reactie is volledig anoniem. De respons is erg belangrijk voor dit onderzoek, dus ik ben u ontzettend dankbaar als u hiervoor even de tijd neemt. Het zou kunnen dat u het antwoord op bepaalde vragen niet weet, daarom is bij een aantal vragen de antwoordmogelijkheid ‘weet ik niet’ toegevoegd. Maak hier dus indien nodig gebruik van. Als u de resultaten van dit onderzoek in wil zien kun u dit aan het einde van de vragenlijst aangeven, of u kunt een mail sturen aan: X. Succes bij het invullen en alvast bedankt! Vriendelijke groet, Teun Bosveld
1 In dit eerste gedeelte komen verschillende aspecten van IT aan bod en gaat over uw visie op de impact die deze aspecten hebben op de jaarrekeningcontrole.
Vindt u dat u voldoende kennis heeft over aspecten van 'IT governance'? Ja
Nee
Weet ik niet
2 Zou u meer over IT governance willen leren? Ja
Nee
3 Krijgt u binnen X genoeg mogelijkheden tot bijscholing op dit gebied? Ja
4a In hoeverre vindt u de volgende aspecten die onder 'IT governance' vallen, belangrijk bij een jaarrekeningcontrole? Erg onbelangrijk 1 2 3 4 Erg belangrijk 5 Weet ik niet Informatiebeveiliging Fysieke toegangsbeveiliging Logische toegangsbeveiliging Back-ups en andere herstelmaatregelen System downtime Data opslag Virus beveiliging Firewalls Autorisatie voor programma ontwikkeling en aanpassingen
Testen van nieuwe programma's en aanpassingen Duidelijke programma specificaties bij nieuwe programma's en aanpassingen Input controls Processing controls Output controls
Hoe 'control minded'
de IT afdeling is IT visie en strategie IT doelstellingen IT risico management Monitoren van de efficiëntie van IT Communicatie tussen IT afdeling en de rest van de organisatie
4b Zijn er nog andere IT aspecten die van belang zijn voor de jaarrekeningcontrole? Zo ja, welke? Ja, namelijk ____________________
Nee
5 Met betrekking tot de jaarrekeningcontrole, in hoeverre bent u het eens met de volgende uitspraken? Sterk mee
oneens 1
2 3 4 Sterk mee
eens 5
Weet ik niet IT general controls zijn
belangrijker geworden in
de afgelopen twee jaar
IT application controls zijn belangrijker geworden in de afgelopen
twee jaar
IT enterprise controls zijn belangrijker geworden in
de afgelopen twee jaar
In de komende twee jaar worden IT general
controls belangrijker
In de komende twee jaar worden IT application
controls belangrijker
In de komende twee jaar worden IT enterprise
controls belangrijker
6 Van de tijd die u heeft besteed aan controlewerkzaamheden voor de jaarrekeningcontrole in de afgelopen twee jaar, hoeveel tijd schat u dat u op enigerlei wijze bezig bent geweest met de beoordeling van aspecten van 'IT governance'?
7 In hoeverre bent u het eens met de volgende uitspraken die betrekking hebben op de samenwerking tussen de accountant en IT-auditor bij een jaarrekeningcontrole?
Sterk mee oneens 1
2 3 4 Sterk mee
eens 5
Weet ik niet Ideeën en informatie worden
onderling gedeeld
Er is constructieve feedback
onderling
Om verbeteringen toe te passen worden er samen veranderingen
in de audit aanpak gemaakt
Er is vertrouwen in elkaar
Verwachtingen worden
onderling gecommuniceerd
Het advies van de IT-auditor is van belang voor de
jaarrekeningcontrole
De samenwerking tussen de accountant en IT-auditor is van
belang
De samenwerking tussen de accountant en IT-auditor kan
beter
De samenwerking tussen de accountant en IT-auditor is in
de afgelopen twee jaar verbeterd
8 De volgende reeks vragen gaat over 'IT governance' in combinatie met raamwerken daarvoor. Neem dit als uitgangspunt bij het beantwoorden van de vragen.
In hoeverre bent u het eens met de volgende uitspraak? Sterk mee
oneens 1 2 3 4 Sterk mee eens 5 Weet ik niet
Het is bij de jaarrekeningcontrole belangrijk de effectiviteit van
de 'IT governance' van een klant te beoordelen met behulp van één, of meer
raamwerken
9 Welke raamwerken, of standaarden kent u? (meerdere antwoorden mogelijk) COBIT 5 (ISACA)
COBIT 4 (ISACA) VAL IT (ISACA) RISK IT (ISACA)
BMIS (Business Model for Information Security, ISACA) IT Assurance Framework (ISACA)
NOREA richtlijn 3000 NOREA richtlijn 3402 NOREA richtlijn 4401
ISO 17799, ISO 27000, Information Security Framework or other security standards ITIL of ISO 20000 ISO 38500 TOGAF PRINCE2 PMI/PMBOK Six Sigma COSO ERM CMM of CMMI Overig, namelijk ____________________
Tonen: Als: ‘Welke raamwerken, of standaarden kent u?’ (vraag 9) geselecteerde keuzes > 0 Antwoordopties: geselecteerde keuzes: ‘Welke raamwerken, of standaarden kent u?’ (vraag 9) 10 In hoeverre begrijpt u deze raamwerken, of standaarden?
