Contemporary Public IT Audit
Scriptie in het kader van de Amsterdam IT Audit Program (UvA)
Voorwoord
Deze scriptie is als het ware het product van de afronding van een belangrijk tijdperk in mijn professionele carrière. Na 7 jaren het vak “GRC & Internal Audit” te hebben gedoceerd aan de Amsterdam IT Audit Program van de Universiteit van Amsterdam heb ik als student ook het programma zelf afgerond.
Een en ander vanuit de visie dat een controlerend accountant zonder een IT-audit competentiebasis beperkt is en zal zijn in zijn rol; onder andere de digitale
transformatie van de samenleving, de opkomst van Exponential Organisations en ontwikkelingen op het gebied van Data Analytics voedden die visie.
De aard van cliënten wijzigt van grote multinationale rustig groeiende
ondernemingen naar snelgroeiende ondernemingen, die ondanks hun relatief beperkte omvang dezelfde “grote mensen” vaktechnische vraagstukken hebben. Mijn professionele behoefte was en is om als controlerend accountant
ondernemingen te blijven bedienen, die met dank aan technologie, big data en sterk op soft controls gebaseerde huizen van interne beheersing, ondanks hun beperkte omvang toch een grote impact hebben.
Om deze reden ben ik in 2015 gestart met ENDYMION Amsterdam, Studio for Contemporary Public Audit; een accountantspraktijk die qua inrichting optimaal aansluit op de assurance en daaraan gerelateerde dienstverlening aan die nieuwe generatie ondernemingen. De IT-Audit competentie is daar een belangrijke
bouwsteen van. Maar dat in het rumoerige speelveld waarin auditors zich momenteel bevinden behoefte bestaat aan evolutie van de traditionele wijze van auditen is evident.
Deze scriptie is in zekere zin een academische bodem geworden waarop die visie gestalte heeft gekregen.
Speciale dank voor het begeleiden van die visievorming en academisch fijnslijpen is verschulidigd aan Han Boer, eminence grise in het land van IT-auditors, en uiteraard Annelies Vethman voor haar buitengewoon waardevolle feedback gedurende het scriptieproces.
Amsterdam, 23 januari 2017 Endymion M. Struijs RA
Inhoudsopgave
1. Samenvatting ... 4
2. Inleiding ... 6
1. Aanleiding... 6
2. Probleemstelling en onderzoeksvragen... 13
3. Werkwijze en onderzoeksmethode... 14
4. Opbouw scriptie... 15
3. Literatuuronderzoek ... 16
1. Inleiding... 16
2. IT Audit... 17
3. Zorgplicht voor accountants
... 21
4. Digitale transformatie en ExO’s
... 29
5. Contemporary Public IT Audit (“CPIA”)
... 38
4. Praktijktoets ... 46
1. Inleiding... 46
2. Analyse... 49
5. Conclusie ... 54
6. Discussie ... 61
Bijlage I - Literatuurlijst... 62
Bijlage II – Praktijktoets... 68
1. Samenvatting
IT Audit is een element van de “competentiebasis” van auditors die onder andere betrokken zijn bij de (wettelijke) controle van financiële overzichten, de invulling van Internal Audit functies, en bij assuranceopdrachten bij serviceorganisaties. De uitvoering van verwerkings gerichte assuranceopdrachten bij serviceorganisaties is traditioneel het primaire domein van IT Auditors (Register EDP auditors of RE). Die bij de (wettelijke) controle van financiële overzichten van externe accountants (registeraccountants of RA) met, zonodig, ondersteuning door een IT Auditor.
Aandachtspunt voor de effectieve inzet van “IT Audit” binnen de (wettelijke) controle van financiële overzichten is de mate van integratie van de IT Audit competentie binnen (de individuele RAs van) een opdrachtteam in plaats van, zoals momenteel gebruikelijk, gebruikmaking van de werkzaamheden van een door de accountant ingeschakelde IT Auditor (RE) als deskundige. Daar waar externe accountants (RA) in hun controle primair bevestiging zoeken naar de getrouwheid van historische financiële overzichten ter onderbouwing van hun controleverklaring, zoeken IT Auditors (RE) bij hun inzet (ook in geval van gebruikingmaking als ingeschakelde deskundige) op assurance opdrachten (o.a. COS 3402) en internal audits primair naar afwijkingen. Deze tegengestelde richtingen lijken onder andere een oorzaak van de, onder andere door AFM gesignaleerde, suboptimale vertaling van IT audit aspecten binnen de accountantscontrole.
Mede naar aanleiding van recente rapporten lijkt het huidige curriculum van het Amsterdam IT Audit Program van de Universiteit van Amsterdam toereikend qua IT Audit competentiebasis. Het inweven van a (bijvoorbeeld filosofie) en g (bijvoorbeeld psycho- en sociologie) aspecten in het opleidingsmodel voor auditors, inclusief IT auditors, is echter noodzakelijk om effectief, efficiënt en maatschappelijk relevant te blijven in het kader van de jaarrekeningcontrole, en de assurance bij de
serviceorganisaties.
De zorgplicht van een auditor, dat wil zeggen dat hij of zij zijn/haar werkzaamheden kwalitatief goed uit voert, is weliswaar niet afhankelijk van wie de stakeholders zijn, maar wel van evoluerende maatschappelijke behoeften. Hedendaagse
maatschappelijke behoeften groeien onder andere qua continuïteit en vertrouwelijkheid van de bedrijfsvoering in het algemeen en die, inclusief
betrouwbaarheid, van de geautomatiseerde gegevensverwerking in het bijzonder. Illustratief in dezen is onder andere de invoering van de Meldplicht Datalekken en de expliciete vermelding in de op 8 december 2016 uitgebrachte herziene Nederlandse Corporate Governance Code van de verantwoordelijkheid van de auditcommissie qua haar toezicht op het bestuur ten aanzien van de toepassing van informatie- en communicatietechnologie door de vennootschap , waaronder risico’s op het gebied van cybersecurity. Ook aandacht voor het functioneren van Internal Audit en voor
soft controls groeit qua belang voor ondernemingen en bij haar betrokken auditors
mede naar aanleiding van de herziene versie van de Nederlandse Corporate Governance Code.
Onder invloed van de digitale transformatie en opkomst van ExO’s1 zijn sommige ondernemingen geëvolueerd tot Public Social Networked Infrastructures. De kernwaarden, missie, visie, strategie en enterprise architecture, inclusief informatiebeveiligingsbeleid, vormen een basis van vertrouwen (“Trust”) vanuit (social networked) stakeholder relations waarop de (tech enabled) infrastructure omgeven door een stelsel van zachte en harde beheersingsmaatregelen (“Design”) is gebouwd en waarover het management publicy verantwoording aflegt
(“Transparency”). Het vertrouwen (trust) ontstaat door het gegeven van inzicht (transparancy)
Deze veranderende cliëntomgeving vloeit samen met de maatschappelijke behoefte aan kwantificering van zekerheid, signalering ten aanzien van financiële- en
niet-financiële, inclusief informatietechnologisch gerelateerde, risico’s die belangrijk zijn voor de continuïteit van de onderneming, alsmede een qua controlemix effectieve en efficiënte accountantscontrole. In de Contemporary Public IT Audit (“CPiA”) worden deze aspecten vanuit een academisch a (filosofie), g (psychologie, sociologie) en b (informatietechnologie) perspectief benaderd. Dusdanig dat de auditor (kwantitatief) transparant is ten aanzien van zijn professionele oordeelsvorming in zowel zijn controledocumentatie als naar personen belast met governance en het management van zijn client.
Specifiek aandachtspunt voor de Auditor, in zijn rol als assurance provider bij serviceorganisaties is dat door de digitale transformatie en opkomst van
exponentiële organisaties (“ExO’s”), waarbij ondernemingen “peer to peer” gebruik
maken van elkaars (IT) infrastructuur, er dientengevolge een groeiende behoefte naar zijn assurance met betrekking tot serviceorganisaties bestaat. De standaard 3402 is veruit de meest gebruikte vorm. Echter dekt deze niet de niet-financiële processen en dekt qua reikwijdte naast betrouwbaarheid niet beschikbaarheid en vertrouwelijkheid. Dat levert niet alleen beperkingen op bij het management van de (ExO) gebruikersorganisatie om haar uitbestede activiteiten op die punten te
beheersen, maar biedt ook de accountant weinig houvast bij het vaststellen of management, in het kader van de Vertrouwelijkheid / Privacy (Meldplicht
Datalekken, cybersecurity) en Continuïteit, toereikende beheersingsmaatregelen heeft getroffen om de (persoons)gegevens te beschermen. Op dit moment is er nog geen algemeen geaccepteerd alternatief beschikbaar. Er ligt derhalve een dringende behoefte bij auditors om een alternatief te ontwikkelen.
