De toezichthouder voorbij : tijd voor een nieuw audit era?

De toezichthouder voorbij

Tijd voor een nieuw audit era!?

M.M.W. Braak Rolde,

Datum 06-11-2015

Voorwoord

Met dit referaat sluit ik de IT-audit opleiding (AITAP) aan de Universiteit van Amsterdam af.

In 2010 voortvarend begonnen met deze opleiding kon ik vooraf niet bevroeden welke persoonlijke obstakels ik op weg naar dit referaat zou tegenkomen. Het heeft al met al langer geduurd dan ik dacht maar ben tevreden dat alsnog de gemoedsrust is gevonden te gaan schrijven.

Met het onderwerp van mijn scriptie “De Toezichthouder voorbij, tijd voor een nieuw audit era!?” had ik vanaf het begin voor ogen om naar voren te kijken en te

onderzoeken of met klassiek opgestelde vragen de toekomstige behoefte kon worden beantwoord. Met andere woorden de toekomst provoceert het heden tijdig te reageren op verandering.

Endymion Struijs wil ik als mijn begeleider bedanken voor zijn steun tijdens dit traject. Zijn input is waardevol geweest voor de totstandkoming van deze scriptie. De opleiding wil ik in het bijzonder bedanken voor hun geduld, begrip en actieve steun op cruciale momenten.

Zonder de nodige steun, geduld en begrip van mijn vrouw Inge was het mij niet gelukt de draad weer op te pakken. De collegejaren waren intensief en bijzonder leerzaam. En dat was het afgelopen onderzoekstraject opnieuw.

Ik ben er van overtuigd dat het IT-auditvak toekomst heeft. Om daar te komen moet er worden veranderd. IT-audit aangepast aan een nieuwe auditwereld.

Rest mij niet anders dan u veel plezier te wensen met het lezen van mijn scriptie waarin ik hopelijk een tipje van de sluier oplicht over wat de auditor het nieuwe tijdperk te bieden heeft.

Rinus Braak Rolde

Samenvatting

Mensen houden elkaar al sinds de oudheid in de gaten, controleren continue of dat wat waargenomen wordt past binnen het eigen referentiekader. Eigen waarden en normen en die van een gemeenschap geven inhoud aan gedragsregels en

omgangsvormen. Past wat we zien niet bij onze verwachtingen zijn we verbaasd, verontwaardigd of worden we wantrouwend. Door met elkaar af te spreken hoe we ons in bepaalde situaties gedragen hoeven we elkaar minder in de gaten te houden. We vertrouwen erop dat de ander zich gedraagt zoals is overeengekomen. Dat gaat goed zolang er geen misbruik van dat geschonken vertrouwen wordt gemaakt. Met auditors is de afspraak gemaakt dat zij voor de maatschappij organisaties controleren of er daar geen afspraken geschonden worden.

De kredietcrisis en boekhoudschandalen hebben hun sporen in de maatschappij nagelaten. Wellicht blijvend veranderd. De maatschappij is wantrouwend geworden tegenover controlerende organisaties en instituten die eerder vertrouwen genoten. Dit vertrouwen heeft de controlesector geschaad door het eigen belang boven dat van de maatschappij te stellen. De maatschappij en politiek hebben het gebrek aan ethisch handelen, middels toegenomen wantrouwen gevolgd door meer regels voor het controleren, keihard afgestraft. Toch zijn meer regels niet de oplossing omdat deze niet zullen voorkomen dat er opnieuw problemen en schandalen ontstaan.

Van meer controle terug naar hernieuwd vertrouwen is geen eenvoudige weg. Toch is vertrouwen waar het uiteindelijk allemaal om draait en voor auditors van

levensbelang. Met vertrouwen komt een grote verantwoordelijkheid en de auditor kan het vertrouwen enkel behouden wanneer hij het publiek belang boven alle andere belangen stelt. In zijn meest primitieve vorm houdt vertrouwen onze maatschappij bij elkaar. Want wanneer mensen elkaar niet meer vertrouwen vertraagd alles en lopen kosten voor controle op.

De invloed van de veelheid en de snelheid van de technologische ontwikkelingen op de maatschappij zijn groot, veelzijdig en overal zichtbaar. De impact van deze ontwikkelingen raken aan alles en dus ook aan het complexe vakgebied van de auditor. Tot dusver lijkt het echter alsof de beroepsgroep op zijn handen zit en hoopt dat de technologische storm overwaait. De auditdeur voorbijgaan zal deze storm echter niet en als de beroepsgroep niet spoedig adequaat reageert, loopt zij risico’s zichzelf buitenspel te zetten. De maatschappij kan en zal namelijk niet wachten tot de auditor zich heeft hervonden.

De automatiseringsgraad neemt overal in de maatschappij snel toe en het internet als continu beschikbare infrastructuur is onmisbaar geworden voor de samenleving. Fysieke en virtuele wereld lopen steeds verder in elkaar over en het onderscheid van iedere grens vervaagt. Door de steeds grotere toename van digitalisering komen enorme hoeveelheden ‘Big Data’ beschikbaar en zijn de grenzen van het auditdomein enorm opgerekt. Toepassen van nieuwe technieken en methoden zijn nodig om deze data te analyseren. Op ieder willekeurig moment is de actuele status te controleren.

