DE IMPACT VAN NEDERLANDSE PRIVACYWETGEVING OP DE
INTERNE AUDITFUNCTIE
Bachelor Scriptie
Accountancy & Control
Cynthia C.C.M Steur (11010363)
25-6-2018, definitieve versie
Begeleider: dhr. Prof. Dr. E.E.O Roos Lindgreen
Aantal woorden: 8026
2
Verklaring eigen werk
Hierbij verklaar ik, Cynthia Catharina Maria Steur, dat ik deze scriptie zelf heb geschreven en dat ik de volledige verantwoordelijkheid op me neem voor de inhoud ervan.
Ik bevestig dat de tekst en het werk dat in deze scriptie gepresenteerd wordt origineel is en dat ik geen gebruik heb gemaakt van andere bronnen dan die welke in de tekst en in de referenties worden genoemd.
De Faculteit Economie en Bedrijfskunde is alleen verantwoordelijk voor de begeleiding tot het inleveren van de scriptie, niet voor de inhoud.
Abstract
Het doel van dit onderzoek is om vast te stellen welke impact privacywetgeving heeft op het interne beheerssysteem van bedrijven en de controle hiervan. In dit literatuuronderzoek is gefocust op Nederlandse privacywetgeving. De invloed van privacywetgeving is bepaald aan de hand van drie onderdelen: de impact op het interne beheerssysteem, de organisatiestructuur en de werkzaamheden van de interne auditor. Verder is in dit onderzoek beoordeeld wat de werkzaamheden van de IT-auditor zijn bij de controle op het interne beheerssysteem, en of door de komst van privacywetgeving het belang van de werkzaamheden van de IT-auditor betreffende dit onderwerp is toegenomen.
Deze studie draagt bij aan voorgaande literatuur omdat de relatie tussen privacywetgeving en de werkzaamheden van de interne auditor nog onvoldoende is onderzocht. Daarnaast is in dit onderzoek ook de verwachting van de impact van de meest recente regelgeving op het gebied van privacy in Europa in acht genomen.
Uit dit onderzoek wordt geconcludeerd dat privacywetgeving ertoe leidt dat het interne beheerssysteem gecompliceerde technologische ontwikkelingen heeft ondergaan en dat de controle van dit systeem auditors vergt die gespecialiseerd zijn in IT. De verwachting is dat de werkzaamheden van de interne auditor op het gebied van compliance audits met betrekking tot het voldoen aan privacywetgeving komen te vervallen en dat een IT-auditor deze audits zal uitvoeren.
4
Inhoudsopgave
Pagina
1. Inleiding 5 2. Achtergrondinformatie 7 2.1 Privacywetgeving 7 2.1.1 Ontwikkeling privacywetgeving 7 2.1.2 Privacy maatregelen 9 2.2 Interne auditfunctie 10 2.2.1 Compliance audits 102.2.2 Controle van het interne beheerssysteem 11
2.3 IT-auditor 11
3. Gevolgen van Privacywetgeving 13
3.1 Impact op het interne beheerssysteem 13
3.2 Impact op de organisatiestructuur 14
3.3 Impact op de werkzaamheden van de interne auditor 16
4. Invloed van IT-expertise op de interne auditfunctie 19
4.1 Invloed van IT-gespecialiseerde kennis van de interne auditor op het interne auditproces 19 4.2 Bijdrage van de IT-auditor functie binnen de interne controleomgeving 20
4.3 Het inschakelen van IT-auditors door de interne auditafdeling 22
5. Conclusie 24
6. Bijlage 26
1 Inleiding
Door technologische ontwikkelingen in de afgelopen twee decennia is de hoeveelheid data die verwerkt wordt in organisaties sterk gegroeid. Organisaties zijn afhankelijker geworden van digitale technologieën en informatiesystemen voor het maken van beslissingen om klanten tevreden te houden en globale groeistrategieën uit te voeren (Protiviti, 2018; Kankanhalli, Teo, Tan & Wei, 2003). Door deze veranderingen wordt het een uitdaging voor organisaties om de bescherming van persoonlijke data te ‘’managen” (Reding, 2011).
Privacywetgeving in Nederland kent zijn oorsprong in het jaar 1989 toen de Wet persoonsregistratie (Wpr) geldig is geworden. Hierin werd vastgelegd dat persoonsgegevens die organisaties bezitten niet voor andere doeleinden gebruikt mochten worden zonder de desbetreffende persoon daarvan op de hoogte te stellen. In 2001 is deze wet opgevolgd door de Wet bescherming persoonsregistratie (Wpb). Deze wet was een uitbreiding van de Wpr en schrijft voor dat persoonsgegevens beveiligd moesten worden. Vanaf 25 mei 2018 zijn alle Europese wetten over privacybescherming vervangen door de Europese Algemene Verordening Gegevensbescherming (AVG). De verordening is een leidraad voor organisaties die Europese persoonsgegevens verwerken. Hierin is vastgesteld wat persoonsgegevens zijn, hoe deze verwerkt mogen worden en wat de procedure is wanneer een datalek plaatsvindt. De Autoriteit Persoonsgegevens heeft de rol van toezichthouder en controleert of bedrijven de regels met betrekking tot de bescherming van persoonsgegevens naleven (AP, 2018).
Door privacywetgeving wordt bij organisaties de druk op de interne controlemaatregelen verhoogd en komt de nadruk meer te liggen op de dataverwerking van persoonsgegevens. Het voorkomen van een datalek vergt sterke controlemaatregelen, die continu up to date moeten zijn (Protiviti, 2018). Steeds meer organisaties krijgen hierdoor een complexere IT-omgeving om te controleren. Volgens het American Institute of Certified Public Accountants (AICPA, 2001) heeft de IT-omgeving van een organisatie invloed op de interne controlemaatregelen, wat de controle die de accountant uitvoert, beïnvloedt. Verder stelt de AICPA dat accountants gespecialiseerde kennis nodig hebben om het effect van IT op de controle in te schatten. Hieruit volgt de vraag:
Wat is de impact van privacywetgeving op het interne beheerssysteem, de interne auditfunctie en wat is de rol van de IT-auditor hierbij binnen Nederland?
Dit onderzoek bouwt verder op voorgaande literatuur over de impact van de steeds gecompliceerdere omgeving van organisaties en de controle daarop. De werkzaamheden die de IT-auditor heeft binnen organisaties staan hierin centraal (Janvrin, Bierstaker en Lowe 2009; Haislip, Peters en Richardson, 2016). Het verschil met voorgaande literatuur is dat in dit onderzoek de relatie tussen privacywetgeving en de werkzaamheden van de interne auditor is onderzocht. Daarnaast is onderzocht welke bijdrage de IT-auditor kan leveren voor organisaties in het kader van de
6 aangescherpte privacywetgeving. De uitkomst van dit onderzoek is van belang voor zowel organisaties
in zijn geheel als voor interne auditors en IT-auditors. Verder is dit onderzoek van belang voor onderwijsinstituties die de accountantsopleiding faciliteren.
Op basis van dit literatuuronderzoek kan worden geconcludeerd dat privacywetgeving impact heeft op zowel het interne informatiesysteem als op de controle van dat systeem. Uit dit onderzoek is voortgekomen dat privacywetgeving zorgt voor een verschuiving in de werkzaamheden van de interne auditor. De verwachting is dat de interne auditor zich zal toewijden aan de controles van interne bedrijfsprocessen en risicomanagement, en dat de IT-auditor de controles van het interne beheerssysteem met betrekking tot het in compliance zijn met privacywetgeving zal uitvoeren.
Deze scriptie is als volgt opgebouwd. Het tweede hoofdstuk geeft de achtergrond van de eerdergenoemde verschillende privacywetgeving, de interne auditfunctie en de werkzaamheden van de IT-auditor weer. In het derde hoofdstuk is de impact van privacywetgeving op drie onderdelen beoordeeld, namelijk: de impact op het interne beheerssysteem, de organisatiestructuur en de werkzaamheden van de interne auditor. In het vierde hoofdstuk is onderzocht wat de invloed is van IT-expertise op interne audits. Verder is in dat hoofdstuk de bijdrage van IT-auditors op de controle van het interne beheerssysteem onderzocht en is nagegaan wanneer de interne auditafdeling een IT-auditor inschakelt. Tot slot volgt een conclusie waarin de onderzoeksvraag is beantwoord. Aansluitend staat in de conclusie een voorstel voor mogelijk vervolgonderzoek.
2 Achtergrondinformatie
In dit hoofdstuk wordt voorgaande literatuur over privacywetgeving in Nederland, de interne auditfunctie en de IT-auditor besproken. Allereerst wordt ingegaan op het ontstaan van privacywetgeving. Er wordt gefocust op de drie grootste privacywetten: de Wet persoonsregistraties, Wet bescherming persoonsgegevens en de Algemene verordening gegevensbescherming. Daarna wordt de interne auditfunctie binnen organisaties besproken. Hierin wordt behandeld wat de interne auditfunctie inhoudt en wat de bijdrage hiervan is binnen een organisatie. Tot slot wordt de definitie van een IT-auditor gegeven en wordt besproken wat zijn werkzaamheden zijn.