1 een exponentiële organisatie(“ExO”) is een organisatie waarvan de impact (of
opbrengst) disproportioneel groot is - tenminste tienmaal groter - vergeleken met gelijksoortige organisaties, door het gebruik van nieuwe organisatietechnieken die versnellende technologieën inzetten.
2. Inleiding
1. Aanleiding
Aanleiding voor dit onderzoek zijn:
1. De recente publiciteit rond het begrip “zorgplicht” voor accountants en 2. Het groeiend belang van de Digitale transformatie inclusief opkomst van
ExO’s.
Waarbij de vraag rijst welke invloed die hebben op de planning en uitvoering van de accountantscontrole en, mede gedreven door de eminente rol van
informatietechnologie, welke rol IT-audit hierin speelt. Kortgezegd wat wordt verstaan onder een “Contemporary Public IT Audit” (“CPiA”)?
In verhouding tot de snelheid en dynamiek van de geschetste ontwikkelingen is de omvang van recent Nederlands academisch onderzoek op het gebied van
Accountantscontrole bescheiden.
Deze scriptie beoogt een bijdrage te leveren aan een hedendaagse interpretatie van de (openbare) accountantscontrole: “Contemporary Public IT Audit” (“CPIA”) en specifiek de rol van IT Audit daarbij. Daartoe wordt in deze scriptie het volgende gepresenteerd:
• Een analyse van bestaande (academische) literatuur.
• Een praktijktoets onder 12 registeraccountants (RA) en/of register-EDP auditors (RE).
• Een conclusie qua interpretatie van de hedendaagse toepassing van de accountantscontrole en de rol van IT Audit daarbij.
• Eventuele verrijking van het curriculum van het Amsterdam IT Audit Program (ABS, UvA)
IT Audit
IT-audit2 is het vakgebied dat zich bezighoudt met het beoordelen van de automatisering van de organisatie en de organisatie van de automatisering. IT-auditing is een specialisme binnen het IT-auditing-vakgebied.
Tot enkele jaren geleden heette het vakgebied EDP-Auditing, ofwel beoordeling van Electronic Data Processing. De laatste decennia heeft IT-auditing zich verbreed tot de relatie bedrijfsprocessen en ICT en richt de aandacht zich minder op het
rekencentrum en systeemontwikkelafdelingen. Aanleiding voor het ontstaan van het vakgebied is de toenemende automatiseringsgraad. De verwerking van
administratieve processen vindt steeds meer plaats binnen geautomatiseerde informatiesystemen. Hierdoor kan een accountant veelal niet meer voldoende zekerheid krijgen omtrent de getrouwheid van de financiële verslaglegging van organisaties. Het doorgronden van geautomatiseerde informatiesystemen vergt andere (technische) kennis dan alleen bedrijfseconomie en administratieve organisatie.
In de loop van de tijd is de aandacht meer en meer verlegd van het product geautomatiseerde informatiesystemen naar ontwikkel- en beheerprocessen. Accountants spelen in op de behoefte naar assurance op dit gebied.
Gegeven de specifieke competentie van IT audit, de ontwikkelingen op het gebied van digitale transformatie en discussie rond zorgplicht en kwaliteit van de
accountantscontrole rijst de vraag wat de specifieke rol van de IT Audit daarin is.
Zorgplicht
Het begrip zorgplicht kent voor accountants vele gedaanten3. Naast de zorgplicht op grond van de Wet Toezicht Accountantsorganisaties (“Wta”), bestaat er onder meer een zorgplicht c.q. kan er een zorgplicht bestaan tegenover:
• de klant
• het maatschappelijk verkeer • investeerders en geldschieters • werknemers van het kantoor
• vrienden aan wie ja als accountant advies geeft
2 Wikipedia (2016). IT-audit. Geraadpleegd op 22 juli 2016 op
https://nl.wikipedia.org/wiki/IT-audit
Kort samengevat voldoen accountants aan hun zorgplicht indien ze zorgvuldig hun werk doen en verschillende belangen goed in het oog houden.
Hoewel “zorgplicht” niet nieuw is, leeft het begrip relatief beperkt in de
accountantsberoepsgroep. Zeker in vergelijking met bijvoorbeeld de financiële sector (banken, verzekeraars) waar affaires rond de woekerpolis, MKB derivaten en het aanbieden van risicovolle beleggingen “zorgplicht” tot een algemeen bekend en aanvaard begrip hebben geëvolueerd.
Aanleiding van recente publicaties rond “zorgplicht” voor accountants zijn de door de Autoriteit Financiële Markten (“AFM”) aan Big 4 accountantsorganisaties opgelegde boetes. De AFM heeft alle Big 4 accountantsorganisaties boetes opgelegd op grond van het in haar ogen verzaken van de zorgplicht ex. artikel 14 Wta4. Die conclusie baseert AFM op de uitkomsten van de door haar uitgevoerde beoordelingen van een (beperkt) aantal controledossiers bij deze kantoren. Op 27 mei 2016 verscheen op de website van AFM het bericht dat de boetes aan KPMG en Deloitte “rechtens onaantastbaar zijn geworden”. Dat betekent dat PwC en EY tegen hun boetes in beroep zijn gegaan.
PwC bevestigt dat het in beroep is gegaan tegen de boete: “We hebben pro forma bezwaar aangetekend. Ons bezwaar richt zich niet tegen de hoogte van de boete. Integendeel, als we die morgen moeten betalen, betalen we. Een maatregel
begrijpen we. Ons bezwaar richt zich op de onderbouwing van het boetebesluit. Wij vinden bijvoorbeeld dat er duidelijkheid moet komen over de invulling van de
zorgplicht en wanneer welke maatregelen kunnen worden opgelegd.”5
EY bevestigt weliswaar tegen de boete in beroep te zijn gegaan, maar heeft daar publicitair (nog) geen nadere toelichting op gegeven.6
Ten tijde van de publicatie van deze scriptie is nog onduidelijk wat het beroep van PwC en EY heeft opgeleverd.
Digitale tranformatie en ExO’s
Digitalisering is een omvattend fenomeen dat vrijwel alle aspecten van onze
samenleving raakt. Dit is niet anders voor bedrijven. Als antwoord op revolutionaire, snelle ontwikkelingen proberen bedrijven in toenemende mate strategische,
technologische en organisatorische veranderingen door te voeren. Voorbeelden van deze revolutionaire, snelle ontwikkelingen zijn onder andere:
• Internet of Things (“IoT”), • Cloud computing,
• 3d-Printing, het
4 Artikel 14 van de Wet toezicht accountantsorganisaties (“Wta”), Handleiding Regelgeving
Accountancy (“HRA”) 2016
5 PwC in beroep tegen AFM-boete, www.accountant.nl 30 mei 2016
• Outernet, • Wearables, • Big Data,
• Wireless computing en diverse vormen van • Robotica
Dit wordt aangeduid als Digitale transformatie, waarbij twee vormen worden onderscheiden, namelijk representatieve en generatieve: bij de eerste staat de automatisering van bestaande bedrijfsfuncties door middel van nieuwe, slimme technologieën centraal. Bij de tweede gaat het om het genereren van nieuwe producten en diensten met behulp van digitale platforms7.
De ondernemingen die dergelijke digitale platforms ontwikkelen worden ook wel Scale-Ups genoemd. THNK, school of creative leadership, en Deloitte Fast Ventures hebben in 2015 de uikomsten van hun Startup Scaling Research Project
gepubliceerd8. Hieruit kwamen de volgende gedeelde kenmerken van succesvolle scale-ups naar voren:
1. Ervaren leiderschap (oprichters en management)
2. Een op schaalbaarheid ingerichte organisatie(structuur) 3. Geduld ten aanzien van de juiste timing qua marktbenadering
Naar op schaalbaarheid ingerichte organisaties is door Singularity University onderzoek gedaan en heeft aan deze organisaties de naam exponentiële
organisaties gegeven. Een Exponentiële organisatie9 wordt als volgt gedefinieerd:
„Een exponentiële organisatie is een organisatie waarvan de impact (of opbrengst) disproportioneel groot is - tenminste tienmaal groter - vergeleken met gelijksoortige organisaties, door het gebruik van nieuwe organisatietechnieken die versnellende technologieën inzetten. Exponentiële organisaties maken geen gebruik van „een leger aan” personeelsleden of grote fysieke gebouwen, maar maken in plaats
daarvan gebruik van informatietechnologie die dingen die ooit fysiek aanwezig waren
7 Peter Balen (2015). Ambidexteriteit in digitale transformaties. Maandblad Accountancy en
Bedrijfseconomie (MAB) november 2015
8 THNK, Deloitte Fast Ventures. Scale-Up The Experience Game, the Netherlands February
– July 2015
9 Salim Ismail, Yuri van Geest (2015). Exponentiële organisaties. Business contact
de-materialiseren naar digitale producten in een wereld waarin alles op afroep beschikbaar is”.