Bij exponentiële ontwikkelingen van technologie, data en organisaties zijn bestaande technieken, methoden, kennis en kunde van betrokkenen vaak niet meer toereikend voor het goed toepassen hiervan. Onder invloed van geavanceerde ICT en de snelle toename waarin gegevens beschikbaar komen voor management en auditors veranderd de traditionele audit aanzienlijk. Continuous auditing en –monitoring geven ‘real-time’ inzicht in de werking en betrouwbaarheid van ieder element van de organisatie.

De opkomst van nieuwe audit technologieën heeft verregaande gevolgen voor de bestaande rolverdeling waarin tot dusver de RE de taak heeft om de accountant zekerheid te verschaffen over de betrouwbaarheid van de geautomatiseerde gegevensverwerking. Het toezichtinstrument en –regelgeving loopt achter bij de ontwikkelingen en innovaties en is het gevolg van tijdrovende totstandkoming van passende regelgeving. Hier vindt de auditor voorlopig geen houvast de uitdagingen die hem voorliggen tegemoet te treden. Met het publiek belang voor ogen dient de audit beroepsgroep zich te oriënteren op dit nieuwe audit tijdperk om relevant te blijven voordat de techniek hem overbodig maakt.

Inhoud

1 Inleiding ... 6 1.1 Aanleiding ...6 1.2 Probleemstelling ...8 1.3 Onderzoeksvragen ...8 1.4 Onderzoeksmethode en werkwijze ...9 1.5 Opbouw en leeswijzer ... 10 2 Controleren ... 11 2.1 Audit... 12 2.2 IT-auditing ... 14 2.3 De IT-auditor ... 15

2.3 Wettelijke basis van de RE ... 17

2.4 Wetten, Gedrags- en Beroepsregels ... 20

2.5 Samenvatting ... 23

3 Vertrouwen ... 26

3.1 Wat is vertrouwen? ... 27

3.2 De Agencytheorie ... 29

3.3 Limperg’s verwachtingenkloof... 30

3.4 Beïnvloeding en totstandkoming oordelen ... 31

3.5 Reacties toezichthouder en beroepsgroep... 32

3.6 Samenvatting ... 34

4 Actualiteit van de auditor ... 36

4.1 Technologische ontwikkelingen ICT voor de auditor ... 36

4.3 Betekenis voor de auditor ... 40

4.1 Samenvatting ... 48 5 Interviews ... 51 5.1 Stellingen en uitwerking ... 53 5.2 Samenvatting ... 59 6 Conclusies en aanbevelingen ... 61 6.1 Conclusies ... 61 6.2 Aanbevelingen ... 64 6.3 Vervolgonderzoek ... 65

1

Inleiding

Informatietechnologie is overal om ons heen en niet meer weg te denken uit onze met steeds grotere snelheid digitaliserende maatschappij. ICT soms als

ondersteunend element maar steeds vaker als direct onderdeel van de primaire business en ons dagelijks leven.

Cloudcomputing privé en op het werk, Wearables, Biotech, Meditech, Internet of Things (IoT) en de komst van IPv6, Big-Data, Open Data, slimme algoritmes, sensoren etc. Dit alles overal en altijd beschikbaar via een steeds sneller internet op onze slimme mobiele apparaten. Deze exponentiële technologische ontwikkelingen maken dat de manier waarop we IT gebruiken structureel verandert.

De ontwikkelingen op het gebied van technische innovaties gaan razendsnel evenals de toenemende maatschappelijke afhankelijkheid hiervan. Dat maakt de samenleving in het algemeen, de individuele burger, organisaties, overheid en onze economie kwetsbaar wanneer er verstoringen in de IT voorzieningen optreden.

Deze kwetsbaarheid van informatiesystemen neemt onder andere toe door de toenemende afhankelijkheid van IT en het steeds sneller opvolgend beschikbaar komen van nieuwe apparaten en technieken. IT blijft inherent kwetsbaar voor bewust en onbewust menselijk handelen, vernieling, misbruik, fraude en hard- en software fouten. In toenemende mate zijn cybercriminelen debet aan verstoringen want ook daar staat de ontwikkeling van moderne hulpmiddelen niet stil.

Een aantoonbaar blijvend goede werking van IT blijkt bij al deze razendsnelle ontwikkelingen lastig maar noodzakelijk voor het algemeen vertrouwen in de

technische infrastructuur. Binnen organisaties maar ook daarbuiten. Het lijkt alsof de IT-auditor met het bestaande aanbod van traditionele audit diensten en producten onvoldoende tegemoet kan komen aan de maatschappelijke behoefte aan zekerheid over de betrouwbaarheid van al deze nieuwe ontwikkelingen waar ICT zo’n

belangrijke rol speelt.

Het vertrouwen in auditors is door verschillende gebeurtenissen geschaad en om relevant te blijven is het noodzakelijk het tij van wantrouwen te keren. Er liggen kansen voor de IT-auditor zich voldoende te manifesteren in een wereld waarin data steeds belangrijker wordt. (…) the need has never been greater for the audit process to evolve by providing deeper and more relevant insights about an organization’s financial condition and performance –while maintaining and continually improving audit quality.”(Liddy, 2014)

1.1

Aanleiding

De economische crisis en boekhoudschandalen bij financiële instellingen (banken), bouwbedrijven, wooncorporaties, sector hoger onderwijs, bij petrochemie

(Chemiepack) en zorginstellingen hebben de publieke perceptie versterkt dat

argwanend gemaakt tegenover controlerende organisaties en toezichthoudende instituten.