2.1 Privacywetgeving
Sinds de jaren 70 is het gebruik van computers sterk toegenomen, waardoor een geautomatiseerde gegevensverwerking van informatie ontstond. Deze technologie zorgde voor een efficiëntere verwerking van informatie, maar zorgde er ook voor dat mensen de behoefte kregen om beschermd te worden tegen deze nieuwe technologieën (Overkleeft-Verburg, 1995).
De technologische ontwikkelingen op het gebied van computertechnologie hebben gezorgd voor een complexiteit aan nieuwe tools en bronnen voor het verzamelen van data, wat vervolgens geleid heeft tot grote databases en de mogelijkheid om snel informatie met de wereld te delen (Mantelero, 2014; Nissenbaum, 2010). Mantelero (2014) en Nissenbaum (2010) stellen dat deze ontwikkelingen een voortdurende discussie over dataprotectie vanuit het oogpunt van privacy vooroorzaken. Uit het onderzoek van Tikkinen-Piri, Rohunen en Markkula (2018) volgt dat privacywetgeving gelijk evolueert met de toenemende interesse van bedrijven om gebruik te maken van persoonlijke datasystemen binnen hun bedrijf. Op 1 juli 1989 is daarom de (Wpr) in werking getreden, om mensen de controle over hun gegevens terug te geven ten opzichte van degene die hun gegevens houdt.
2.1.1 Ontwikkeling Privacywetgeving
De behoefte aan een privacywetgeving is ontstaan uit een inbreuk op de persoonlijke omgeving van individuen. Dit komt voort uit de onbeheerste verkrijging, bewerking en verspreiding van persoonsgegevens (Tweede Kamer, 1997, p. 3). De Wpr gaf vorm aan artikel 10 van de Grondwet door regels op te stellen voor samenhangende verzamelingen van persoonsgegevens. Dit was de grondslag voor de vele uitbreidingen op het gebied van privacywetgeving met betrekking tot de verwerking van persoonsgegevens.
De Wbp was de opvolger van de Wpr en ging van kracht op 1 september 2001. Een aanvulling op de Wbp is de meldplicht datalekken die geldig is vanaf 1 januari 2016. Deze meldplicht houdt in dat alle organisaties zich bij de Autoriteit Persoonsgegvens (AP) moeten melden zodra zij een ernstig
8 datalek hebben (AP, 2015, p.6-7). Onder een ernstig datalek valt een lek van persoonsgegevens die
gevoelig zijn van aard1 (AP, 2015, p. 4). Veranderingen van de Wbp ten opzichte van de Wpr zijn opgenomen in onderstaande tabel.
Tabel 1: Verschillen tussen de Wet persoonsregistraties en de Wet bescherming persoonsgegevens Wet persoonsregistraties Wet bescherming persoonsgegevens
Regelgeving voor de registratie van persoonsgegevens
Regelgeving voor het verkrijgen, verwerken en opslaan van persoonsgegevens
Degene die de gegevens tot zijn beschikking heeft is de houder van deze informatie
Degene die de gegevens tot zijn beschikking heeft is de verantwoordelijke voor deze informatie
Informatieverplichting van de houder tegenover degene van wie de informatie is
Strengere informatieverplichting dan onder de Wpr. Hiervan moet de houder van informatie actief degene van wie de informatie is op de hoogte stellen
Geen verzet van degene waarvan de gegevens werden verwerkt mogelijk op basis van deze wet
Wel verzet mogelijk tegen het verzamelen van informatie vanuit het oogpunt van het individu
Onderscheid van regels voor publieke en private sector
Geen onderscheid tussen publieke en private sector
Meldplicht bij Registratiekamer Meldplicht bij Autoriteit Persoonsgegevens
Vanaf 2009 is de Europese Commissie werkzaam geweest aan het ontwikkelen van de AVG. De AVG is de nieuwste regelgeving omtrent de bescherming van privacygevoelige gegevens en is geldig vanaf 25 mei 2018 (Verordening(EU), nr. 679/2016). Deze verordening heeft betrekking op alle organisaties binnen Europa en organisaties buiten Europa die Europese persoonsgegevens verwerken. De AVG is een richtlijn voor organisaties die werken met persoonsgegevens, waarbij een verdere uitbreiding van de definitie van persoonsgegevens is opgenomen alsmede een uitbreiding op de regelgeving met betrekking tot de verwerking van deze gegevens.
1 Persoonsgegevens die gevoelig zijn van aard: Bijzondere gegevens zoals iemands levensovertuiging, ras,
politieke voorkeur, seksuele voorkeur, lidmaatschap van een vakvereniging en strafrechtelijke persoonsgegevens. Gegevens over de financiële of economische situatie van de betrokkene. Gegevens over privéleven in de zin van verslavingen, schoolprestaties en relatieproblemen. Inloggegevens. Gegevens die kunnen worden misbruikt voor identiteitsfraude zoals biometrische gegevens, kopieën van identiteitsbewijzen en Burgerservicenummer.
2.1.2 Privacy maatregelen
De AVG is een richtlijn waar organisaties zich aan moeten houden, maar de invulling hiervan staat de organisaties geheel vrij. Volgens Tikkinen-Piri et al. (2018, p.135) hebben organisaties moeite met de implementatie van de AVG, juist omdat het alleen een richtlijn betreft. Hierdoor is onduidelijkheid ontstaan over wat er nu precies veranderd moet worden om te voldoen aan de wet.
In onderstaande tabel staat vermeld welke minimale maatregelen organisaties moeten treffen om te voldoen aan de nieuwe wetgeving.
Tabel 2: Maatregelen bij organisaties op basis van de Algemene Verordening Gegevensbescherming Richtlijn van de AVG Maatregelen bij organisaties
De data verzameling kunnen verantwoorden
Organisaties zijn nu verplicht om documentatie bij te houden over de details van de dataverwerking, met wie de data wordt gedeeld en waar de data is opgeslagen. Ze zijn verplicht tot het uitvoeren van een data protection impact assessment om het risico van de data in te schatten.
Internationale deling van data De de data transfers naar andere landen moeten voldoen aan de nieuwe regels van de AVG.
Databescherming in acht nemen bij elk proces
De data die organisaties verwerken moeten gepseudonimiseerd en versleuteld worden. Ook moeten organisaties bij de
implementatie van nieuwe systemen rekening houden met privacygegevens.
Verantwoording van
databescherming ligt nu bij de organisaties zelf
De organisaties moeten zelf beoordelen of ze voldoen aan de richtlijnen van de AVG. Hiervoor kunnen ze controles uitvoeren of certificaten behalen die dit waarborgen.
De toezichthouders zijn vanaf nu bevoegd tot het geven van sancties van 20 miljoen of 4 procent van de wereldwijde omzet indien dit bedrag hoger uitkomt.
Het bedrijf moet compliance audits uitvoeren om te kijken of het voldoet aan de richtlijnen om zo sancties te voorkomen.
Nieuwe functie: Data Protection
Officer
Bedrijven die veel extra gevoelige privacygegevens verwerken moeten een Data Protection Officer(DPO) aanwijzen. De DPO werkt aan de bescherming van data en is het aanspreekpunt binnen het bedrijf als het gaat om databescherming.
10 Toestemming krijgen voor het
gebruiken van data
Organisaties moeten om toestemming vragen bij het individu van wie zij data verwerken. Bij kinderen jonger dan zestien jaar moeten hun ouders daarvoor toestemming geven.
Data verwijdering Wanneer een persoon wil dat de data over hem/haar wordt verwijderd, moet de organisatie dit verzoek meteen inwilligen. Data bijhouden Te allen tijde moet de organisatie een kopie kunnen geven aan
de persoon over alle data die over hem/haar zijn opgeslagen.
Op basis van het eerste voorstel van de AVG concludeerde De Hert en Papakonstantinou (2012) dat de mensenrechten op dit gebied worden versterkt en dat de plichten van data-controllers zijn toegenomen. In tegenstelling tot Tikkinen-Piri et al. (2018) vinden zij dat er wel een duidelijke begeleiding is voor vele categorieën in de zogenoemde processing operations. In het artikel van De Hert en Papakonstantinou (2012) wordt wel de kanttekening gemaakt dat er nog ruimte is voor verfijning, maar dat de komst van de AVG wel een verbetering is in het huidige tijdperk van de nieuwe databeschermingsregulatie.
2.2 Interne Auditfunctie
Interne audits zijn controles binnen organisaties die worden uitgevoerd om advies te verstrekken aan het management over de effectiviteit en efficiëntie van bedrijfsprocessen. Deze audits worden uitgevoerd door een interne auditor. Er zijn diverse soorten interne audits: financiële audits, compliance audits, operationele audits of de controle van het interne beheerssysteem (Romney & Steinbart, 2018, pp. 349-350). In dit onderzoek wordt de focus gelegd op compliance audits en controles van het accounting informatiesysteem (AIS).