Erg slecht 1 2 3 4 Erg goed 5 Geselecteerde keuzes
Tonen: Als: ‘Welke raamwerken, of standaarden kent u?’ (vraag 9) geselecteerde keuzes > 0 Antwoordopties: geselecteerde keuzes: ‘Welke raamwerken, of standaarden kent u?’ (vraag 9)
11 In hoeverre kunt u deze raamwerken, of standaarden toepassen om de 'IT governance' bij een klant te beoordelen voor de jaarrekeningcontrole?
Erg slecht 1 2 3 4 Erg goed 5 Geselecteerde keuzes
Tonen: Als: ‘Welke raamwerken, of standaarden kent u?’ (vraag 9) geselecteerde keuzes > 1 Antwoordopties: geselecteerde keuzes: ‘Welke raamwerken, of standaarden kent u?’ (vraag 9)
12 Kunt u in volgorde aangeven welke raamwerken, of standaarden u het meest effectief vindt om de 'IT governance' te beoordelen bij een klant voor de jaarrekeningcontrole?
Volgorde effectiviteit Geselecteerde
keuzes ____
13 Uitsluitend ten aanzien van 'IT governance': heeft u in de afgelopen twee jaar bij een jaarrekeningcontrole op enigerlei wijze gebruikgemaakt van raamwerken, of standaarden om (delen van) de 'IT governance' van een klant te beoordelen?
Ja Nee
Tonen: Als: ‘Uitsluitend ten aanzien van 'IT governance': heeft u in de afgelopen twee jaar bij een
jaarrekeningcontrole op enigerlei wijze gebruikgemaakt van raamwerken, of standaarden om (delen van) de 'IT governance' van een klant te beoordelen?’ (vraag 13) = ja
14 Welke raamwerken, of standaarden heeft u in de afgelopen twee jaar bij een jaarrekeningcontrole op
enigerlei wijze gebruikt om (delen van) de 'IT governance' van een klant te beoordelen? (meerdere antwoorden mogelijk)
COBIT 5 (ISACA) COBIT 4 (ISACA) VAL IT (ISACA) RISK IT (ISACA)
BMIS (Business Model for Information Security, ISACA) IT Assurance Framework (ISACA)
NOREA richtlijn 3000 NOREA richtlijn 3402 NOREA richtlijn 4401
ISO 17799, ISO 27000, Information Security Framework or other security standards ITIL of ISO 20000 ISO 38500 TOGAF PRINCE2 PMI/PMBOK Six Sigma COSO ERM CMM of CMMI Overig, namelijk ____________________
Tonen: Als: ‘Uitsluitend ten aanzien van 'IT governance': heeft u in de afgelopen twee jaar bij een
jaarrekeningcontrole op enigerlei wijze gebruikgemaakt van raamwerken, of standaarden om (delen van) de 'IT governance' van een klant te beoordelen?’ (vraag 13) = ja
Antwoordopties: geselecteerde keuzes: ‘Welke raamwerken, of standaarden heeft u in de afgelopen twee jaar bij een jaarrekeningcontrole op enigerlei wijze gebruikt om (delen van) de 'IT governance' van een klant te
beoordelen?’ (vraag 14)
15 In hoeverre gebruikt u deze raamwerken, of standaarden hiervoor volledig? Gebruik van één onderdeel 1 2 3 4 Volledig gebruik 5 Geselecteerde keuzes
Tonen: Als: ‘Welke raamwerken, of standaarden heeft u in de afgelopen twee jaar bij een jaarrekeningcontrole op enigerlei wijze gebruikt om (delen van) de 'IT governance' van een klant te beoordelen?’ (vraag 14)
geselecteerde keuzes > 1
Antwoordopties: geselecteerde keuzes: ‘Welke raamwerken, of standaarden heeft u in de afgelopen twee jaar bij een jaarrekeningcontrole op enigerlei wijze gebruikt om (delen van) de 'IT governance' van een klant te
beoordelen?’ (vraag 14)
16 Kunt u in volgorde aangeven welke raamwerken, of standaarden u het meest gebruikt? Volgorde effectiviteit
Geselecteerde
Tonen: Als: ‘Uitsluitend ten aanzien van 'IT governance': heeft u in de afgelopen twee jaar bij een
jaarrekeningcontrole op enigerlei wijze gebruikgemaakt van raamwerken, of standaarden om (delen van) de 'IT governance' van een klant te beoordelen?’ (vraag 13) = ja
17a In hoeverre bent u het met de volgende uitspraken eens die gaan over waarom u gebruikmaakt van raamwerken voor de beoordeling van 'IT governance' bij een klant voor de jaarrekeningcontrole?