Singularity University (SU) is in 2008 opgericht door Peter Diamandis en Ray Kurzweil. Ook in Nederland is Singularity University actief. Op 2 juni 2016 is de Europese vestiging in Eindhoven officieel geopend.
Digitale transformatie veroorzaakt strategische, technologische en organisatorische veranderingen bij bestaande (lineaire) organisatie en creëert (exponentiële)
organisaties die door hun karakteristieken mogelijk aanknopingspunten bieden voor verhoging van effectiviteit en efficiëntie van de accountantscontrole. Bovendien heeft (informatie) technologie een dusdanig invloed op organisaties dat daarmee de
competenties van de IT Auditor binnen de accountantscontrole mogelijk een andere inzet rechtvaardigen.
Contemporary Public IT Audit (“CPIA”)
Accountants voldoen aan hun zorgplicht indien ze zorgvuldig hun werk doen en
verschillende belangen goed in het oog houden.
Het antwoord op de vraag wat zorgvuldig is met de verschillende belangen in het oog houdende, wat een kwalitatief goede accountantscontrole is, is een
weerbarstige. De basisfunctie van kwaliteit van de accountantscontrole, waarnaar in veel van onderzoeken naar “Audit Quality” wordt verwezen is opgesteld door
DeAngelo (1981)10 en luidt:
“The quality of audit services is defined to be the market-assessed joint probability that a given auditor will both
a) Discover a breach in the client’s accounting system, and b) Report the breach”
Uit deze definitie valt op te maken11 dat de kwaliteit van de accountantscontrole
wordt bepaald door de combinatie van enerzijds de:
1. Technische capaciteiten van de accountant (het in staat zijn om afwijkingen te
ontdekken) en anderzijds de
10 DeAngelo, L.E. (1981), Auditor size and audit quality , Journal of Accounting and
Economics, vol. 3, pp 183-199
11 Binck, D. (2012), Het effect van auditsoftware op de kwaliteit van de accountantscontrole,
2. Onafhankelijkheid van de accountant (het daadwerkelijk rapporteren van de
afwijkingen)
Uit recente onderzoeken van AFM blijkt dat op diverse onderdelen de kwaliteit van de accountantscontrole wat haar betreft te wensen overlaat, onder andere voor wat betreft het volgende:
“Accountants verankeren de relatie tussen onderkende risico’s en de daaruit volgende systeem- en gegevensgerichte werkzaamheden onvoldoende effectief in hun controleaanpak”12
De Swart, Willle en Majoor hebben de uitdagingen om de kwaliteit van de accountantscontrole te verhogen in drie punten samengevat13:
1. De onvermijdelijke vraag naar kwantificering van zekerheid. 2. Een toenemende vraag naar meer dan alleen zekerheid. 3. Druk op optimalisatie van de controlemix
De accountant dient het accountantscontrolerisico (“ACR”) tot een aanvaardbaar niveau terug te brengen14. Dit maakt volgens De Swart, Wille en Majoor de vraag aan accountants of ze ook kwantitatief kunnen duiden wat hun goedkeurende
verklaring bij een jaarrekeningcontrole inhoudt op termijn onvermijdelijk. Kwantitatief op basis van het Audit Risico Model (“ARM”) dat door Eimers15 als “springlevend” wordt beschouwd.
Dat er een toenemende vraag naar meer dan alleen zekerheid bestaat schrijft ook Roger Dassen in het rapport van de adviescommissie herziening eindtermen16: “Van
de accountant wordt meer verwacht dan het geven van zekerheid bij (financiële)
12 Autoriteit Financiële Markten (AFM) (2014). Uitkomsten onderzoek kwaliteit wettelijke
controles Big 4-accountantsorganisaties
13 Jacques de Swart, Jan Wille en Barbara Majoor (2013). Het ‘push left’ –principe als motor
van data analytics in de accountantscontrole, Maandblad voor Accountancy & Bedrijfseconomie (“MAB”), oktober 2013
14 Nadere voorschriften controle- en overige standaarden (“NVCOS”) 200, Handleiding
Regelgeving Accountancy (“HRA”) 2016
15 Eimers, P.W.A. (2006). Het Audit Risico Model is springlevend! Maandblad voor
Accountancy en Bedrijfseconomie (“MAB”) maart 2006
16 Adviescommissie Herziening Eindtermen (2012). Een accountantsopleiding op maat voor
verantwoordingen. Hij moet in staat zijn om risico’s te signaleren, bespreekbaar te maken bij zijn cliënt en een rol te spelen bij de rapportage hierover aan het
maatschappelijke verkeer.”
Tariefdruk op de dienstverlening van accountants is volgens ABN AMRO17
structureel. Hierdoor bestaat er een druk op de optimalisatie van de controlemix. De Swart, Wille en Majoor stellen dat onder andere data-analyses bij uitstek geschikt zijn om deze en de andere uitdagingen voor de accountant aan te gaan. Ook de Werkgroep Toekomst Accountantsberoep heeft in haar hervormingsplannen van 2014 de ambitie geuit om de kwaliteit van accountantscontrole te versterken door onder meer de toepassing van data-analyse18.
Technologische ontwikkelingen zoals hierna geschetst (digitale transformatie”) beïnvloeden de werkprocessen; niet alleen de IT gerelateerde inherente en interne beheersingsrisico’s, maar geven ook ook kansen aan de auditor omdat het data-analyse eenvoudiger maakt dan voorheen. Daar waar in het verleden data-data-analyse zich beperkte tot het (interne) grootboek en sub-administraties van een
onderneming, is het nu mogelijk om alle transactiedata uit systemen te trekken en te analyseren.
17 ABN AMRO (2016) Insights Accountantskantoren. Geraadpleegd www.abnamro.nl op 23
juli 2016
18 Werkgroep Toekomst Accountantsberoep (2014). In het publiek belang – maatregelen ter
verbetering van de kwaliteit en onafhankelijkheid van de accountantscontrole. Nederlandse Beroepsorganisatie voor Accountants (NBA), september 2014
2. Probleemstelling en onderzoeksvragen
Het accountantscontrolerisicomodel (het „model”) ligt ten grondslag aan de planning en uitvoering van de accountantscontrole van jaarrekeningen. Er zijn ontwikkelingen op het gebied van digitale transformatie, in het bijzonder in relatie tot de opkomst van ExO’s, en de brede zorgplicht. Welke invloed hebben deze ontwikkelingen op de hedendaagse toepassing van het accountantscontrolerisicomodel en de inzet van de competentie IT audit daarbinnen; de Contemporary Public IT Audit (“CPIA”). Ergo wat wordt verstaan onder Contemporary Public IT Audit (“CPIA”)?
Een en ander wordt uitgewerkt door beantwoording van de volgende deelvragen: • Welke specifieke rol heeft IT Audit binnen de competentiebasis van accountants
en welke eventuele aanvullende opleidingsbehoefte bestaat er binnen de IT Audit opleiding?
• Wat wordt verstaan onder zorgplicht van de accountant?
• Welke invloed hebben de digitale transformatie en de opkomst van Exponentiële
Organisaties?
• Hoe vertalen die karakteristieken van de digitale transformatie en opkomst van exponentiele organisaties en interpretatie van zorgplicht voor accountants zich naar Contemporary Public IT Audit (“CPIA”)?
3. Werkwijze en onderzoeksmethode
De primaire onderzoeksstrategie is „bureauonderzoek”. Op basis van bestaand materiaal: literatuur, vaktechnische richtlijnen en standaarden, alsmede (actuele, vaktechnische) artikelen, worden de volgende aspecten geïdentificeerd en geanalyseerd:
• IT Audit
• Zorgplicht voor accountants • Digitale transformatie en ExOs
• Contemporary Public IT Audit (“CPiA”)
Interpretaties naar aanleiding van het literatuuronderzoek worden door middel van een praktijktoets getoetst, specifiek ten aanzien van het onderscheid ExO en ondernemingen in het algemeen, bij een groep van tenminste 12
beroepsbeoefenaren die voor tenminste 50% uit RA en 50% RE bestaat, en tenminste de ledengroepen van NBA vertegenwoordigen:
• Openbare accountants (RA) • Accountants in Business (RA)
4. Opbouw scriptie
Na het voorwoord, is hoofdstuk 1 de samenvatting van de scriptie.
In hoofdstuk 2 worden in de inleiding de ontwikkelingen geschetst die aanleiding zijn geweest bij de totstandkoming van de probleemstelling en de deelvragen.