2.2.1 Compliance audits
Compliance audits zijn controles die erop gericht zijn of organisaties zich aan de wet houden (Arens, Elder en Beasley, 2017, p. 37). Controles of een organisatie zich aan de privacyregelgeving houdt vallen daarmee onder compliance audits. Volgens Ackerman, Darell en Weitzner (2001) valt privacy onder een van de belangrijkste bedrijfsrisico’s en compliance problemen, omdat het betrekking heeft op sociale normen, mensenrechten en wetgeving. Conform privacywetgeving moeten bedrijven over een geschikte controle beschikken over alle stadia van data: collectie, verwerking en vernietiging. De interne auditfunctie heeft de taak om compliance audits met betrekking tot privacywetgeving uit te voeren.
2.2.2 Controle van het interne beheerssysteem
Controle van het interne beheerssysteem is een beoordeling van het controlemechanisme achter het systeem dat moet waarborgen dat alle data veilig worden gesteld (Romney & Steinbart, 2018, p. 349). De bescherming van privacygevoelige data valt hieronder. Von Solms en Van Niekerk (2013) maken een onderscheid tussen informatie-en cyber beveiliging. Informatiebeveiliging focust op de beschikbaarheid, integriteit en betrouwbaarheid van informatie. Cyber security gaat hier dieper op in door ook cybercriminaliteit erbij te betrekken.
Het auditen van informatiebeveiliging is een onafhankelijke evaluatie van het beleid, standaarden en maatstaven voor het beschermen van elektronische informatie. Hieronder valt het beschermen tegen verlies, beschadiging, onbedoeld vrijgeven of weigeren van beschikbaarheid van de data (Langelier & Ingram, 2001, p.6). De interne auditor focust dus niet alleen op de werking van het interne beheerssysteem, maar toetst ook of de procedures die hiermee samenhangen juist zijn opgesteld.
2.3 De IT-Auditor
Door een groei in het gebruik van informatietechnologie (IT) is de verwachting ontstaan dat er een aanpassing in de werkwijze van auditors zou plaatsvinden (Bierstaker, Janvrin & Lowe, 2014). Sommige auditors zijn zich gaan specialiseren in het beoordelen van de geautomatiseerde financiële systemen, de Electronic Data Processing auditors (Fijneman, Roos Lindgreen, Veltman & Ho, 2011). Tegenwoordig wordt de voorkeur gegeven aan de term IT-auditor. De IT-auditor controleert of het AIS in een organisatie betrouwbaar is. Hij controleert de software, hardware van het systeem en of de verwerking van alle informatie binnen dat systeem juist verloopt. Deze controles worden gebruikt bij zowel financiële audits als operationele audits. IT-auditors zijn binnen het interne accountantsteam of als externe auditor werkzaam.
Een interne IT-auditor is de controleur van het informatiesysteem. Daarnaast kan hij ook advies verstrekken over de werking van het huidige informatiesysteem aan het management van organisaties. Een externe IT-auditor wordt ingezet bij de jaarrekeningcontrole, of wordt ingehuurd voor interne controles (Fijneman et al., 2011). De IT-auditor gaat dieper in op de controle van het AIS en de IT binnen organisaties dan een reguliere interne auditor.
Volgens Romney en Steinbart (2018, p.353) moeten auditors controleren of het informatiesysteem voldoet aan de volgende eisen:
1. Het systeem is zodanig beveiligd dat er een limiet is gesteld aan de toegang tot het systeem en programma’s zodat data niet zonder toestemming aangepast kunnen worden of verwijderd.
12 2. Aanpassingen en ontwikkelingen van de IT binnen organisaties gaan volgens goedkeuring
van het management.
3. Het verwerken en bijhouden van diverse computerrecords zijn accuraat en compleet. 4. Het corrigeren van fouten en het omgaan met datalekken wordt gedaan volgens de
opgestelde richtlijnen.
3 De gevolgen van privacywetgeving
In dit hoofdstuk wordt de invloed van privacywetgeving op drie onderwerpen beoordeeld. Als eerste de impact op het interne beheerssysteem. Ten tweede de impact op de organisatiestructuur en als derde de invloed op de werkzaamheden van de interne auditor.
3.1 Impact op het interne beheerssysteem
Wanneer er ontwikkelingen zijn op het gebied van privacywetgeving, zoals nu door de in werking getreden AVG, moeten organisaties controleren en beoordelen of zowel de organisatorische als technologische maatregelen met betrekking tot privacybescherming voldoen aan de wet (Tikkinen-Piri et al. 2018). Zij verwachten dat de aangescherpte privacywetgeving vraagt om supporting information
systems, zoals systemen voor het documenteren van alle verwerking van privacygevoelige data. De Europese Unie van Data Protection Authorities zijn onafhankelijke autoriteiten die erop toezien of de
databeschermingsmaatregelen correct door alle organisaties worden nageleefd (Barnard-Wills, Chulvi & De Hert, 2016). Raab en Szekely (2017) onderzochten wat data protection authorities de belangrijkste te verwachten technologische ontwikkelingen vinden met de komst van de nieuwe privacywetgeving. De meest genoemde technologieën waren technologieën gerelateerd aan smart
environments, 2 dataverwerking in algemene zin en beveiligingstechnieken. Als gevolg van
privacywetgeving gaat het interne beheerssysteem bij de meeste organisaties een technologisch verbeteringsproces door.
In artikel 7 van de AVG is opgenomen dat individuen toestemming moeten geven of organisaties persoonsgegevens van hen mogen verwerken (Verordening(EU), nr. 679/2016, artikel 7). Wanneer organisaties data van hun klanten willen verzamelen voor het gebruik van bijvoorbeeld
Customer Relationship Management3 (CRM) betekent dit dat ze hun klanten daarvoor eerst
toestemming moeten vragen. Volgens De Hert en Papakonstantinou (2016) moeten de klanten met een bewuste actie toestemming voor de verwerking van hun persoonsgegevens kunnen geven. De auteurs stellen dat dit door organisaties mogelijk kan worden gemaakt door klanten die hun website bezoeken een notificatie hierover te sturen. Klanten kunnen toestemming geven door in de notificatie een vakje aan te kruisen dat aangeeft dat ze akkoord gaan met het feit dat de organisatie de persoonsgegevens van hun verzamelt. Deze notificatie moet duidelijk aangeven dat de klant op deze manier goedkeuring geeft voor de voorgestelde verwerking van zijn persoonlijke gegevens. Wanneer op deze manier toestemming wordt gevraagd aan de klant, is het bedrijf er zeker van dat er in het
2Smart environment: omgeving waarin technologische uitvindingen menselijke handelingen ondersteunen of
voor een gedeelte overnemen.
3 Customer Relationship management is een systeem die de geschiedenis van de relatie met de klant volgt.
Deze informatie kan een organisatie gebruiken bij het communiceren met de klant of gebruiken als verkoop- en marketingtool.
14 interne beheerssysteem alleen met data wordt gewerkt die volgens de richtlijnen van de AVG op de
juiste manier is verkregen.
Door de evolutie op het gebied van internet is de toegang tot de bedrijfsdata verbeterd. Werknemers kunnen data van hun werk makkelijker bereiken waardoor het soms mogelijk is om vanuit huis te werken. Dit brengt wel zorgen met zich mee over de beveiliging van data (Liu & Vasarhelyi, 2014). Volgens Arachchilage en Love (2014) is de netwerkbeveiliging thuis minder geavanceerd dan op het werk, waardoor het voor hackers makkelijker is om data te verkrijgen, wat het risico op een datalek verhoogd. Tankard (2017) stelt dat encryptie4 van data mede hierdoor belangrijker is dan ooit. In zijn artikel beschrijft hij dat het cruciaal is dat de encryption keys binnen de organisatie blijven, wanneer de data de organisatie verlaat. Zo kan er buiten de organisatie wel met data worden gewerkt, maar is het beveiligd tegen mensen die de data zonder toestemming willen verkrijgen. Door de Europese commissie wordt in de AVG het pseudonimiseren van data voorgesteld als protectiemaatregel (Verordening(EU), nr. 679/2016). Tankard (2017) stelt echter dat encryptie van data een sterker middel is dan het pseudonimiseren van data. Bij het pseudonimiseren van data is het mogelijk om de data te de-anonimiseren met behulp van publiek beschikbare data, maar bij encryptie van data is er een blokkade bij de toegang tot de data.
Door privacywetgeving worden organisaties verplicht om hun interne beheerssysteem te updaten om aan de regelgeving te voldoen. Organisaties worden door vernieuwde privacywetgeving gestimuleerd om te investeren in hun informatiesysteem, wat voordelen heeft voor de bedrijfsuitvoering (Tankard, 2017; Zerlang, 2017). Voordelen als gevolg van privacywetgeving zijn volgens de auteurs een verbetering van de analysetechnieken van data, digitalisering van bedrijfsprocessen en een betere structurering van data. Deze verbeteringen zorgen ervoor dat organisaties hun data efficiënter kunnen verwerken en analyseren, wat een bijdrage kan leveren aan het beslissingsproces. Op de lange termijn verdient de organisatie zijn investering daarom weer terug.