Sterk mee oneens 1 2 3 4 Sterk mee eens 5 Weet ik niet Voor de volledigheid in deze beoordeling Voor de structuur in deze beoordeling
Voor een beter begrip in deze beoordeling Voor een tijdsbesparing in deze beoordeling Om aan vereisten binnen X te voldoen
Tonen: Als: ‘Uitsluitend ten aanzien van 'IT governance': heeft u in de afgelopen twee jaar bij een
jaarrekeningcontrole op enigerlei wijze gebruikgemaakt van raamwerken, of standaarden om (delen van) de 'IT governance' van een klant te beoordelen?’ (vraag 13) = ja
17b Zijn er nog andere redenen waarom u gebruikmaakt van raamwerken voor de beoordeling van 'IT governance' bij een klant voor de jaarrekeningcontrole? Zo ja, welke?
Ja, namelijk ____________________ Nee
18 In hoeverre bent u het eens met de volgende uitspraak? Sterk mee oneens 1 2 3 4 Sterk mee eens 5 Weet ik niet Er zou tijdens de jaarrekeningcontrole intensiever gebruikgemaakt moeten worden
van raamwerken, zodat de effectiviteit van de 'IT governance'
van de klant beter kan worden beoordeeld
Tonen: Als: ‘Welke raamwerken, of standaarden kent u?’ (vraag 9) COBIT 5 (ISACA) = geselecteerd 19 De volgende vragen gaan specifiek over COBIT 5. Dit raamwerk is uitgebreid onderzocht in de wetenschappelijke literatuur en daarom wil ik graag weten wat de praktijk ervan vindt.
Kunt u aangeven of de volgende stellingen wel, of niet voor u van toepassing zijn?
Nee Ja
Ik weet wat de 5 'principles' van COBIT 5 zijn Ik weet wat de 7 'enablers' van COBIT 5 zijn
Ik weet in welke onderdelen de
beheersdoelstellingen ('control objectives') van COBIT 5 zijn opgedeeld
Tonen: Als: ‘Welke raamwerken, of standaarden kent u?’ (vraag 9) COBIT 5 (ISACA) = geselecteerd 20 In hoeverre bent u het eens met de volgende uitspraken?
Sterk mee oneens 1
2 3 4 Sterk mee
eens 5
Weet ik niet COBIT 5 kan gebruikt worden als
een effectief raamwerk om de 'IT governance' van een klant te
beoordelen bij een jaarrekeningcontrole
COBIT 5 is hierin een verbetering
Tonen: Als: ‘Welke raamwerken, of standaarden kent u?’ (vraag 9) COBIT 5 (ISACA) = geselecteerd 21 In hoeverre bent u het eens met de volgende uitspraken?
Ik zou COBIT 5 gebruiken voor de beoordeling van de 'IT governance' bij een klant voor de jaarrekeningcontrole, omdat het...
Sterk mee oneens 1
2 3 4 Sterk mee
eens 5
Weet ik niet Het meest geaccepteerde
raamwerk voor dit doeleinde is
Het meest volledige raamwerk voor dit
doeleinde is
Het meest begrip geeft voor
dit doeleinde
Het meest structuur geeft
voor dit doeleinde
Het meeste efficiënte raamwerk voor dit
doeleinde is
22 Om uiteindelijk goede analyses te kunnen maken van de resultaten vragen we u tenslotte om een aantal algemene gegevens in te vullen. Wat is uw rol binnen X?
Accountant IT-auditor Stagiair
Anders, namelijk ____________________ 23 Wat is uw leeftijd?
Jonger dan 20 jaar 20-30 jaar
30-40 jaar 40-50 jaar 50-60 jaar
Ouder dan 60 jaar
24 Hoeveel jaar heeft u ervaring binnen de assurance? 0-3 jaar
3-6 jaar 6-9 jaar 9-12 jaar >12 jaar
25 In welke van de volgende sectoren verricht u controlewerkzaamheden? (meerdere antwoorden mogelijk) Financiële sector
Publieke sector Energie Automotive
Transport & logistiek Media en telecom Chemie en farmaceutisch Technologie Vastgoed en bouw Agrarisch Maakindustrie en productie Retail en consumergoods Zakelijke dienstverlening
26 Wil u de resultaten van deze vragenlijst in zien? Zo ja, kunt u uw e-mailadres invullen? Ja ____________________