In het volgende hoofdstuk (3) „Literatuuronderzoek” wordt relevante literatuur geanalyseerd vanuit de volgende invalshoeken:
• IT Audit
• Zorgplicht voor accountants
• Digitale transformatie en opkomst van ExOs • Contemporary Public IT Audit (“CPIA”)
In hoofdstuk 4 worden de uitkomsten van de praktijktoets gepresenteerd. In hoofdstuk 5 volgt de conclusie.
Hoofstuk 6 “Discussie” gaat in op behoefte aan toekomstig academisch onderzoek. Bijlage I bevat de literatuurlijst en in bijlage II zijn de uitkomsten van de praktijktoets opgenomen. Bijlage III betreft het verwerven van inzicht in de entiteit en haar
3. Literatuuronderzoek
1. Inleiding
In dit hoofdstuk wordt relevante literatuur geanalyseerd vanuit de volgende invalshoeken:
• IT Audit
• Zorgplicht voor accountants
• Digitale transformatie en opkomst ExO’s • Contemporary Public IT Audit (“CPIA”)
2. IT Audit
Algemeen
Onder een IT-auditor wordt verstaan: een RE (register EDP auditor) die
ingeschreven is in het RE-register van de NOREA (Nederlandse Orde van Register EDP-Auditors), de beroepsorganisatie van IT-auditors. Op grond van artikel 3 lid 1 van het Reglement van Toelating komt voor een lidmaatschap van NOREA in aanmerking: een natuurlijk persoon die zijn afgestudeerd aan een door NOREA erkende universitaire opleiding en voldoen aan de gestelde ervarings- en
gedragsvereisten. Artikel 20 lid 1 schrijft voor dat deze opleiding in voldoende mate aandacht dient te besteden aan die onderwerpen die naar het oordeel van NOREA essentieel zijn voor de vereiste en gewenste deskundigheid van de EDP-auditor, hetgeen onder meer betrekking heeft op:
• Automatisering/informatietechnologie; • Informatiesystemen; • Administratieve organisatie; • Organisatiekunde; • Bedrijfseconomie; • Auditing.
Controles ten behoeve van entiteiten die gebruikmaken van een serviceorganisatie Op grond van de “Nadere voorschriften ter zake van assurance-opdrachten(RA)”19 heeft NBA de Register-EDP auditor (RE) erkend als “andere professional”, hetgeen inhoudt dat de register IT Auditor (RE) de eind-verantwoordelijke professional op een assurance opdracht kan zijn.
Ten aanzien van assurance-rapporten rond uitbestede activiteiten, die vaak door IT Auditors als “andere professional” worden uitgevoerd, is de ISAE 340220 veruit de meest gebruikte vorm. Echter deze is bedoeld voor het gebruik door accountants van organisaties waarbij processen die van invloed zijn op de financiële
verslaggeving zijn uitbesteed. Deze randvoorwaarde betekent dat het rapport betrekking heeft op financiële, of daaraan ondersteunende, processen en dat de reikwijdte beperkt is tot het kwaliteitscriterium betrouwbaarheid. Het rapport dekt daarmee niet de niet-financiële processen en dekt qua reikwijdte naast
19 Nadere voorschriften accountantskantoren ter zake van assurance-opdrachten (RA)
(NVAK-ass (RA)), Handleiding Regelgeving Accountancy (“HRA”) 2016
20 Nadere voorschriften controle- en overige standaarden (“NVCOS”) 3402
Assurance-opdrachten betreffende interne beheersingsmaatregelen bij een serviceorganisatie, Handleiding Regelgeving Accountancy (“HRA”) 2016
betrouwbaarheid niet beschikbaarheid en vertrouwelijkheid). Dat levert niet alleen beperkingen op bij het management van de gebruikersorganisatie om haar
uitbestede activiteiten op die punten te beheersen, maar biedt ook de accountant weinig houvast bij het vaststellen of management, in het kader van de
Vertrouwelijkheid/Privacy (Meldplicht Datalekken, cybersecurity) en Continuïteit,
toereikende beheersingsmaatregelen heeft getroffen om de (persoons)gegevens te beschermen.
Voor wat betreft de bredere dekking van beheersingsdoelstellingen is bijvoorbeeld een ISO 2700121 certificering een alternatief; echter adresseert deze slechts de implementatie van het Information Security Management System (ISMS).
Het SOC 2® rapport is ontwikkeld door AICPA22 en kan betrekking hebben op de principles security, availability, processing integrity, confidentiality en privacy. Zowel naar opzet, bestaan (type 1) als naar opzet, bestaan en werking (type 2). Waarbij security de basis is en de andere principles een toevoeging naar keuze zijn. SOC 2® betreft alleen digitale verwerking. Het vormt geen oplossing voor eventuele andere terreinen waar, bij gebrek aan een uniform alternatief, standaard 3402, anders dan gereglementeerd, wordt toegepast voor assurance over processen waar het
mogelijke verband ontbreekt met de financiële verslaggeving van de uitbestedende organisatie.
De accountant, die de jaarrekening van de gebruikersorganisatie controleert, dient te bepalen of hij een toereikend inzicht heeft verworven in de aard en significantie van de door de serviceorganisatie verleende diensten en het effect ervan op de voor de controle relevante interne beheersing van de gebruikersorganisatie, dat hem in staat stelt de risico’s op een afwijking van materieel belang te identificeren en in te
schatten. Zijn uitdaging is om in dit scala van assurance-rapporten rond uitbestede activiteiten zijn deskundige weg te vinden.
Kennis, attitude en vaardigheden
Majoor en Polman (2013)23 hebben vanuit de maatschappelijke discussie, die vraagt om hervorming van de rol van de accountant, gekeken naar het opleidingsmodel van de accountant. Met name is de vraag besproken aan welke eisen, naar analogie van de invalshoeken van de International Accounting Education Standards Board
21 NEN (Nederlands Normalisatie-instituut) (2013). NEN-ISO/IEC 27001:2013. Information
technology – Security techniques – Information security management systems – requirements.
22 AICPA (American Institute of Certified Public Accountants) (2015). Reporting on controls
at a service organisation relevant to security, availability, processing integrity, confidentiality or privacy (SOC2)
23 Majoor RA, Prof. dr. G.C.M., Polman RA, Drs. A.A.R. De accountant van de toekomst
vraagt een nieuw opleidingsmodel. Maandblad voor Accountancy en Bedrijfseconomie, oktober 2013
(IAESB, 2012a & 2012b)24 qua kennis, attitude en vaardigheden het opleidingsmodel zou moeten voldoen.
Zij hebben een analyse uitgevoerd op het discussierapport van de Commissie Onderwijs Fusie (“COF”)25 en het Rapport Adviescommissie Herziening Eindtermen (“AHE”)26 (“Aanscherping controlekwaliteit”), ten opzichte van de maatschappelijke discussie zoals die in het Groenboek van Barnier is verwoord (“Maatschappelijke rol”).
De conclusie van hun analyse is onderstaand samengevat:
Kennis Thema Aanscherping controlekwaliteit Maatschappelijke rol ICT V Corporate Governance V Ethiek V V Strategie V Risicomanagement V V Interne beheersing V Belastingrecht V Fraude, financierings- en waarderingsvraagstukken V Zekerheid verschaffen ontrent niet-financiële informatie V
24 International Accounting Education Standards Board (IAESB) Exposure drafts:
Professional international education standards (IES) 2, 3 and 4 (2012)
25 Nederlandse Beroepsorganisatie van Accountants (NBA) (2012). Discussierapport: Op de
toekomst voorbereid, commissie onderwijs fusie NBA. Geraadpleegd: www.nba.nl
26 Adviescommissie Herziening Eindtermen (2012). Een accountantsopleiding op maat voor
het maatschappelijk verkeer, adviesrapport aan Commissie Eindtermen Accountantsopleiding. Geraadpleegd: www.ceaweb.nl
Attitude Thema Aanscherping controlekwaliteit Maatschappelijke rol Rol accountant in maatschappelijk verkeer V Rechte rug V V Professioneel Kritische Instelling V Vaardigheden Thema Aanscherping controlekwaliteit Maatschappelijke rol Communicatieve vaardigheden V V ICT V Soft skills V V Inzicht in cultuur en organisaties V Signaleren en reageren op risico’s V V
Begrip hebben voor maatschappelijke vraagstukken
V Eigen ethisch
toetsingskader te
gebruiken en bewust zijn van invloed en mogelijke consequenties van eigen gedrag V V Multidiciplinaire geïntegreerde benadering van vraagstukken en casuïstiek V
Het thema “ICT” komt terug vanuit zowel kennis als vaardigheden perspectief waarmee IT Audit als compententie voor accountants als belangrijk wordt beschouwd voor de aanscherping van de controlekwaliteit.