Structurele tekortkomingen bij de Big-4 accountantskantoren zijn de afgelopen jaren onvoldoende verbeterd waardoor bij beleggers, consumenten en andere

belanghebbenden in het maatschappelijk verkeer een verdere vertrouwensbreuk is ontstaan. Publiekelijk wordt de controlerende taak van auditors ter discussie gesteld.

Ook andere vormen van (formele) controle liggen maatschappelijk of vanuit de overheid onder vuur. Denk aan (Europese) aanbestedingen zoals het traject rondom de Fyra, de rol van controlerende instanties in de vleeshandel (paardenvlees) of de gaswinning in Groningen. Wantrouwen rondom de rol van de toezichthouder OPTA bij de Diginotar hack, falende ICT bij de Overheid; de SVB PGB-affaire, Politie, Defensie (SPEER), UWV, etc.

Artikelen met koppen als

“De PGB-affaire en de ‘onafhankelijke’ ICT-audit”1 Computable, 19-05-2015 René Veldwijk

“Niet in woorden maar in daden kwaliteit leveren”2 Accountant, 7 juli 2012 Marcel Pheijffer

“IT auditors: de kleren van de keizer en met een bek vol tanden”3 cqure, 6 december 2013 Jan Matto

dragen de afgelopen jaren bij aan de discussie over de relevantie van, en het gebrek aan vertrouwen in, de auditor.

Ten onrechte wordt nog steeds vaak gedacht dat IT, en daarmee ook de controle daarvan, alleen over hard- en software gaat. Dit terwijl definities van

geautomatiseerde informatiesystemen naast apparatuur en programmatuur

eveneens gegevens, procedures en mensen bevatten4. Met andere woorden heeft de IT-auditor een zeer breed aandachtsgebied dat veel verder gaat dan de periodieke ondersteuning van de financieel auditor bij de controle van de betrouwbaarheid en continuïteit van de geautomatiseerde gegevensverwerking ten behoeve van de jaarrekeningcontrole.

Komt de rol van de IT-auditor als controleur van meer dan enkel beoordelen van ingebouwde maatregelen in IT-systemen vanuit de huidige regels en gedragscodes daarmee voldoende tot uiting? En geven beschikbare kaders voldoende houvast om aan de maatschappelijke behoefte over transparantie en kritische rapportage te voldoen? 1 http://www.computable.nl/artikel/opinie/overheid/5269514/1277202/de-pgbaffaire-en-de-onafhankelijke-ictaudit.html 2 https://www.accountant.nl/opinie/2012/7/niet-in-woorden-maar-in-daden-kwaliteit-leveren/?ctx=author-46 3 https://www.accountant.nl/opinie/2012/7/niet-in-woorden-maar-in-daden-kwaliteit-leveren/?ctx=author-46 4 Looijen, 1995, p. 39

De beroepsgroep maakt onderscheid tussen competentie- en

verantwoordelijkheidsgebieden van auditing. De maatschappij ‘ziet’ dit verschil echter niet en verwacht eenvoudig dat de goedkeurende verklaring van de

accountant aantoont dat de gecontroleerde organisatie financieel gezond is. Dat met de verklaring slechts wordt aangegeven dat de cijfers kloppen is niet langer

voldoende om het maatschappelijk vertrouwen te behouden. Want waarom zijn de signalen van fraude niet gezien of gemeld; waarom heeft hij niets gezegd?5

“Aan het bredere maatschappelijk verkeer verschaft de accountantsorganisatie met een jaarlijks transparantieverslag inzicht in de wijze waarop zij is georganiseerd en waarop zij haar kwaliteit waarborgt.”6 De maatschappij verwacht dat misstanden worden gemeld, dat de rapportage kan worden vertrouwd7 en representatief is voor de professioneel-kritische instelling van de IT-auditor. Verwacht wordt dat ook buiten de uitkomst van de wettelijk verplichte taakuitvoering wordt gerapporteerd over bevindingen. Het door IT-auditors beperkt terugkijken op een deel van de

informatievoorziening binnen een bepaalde periode is niet meer voldoende omdat de maatschappij vandaag de dag alleen iets aan zekerheid heeft over datakwaliteit als deze op het moment zelf beschikbaar is8.

1.2

Probleemstelling

Nut en noodzaak van onafhankelijke controle en extern toezicht lijken onder druk te staan. Vragen worden door zowel stakeholders uit het maatschappelijk verkeer als vanuit de Overheid gesteld over de waarde, deskundigheid, rol en taak van de auditor als hij signalen van misstanden of fraude niet ziet, deze niet meld of hierover niets zegt.

De toezichthouder AFM merkt in haar onderzoek in het kader van de kredietcrisis als een van de belangrijkste geconstateerde tekortkomingen op dat de betrokken externe accountants op onderdelen onvoldoende blijk hebben gegeven van de vereiste professioneel-kritische instelling. Het ethisch gehalte is onvoldoende gebleken waardoor het publiek vertrouwen in auditors ernstig is geschaad.

Met welke strategische vaardigheden en deskundigheid kan de IT-auditor het publiek vertrouwen terugwinnen, zodat de IT-auditor ook bij de stortvloed aan

maatschappelijk beïnvloedende technologische verandering relevant blijft en blijvend meerwaarde toevoegt?