De verwerving van informatiesystemen of andere digitaliseringstechnieken worden ontwikkeld door interne of externe IT-architecten. IT-architecten moeten bij de ontwikkeling of verbetering van deze informatiesystemen rekening mee houden dat auditors de systemen moeten kunnen controleren om vast te stellen dat er aan regelgeving wordt voldaan (Julisch, Suter, Woitalla en Zimmermann, 2011). Zij stellen dat wanneer IT-architecten geen rekening houden met de controleerbaarheid van de systemen er vertraging of afstel van de implementatie van de systemen kan optreden. De vernieuwde privacywetgeving vergt een optimale controle van de informatiesystemen.
4 Encryptie van data is het beveiligen van data zodat alleen mensen met toestemming de data kunnen
De systemen zouden daarom zodanig aangepast moeten worden dat ze niet alleen waarde toevoegen aan organisaties maar ook beter controleerbaar zijn.
3.2 Impact op de organisatiestructuur
Alleen de technologische kant van het beveiligen van data is op dit moment onvoldoende om een juiste informatiebeveiliging in een organisatie te creëren (Safa et al., 2015). De schrijvers stellen dat naast de technologische beveiliging van data de organisatiestructuur een vitale rol speelt in het proces van databeveiliging. De schrijvers stellen dat de manier waarop werknemers worden ingelicht over informatiebeveiliging door het management van belang is voor een optimale databeveiliging. Uit hun onderzoek blijkt dat bewustwording van de maatregelen die genomen moeten worden voor databescherming ervoor kunnen zorgen dat er minder fouten door het personeel worden gemaakt. Het topmanagement van een organisatie kan hierbij een belangrijke rol spelen (Kankanhalli et al., 2003). Uit dit onderzoek blijkt dat er een sterke relatie is tussen de houding van het topmanagement en de effectiviteit van de controlemaatregelen voor informatiebeveiliging. Wanneer het management een actieve houding heeft in dit proces, zorgt dat voor een positief effect op het naleven van de privacybeschermingsmaatregelen (Safa et al., 2015; Kankanhalli et al., 2003). De auteurs stellen namelijk dat wanneer het management kenbaar maakt aan zijn werknemers op welke manieren een datalek mogelijk is en wat de gevolgen daarvan zijn voor de organisatie, dat een significant effect heeft op hoe voorzichtig de werknemers omgaan met de verwerking van privacygevoelige data. Steinbart, Raschke, Gal en Dilla (2018) ondersteunen deze bevindingen en voegen hieraan toe dat wanneer het topmanagement de informatiebeveiliging afdeling actief support, het aantal gebeurtenissen waarin werknemers zich niet houden aan de opgestelde IT-richtlijnen afneemt.
Safa, Von Solms en Furnell (2016) beamen dat en stellen verder dat het trainen van personeel over informatiebeveiliging een belangrijke factor is in de naleving van de beveiligingsprocedure. Het succes van deze trainingen wordt volgens hen verder verhoogd wanneer er een juiste samenwerking is tussen alle leden van de organisatie die zich inzetten voor databeveiliging. Dit is een samenwerking van de IT-beveiligingsspecialisten, interne auditors, Human Resources afdeling en het management van de organisatie. Uit deze studies kan worden geconcludeerd dat het management van organisaties een team met personeel uit verschillende afdelingen kan opzetten dat zich actief inzet om informatiebeveiliging binnen de organisatie te versterken, met als hoofd van dat team een DPO. Naast het uitvoeren van controle over de werking van het informatiesysteem kan het team ook een aanspreekpunt zijn wanneer er vragen zijn over de door het bedrijf opgestelde privacyrichtlijnen, of wanneer er zich een datalek heeft voorgedaan.
Door de aangescherpte privacywetgeving is het voor organisaties gewenst om het aantal incidenten dat gerelateerd is aan informatiebeveiliging te reduceren. Uit het onderzoek van Steinbart
16 et al. (2018) blijkt dat een sterke relatie tussen de interne auditor en de afdeling informatiebeveiliging
ervoor kan zorgen dat er meer zwaktes in het interne controlesysteem en IT-gerelateerde incidenten worden ontdekt. Wanneer dit gerapporteerd wordt aan het management, kan deze gericht opdrachten geven om het interne controlesysteem te verbeteren. De auteurs stellen verder dat een betere relatie tussen deze twee onderdelen van de organisatie er niet alleen voor zorgt dat incidenten betreffende de beveiliging van data wordt voorkomen, maar ook dat de oorzaak van een datalek dat al heeft plaatsgevonden sneller wordt ontdekt.
Meer dan de helft van alle situaties waarin privacygevoelige informatie wordt misbruikt, gelekt of verwijderd, wordt veroorzaakt door het personeel van de organisatie (Boiko & Shendryk, 2017). Dit kan gebeuren wanneer werknemers onzorgvuldig omgaan met de data of wanneer ze zich onvoldoende weren tegen cybercriminaliteit. Wanneer werknemers data mee naar huis nemen op hun laptop, mobiele telefoon of als geprinte versies, brengt dat risico’s met zich mee (Archilage & Lowe, 2014; Boiko & Shendryk, 2017). Boiko en Shendryk (2017) stellen voor dat er een andere organisatiecultuur moet worden gecreëerd rondom dit onderwerp. Volgens hen moet om deze voorvallen te voorkomen een active monitoring system worden geïmplementeerd. Hierbij worden handelingen die werknemers uitvoeren in het informatiesysteem altijd bijgehouden. Hierdoor kan wanneer er een ongeoorloofde handeling dreigt plaats te vinden dit vanuit het systeem direct worden geblokkeerd. Werknemers kunnen dit als een negatieve ontwikkeling ervaren, omdat de organisatie zo geen vertrouwen uitstraalt naar hun werknemers, maar de huidige privacywetgeving vraagt wel om dit soort maatregelen.
3.3 Impact op de werkzaamheden van de interne auditor
In paragraaf 3.1 is geconcludeerd dat privacywetgeving ervoor zorgt dat de technologische aspecten van het interne beheerssysteem geavanceerder worden om aan de regelgeving te voldoen. De taak van de interne auditor is controleren of het interne beheerssysteem voldoet aan alle eisen van de aangescherpte privacyregelgeving. De controle van deze systemen vergt daardoor ook technologische kennis en technieken. Uit het onderzoek van Kim, Mannino en Nieschwietz (2009) blijkt echter dat wanneer interne auditors zich niet comfortabel voelen bij het gebruik van de nieuwste technologieën om audits uit te voeren, ze deze technieken niet gebruiken bij hun audits. Terwijl dit wel een bijdrage zou kunnen leveren aan de audit voor de organisatie. Volgens Steinbart, Raschke, Gal en Dilla (2012) hangt het nut van een beoordeling van de beveiliging van het informatiesysteem door de interne auditor af van de mate van IT-gerelateerde kennis van de interne auditor. Wanneer deze kennis hoger was resulteerde dat in een betere controle. Verder blijkt uit hun onderzoek dat de IT-kennis van de interne auditor de relatie tussen de interne audits en de afdeling informatiebeveiliging beïnvloedt. Wanneer de technische kennis van de auditor over het informatiesysteem beter was, resulteerde dat
in een effectievere samenwerking tussen de auditor en de werknemers van de informatiebeveiligingsafdeling. Dit betekent dat het voor organisaties gewenst is dat de interne auditor de juiste IT-kennis ter beschikking heeft. Dat bevordert namelijk de samenwerking tussen de interne auditafdeling en informatieafdeling. Om in overeenstemming te zijn met privacywetgeving ontstaat er een vraag naar IT-gespecialiseerde auditors die het interne beheerssysteem controleren op het gebied van informatiebeveiliging.
In de AVG wordt voorgesteld dat bedrijven gebruik kunnen maken van certificatieprocedures om aan te tonen dat ze voldoen aan de nieuwste privacywetgeving (Verordening(EU), nr. 679/2016, art. 42). De richtlijn is voor bedrijven vrij om te implementeren. Certificatie kan hier daarom zowel als een zelfregulerend instrument als voor samenwerking met externe organisaties worden gebruikt (Lachaud, 2018). De auteur stelt dat de controle of organisaties zich houden aan privacywetgeving moeilijk uitvoerbaar is door de regelgevers vanwege een tekort aan financiële middelen, technische capaciteiten en tijd. Volgens de auteur is een oplossing hiervoor het aanstellen van een nieuwe autoriteit waar organisaties controles kunnen aanvragen of ze een juist databeschermingsbeleid hanteren. Wanneer het resultaat van deze controle voldoende is, is het mogelijk voor organisaties om een certificaat te behalen waarin staat vermeld dat er wordt voldaan aan privacywetgeving. De interne auditor van een organisatie die zich focust op dataprotectie is degene die moet kunnen aantonen dat er wordt voldaan aan de eisen die worden gesteld voor het behalen van een dergelijk certificaat (Kamara & Burnik, 2017). De auteurs stellen dat niet elke behaalde certificatie omtrent databeveiliging ook geldig is als een certificatie die wordt voorgesteld door het Europese Data Protection Team. Wellicht wordt dit onderwerp in de nabije toekomst verder gespecificeerd door de Europese Commissie.