3. Zorgplicht voor accountants
Algemeen
Het begrip zorgplicht kent voor accountants vele gedaanten27. De boetes die AFM heeft uitgedeeld aan de Big 4 en waartegen EY en PwC in beroep zijn gegaan vloeien voort uit het volgens AFM verzaken van de zorgplicht in verband met artikel 14 van de Wet Toezicht Accountantsorganisaties 28. Dit artikel luidt als volgt:
“De accountantsorganisatie draagt er zorg voor dat de externe accountants die bij haar werkzaam zijn of aan haar zijn verbonden voldoen aan het bij of krachtens afdeling 3.2 bepaalde”.
Afdeling 3.2 bepaalt dat de externe accountant29 dient te voldoen aan onder andere:
• regels terzake van vakbekwaamheid, objectiviteit, onafhankelijkheid en integriteit30; de naleving van het Bta artikel 3631 en daaruit volgend de
artikelen 15 tot en met 25 van de VAO32, de ViO33, de VGBA34, de NVPE35 en de NVCOS 36
• regels terzake vertrouwelijkheid en bij een redelijk vermoeden van fraude van materieel belang ten aanzien van de financiële verantwoording van de
controlecliënt37
Het begrip Professioneel Kritische Instelling (PKI) is enige jaren geleden in de Nadere Voorschriften Controle en Overige Standaarden38 specifiek opgenomen en luidt als volgt:
27 Lex van Almelo (2012). Kopzorgen over zorgplicht. De Accountant juli/augustus 2012 28 Artikel 14 van de Wet toezicht accountantsorganisaties (“WTA”). Handleiding
Regelgeving Accountancy (“HRA”) 2016
29 Artikel 1, lid 1 sub f van de Wet toezicht accountantsorganisaties (“WTA”). Handleiding
Regelgeving Accountancy (“HRA”) 2016
30 Artikel 25 en 25a van Wet toezicht accountantsorganisaties (“WTA”). Handleiding
Regelgeving Accountancy (“HRA”) 2016
31 Artikel 36 van het Besluit toezicht accountantsorganisaties (“Bta”). Handleiding
Regelgeving Accountancy (“HRA”) 2016
32 Artikelen 15 tot en met 25 van de Verordening accountantsorganisaties (“VAO”) 33 Verordering inzake onafhankelijkheid accountants bij assurance-opdrachten (“ViO”).
Handleiding Regelgeving Accountancy (“HRA”) 2016
34 Verordening gedrags- en beroepsregels accountants (“VGBA”). Handleiding Regelgeving
Accountancy (“HRA”) 2016
35 Nadere voorschriften permanente educatie (“NVPE”). Handleiding Regelgeving
Accountancy (“HRA”) 2016
36 Nadere voorschriften controle- en overige standaarden (“NVCOS”). Handleiding
Regelgeving Accountancy (“HRA”) 2016
37 Artikel 26 van de Wet toezicht accountantsorganisaties (“WTA”). Handleiding
“Een houding die onder meer gekenmerkt wordt door een onderzoekende instelling, het alert zijn op omstandigheden die kunnen duiden op eventuele afwijkingen die het gevolg zijn van fouten of fraude, en een kritische evaluatie van controle-informatie.”
Directe aanleiding van opname van dit begrip waren kritische rapporten in 2010 van AFM op de kwaliteit van de accountantscontroles39.
De Standaarden vereisen van de accountant dat hij professionele oordeelsvorming toepast en dat hij tijdens het plannen en uitvoeren van de controle een
professioneel- kritische instelling hanteert. De Standaard stelt dat onder de
professioneel-kritische instelling de beroepsmatige instelling wordt verstaan die een vragende geest en een kritische beoordeling van bewijsmateriaal omvat. Dit
betekent dat de accountant de kwaliteit van het verkregen bewijsmateriaal kritisch bekijkt en niet blindelings vertrouwt op de verzamelde informatie, maar alert is op omstandigheden die kunnen duiden op eventuele afwijkingen die het gevolg zijn van fouten of fraude. Een professioneel-kritische instelling houdt dus onder meer in het ter discussie stellen van tegenstrijdige controle-informatie en het ter discussie stellen van de betrouwbaarheid van documenten en verkregen antwoorden op de
verzoeken om inlichtingen alsmede van andere informatie die verkregen is van het management en degenen belast met governance. Dit houdt ook het in overweging nemen in van het voldoende en geschikt zijn van de verkregen controle-informatie rekeninghoudend met de omstandigheden.
Dit is niet alleen van toepassing op registeraccountants, die betrokken zijn bij assurance opdrachten, maar ook op IT Auditors (RE) werkzaam binnen een accountantsorganisatie. Zowel vanuit het perspectief van de externe accountant40 die in het kader van wettelijke controle van de jaarrekening gebruikt maakt IT Audit specialisten41 als vanuit het perspectief van de IT Auditor (RE) die als
eindverantwoordelijke voor een assuranceopdracht optreedt namens een accountantspraktijk42.
Naast de zorgplicht ex. Artikel 14 Wta bestaat er onder meer een zorgplicht c.q. kan er een zorgplicht voor de accountant bestaan tegenover:
• de klant
• het maatschappelijk verkeer • investeerders en geldschieters • werknemers van het kantoor
38 Nadere voorschriften controle- en overige standaarden (“NVCOS”) 200 lid 13.l.
Handleiding Regelgeving Accountancy (“HRA”) 2016
39 Autoriteit Financiële Markten (“AFM”), Rapport algemene bevindingen kwaliteit
accountantscontrole en kwaliteitsbewaking, 1 september 2010
40 Artikel 1, lid 1 sub f van de Wet toezicht accountantsorganisaties (“WTA”). Handleiding
Regelgeving Accountancy (“HRA”) 2016
41 Nadere voorschriften controle- en overige standaarden (“NVCOS”) 620 Gebruikmaken van
de werkzaamheden van een door de accountant ingeschakelde deskundige. Handleiding Regelgeving Accountants (“HRA”)
42 Nadere voorschriften accountantskantoren ter zake van assurance-opdrachten (RA)
• vrienden aan wie ja als accountant advies geeft
Kort samengevat voldoen accountants aan hun zorgplicht indien ze niet alleen
zorgvuldig hun werk doen, maar ook de verschillende belangen goed in het oog
houden.
Deze redenering sluit aan bij de stelling van DeAngelo43 dat de kwaliteit van de accountantscontrole wordt bepaald door de combinatie van enerzijds:
1. de technische capaciteiten van de accountant (het in staat zijn om afwijkingen te ontdekken), en anderzijds
2. de onafhankelijkheid van de accountant (het daadwerkelijk rapporteren van de afwijkingen).
Omgekeerd blijkt uit onderzoek van Cohen, Gaynor, Krishnamoorthy en Wright (2007)44 en Majoor en ter Braak (2012)45 dat door frequente rapportage en
communicatie met de degene belast met governance en de audit commissie in het bijzonder, de kwaliteit van de jaarrekening en de accountantscontrole toeneemt. Hoewel de rapporten van AFM indirect hebben bijgedragen aan strengere
regelgeving ten aanzien van de onafhankelijkheid van accountants vanaf 1 januari 201446, zijn de bevindingen van AFM in haar rapporten vooral terug te herleiden naar (de zichtbaarheid, controledocumentatie van) het aspect technische
capaciteiten. Het aspect onafhankelijkheid, het rapporteren aan de met governance
belaste personen en management47 van “afwijkingen” is (nog) beperkt op
gereflecteerd door AFM in haar periodieke reviews van accountantsorganisaties. In zekere zin is AFM beperkt in haar middelen om daar effectief op te toetsen. Hoewel zij in formele zin kan vaststellen of de standaarden op het punt “rapporteren aan met governance belaste personen en management” zijn gevolgd, is het
materieel beoordelen of de rapportage inhoudelijk toereikend is lastiger. Deze is afhankelijk van professionele oordeelsvorming48 en een diepgaand begrip van de betreffende controlecliënt. Bovendien blijkt vaak achteraf, bijvoorbeeld in geval van discontinuïteit van een onderneming en wanneer belanghebben hierdoor financiële
43 DeAngelo, L.E. (1981), Auditor size and audit quality. Journal of Accounting and
Economics, vol. 3
44 Cohen, J., Gaynor, L.M., Krishnamoorthy, G., Wright, A.M. (2007) Auditor
Communications with the Audit Committee and the Board of Directors: Policy
Recommendations and Opportunities for Future Research. 2007 Accounting Horizons 21 (2)
45 Majoor, Barbara, Braak ter, Rick (2012). De kwaliteit van de beheersingsomgeving en het
effect op de materialiteit. Maandblad van Accountancy en Bedrijfseconomie (“MAB”) november 2012
46 Verordening inzake de onafhankelijkheid van accountants bij assurance-opdrachten (ViO),
Handleiding Regelgeving Accountancy (HRA) 2016
47 Nadere voorschriften controle- en overige standaarden, Begrippenlijst. Handleiding
Regelgeving Accountancy (HRA) 2016
48 Nadere voorschriften controle- en overige standaarden (“NVCOS”), Begrippenlijst.
schade hebben geleden of in overeenstemming met de standaarden afwijkingen door de accountant hadden moeten worden geïdentificeerd en over gerapporteerd. Mede in verband hiermee gebruiken bijvoorbeeld Casterella, Jensen en Knechel49 claims en rechtzaken tegen accountants als maatstaf voor de kwaliteit van de accountantscontrole. Pas dan wordt immers (achteraf) duidelijk of de accountant afwijkingen had moet rapporteren en daarmee de vereiste kwalieit heeft geleverd. Met andere woorden niet alleen het identificeren maar ook het rapporteren door de accountant van afwijkingen aan met governance belaste personen en management invloed heeft op het naar een aanvaardbaar niveau terugbrengen van het
accountantscontrolerisico50.