1.3

Onderzoeksvragen

1. Welke elementen beïnvloeden totstandkoming van een onafhankelijk audit oordeel? 5 Veerman, 2010, p. 26-30 6 _{AFM, 2014, p. 55} 7 Swieringa, 2015 8 Fijneman, 2013, p42

2. Kan de IT-auditor op basis van bestaande richtlijnen (wetgeving) voor het communiceren en afleggen van verantwoording in voldoende mate uiting geven aan vak gerelateerde waarnemingen?

3. Wat is de rol van de IT-auditor bij de waarborging van vertrouwen in wettelijke taak gerichte rapportage?

4. Zijn er handvatten die, bij ICT-gerelateerde waarnemingen buiten het kader van de IT-auditopdracht, de effectiviteit van de IT-auditor rapportage verbeteren? 5. Voldoet in relatie tot het toenemend belang van ICT de huidige wijze waarop

onder andere met behulp van het reglement kwaliteitsonderzoek NOREA toezicht op het werk van de IT-auditor is georganiseerd?

6. Op welke wijze kan de IT-auditor in relatie tot openbaarmaking aan het algemeen belang een voldoende kritische houding aannemen zonder de partij onder onderzoek te beschadigen?

1.4

Onderzoeksmethode en werkwijze

Dit referaat is tot stand gekomen door literatuuronderzoek alsmede de uitkomst van vier mondelinge en 6 schriftelijke interviews en een groepsbespreking. Er is gebruik gemaakt van recente on- en offline vakliteratuur en rapporten over de

ontwikkelingen rondom audit- en toezicht.

Om voldoende antwoord te kunnen geven op de onderzoeksvragen is het van belang om duidelijkheid en inzicht te verkrijgen over aspecten die in de probleemstelling worden benoemd. Dit zijn met name vertrouwen, het veranderende vakgebied van de auditor en de invloed van nieuwe technologieën op het bestaansrecht van het auditvak. In de tekst worden deze elementen op verschillende plekken benoemd en uitgewerkt. Bij een onderzoekskeuze wordt de keuze voor het gebruik hiervan uitgelegd en aan de hand van een referentie aan een relevante deelvraag gekoppeld.

De deelvragen worden behandeld in

 hoofdstuk 2 Controleren deelvraag 1,

 paragraaf 2.3 Wettelijke basis van de RE deelvraag 3,

 paragraaf 2.4 Wetten, Gedrag- en Beroepsregels deelvraag 2,

 hoofdstuk 3 Vertrouwen, deelvraag 6,

 hoofdstuk 4 deelvraag 5 en

 paragraaf 4.3 Betekenis voor de auditor deelvraag 4.

De verschillende deelvragen worden in de tekst genoemd op plekken waar het onderwerp en beantwoording het meest relevant is. Behalve deelvraag 5 dat weliswaar behandeld wordt in hoofdstuk 4 ondanks dat zowel vertrouwen, verwachtingen vanuit het maatschappelijk verkeer, wet- en regelgeving alsmede beroepsregels alle ‘uitspraken’ doen over ‘voldoet’. Daarom wordt de vraag in de tekst niet verder expliciet behandeld maar is het antwoordt te vinden door de combinatie van de theoretische verhandelingen in de hoofdstukken controleren, vertrouwen en onafhankelijkheid van de auditor. Overigens geld voor alle deelvragen dat meerdere harde en zachte aanknopingspunten voor beantwoording op

In het eerste gedeelte van het referaat onderzoek ik de theoretische begrippen die te maken hebben met controleren en vertrouwen en de betekenis hiervan binnen de auditcompetentie. Ook ga ik in op relevante wet- en regelgeving alsmede de gedragsregels van de NOREA: heeft de auditor hieraan voldoende houvast om het publiek belang voorop te stellen en daardoor aan vertrouwen te winnen.

Daarna onderzoek ik wat de invloed is van de snelle technologische ontwikkelingen op het auditvak en wat dit betekent voor de positie en werkzaamheden van de auditor.

Als uitkomst van het theoretisch onderzoek en actuele ontwikkelingen formuleer ik een aantal conclusies en aanbevelingen over hoe de auditor relevant kan blijven in deze turbulente tijd.

1.5

Opbouw en leeswijzer

Zoals bij de onderzoeksmethode is aangegeven begin ik met het schetsen van controleren en vertrouwen in hoofdstuk 2 en 3 als fundamentele begrippen voor de auditor en reik verschillende beïnvloedende elementen aan. In deze hoofdstukken wordt de basis voor het bestaansrecht van de auditor geduid; publiek vertrouwen.

Verschillende elementen uit de onderzoeksvragen raken aan de aspecten die vanuit de probleemstelling in hoofdstukken en paragrafen zijn beschreven. Daarom zijn de deelvragen niet zelfstandig beantwoord maar wordt op de verschillende elementen van de deelvragen in de tekst op teruggekomen.

Hoofdstuk vier beschrijft de actualiteit van de auditor in relatie tot technologische ontwikkelingen en de invloed hiervan op het vakgebied.

Het laatste deel tenslotte de conclusies aan aanbevelingen die ik op basis van voorgaande hoofdstukken en de uitkomsten van de interviews formuleer en zo te komen tot een aantal aanbevelingen waarmee de auditor relevant kan blijven.

2

Controleren

Al sinds het ontstaan van de mensheid houden we elkaar in de gaten en controleren we elkaar. Dat controleren doen we onder andere op grond van waarden en normen die de mate van kwaliteit van ons controleoordeel als kenmerk weerspiegelt.