Het Institute of Internal Auditors (IIA) bracht in 2013 een nieuw risicomanagementmodel uit, het Three Lines of Defense model (Bijlage 1). Dit model bestaat uit drie levels van risicocontrole binnen organisaties en bevat de gehele corporate governance van een organisatie. Het eerste level bestaat uit de operationele managers en risicomanagement in het business gebied. Het tweede level bestaat uit de risicomanagementfunctie, de compliance controles, controlefunctie van financiële risico’s en het AIS. Het laatste level wordt ingevuld door de interne auditfunctie die onafhankelijk het werk van de eerste twee lagen controleert. Volgens dit model is het hoofddoel van de interne auditfunctie het controleren van de eerste twee levels, deze aan te passen om bestaande risico’s verder in te perken en het ondersteunen van het gehele organisatiecontrolemechanisme. Eulerich, Theis, Velte en Siglbauer (2017) stellen dat de interne auditfunctie waarde toe kan voegen aan dit model, omdat het kan helpen bij het in kaart brengen van problemen en het ontwikkelen van voorzorgsmaatregelen op het gebied van risicomanagement. Arena en Azzone (2009) beamen dat en stellen verder dat er een verandering plaatsvindt in de rol van de interne auditfunctie binnen organisaties. Uit hun onderzoek
18 blijkt dat interne auditors het management steeds meer ondersteunen bij risicomanagement dan bij
compliance vraagstukken. Dit betekent volgens hen dat de interne auditors meer kennis moeten genereren over de bedrijfsuitvoering en de daarbij behorende risico’s. In het kader van het Three Lines
of Defense model houdt dit in dat de interne auditfunctie verschuift van het derde level en met name
het tweede level naar het eerste level. Het in compliance zijn met privacywetgeving valt volgens dat model onder het tweede level. Hieruit volgt dat de competenties van interne auditors soms niet meer aansluiten op het uitvoeren van controles of organisaties in compliance zijn met privacywetgeving.
De Hert en Papakonstantinou (2016) verwachten dat er door de ontwikkelingen van de privacywetgeving een nieuwe industrie voor het beschermen van data zal ontstaan. Ze stellen dat door de taken die worden opgelegd onder de AVG zoals het opstellen van privacyrichtlijnen, aanstellen van een DPO, certificatie van systeembeveiliging en risico assessments een vraag zal ontstaan naar nieuwe experts en organisaties op dit gebied. Verder concluderen ze hieruit dat de werkzaamheden van de interne auditor betreffende dit onderwerp zullen komen te vervallen.
Uit de bevindingen van de bovengenoemde studies kan worden gesuggereerd dat door de aangescherpte privacywetgeving een verschuiving van de werkzaamheden van de interne auditors zal plaatsvinden. Hierdoor verschuift de focus van de interne auditors naar de controle op en verbetering van de interne bedrijfsprocessen en het risicomanagement daarvan. De controle op de verzameling, bewerking en opslag van data vraagt tegenwoordig om meer in IT gespecialiseerde auditors. Een reguliere interne auditor zal deze controles naar verwachting niet meer uitvoeren. In de volgende paragraaf wordt besproken of hierin een rol voor de IT-auditor is weggelegd.
4 Invloed van IT-expertise op de interne auditfunctie
In dit hoofdstuk wordt de invloed van IT-expertise van de interne auditor op de controles die hij verricht besproken. Verder wordt beoordeeld in hoeverre een IT-auditor een bijdrage kan leveren aan de controles van het interne auditteam en of IT-auditors een grotere rol gaan spelen bij het uitvoeren van compliance audits met betrekking tot informatiebeveiliging. Tot slot wordt beoordeeld wanneer de interne auditafdeling IT-auditors inschakelt bij hun controles.
4.1 Invloed van IT-gespecialiseerde kennis van de interne auditor op het interne auditproces De technologische verbeteringen van het AIS zorgen ervoor dat de accountant effectiever en efficiënter te werk kan gaan. De accountant kan namelijk sneller informatie over de hoogte van de voorraad, de status van debiteuren, crediteuren en de hoeveelheid verkooptransacties verkrijgen. Hiervoor is het wel vereist dat de accountant technologische kennis heeft om te werken met de gecomputeriseerde systemen (Ghasemi, Shafeiepour, Aslani en Barvayeh, 2011). Deze technologische verbeteringen zijn hulpmiddelen voor accountants bij de jaarrekeningcontrole. Interne accountants controleren of het interne informatiesysteem voldoet aan alle eisen zodat het systeem gebruikt kan worden bij de accountantscontrole van de jaarrekening.
Damasiotis, Trivellas, Santouridis, Nikolopoulos en Tsifora (2015) beamen ook dat IT een algeheel onderdeel is geworden van elke taak die accountants uitvoeren. Accountants gebruiken IT-tools bij het controleren van transacties en het uitvoeren van audit trails. Al behoort het werken met tools niet direct tot hun takenpakket, ze moeten wel kunnen beoordelen in hoeverre IT-gerelateerde technologieën belangrijk zijn voor de operationele controles in organisaties. Daarnaast stellen de schrijvers dat accountants in staat moeten zijn om IT-gerelateerde controles binnen de interne controle te kunnen evalueren. Hiervoor is volgens de auteurs vereist dat de moderne accountant over een hoog niveau van IT-kennis en vaardigheden moet beschikken. Dit kan worden aangeleerd tijdens de opleiding of via trainingen wanneer de accountant reeds werkzaam is.
Haislip, Peters en Richardson (2016) suggereren dat auditors met meer IT-expertise sneller zijn in het opsporen van defecten in het interne informatiesysteem. Daarnaast zijn ze ook beter in het geven van mogelijke oplossingen om deze defecten te verhelpen en in het verstrekken van advies over het gebruik van IT voor interne controles. Uit het onderzoek van Li, Lim & Wang (2007) blijkt dat wanneer er sprake is van materiële IT-zwaktes of defecten in het interne beheerssysteem het waarschijnlijk is dat de topmanagers en interne auditors van de organisatie weinig IT-gespecialiseerde kennis hebben. Ze stellen dat wanneer het topmanagement deze kennis wel bezit, dit een positieve bijdrage kan leveren aan de controle van de IT en dit IT-zwaktes zou moeten verminderen. Verder merken ze op dat IT-expertise van de interne auditafdeling hier ook een rol in speelt, maar een minder significante rol dan die van het topmanagement. Haislip et al. (2016) concludeerden uit hun onderzoek
20 dat wanneer bedrijven wisselden van een auditor met geringe IT-expertise naar een auditor met veel
ervaring op dit gebied, dat niet leidde tot meer rapportages van materiële IT-zwaktes. Dit komt niet overeen met de conclusies uit het eerdergenoemde onderzoek van Li, Lim en Wang (2007). Op basis van dat onderzoek was het vinden van meer materiële fouten een logisch gevolg geweest van de wisseling van auditor. Hieruit kan geconcludeerd worden dat er geen garantie is wanneer een IT-auditor meer kennis van IT-maatregelen binnen het informatiesysteem heeft, hij ook de vaardigheid heeft meer fouten te ontdekken dan een niet in IT-gespecialiseerde auditor. Boritz, Hayes en Lim (2013) hebben hier een andere verklaring voor. Zij stellen dat rapportages van materiële IT-zwaktes met betrekking tot het interne beheerssysteem zoals rapportages over back-ups, beveiliging van data en documentatie van data, minder vaak voorkomen omdat deze zwaktes pas gerapporteerd worden wanneer er een materiële fout is ontdekt in het systeem. Verder blijkt uit hun onderzoek dat IT-zwaktes vaker gerapporteerd worden wanneer deze samenhangen met financiële applicaties die nodig zijn voor het opstellen van de jaarrekening van organisaties. Hieruit volgt dat interne auditors hun IT-kennis voornamelijk toepassen op de controles van het informatiesysteem die direct samenhangen met het tot stand komen van de jaarrekening en andere financiële verslagen.
Zoals in het vorige hoofdstuk is benoemd is door de aangescherpte privacywetgeving de druk op controles over zowel de verkrijging als verwerking van data verhoogd. Dit kan ertoe leiden dat interne auditors nu ook IT-gerelateerde technieken zullen toepassen op de controle van het interne beheerssysteem betreffende de verwerking, opslag en documentatie van hun data. Uit de studies van Haislip et al. (2016) en Li et al. (2007) kan gesuggereerd worden dat voor deze controle een rol is weggelegd voor de IT-auditor.