Het begrip “afwijkingen” dient breed te worden geïnterpreteerd. Onderstaand volgt een opsomming van bepalingen in de wet en Nadere voorschriften controle- en overige standaarden (“NVCOS”) waar de accountant expliciet aan de met governance belaste personen en management51 van zijn controlecliënt over
specifieke aspecten dient te communiceren.
De controleverklaring
De accountant geeft de uitslag van zijn onderzoek weer in een (accountants-) verklaring omtrent de getrouwheid van de jaarrekening52. In de NVCOS wordt de vorm en inhoud van de accountantsverklaringen gedetailleerd53. Hierbij worden ook aanvullende bepalingen voor organisaties van openbaar belang gegeven54.
Die aanvullende bepalingen zijn onder andere de vermelding van materialiteit, de
reikwijdte van de groepscontrole, de kernpunten van de controle. Bij de bepaling van
de kernpunten dient de accountant het volgende in acht te nemen:
• gebieden met een verhoogd dan wel significant risico55 op een afwijking van
materieel belang als gevolg van fouten of fraude;
• significante oordeelsvormingen van de accountant in relatie tot gebieden in de financiële overzichten die significante oordeelsvormingen van het
management betroffen inclusief schattingen met een hoge
schattingsonzekerheid; of het effect op de controle van significante
49 Casterella, J.R., Jensen, K.L., Knechel, W.R. (2009), Is self-regulated peer review effective
at signaling audit quality? The Accounting Review, vol. 84, no. 3
50 Nadere voorschriften controle- en overige standaarden (“NVCOS”) 200, Handleiding
Regelgeving Accountancy (“HRA”) 2016
51 Nadere voorschriften controle- en overige standaarden, Begrippenlijst. Handleiding
Regelgeving Accountancy (HRA) 2016
52 Burgerlijk Wetboek boek 2 Artikel 393 artikel 5
53 Nadere voorschriften controle- en overige standaarden (“NVCOS”) 700-799. Handleiding
Regelgeving Accountancy (HRA) 2016
54 Nadere voorschriften controle- en overige standaarden (“NVCOS”) 702N Aanvullingen
met betrekking tot het rapporteren bij een volledige set van financiële overzichten voor algemene doeleinden bij een organisatie van openbaar belang. Handleiding Regelgeving Accountancy (HRA) 2016
55 Nadere voorschriften controle- en overige standaarden (“NVCOS”) 315 lid 4.e,
gebeurtenissen of transacties die gedurende de periode hebben plaatsgevonden.
Ook wordt een expliciete beschrijving van een controle opgenomen door aan te geven wat de verantwoordelijkheden van een accountant zijn:
i. het inschatten van risico’s van een afwijking van materieel belang inclusief fraude en het bepalen van werkzaamheden om op deze risico’s in te spelen; ii. het verkrijgen van inzicht in de interne beheersing;
iii. het evalueren van de grondslagen voor financiële verslaggeving;
iv. het vaststellen van de aanvaardbaarheid van de continuïteitsveronderstelling en het benadrukken van materiële onzekerheden omtrent de continuïteit zoals uiteengezet door het bestuur in de toelichting van de jaarrekening;
v. het evalueren van de presentatie van de jaarrekening; vi. het evalueren of de jaarrekening een getrouw beeld geeft; vii. communicatie met de met governance belaste personen; viii. bevestiging van naleving van de ethische voorschriften;
ix. het bespreken en bepalen van de kernpunten van de controle.
De punten iv en vii zijn illustratief voor het voostel van IAASB in 201356 om te komen tot een meer informatieve controleverklaring met informatie uit de controle die uniek en meer gericht is op de gecontroleerde entiteit.
Het accountantsverslag
De wet57 schrijft voor dat de accountant verslag uitbrengt omtrent zijn onderzoek aan de raad van commissarissen en aan het bestuur. Hij maakt daarbij ten minste
melding van zijn bevindingen met betrekking tot de betrouwbaarheid en continuïteit
van de geautomatiseerde gegevensverwerking.
In zijn communicatie met de met governance belaste personen dient de accountant ook de volgende aangelegenheden mee te delen58:
• De verantwoordelijkheden van de accountant met betrekking tot de controle van financiële overzichten
• Onafhankelijkheid van de accountant
• De geplande reikwijdte en timing van de controle, waarbij hij specifiek de volgende aangelegenheden dient mede te delen aan de met governance belaste personen:
A. de zienswijze van de accountant over significante kwalitatieve aspecten met betrekking tot de praktijken inzake administratieve
verwerking van de entiteit, met inbegrip van de grondslagen voor
56 International Auditingand Assurance Standards Board (IAASB) (2013). Exposure draft.
Reporting on audited financial statements: Proposed new and revised standards on auditing (ISAs). Geraadpleegd op www.ifac.org
57 Burgerlijk Wetboek boek 2 Artikel 393 artikel 4
58 Nadere voorschriften controle- en overige standaarden (“NVCOS”) 260 Communicatie met
financiële verslaggeving, de schattingen en de in de financiële
overzichten opgenomen toelichtingen. Indien van toepassing, dient de accountant aan de met governance belaste personen uit te leggen waarom hij een significante praktijk inzake administratieve verwerking, die aanvaardbaar is overeenkomstig het van toepassing zijnde stelsel inzake financiële verslaggeving, niet beschouwt als de meest
passende in de specifieke omstandigheden van de entiteit; B. eventuele significante problemen die zich gedurende de controle
hebben voorgedaan;
C. eventuele bij de controle aan de orde gekomen significante
aangelegenheden die met het management werden besproken of onderwerp van correspondentie met het management zijn geweest en schriftelijke bevestigingen die de accountant heeft gevraagd; en D. eventuele andere bij de controle aan de orde gekomen
aangelegenheden die op grond van de professionele oordeelsvorming van de accountant significant zijn voor het toezicht op het proces van financiële verslaggeving.
Mededelingen rond fraude
De accountant heeft in het kader van de controle van financiële overzichten
specifieke verantwoordelijkheden met betrekking tot fraude59. Zo dient de accountant mededelingen te doen aan het management en de met governance belaste
personen en aan regelgevende of toezichthoudende en met handhaving belaste instanties.
Rapportering rond niet-naleving van wet- en regelgeving
Ook dient de accountant bij het in aanmerking nemen van wet- en regelgeving60 bij een controle van financiële overzichten geïdentificeerde of vermoede niet-naleving, onder bepaalde voorwaarden, te rapporteren aan de met governance belaste personen, regelgevende of toezichthoudende en met handhaving belaste instanties en in zijn controleverklaring over de financiële overzichten. De recente wijziging van de Wet bescherming persoonsgegevens (Wbp) die een meldplicht regelt voor datalekken, dient in dit kader door de accountant mede in aanmerking genomen te worden61. Ondernemingen dienen (informatie-) beveiligingsmaatregelen te treffen en datalek meldprocedure in te richten teneinde aan de Wbp- vereisten te kunnen voldoen. Eventuele tekortkomingen in de beveiligingsmaatregelen kunnen leiden tot boetes van de Autoriteit persoonsgegevens die kunnen oplopen tot materiële
bedragen voor de jaarrekening.
59 Nadere voorschriften controle- en overige standaarden (“NVCOS”) 240 De
verantwoordelijkheden van de accountant mbt fraude in het kader van een controle van financiële overzichten. Handleiding Regelgeving Accountancy (“HRA”) 2016
60 Nadere voorschriften controle- en overige standaarden (“NVCOS”) 250 Het in aanmerking
nemen van wet- en regelgeving bij een controle van financiële overzichten. Handleiding Regelgeving Accountancy (“HRA”) 2016
Mededelingen van significante tekortkomingen in de interne beheersing
In het kader van mededelingen van tekortkomingen in de interne beheersing aan personen belast met governance en management dient de accountant significante tekortkomingen in de interne beheersing die hij tijdens de controle heeft
geïdentificeerd, tijdig schriftelijk aan de met governance belaste personen mee te delen. Tevens dient de accountant tijdig het volgende aan het management op het passende verantwoordelijkheidsniveau mee te delen62:
A. schriftelijk, significante tekortkomingen in de interne beheersing die de accountant heeft meegedeeld of voornemens is aan de met governance belaste personen mee te delen, tenzij het in de gegeven omstandigheden niet passend zou zijn om dit rechtstreeks aan het management mee te delen; en B. andere tijdens de controle geïdentificeerde tekortkomingen in de interne
beheersing die niet door andere partijen aan het management zijn
meegedeeld en die, op grond van de professionele oordeelsvorming van de accountant, voldoende belangrijk zijn om de aandacht van het management te verdienen.