Waarden en normen zoals algemeen geaccepteerd of individueel gehanteerd leggen de lat voor ons oordeel over een persoon, ding, groep of situatie.9 Wanneer niet aan onze verwachtingen wordt voldaan is men teleurgesteld, volgt kritiek, afwijzing of volgen sancties. Allemaal van invloed op de houding en gedrag van de auditor en naar de auditor. Dit hoofdstuk behandeld dan ook in verschillende paragrafen onder andere meerdere elementen uit de deelvraag: Welke elementen beïnvloeden totstandkoming van een onafhankelijk audit oordeel.

In de loop van de tijd zijn allerlei begrippen ontstaan die te maken hebben met belastingen, boekhouden en verslaglegging. Zodra mensen spullen van elkaar leende, met elkaar ruilde of verkocht werd ‘vergoeding’ of ‘betaling’ voor gebruik gevraagd.

Eerst was er de ‘in natura’ afdracht van een gedeelte van de oogst, vee of wat men op andere manieren had geproduceerd. Men ging al vrij snel over tot het bijhouden en actief controleren van de opbrengst. De beoogde 'betaler' trachtte door het hanteren van allerlei trucs onder de afdracht uit te komen of tenminste minder te hoeven 'betalen'. Het ‘ontduiken’ of plegen van fraude werd waar men kans zag door bijvoorbeeld gebrek aan controle of het ‘winstpotentieel’ dan ook gretig gebruik van gemaakt. Gelegenheid voor het eigengewin maakt de dief en dat is in al die eeuwen niet wezenlijk veranderd.10 Gesjoemeld werd en wordt er nog steeds.

Het heeft enige tijd geduurd voordat er een adequaat controlemechanisme ontstond maar daar bracht de zogenoemde dubbele boekhouding verandering in. Dubbel boekhouden is een set van regels voor het opslaan van financiële informatie in een financieel boekhoudsysteem waarbij iedere transactie of gebeurtenis op tenminste twee verschillende manieren en plaatsen wordt vastgelegd. Door op de debetkant als creditkant te boeken, en op een of meerdere grootboekrekeningen kunnen

afwijkingen worden gecontroleerd omdat de totalen van de debet- en

creditbedragen gelijk moeten zijn. Het dubbel boekhoudsysteem is vandaag de dag nog het meest gebruikelijk boekhoudkundig systeem.

Het blijkt behoorlijk lastig vaste criteria en normen voor het meten en controleren van vervaardigde producten of gemaakte afspraken op te stellen. Het begrip kwaliteit wordt wel gebruikt om aan te geven wat we aan eigenschappen of kenmerken toekennen aan een product of dienst. Het waarderen van een product, systeem of proces zonder passende meetwaarden is in grote mate subjectieve beoordeling.

Daarom is in de loop van de geschiedenis zoals met wetten en regels structuur aangebracht om problemen binnen de samenleving op te lossen. Niet zonder de nodige uitdaging heeft deze structuur zich ontwikkeld in grotendeels geaccepteerde democratische bestuursvormen en bijhorende wet- en regelgeving. Normen zijn

9

Nieuwenhuis, 2003

10

gesteld voor mens en organisatie en gecontroleerd kan worden of hieraan wordt voldaan.

Het onderwerp van dit referaat heeft alles te maken met vertrouwen, controleren en de randverschijnselen hiervan als element van IT-auditing. Het “kritisch onderzoek naar de bedrijfsvoering”11 wordt ook wel audit genoemd en waar ik in het algemeen controleren, audit of (IT-)auditing noem wordt bedoeld het controleren en/of beoordelen van de automatisering van een organisatie of de organisatie van de automatisering.

2.1

Audit

Auditing is aan het eind van de 19e eeuw ontstaan als antwoord op de toenemende vraag van met name aandeelhouders en geldverstrekkers naar meer en beter inzicht op de financiële huishouding van organisaties.

De accountantsfunctie dankt zijn ontstaan aan het Pincoffs fraudeschandaal in 1897 dat de gebreken in de boekhouding en in de controle op het bedrijfsleven pijnlijk aantoonde. Pincoffs bleek door het oppoetsen van balansen en vervalsen van boeken voor 2,8 miljoen gulden te hebben gefraudeerd. Nederland stelde daarom de

onafhankelijke accountant verplicht.

De externe accountant is als auditor inmiddels de onafhankelijk wettelijke controleur van de jaarrekening van organisaties. De accountant voert middels een audit

onderzoek uit naar de financiële verantwoording en staat bij een positief oordeel in voor de juistheid van de door de organisatie aangereikte informatie. Beleggers, investeerders en andere belanghebbenden moeten onvoorwaardelijk kunnen vertrouwen op het oordeel van de accountant om hun beslissingen te kunnen nemen.