4.2 Bijdrage van de IT-auditor functie binnen de interne controleomgeving
De rol van de IT-auditor is geëvolueerd van de rol die de traditionele auditor heeft binnen de interne controleomgeving naar een rol die focust op IT en de technische infrastructuur van de organisatie. IT-auditors ontwikkelen en implementeren bijvoorbeeld software in het interne informatiesysteem om transacties te kunnen volgen en controleren (Vroom & Von Solms, 2004). De interne auditafdeling kan IT-auditors inschakelen om specifieke vragen over de software of infrastructuurtechnologie van het interne beheerssysteem te beantwoorden (Alexen, Green & Ridley, 2017). IT-auditors kunnen organisaties daarnaast helpen om de interne controleomgeving te digitaliseren. Dat kan een bijdrage leveren aan zowel interne audits als externe audits, doordat het controleproces versneld kan worden als de techniek om data snel te verwerken reeds in de organisatie aanwezig is.
Het doel van de IT-audit functie in organisaties is om het management ervan te verzekeren dat de juiste controlemaatregelen met betrekking tot de informatiebeveiliging worden nageleefd (Havelka & Merhout, 2013). Volgens de schrijvers is de waarde van de IT-auditfunctie toegenomen nadat de
privacywetgeving is geïmplementeerd. De IT-auditfunctie controleert namelijk niet alleen de processen die de data verwerken, maar ook de data zelf en hoe deze wordt bewaard. Data impact
assessments zijn nodig wanneer er persoonsgevoelige data wordt verwerkt die een hoog risico vormt
voor de rechten van het individu van wie de data is (Verordening(EU), nr. 679/2016). Tankard (2016) stelt dat zo’n assessment de details over de te beveiligen data moet bevatten en de beveiligingstechnieken om deze data te beveiligen moet weergeven. Verder moet bepaald worden welke controles er nodig zijn om in overeenstemming te zijn met de richtlijnen van de AVG. De IT-auditor kan de auditafdeling hierin assisteren door de juiste beveiligingstechnieken op te laten nemen in het Data impact assessment.
Een positief gevolg van privacywetgeving is volgens Beckett (2017) dat organisaties hun data moeten structureren om documentatie over de data bij te kunnen houden. De IT-auditor kan helpen bij het creëren van gestructureerde datasets. Dit zorgt ervoor dat data beter en sneller geanalyseerd kan worden, wat voor kostenbesparing kan zorgen voor organisaties. Dit proces wordt data-analytics of audit analytics5 genoemd. Het uitvoeren van audit analytics heeft diverse voordelen voor organisaties: auditors kunnen meer en efficiënter transacties controleren, er is meer informatie beschikbaar over de bedrijfsprocessen van de organisatie, fraude kan sneller worden ontdekt en accountants kunnen organisaties beter informeren over hun interne bedrijfsprocessen (Earley, 2015). De auteur onderkent dat de vaardigheden om gebruik te maken van data-analytics niet worden aangeleerd tijdens de traditionele accountancystudie. Daardoor zullen interne auditors die van deze techniek gebruik willen maken meer technologische kennis moeten genereren en zichzelf moeten trainen in het herkennen van patronen binnen grote datasets. Volgens Li, Dai, Gershberg en Vasarhelyi (2018) maken interne auditors pas gebruik van audit analytics wanneer dit wordt aangeraden door het management. Zij beamen ook dat voor het gebruik van audit analytics specifieke technologische kennis nodig is en dat training daarin gestimuleerd moet worden door het management. IT-auditors beschikken reeds over de technologische kennis die bij dit proces nodig is. Het management kan er daarom ook voor kiezen om IT-auditors in te schakelen om audit analytics uit te voeren, om zo de efficiëntie van de auditafdeling te verbeteren.
Uit het onderzoek van Hoffman, Sellers en Skomra (2018) blijkt dat wanneer organisaties een complexe IT omgeving hebben, de kosten voor de jaarrekeningcontrole toenemen omdat voor deze controle in IT gespecialiseerde auditors nodig zijn. De auteurs stellen dat wanneer organisaties intern gebruik maken van de kennis van een IT-auditor, er controletools ontwikkeld kunnen worden voor
5 Audit analytics is een wetenschap die zich bezighoudt met het ontdekken van patronen, afwijkingen of andere extra informatie uit data die al reeds beschikbaar is in een organisatie. Dit wordt gedaan met behulp van analyse technieken, technische modellen en helpt bij het plannen en uitvoeren van audits.
22 externe auditors die de jaarrekening controleren. Dit kan de kosten van de jaarrekeningcontrole
reduceren.
Hieruit volgt dat IT-auditors op drie manieren een bijdrage kunnen leveren aan de interne controleomgeving van organisaties. Ten eerste kunnen IT-auditors de technologische structuur van het interne beheerssysteem updaten om zo het uitvoeren van controles voor interne accountants te versnellen, wat kostenbesparing oplevert voor de organisatie. Ten tweede kunnen IT-auditors zorgen voor een betere structurering van data in het AIS. Dit is nodig om in compliance te zijn met privacywetgeving en er kan gefaciliteerd worden dat de organisatie gebruik kan maken van audit
analytics. Ten derde kunnen ze externe accountants ondersteunen bij hun controle door het
ontwikkelen van controletools.
4.3 Het inschakelen van IT-auditors door de interne auditafdeling
Vanuit de interne auditafdeling worden alle beslissingen genomen over de uit te voeren controles binnen de organisatie. De huishouding van de auditafdeling die bestaat uit: de werknemers van de afdeling zijn, hoe gekwalificeerd en gemotiveerd ze zijn om hun taken uit te voeren en hoe bereidwillig ze zijn om hun kennis te delen met het hogere management. Deze indeling hangt af van de organisatiecultuur van de organisatie (Halvelka & Merhout, 2013). Volgens de auteurs wordt de beslissing tot het aannemen van IT-auditors binnen dat team beïnvloed door het management. Ook het budget dat beschikbaar is voor de auditafdeling speelt daarbij volgens de auteurs een rol. Wanneer het management de bijdrage van IT-auditors laag inschat wordt hiervoor weinig tot geen budget beschikbaar gesteld. Als de auditafdeling de contributie van een IT-auditor wel waardevol vindt, betekent dit dat er of bezuinigd moet worden op andere controles, of het budget wordt overschreden. Dit is niet wenselijk voor de auditafdeling. Het gebruik van IT-auditors wordt hierdoor beperkt en verdere samenwerking tussen de IT-auditors en de interne auditafdeling wordt niet gestimuleerd.
De auditafdeling bepaalt welke controles er moeten worden uitgevoerd, hoeveel tijd daarvoor beschikbaar is en wie deze controles uitvoert. Volgens Havelka en Merhout (2013) zijn de vaardigheden van het auditteam bepalend voor de auditprocedure. Wanneer een audit vraagt om gespecialiseerde IT-kennis, is het aan de auditafdeling de taak om te bepalen of ze zelf deze kennis beschikbaar hebben of dat ze een IT-auditor moeten vragen voor deze audit. Volgens Ax, Bierstaker en Lowe (2008) erkennen auditors dat het gebruik van IT-tools nuttig is bij verschillende fases van het auditproces zoals de audit planning, risicotoekenning, beoordeling van het interne controlesysteem, klantenacceptatie, klantenrelatiemanagement en fraudeopsporing. Uit hun onderzoek blijkt echter dat er weinig gebruik wordt gemaakt van de mogelijkheden die de IT-tools bieden. Daarnaast worden IT-auditors nog in geringe mate ingeschakeld door het audit team, zelfs wanneer er een controle wordt uitgevoerd bij een bedrijf met een complexe IT-omgeving (Janvrin et al., 2008; Abdolmohammadi & Ross 2010).
Hieruit blijkt dat auditors wel de IT-mogelijkheden die er zijn erkennen, maar deze niet gebruiken omdat de kennis over dit onderwerp nog beperkt is binnen auditafdelingen. Tegelijkertijd overschatten ze hun eigen IT-kennis, omdat er nog maar weinig IT-auditors betrokken worden bij de auditprocedures.
Vasarhelyi en Liu (2014) stellen dat wetgeving over de rapportagestijl waaraan accountants zich moeten houden is verouderd, te strikt is en niet frequent kan worden gebruikt. De richtlijnen voor de rapportage van accountantscontroles en de conservatieve en rigide houding van de accountants past niet bij het huidige technologische tijdperk. Volgens de auteurs zijn dit een factoren die ervoor zorgen dat het gebruiken van IT-tools en het inschakelen van IT-auditors wordt beperkt.
De kosten voor het inhuren van externe IT-auditors weerhoudt de auditafdeling van het inhuren ervan (Alexen et al., 2017). Uit dit onderzoek blijkt dat organisaties liever intern de IT-audits op zich nemen omdat ze verwachten dat wanneer het extern wordt besteed, er onzorgvuldiger met hun budget wordt omgegaan. Uit het onderzoek van Abdolmohammadi en Ross (2010) blijkt dat er een positieve relatie is tussen de grootte van de organisatie en het aantal IT-audits dat wordt uitgevoerd. Hieruit concludeerde ze dat grotere organisaties meer middelen beschikbaar hebben om IT-audits uit te voeren dan kleinere bedrijven. Met middelen worden in het artikel zowel financiële middelen als beschikbare werknemers die de kennis hebben om deze IT-audits uit te voeren bedoeld.