Uit onderzoek van Cohen, Gaynor, Krishnamoorthy en Wright (2007)63 blijkt dat in de aard en diepgang van de communicatie met degene belast met governance en management en de audit commissie in het bijzonder, onderscheid dient te worden gemaakt in significante tekortkomingen die betrekking hebben op Interne
beheersingsmaatregelen geldend voor de groep als geheel (entity level controls) en die op rekeningniveau in verband met de verschillen in signficantie op de
organisatie.
In haar visie over de invulling van de rol van commissarissen schrijft het NKKC (2013)64 dat de accountant vaker en over meer aspecten dan uitsluitend de financiële verantwoording met de interne toezichthouders in debat gaat en onder andere zijn inzichten deelt over het proces van risicomanagement en vanuit zijn kennis signaleert welke financiële maar ook niet-financiële risico’s belangrijk zijn voor de continuïteit van het business-model van een onderneming.
Ook Barnier doet in zijn “Groenboek” (2010)65 diverse voorstellen waaronder een verbreding van de signalerende rol van de accountant, die tot uitdrukking komen in de rapportages aan de toezichthoudende organen.
62 Nadere voorschriften controle- en overige standaarden (“NVCOS”) 265 Meedelen van
tekortkomingen in de interne beheersing aan de met governance belaste personen en het management, Handleiding Regelgeving Accountancy (“HRA”) 2016
63 Cohen, J., Gaynor, L.M., Krishnamoorthy, G., Wright, A.M. (2007) Auditor
Communications with the Audit Committee and the Board of Directors: Policy
Recommendations and Opportunities for Future Research. 2007 Accounting Horizons 21 (2)
64 Stichting Nederlands Kenniscentrum voor commissarissen en toezichthouders (NKKC)
(2013). Toekomstig toezichthouden; commissarissen nemen zelf het initiatief. Verslag van nationale dag van commissarissen en toezichthouders.
Continuïteit
Bij het aspect continuïteit komen overwegingen in het kader van de
accountantscontrole (Nadere voorschriften controle- en overage standaarden) enerzijds en verslaggeving (Burgelijk wetboek boek 2 Titel 9) anderzijds samen. De jaarrekening geeft immers geen getrouw beeld indien ten onrechte de
continuïteitsveronderstelling is gehanteerd en de accountant heeft de afwijking ten onrechte niet gesignaleerd en gerapporteerd. Bovendien is de discontinuïteit van de onderneming het moment dat gebruikers van de jaarrekening meetbaar financiële schade lijden en regelmatig een claim indienen bij de controlerend accountant. Op die momenten wordt een eventueel gebrek aan kwaliteit van de geleverde
accountantscontrole transparant en loopt ook de betrokken accountant een
verhoogd risico op financiële schade. Het aspect continuïteit heeft dientengevolge een effect op het accountantscontrolerisico.
De continuïteitsveronderstelling houdt in dat een entiteit wordt geacht haar
activiteiten in de voorzienbare toekomst voort te zetten. Financiële overzichten voor algemene doeleinden worden opgesteld op basis van continuïteit, tenzij het
management voornemens is de entiteit te liquideren of de activiteiten te beëindigen dan wel hiervoor geen realistisch alternatief heeft. Wanneer het hanteren van de continuïteitsveronderstelling passend is, worden activa en passiva opgenomen uitgaande van de veronderstelling dat de entiteit in staat zal zijn in het kader van de normale bedrijfsvoering haar activa te realiseren en haar verplichtingen na te komen. Het is de verantwoordelijkheid van de accountant om voldoende en geschikte
controle-informatie te verkrijgen met betrekking tot de geschiktheid van het hanteren door het management van de continuïteitsveronderstelling bij het opstellen en
presenteren van de financiële overzichten en om te concluderen of er sprake is van een onzekerheid van materieel belang met betrekking tot de mogelijkheid van de entiteit om haar continuïteit te handhaven.
Op basis van de verkregen controle-informatie dient de accountant een conclusie te trekken of er op grond van zijn oordeelsvorming sprake is van een onzekerheid van materieel belang die verband houdt met gebeurtenissen of omstandigheden welke, afzonderlijk of collectief, gerede twijfel kunnen doen ontstaan over de mogelijkheid van de entiteit om haar continuïteit te handhaven. Er is sprake van een onzekerheid van materieel belang wanneer de omvang van de mogelijke impact ervan en de waarschijnlijkheid dat zij zich voordoet van dien aard is dat, op grond van de
oordeelsvorming van de accountant, een passende toelichting in zijn (accountants) verklaring over de aard en implicaties van de onzekerheid noodzakelijk is.
De accountant dient aan de met governance belaste personen mededeling te doen van geïdentificeerde gebeurtenissen of omstandigheden die gerede twijfel kunnen doen ontstaan over de mogelijkheid van de entiteit om haar continuïteit te
handhaven66.
66 Nadere voorschriften controle- en overige standaarden (“NVCOS”) 200 lid 13.c,
Dat er verschillen van interpretatie rond de continuïteitsveronderstelling in de
jaarrekening bestaan en daarmee het effect op het accountantscontrolerisico voor de accountant wordt door Lucas van Eeghen uiteengezet67. Hij beargumenteert dat bij een reële kans op overleven maar gegronde – maar nog niet gerede – twijfel bij de continuïteit68 wel al een toelichting in de jaarrekening gepast is. Anders dan uit de
Richtlijnen voor de Jaarverslaggeving, Nadere voorschriften en overige standaarden en NBA publicaties dienaangaande volgt, moet bij gerede twijfel het bestaan hiervan onder mededeling van invloed op vermogen en resultaat in de toelichting uiteen worden gezet69. De veronderstelling is onderhevig aan gerede twijfel als in aanzienlijke mate onwaarschijnlijk is dat de onderneming tijdig aan haar
verplichtingen zal kunnen voldoen. Dit hangt samen met de beschikbaarheid van het bedrijfsproces de daarvoor getroffen maatregelen met als belangrijkste element de IT. Dat moet door de accountant mede vanuit een sterk IT audit perspectief
derhalve met de nodige diepgang beoordeeld worden.
4. Digitale transformatie en ExO’s
Algemeen
Waar de IT-organisatie van een onderneming zich traditioneel richtte op automatisering van interne bedrijfsprocessen met behulp van omvangrijke,
monolithische informatiesystemen, zal deze in toenemende mate een centrale rol gaan spelen in de ontwikkeling van digitale innovaties en het leveren van innovatieve (digitale) diensten70.
Het karakter, de rol en het gebruik van informatietechnologieën zijn in de loop der jaren sterk veranderd. Van Baalen (2015)71 onderscheidt de volgende 5
ontwikkelingen:
1. Het ontstaan van een gelaagde digitale infrastructuur, waarin zowel inhoud, applicaties, apparaten en netwerken zijn gedigitaliseerd. Waar voorheen er aparte infrastructuren bestonden voor datacommunicatie, telefonie en massamedia, kunnen data van deze verschillende media nu via dezelfde digitale netwerken worden verwerkt en getransporteerd. Er wordt wel gesproken van convergentie van infrastructuren die bovendien een globaal karakter hebben.
2. De democratisering van digitale technologieën. Als gevolg van de sterk gedaalde prijzen, in combinatie met de miniaturisering, mobilisering en sterk toegenomen proces- en opslagcapaciteit zijn digitale technologieën deel uit
67 Eeghen van (2015), Mr dr L.J., De continuïteitsveronderstelling bij (dreigende) insolventie.
Maandblad voor Accountancy en Bedrijfseconomie (“MAB”) april 2015
68 Burgelijk Wetboek boek 2 artikel 362 lid 4 69 Burgelijk Wetboek boek 2 artikel 384 lid 3
70 Barrett, M., Davidson, E., Prabhu, J., Vargo, S.L. (2015). Service innovation in the digital
age: key contributions and future directions. MIS Quaterly 39 (1)
71 Baalen van, Prof. dr. P.J. Ambidexteriteit in digitale transformaties. Maandblad voor
gaan maken van ons gewone dagelijkse leven. Ook de scheidslijn tussen formele bedrijfsinformatiesystemen en de informele digitale technologieën (zoals social media) vervaagt als gevolg van wat ‘the consumerization of IT’ wordt genoemd.