Gray & Manson beschrijven audit als “An audit is an investigation or a search for evidence to enable an opinion to be formed on the truth and fairness of financial and other information by a person or persons independent of the preparer and persons likely to gain directly from the use of the information, and the issue of a report on that information with the intention of increasing its credibility and therefore its usefulness.”12

Op Wikipedia wordt auditing omgeschreven als: “Auditing is het controleren van een organisatie. Dit omvat het uitvoeren van: een onderzoek naar een

proces/organisatie, een accountantscontrole van een verantwoordingsstuk, zoals een jaarrekening, subsidieaanvraag of interne (management)rapportage. Het doel is het verschaffen van (additionele) zekerheid aan de opdrachtgever (auditée) of derden (maatschappelijk verkeer).”13

12

Gray & Manson, 2008, P. 21

13

De hierboven genoemde en andere definities van auditing hebben echter gemeen dat de betrouwbaarheid van de door de organisatie verstrekte informatie over de organisatie zelf of product/proces wordt onderzocht door een auditor. Met andere woorden is een audit bedoeld om gebruikers van de informatie het vertrouwen te geven dat de informatie juist is en van voldoende kwaliteit. Met kwaliteit van informatie wordt bedoeld de mate waarin de verstrekte informatie objectief voldoet aan vooraf bepaalde voorwaarden.

In een plaatje ziet het auditproces er als volgt uit;

Derde Product / Dienst /

Proces / Project / Etc...

KWALITEIT ? O n d er zo ek sv ra ag Onderzoek Evidence On der zoek svra ag Organisatie / Afdeling Rapport Figuur 1: Auditproces

Het doel van een audit is dan ook het door de auditor geven van zekerheid of een verantwoording, proces of product voldoet aan de daaraan gestelde eisen. Ook het onderzoeken of er problemen zijn, wat de oorzaken hiervan zijn of dat

organisatiedoelstellingen kunnen worden gerealiseerd behoort tot mogelijk onderzoeksdoel.14

Het hanteren van een gestructureerd en systematisch auditproces is voor het adequaat uitvoeren van een audit randvoorwaardelijk. Vanuit opdracht van een organisatie zelf of opdracht van een derde biedt dit een basis voor een betrouwbare uitkomst. De auditor kan een onafhankelijk onderzoek op de kwaliteit van een organisatie of delen hiervan uitvoeren.

Voor het uitvoeren van onderzoek is het nodig dat gestelde eisen waaraan voldaan dient te worden vooraf bekend zijn om relevante informatie als bewijsmateriaal objectief te kunnen beoordelen. Dit wordt ook wel de kwaliteit van informatie genoemd.

14

Diegene die verantwoordelijk is voor de controle, zoals de auditor, kan niet ook verantwoordelijk zijn voor de uitvoering van de gestelde eisen aan organisatie, product of proces. De slager mag niet zijn eigen vlees keuren. Daarmee zou de objectiviteit van de controle bewust of onbewust direct in gevaar worden gebracht omdat de auditor dan direct belang zou hebben bij de uitkomst van het onderzoek.

Er is een scala aan bedreigingen voor het werk van de auditor. Ik noemde zelftoetsing door beoordelen van eigen werkzaamheden. Ook het belang van een opdrachtgever voorop stellen kan leiden tot het manipuleren van financiële verantwoordingen of anderszins onjuiste rapportage over de werkelijkheid. Gebruikers en

belanghebbenden kunnen hierdoor in meerdere of mindere mate worden benadeeld.

Of deze risico’s van bedreigingen voor de auditor daadwerkelijk aanwezig zijn kom ik terug bij de behandeling van twee voor de auditor bijzonder relevante theorieën die mede ten grondslag liggen aan de noodzaak tot onafhankelijke auditing; de

agencytheorie en Limperg’s leer van het gewekte vertrouwen. In het hoofdstuk Vertrouwen werk ik deze uit.

2.2

IT-auditing

IT-auditing is ontstaan als specialisme binnen het accountantsberoep en heeft zich inmiddels ontwikkeld tot een zelfstandige discipline binnen het audit vakgebied. Het ontstaan van deze discipline kreeg vorm toen vanaf de jaren 60 van de 20ste eeuw meer en meer gebruik werd gemaakt van computers.15

Deze automatisering zorgde er begin jaren zeventig steeds vaker voor dat de

accountant te maken kreeg met geautomatiseerde financiële systemen. Om toch een voldoende controle te kunnen uitvoeren moest de accountant inzicht verkrijgen in deze nieuwe geautomatiseerde administratieve omgevingen.

Met Electronic Data Processing werd het domein rondom de eerste

geautomatiseerde systemen aangeduid. Dit was de start van het vakgebied van de RE; Register EDP-auditor. De ondersteunende rolverdeling tussen accountant en de IT-auditor als specialist op het gebied van informatietechnologie was een feit.

Al snel bleek dat door specifieke opleiding en toenemende automatisering de specifieke deskundigheid van de IT-auditor ook bruikbaar was bij allerlei andere IT gerelateerde vraagstukken. Inmiddels is het werkterrein van de IT-auditor dan ook veel meer dan informatietechnologie alleen.

Electronic data processing (EDP) was de term waarmee het werkveld dat zich bezighield met computers werd aangeduid. De eerste specialisten die zich met de controle rondom de betrouwbaarheid van computersystemen bezighielden werden dan ook EDP-auditors genoemd. De term EDP dekt echter niet meer het gehele aandachtsveld van de hedendaagse informatisering en daarmee van de auditor. Daarom heeft NOREA in het geschrift 'IT-auditing aangeduid' aangegeven de 15

bekendere naam IT-auditor als functie aanduiding toe te passen in plaats van het verouderde EDP-auditor te gebruiken. Het gebruik van de beschermde titel Register EDP-auditor blijft wel gehandhaafd.16

2.3

De IT-auditor

NOREA definieert IT-audit als "De werkzaamheden van een IT-auditor die zijn gericht op het uitvoeren van een assurance-opdracht, beoordeling of adviesopdracht”17. Een assurance-opdracht is een opdracht over het verschaffen van zekerheid over

informatie door een neutrale partij en wordt gebruikt om het vertrouwen bij belanghebbenden van die informatie te versterken18. De opdracht voor de accountantscontrole van de jaarrekening is hiervan een voorbeeld.