Toch is er een toename van het aantal IT-audits dat is uitgevoerd door een interne IT-auditor geconstateerd. Vanaf 2003 tot en met 2009 is de toename namelijk één procent per jaar (Abdolmohammadi en Ross, 2010). Dit is voordelig voor organisaties omdat wanneer gebruik gemaakt wordt van interne IT-auditors dit kosten kan reduceren. Het inhuren van externe IT-consultants kan zo namelijk worden beperkt.
Uit de bevindingen van bovengenoemde studies kan worden geconcludeerd dat organisaties nog maar weinig gebruik maken van IT-tools tijdens audits. Daarnaast zijn ze terughoudend bij het inschakelen van de hulp van de auditor. De perceptie van het management over hoe waardevol IT-audits zijn, de kosten voor het inhuren van IT-auditors en de trots en traditionele houding van de huidige interne accountants zijn factoren die meewegen in de beslissing om gebruik te maken van IT-tools en de hulp die IT-auditors kunnen bieden bij het uitvoeren van interne controles.
24 5 Conclusie
Door de technologische ontwikkelingen van de laatste decennia is er een groei geweest in de hoeveelheid data die beschikbaar is voor organisaties om hun dagelijkse bedrijfsuitvoering te beoefenen. De technologische ontwikkelingen dragen bij aan de ontwikkeling van het AIS, informatieverwerking en data-analyse. Tegelijkertijd brengen deze ontwikkelingen problemen rondom de verwerking van privacygevoelige data met zich mee. Om het individu te beschermen tegen het onzorgvuldig verwerken van deze data is privacywetgeving ingevoerd. In dit onderzoek zijn de gevolgen van de in Nederland geldende privacywetgeving onderzocht en dan met name welke gevolgen deze heeft voor de interne auditfunctie en de rol die de IT-auditor hierbij speelt. Hieruit kwam de volgende onderzoeksvraag voort: Wat is de impact van privacywetgeving op het interne
beheerssysteem, de interne auditfunctie en wat is de rol van de IT-auditor hierbij binnen Nederland?
Voor het beantwoorden van deze vraag is de impact van privacywetgeving op drie onderdelen beoordeeld: het interne beheerssysteem, de organisatiestructuur en de werkzaamheden van de interne auditor. Door de invoering van privacywetgeving gaat het interne beheerssysteem een technologisch verbeteringsproces door. Binnen het systeem worden diverse IT-gerelateerde technieken ingevoerd om te voorkomen dat er een datalek plaatsvindt of dat de data onrechtmatig wordt verwerkt. Daarnaast worden de systemen zodanig aangepast dat ze makkelijker controleerbaar zijn als gevolg van de aangescherpte privacywetgeving. Door privacywetgeving is het gewenst om het aantal incidenten met betrekking tot privacygevoelige data te verminderen.
Uit dit onderzoek is gebleken dat de organisatiestructuur hierin een belangrijke rol speelt. Wanneer het management van de organisaties zich actief inzet om te voldoen aan alle regels van de privacywetgeving heeft dat een positief effect op de bescherming van privacygevoelige data. Het is gewenst dat het management zorgt voor begrijpbare privacyrichtlijnen, trainingen van het personeel, het aanstellen van een team dat zich inzet voor informatiebeveiliging en het aanstellen van een DPO. Daarnaast is er de mogelijkheid om een active monitoring system te implementeren dat alle acties van het personeel die gebruik maken van het informatiesysteem bijhoudt. Privacywetgeving heeft ook impact gehad op de werkzaamheden van de interne auditor. Door de steeds gecompliceerdere IT-technologie van het interne informatiesysteem die nodig is voor de bescherming van privacygevoelige data vergen de controles van het systeem om een IT-gespecialiseerde auditor. De verwachting is dat de interne auditor geen compliance audits in verband met privacywetgeving meer zal uitvoeren, maar zich uitsluitend zal focussen op de controle van de interne bedrijfsprocessen en het risicomanagement daarbij.
Verder is in dit onderzoek onderzocht wat de invloed is van IT-expertise op interne audits. Om te voldoen aan privacywetgeving is de druk op de controle van het AIS toegenomen. Wanneer auditors meer IT-gerelateerde kennis hebben, zijn ze sneller in het opsporen van defecten in het AIS. Omdat
privacywetgeving met name vraagt om controles over het waarborgen van de beveiliging van data is hierin een taak weggelegd voor de IT-auditor. Daarnaast kunnen IT-auditors zorgen voor een betere structurering van data zodat de controles op de beveiliging van data makkelijker worden. Verder kunnen ze het interne auditteam met deze controles helpen omdat een beter gestructureerde dataset data-analyse mogelijk maakt. Uit dit onderzoek is gebleken dat organisaties vooralsnog terughoudend zijn bij het inschakelen van de hulp van IT-auditors. Een verwachting is dat de IT-auditor (vanwege zijn IT-expertise) door de komst van privacywetgeving vaker ingeschakeld zal worden bij het uitvoeren van compliance audits met betrekking tot het interne beheerssysteem.
Concluderend leidt privacywetgeving ertoe dat het interne beheerssysteem technologisch gecompliceerder is geworden. Dit zorgt ervoor dat de controle op het systeem in verband met databeveiliging niet meer tot de werkzaamheden van de reguliere interne auditor zal behoren, maar dat hierin een rol voor de IT-auditor is weggelegd.
Dit onderzoek draagt bij aan een beter begrip over de impact van privacywetgeving op het interne beheerssysteem en de gevolgen hiervan op de controle. In de huidige literatuur is voornamelijk onderzocht welke aanpassingen organisaties moeten maken om te voldoen aan privacywetgeving. Ook is er in de huidige literatuur reeds informatie beschikbaar over het effect van IT-gespecialiseerde auditors bij interne controles. De directe relatie tussen privacywetgeving en de werkzaamheden van de interne auditor is nog niet eerder onderzocht. Dit onderzoek onderscheidt zich daarin van al bestaande literatuur over deze onderwerpen.
Een beperking van dit onderzoek is dat de impact van de meest recente privacywetgeving die geldig is in Nederland, de AVG, nog niet onderzocht is, omdat deze wetgeving tijdens het uitvoeren van dit onderzoek van kracht is gegaan. Ook bestaat er nog onduidelijkheid over in welke mate het AIS aangepast zal worden om aan deze privacywetgeving te voldoen.
Voor vervolgonderzoek is het daarom interessant om te onderzoeken wat de exacte impact van de AVG is op verschillende onderdelen van de organisatie. De rol van de IT-auditor hierbij zou getoetst kunnen worden door gebruik te maken van een verschillenanalyse tussen de kosten die voorheen werden gemaakt voor het inhuren van IT-auditors en worden besteed na de implementatie van de AVG. Ook is het interessant om te onderzoeken of er een toename zal zijn in het aantal auditors die zich gaan specialiseren tot IT-auditor.
26 6 Bijlage
Figuur 1. Aangepast model van Three Lines of Defense Model (The Institute of Internal Auditors, 2013)
Bibliografie
Abdolmohammadi, M.J., Boss, S.R. (2010). Factors associated with IT audits by the internal audit function,
International Journal of Accounting Information Systems, Elsevier, doi:10.1016/j.accinf.2010.07.004
Ackerman M., Darell T., Weitzner D. (2001). Privacy in Context, Human-Computer Interaction, Vol. 16:2-4, 167-176, doi: 10.1207/S15327051HCI16234_03
American Institute of Certified Public Accountants (AICPA). (2001). The Effect of Information Technology
on the Auditor’s Consideration of Internal Control in a Financial Statement Audit.
Statement of Auditing Standards No. 94. New York, NY: AICPA.