3. Het vrijwel oneindig aantal mogelijke combinaties van digitale technologieën, producten en diensten. Traditionele informatiesystemen hadden een
specifieke functie of doel. Veek recente digitale technologieën hebben echter geen enkelvoudig en vooraf bestemde functie of doel. De cloud, het Internet, de PC, digitale sensoren, 3-D printers zijn zogenaamde general purpose-technologieën en kunnen in combinatie met elkaar of met andere
technologieën voor bijna oneindig veel verschillende doelstellingen worden gebruikt. Door deze “combinatorial growth” van digitale technologieën krijgt technologieontwikkeling een onvoorspelbaar karakter72.
4. Het benutten van de netwerkstructuur van de digitale infrastructuur (waaronder het Internet). Deelname aan digitale netwerken heeft
netwerkeffecten tot gevolg die op hun beurt kunnen leiden tot exponentiële groei van producten en diensten die via het internet worden aangeboden73, maar ook van organisaties74 zelf.
5. De exponentiëel toegenomen intelligentie van moderne informatiesystemen. Uit onderzoek van computerwetenschapper Grötschel voor de periode 1988-2003 blijkt dat de snelheid waarmee computers een standaard
optimaliseringsvraagstuk oplosten in die periode met 43 miljoen keer toenam. De procescapaciteit (Wet van Moore) verbeterde in die periode met een factor 1000, hetgeen in zeker zin in schril contrast staat tot de verbetering van
algoritmes die de snelheid met 43.000 keer vergrootten75.
Digitalisering krijgt door deze ontwikkelingen een ambivalent karakter. Enerzijds ligt de nadruk op automatisering door de inzet van slimme machines in belangrijke bedrijfsprocessen, representatieve digitalisering. Hierbij vertrekt met vanuit een visie of een plan met betrekking tot de taken en processen die men wil automatiseren. De technologie heeft primair een instrumenteel karakter. In feite een voortzetting van automatisering met andere (slimme) middelen, “digitizing of the cow path”76.
Anderzijds gaat het om gebruikmaking van generatieve digitale strategieën (met name digitale platforms), die het mogelijk maken spontaan diensten en producten voort te laten brengen door een grote, gevarieerde en ongecoördineerde groep van
72 Arthur, W.B. (2009). The nature of technology: What is is and how it evolves. Simon and
Schuster
73 Varian, H.R., Shapiro, C. (1999). Information rules: a strategic guide to the network
economy. Harvard Business School Press. Cambridge 1999
74 Ismail, Salim, Geest van, Yuri (2015). Exponentiële organisaties. Business Contact.
Amsterdam 2015
75 PCAST (2010). Designing a digital future: federally funded research and development in
networking and information technology. 2010 Washington
76 Tilson, D., Lyytinen, K., Sørensen, C. (2010). Research commentary-digital
mensen, generatieve digitalisering. Een technologie is generatief wanneer deze schaalbaar, adaptief, toegankelijk, gemakkelijk te gebruiken en overdraagbaar is77. Generatieve technologieën, zoals het internet [?], hebben zelf geen inherent
instrumenteel of oplossend karakter, maar bieden een ongelimiteerd platform waarop nieuwe technologieën, producten of diensten worden ontwikkeld78.
Generativiteit is een socio-technisch construct79: een uitkomst van de interactie tussen individuen binnen een collectief die hierbij gebruikmaken van een technologie die hen hiertoe in staat stelt. Deze socio-technische definitie is zinvol, omdat het benadrukt dat een technologie zelf niet in staat is nieuwe, innovatieve producten of diensten voort te brengen. Daarnaast geeft het aan dat collectieven moeten worden ondersteund door technologieën die interactie tussen een groot aantal individuen mogelijk maken.
Beide digitaliseringsstrategiën verschillen sterk qua gebruikte IT architecturen en wijze van organiseren: langszame versus snelle IT80 en hiërarchie versus polyarchie. Uit onderzoek81 blijkt dat hiërarchische structuren vaker projecten afwijzen die
achteraf wel goed bleken te zijn, terwijl polyarchische structuren vaker projecten opnemen die achteraf niet goed bleken te zijn. Ondernemingen die voorop lopen in digitale transformaties kenmerken zich door cultuur waarin men niet bang is om risico’s te nemen en staan open voor gedurfde initiatieven. Concreet is dit zichtbaar in de wijze van ontwikkeling van IT; genoemde groep hanteert doorgaans
zogenaamde Agile methoden als Scrum, terwijl andere ondernemingen veelal voor een zogenaamde Waterfall ontwikkelmethode kiezen. Eerstgenoemde biedt beperkt houvast qua interne beheersing van het proces, terwijl bij de Waterfall het
tegenovergestelde het geval is.
Exponentiële organisaties
Een Exponentiële organisatie82 wordt als volgt gedefinieerd:
„Een exponentiële organisatie is een organisatie waarvan de impact (of opbrengst) disproportioneel groot is - tenminste tienmaal groter - vergeleken met gelijksoortige organisaties, door het gebruik van nieuwe organisatietechnieken die versnellende technologieën inzetten. Exponentiële organisaties maken geen gebruik van „een leger aan” personeelsleden of grote fysieke gebouwen, maar maken in plaats
daarvan gebruik van informatietechnologie die dingen die ooit fysiek aanwezig waren
77 Zittrain, J.L. (2008). The future of the internet- and how to stop it. Yale University Press. 78 Hill, B.M., Monroy-Hernández, A. (2013).The remixing dilemma: The trade-off between
generativity and originality. American Behavioral Scientist, 57 (5) 2013
79 Bystad, B. (2015). The coming of lightweight IT. Paper voor de 23e European Conference
on Information Systems (ECIS), 2015 Münster
80 Bossert, O., Ip, C., Starikova, I. (2015). Beyond Agile: reorganizing IT for faster software
development. 2015 McKinsey Company.
81 Sah, R.K., Stiglitz, J.E. (1988). Committees, hierarchies and polyarchies. The Economic
Journal 98, 1988
82 Salim Ismail, Yuri van Geest (2015). Exponentiële organisaties. Business contact
de-materialiseren naar digitale producten in een wereld waarin alles op afroep beschikbaar is”.
Op basis van onderzoek door de Singularity University – waarin de honderd snelst groeiende starters in de hele wereld gedurende 6 jaren zijn opgenomen – zijn de volgende gedeelde kenmerken bij alle ExO’s naar voren gekomen83:
• Massive Transformative Purpose (MTP): de onderneming heeft een hoger doel om iets radicaal te veranderen, de wereld te verbeteren. De door ExO’s
gedefinieerde “missie” is niet strak gedefinieerd en heeft niet alleen betrekking op technologie; ze proberen mensen zowel binnen als buiten de organisatie
persoonlijk aan te spreken, en daarbij een beroep te doen op hun verbeelding en ambities. Een MTP is het hogere ambitieuze doel van de organisatie. Het
veroorzaakt een culturele beweging. De MTP is zo inspirerend dat zich een gemeenschap rond de ExO vormt die spontaan vanzelf begint te functioneren, zodat er uiteindelijk een eigen community, een groep en een cultuur worden gevormd. Er is sprake van een opkomend ecosysteem dat zo enthousiast is over dat product of dienst dat het het product of de dienst letterlijk uit de kern van de organisatie trekt en er bezit van neemt en er een gemeenschap wordt gevormd. Deze culturele verschuiving, die wordt ingegeven door het MTP, heeft
neveneffecten: de focus ligt niet op intern beleid, maar op externe invloeden. De verplichting die besloten ligt in een MTP is het doel.
• Personeel on-demand: een kleine kern van vaste medewerkers, met een grote laag van „on-demand” freelancers (de beste man/vrouw voor de job)
daaromheen.
• Community and Crowd: de onderneming bouwt een enthousiaste gemeenschap om haar heen, die participeert in nieuwe productontwikkeling, de marketing en financiering.
• Artificial Intelligence: alle exponential organisation gebruiken algoritmen („Exponential Technology”) die steeds grotere hoeveelheden data analyseren. • Peer to peer marketplace: ondernemingen benutten andermans bezittingen;
hierdoor lopen ze weinig risico, hebben weinig geld nodig en kunnen daardoor heel snel groeien. Veel hulpbronnen zijn niet meer schaars maar in overvloed waardoor toegang belangrijker is dan het eigendom ervan.
• Betrokkenheid en Transparantie: via digitale mechanismen creëren ondernemingen betrokkenheid van hun gebruikers, zoals het geven van beoordelingen door gebruikers aan elkaar. Interne processen zijn bovendien
83 Salim Ismail, Yuri van Geest (2015). Exponentiële organisaties. Business contact