De NOREA handreiking 'Oordelen van gekwalificeerde IT-auditors' omschrijft IT-audit als: "IT-audit is de discipline die zich bezig houdt met het beoordelen van en

adviseren over de kwaliteit van de informatieverwerking in een omgeving waarin sprake is van informatietechnologie ten behoeve van de beheersing daarvan."19

Net zoals bij reguliere audit het geval is zijn er ook meerdere definities en

omschrijvingen over wat IT-audit is en wat de IT-auditor doet. In lijn met NOREA en Overbeek et.al. (2005) definieer ik het werk van de IT-auditor als het gevraagd en ongevraagd beoordelen van, en adviseren over een of meer kwaliteitsaspecten van (onderdelen van) de informatievoorziening waar wordt gebruikgemaakt van informatietechnologie.20

Het doen van onderzoek en het geven van een oordeel over een specifiek onderwerp, het auditobject, behoort tot de hoofdtaak van de IT-auditor. Deze objecten zijn informatiesystemen of onderdelen daarvan. Hiervan betreft het onderzoek en oordeel steeds ook een bepaalde verzameling kenmerken of eigenschappen. NOREA (2002) onderkent als kenmerken de volgende audit kwaliteitsaspecten; effectiviteit, efficiëntie, exclusiviteit, integriteit,

controleerbaarheid, continuïteit en beheersbaarheid.21

Zonder het definiëren van kwaliteitseisen voor de doelstellingen waaraan moet worden voldaan zijn kwaliteitsaspecten enkel subjectieve grootheden. Individuen of groepen kennen eigen waarde aan verwachtingen toe met als gevolg dat er geen eenduidigheid ontstaat over het resultaat. Daarom is het aan te bevelen vooraf eisen op te stellen en verwachtingen te formuleren.22

Het is voor betrokkenen bij een audit van belang dat voldoende duidelijk is wat kan en mag worden verwacht. Als de uitkomst van een onderzoek niet voldoet aan de verwachting van belanghebbenden wordt het al snel beschouwd als een slecht

16 NOREA, 1998, p. VII 17 _{NOREA, 2012, p. 47} 18 NOREA, 2012, p. 46 19 NOREA, 2003, p. 9 20 _{Overbeek, 2005, p. 149} 21 NOREA, 1998, p. 47 22 Nieuwenhuis, 2003

resultaat. Het is voor betrokkenen daarom tevens van belang ook ter zake van auditdiensten die worden verleend overeenstemming te hebben.

Het door de IT-auditor te vormen oordeel kan dan ook alleen met voldoende kwaliteit tot stand komen na evaluatie tegen reeds vastgestelde normen,

standaarden en verwachtingen. Ook de mate waarin risico's tot een aanvaardbaar niveau zijn teruggebracht is van belang evenals de wijze waarop de validiteit wordt gemeten en vastgesteld.

Daar waar overeengekomen normen en standaarden niet beschikbaar zijn steunt de auditor op algemeen aanvaarde normen en standaarden. "Dit noodzaakt de IT-auditor, op basis van zijn professional judgement, de algemene richtlijnen te vertalen naar omgevingsspecifieke toetsingsnormen (…).23

Bij omgevingsspecifieke normen kan men bijvoorbeeld denken aan de door Logius (Rijksoverheid) opgestelde beveiligingsnorm ‘ICT-beveiligingsassessment DigiD’ en “is bedoeld voor organisaties die DigiD gebruiken en jaarlijks een

ICT-beveiligingsassessment moeten doen.”24

De IT-auditor dient zoals gezegd rekening te houden met de mate van zekerheid die van het oordeel wordt verwacht waarbij hij zich onthoudt van “het wekken van overdreven verwachtingen ter zaken van diensten die hij kan verlenen, de kwaliteit die hij bezit en de ervaring waarover hij beschikt.”25. Het goed afstemmen van verwachtingen als strategische voorbereiding kan beargumenteerd worden door de enorme hoeveelheid aan algemeen erkende richtlijnen, wetten, normen en 'best practices' die de hij binnen zijn werkterrein kan tegenkomen. Voorbeelden zijn; de Code voor Informatiebeveiliging (NEN-ISO-27001 als norm en NEN-ISO 27002 als ‘best practice’), CoBiT, Common Criteria, ITSEC, ITIL, BiSL, ASL, ISAE-3402, PCI/DSS, ISAE-3000, SSAE 16, WBP, BGG, WCC, COSO enz.

Meetvoorschrift protocol Meetwaarde Prestatie-indicator maatstaf Meetschaal Verzameling mogelijke waarden Eigenschap kenmerk Systeem Product, proces Eis Norm, doelstelling bezit mate van validiteit wijze waarop vastgesteld De LAT wordt vastgelegd op de hoogte van de LAT meet

Nominaal (rood, groen, blauw) Ordinaal (slecht, redelijk, goed) Interval (temperatuur) Ratio (getallen) meet mate van kwaliteit 23 _{NOREA, 2003, p 12)} 24 Logius, 2012, p. 4 25

Figuur 226: Kwaliteit: meten is weten, gissen is missen

Met andere woorden wil de IT-auditor voldoen aan de verwachtingen van gebruikers van een door hem opgesteld rapport dient hij deze in vooraf vastgestelde en

meetbare normen te bepalen. Alleen dan is de kwaliteit van het werk in relatie tot de tevredenheid van gebruikers eenduidig vast te stellen en hebben normen daarmee een doelstellend karakter.