Arachchilage, N.A.G., Love, S. (2014). Security awareness of computer users: A phising threat avoidance perspective, Computers in Human Behaviour, Elsevier, doi:10.1016/j.chb.2014.05.046
Arena, M., Azzone, G. (2009). Identifying Organizational Drivers of Internal Audit Effectiveness, International
Journal of Auditing, Blackwell Publishing, Oxford
Arens, A., Elder R., Beasley M. (2017). Auditing and Assurance Services, Person Education Limited, p. 37 Autoriteit Persoonsgegevens(AP). (2015). De meldplicht datalekken in de Wet bescherming persoonsgegevens
(Wbp), Autoriteit Persoonsgegevens, Den Haag
Autoriteit Persoonsgegevens(AP). (2018). Het werk van de Autoriteit persoonsgegevens, Verkregen van de AP website: https://autoriteitpersoonsgegevens.nl/nl/over-privacy/het-werk-van-de-autoriteit
persoonsgegevens
Barnard-Willis, D., Chulvi, C.P., De Hert, P. (2016). Data protection authority perspectives on the impact of data protection reform on cooperation in the EU, Computer Law & Securtiy Review, Elsevier, doi:
10.1016/j.clsr.2016.05.006
Beckett, P. (2017). GDPR compliance: your tech department’s next big opportunity, Computer Fraud & Security, Verkregen van Elsevier: https://www.sciencedirect.com/science/article/pii/S1361372317300416 Bierstaker, J., Janvrin, D., Lowe, D.J. (2014). What factors influence auditors' use of computer-assisted audit
techniques?, Advances in Accounting, Elsevier, doi:10.1016/j.cose.2013.04.004
Boiko, A., Shendryk, A. (2017). System Integration and Security of Information Systems, Procedia
Computer Science, Verkregen van Elsevier: http://creativecommons.org/licenses/by-nc-nd/4.0/
Damasiotis, V., Trivellas, P., Santouridis, I., Nikolopoulos, S. Tsifora, E. (2015). IT Competences for Professional Accountants. A Review, Procedia Social and Behavioral Sciences, Elsevier, doi:
10.1016/j.sbspro.2015.01.1234
De Hert, P., Papakonstantinou, V. (2012). The proposed data protection Regulation replacing Directive
95/46/EC: A sound system for the protection of individuals, Computer Law & Security Review, Elsevier, doi:10.1016/j.clsr.2012.01.011
De Hert, P., Papakonstantinou, V. (2016). The new General Data Protection Regulation: Still a sound system for the protection of individuals?, Computer Law & Security Review, Elsevier, doi:
10.1016/j.clsr.2016.02.006
Earley, C.E., (2015). Data analytics in auditing: Opportunities and challenges, Business Horizons, Elsevier, doi: 10.1016/j.bushor.2015.05.002
28
Eulerich, M., Theis, J., Velte, P., Stiglbauer, M. (2017). “Self-perception of the Internal audit function within the corporate governance system – empirical evidence for the European Union”, Verkregen van Business perspectives: https://ssrn.com/abstract=2521057
Europees Parlement en de Raad. (2016). Verordening (EU) 2016/679, Publicatieblad van de Europese Unie, Nederland
Fijneman, R., Roos Lindgreen, E., Veltman, P., Ho, K.H. (2011). Grondslagen IT-auditing, tweede druk, Sdu uitgevers, Den Haag
Ghasemi, M. Shafeiepour, V. Aslani, M., Barvayeh, E. (2011). The impact of Information Technology (IT) on modern accounting, Procedia - Social and Behavioral Sciences, Elsevier, doi:
10.1016/j.sbspro.2011.11.023
Grabski, S. (2012). Discussion of “The relationship between internal audit and information security: An exploratory investigation, International Journal of Accounting Information Systems, Elsevier, doi: 10.1016/j.accinf.2012.06.008
Haislip, J.Z., Peters, G.F., Richardson, V.J. (2016). The effect of auditor IT expertise on internal controls, International Journal of Accounting Information Systems, Elsevier, doi:10.1016/j.accinf.2016.01.001 Havelka, D., Merhout, J.W. (2013). Internal information technology audit process quality: Theory development
using structured group processes, International Journal of Accounting Information Systems, Elsevier, doi: 10.1016/j.accinf.2012.12.001
Hoffman, B.W., Sellers, R.D., Skomra, J. (2018). The impact of client information technology capability on audit pricing, International Journal of Accounting Information Systems, Elsevier, doi:
10.1016/j.accinf.2018.03.002
Institute of Internal Auditors. (2013). The three lines of Defense in effective Risk management and control, Florida
Janvrin, D., Bierstaker, J., Lowe, D.J. (2008). An Examination of Audit Information Technology Use and Perceived Importane, Accounting Horizons, Vol. 22.1
Janvrin, D., Bierstaker, J., Lowe, D.J. (2009). An Investigation of Factors Influencing the Use of Computer-Related Audit Procedures, Journal of Information Systems, Vol. 23:1, p. 97-118
Julisch, K., Suter, C., Woitalla, T., Zimmerman, O. (2011). Compliance by design – Bridging the chasm between auditors and IT architects, Computers and Security, Elsevier, doi:10.1016/j.cose.2011.03.005
Kamara, I., Burnik, J. (2017). Recommendations on European data protection certification, European Union
Agency For Network and Information Security, Verkregen van: www.enisa.europa.eu
Kankanhalli, A., Teo H., Tan B.C.Y., Wei K. (2003). An integrative study of information systems, International
Journal of Information Management, Elsevier, doi: 10.1016/S0268-4012(02)00105-6
Kim, H.J., Mannino, M., Nieschwietz, R.J. (2009). Information technology acceptance in the internal audit profession: Impact of technology features and complexity, International Journal of Accounting
Information Systems, Elsevier, doi:10.1016/j.accinf.2009.09.001
Lachaud, E. (2018). The General Data Protection Regulation and the rise of certification as a regulatory instrument, Computer Law & Security Science, Elsevier, doi:10.1016/j.clsr.2017.09.002
Langelier C., Ingram J. (2001). Management Planning Guide Information System Security Auditing, National
State Auditors Association and the U.S General Accounting Office, Verkregen van:
Li, H., Dai, J., Gershberg, T., Vasarhelyi, M.A. (2018). Understanding usage and value of audit analytics for internal auditors: An organizational approach, International Journal of Accounting Information
Systems, Elsevier, doi: 10.1016/j.accinf.2017.12.005
Li, C., Lim, J., Wang, Q. (2007). Internal and external infuences on IT control governance, International Journal
of Accounting Information Systems, Elsevier, doi:10.1016/j.accinf.2007.09.002
Liu, Q., Vasarhelyi, M.A. (2014). Big Questions in AIS Research: Measurement, Information Processing, Data Analysis and Reporting, Journal of Information Systems, American Accounting Association, Vol. 28.1, doi: 10.2308/isys-10395
Mantelero A. (2014). The future of consumer data protection in the E.U. Re-thinking the “notice and
consent” paradigm in the new era of predictive analytics, Computer Law & Security Review, 643-660, Elsevier, doi: 10.1016/j.clsr.2014.09.004
Nissenbaum, H. (2010). Privacy in Context; Technology, Policy and the integrity of social life, Stanford Law Books, Stanford, California
Overkleeft-Verburg M. (1995). De Wet Persoonsregistraties; norm toepassing en evaluatie, KU Brabant Protiviti. (2017). The Cyber Risk Oversight Challenge, Protiviti issue 101, Verkregen van de Provititi website:
https://www.protiviti.com/US-en/insights/bpro101
Raab, C., Szekely, I. (2017). Data protection authorities and information technology, Computer Law &
Security Review, Elsevier, doi:10.1016/j.clsr.2017.05.002
Raak, C., Szekely, I. (2017). Data protection authorities and information technology, Computer Law &
Security Review, Elsevier, doi: 10.1016/j.clsr.2017.05.002
Reding V. (2011). The upcoming data protection reform for the European Union, International Data Privacy
Law; Vol. 1(1), 3–5
Romney, M., Steinbart, P. (2018). Accounting Information Systems. Essex: Person Education Limited, p. 349-350 Safa, N.S., Sookhak, M., Von Soms, R., Furnell, S., Ghani, N.A., Herawan, T. (2015). Information security
conscious care behavior formation in organizations, Computer & Security, Elsevier, doi: 10.1016/j.cose.2015.05.012
Safa, N.S., Von Soms, R., Furnell, S. (2016). Information security policy compliance model in organizations,
Computer & Security, Elsevier, doi: 10.1016/j.cose.2015.10.006
Steinbart, P.J., Rascke, R.L., Gal, G., Dilla, W.N. (2012). The relationship between internal audit and information security: An exploratory investigation, International Journal of Accounting
Information Systems, Elsevier, doi: 10.1016/j.accinf.2012.06.007
Steinbart, P.J., Rascke, R.L., Gal, G., Dilla, W.N. (2018). The influence of a good relationship between the internal audit and information security functions on information security outcomes, Accounting,
Organizations and Society, Elsevier, doi:10.1016/j.aos.2018.04.005
Tankard, C. (2016). What the GDPR means for businesses, Digital Pathways, Verkregen van Elsevier: https://www.sciencedirect.com/science/article/pii/S1353485816300563
Tankard, C. (2017). Encryption as the Cornerstone of bid data security, Network Security, Verkregen van Elsevier: https://www.sciencedirect.com/science/article/pii/S1353485817300259
30
Tikkinen-Piri C., Rohuen A., Markkula J. (2018), EU General Data Protection Regulation: Changes and implications for personal data collecting companies, Elsevier, doi: 10.1016/j.clsr.2017.05.015 Tweede Kamer der Staten-Generaal. (1998). Regels inzake de bescherming van persoonsgegevens (Wet
bescherming persoonsgegevens), Sdu ’s-Gravenhage, Vol. 25 892(3), 3-25
Von Solms, R., Van Niekerk J. (2013), From information security to cyber security, Computer security, doi:10.1016/j.cosse.2013.04.004
Vroom, C., Von Solms, R. (2004). Towards information security behavioural compliance, Computer & Security, Elsevier, doi:10.1016/j.cose.2004.01.012
Zerlang, J. (2017). GDPR: a milestone in convergence for cyber-security and compliance, Network Security, Verkregen van Elsevier: https://www.sciencedirect.com/science/article/pii/S1353485817300600