2.3

Wettelijke basis van de RE

De deelvraag: Wat is de rol van de IT-auditor bij de waarborging van vertrouwen in wettelijke taak gerichte rapportage? wordt in deze paragraaf aan de hand van wetsartikel 2:393 behandeld omdat het wettelijke bestaansrecht van de Register IT-auditor tot uiting komt in het artikel 2:393 lid 4 van het Burgerlijk Wetboek. Dit artikel is ontstaan door het in 1993 invoeren van de Wet computercriminaliteit (Stb. 1993, 33) en had tot gevolg dat een aantal nieuwe bepalingen in het Wetboek van Strafrecht en het Wetboek van Strafvordering werden opgenomen. De Wet

computercriminaliteit is ontstaan door de ontwikkelingen van informatietechnologie en het gebruik hiervan bij allerhande criminele activiteiten.27

Artikel 2:393 van het Burgerlijk Wetboek betreft het wetsartikel dat de

accountantscontrole van de jaarrekening van organisaties verplicht stelt. Naast het invoeren van strafbaarstellende bepalingen werd aan dit artikel in het Burgerlijk Wetboek tevens een nieuwe bepaling toegevoegd. De toegevoegde bepaling van artikel 2:393 lid 4 van het Burgerlijk Wetboek luidt: “Hij maakt daarbij ten minste melding van zijn bevindingen met betrekking tot de betrouwbaarheid en continuïteit van de geautomatiseerde gegevensverwerking.”28 Met ‘hij’ wordt in de bepaling de accountant bedoeld.

Het wetsartikel 2:393 maakt hiërarchisch onderscheid tussen het inhoudelijk werk van de accountant en dat van de IT-auditor. Het geeft daarbij mandaat aan de accountant voor het beoordelen of een IT-auditor moet worden betrokken bij de wettelijke accountantscontrole; het is niet verplicht. In 1993 was dit wellicht passend maar lijkt nu in 2015 niet eenvoudig meer te rechtvaardigen. Deze wettelijke

bepaling lijkt dan ook gezien de penetratiegraad van de automatisering en maatschappelijke afhankelijkheid hiervan achterhaald.

Volgens het door het NIVRA uitgegeven Audit Alert 1 (NIVRA, 1993) wordt gezien de memorie van antwoord van de toenmalige Minister van Justitie aan de Eerste Kamer met deze bepaling bedoeld dat “(…) alleen wanneer de accountant opmerkingen heeft over geautomatiseerde gegevensverwerking, maakt hij daarvan melding in zijn verslag aan de directie en de Raad van Commissarissen.”29

26 _{Nieuwenhuis, 2003, p. 144} 27 Zie: http://www.auditcarriere.nl/informatie/audit/algemene-informatie 28 Zie: http://wetten.overheid.nl/BWBR0003045/Boek2/Titel9/Afdeling9/Artikel393/geldigheidsdatu m_11-01-2015 29 NBA-Audit-Alert 1, 1993, p.1

Het Audit Alert vervolgt door aan te geven dat de doelstelling ‘continuïteit van de geautomatiseerde gegevensverwerking’ dan ook niet tot de reikwijdte van de jaarrekeningcontrole behoort; ”Duidelijk kan worden gesteld dat géén extra werkzaamheden, buiten welke tot de normale jaarrekeningcontrole behoren, behoeven te worden verricht.”30

“Niet langer kan de accountant zich veroorloven zijn controle ‘om de automatisering heen’ uit te voeren.“31 lijkt het intrappen van een open deur. Echter omdat de wet niet is veranderd is het voor de accountant anno 2015 nog steeds mogelijk een jaarrekening te controleren zonder hierbij een IT-auditor te betrekken!

In de bepaling BW 2:393 lid 4 zijn twee kwaliteitsaspecten opgenomen;

betrouwbaarheid en continuïteit. Op het kwaliteitsaspect betrouwbaarheid uit de bepaling gaat het Audit Alert niet in.

Hierboven, in de vorige paragraaf, gaf ik al aan dat kwaliteitsaspecten nadere uitleg behoeven om onduidelijkheid hierover te voorkomen. Betrouwbaarheid in relatie tot de geautomatiseerde gegevensverwerking geeft “(…) de mate aan waarin een organisatie zich kan verlaten op die informatievoorziening.”32 en vaak worden hierbij vanuit de informatiebeveiliging de deelaspecten beschikbaarheid, integriteit en vertrouwelijkheid genoemd. “Betrouwbaarheid duidt op de mate waarin het gebruik kan vertrouwen op het informatiesysteem met betrekking tot juistheid, volledigheid, tijdigheid en geoorloofdheid (autorisatie) van de gegevensverwerkingen in

informatievoorziening.”33 geeft een vergelijkbaar beeld wat betrouwbaarheid als begrip in kan houden.

De deelaspecten van betrouwbaarheid van de geautomatiseerde

gegevensverwerking vergroten het potentiële aandachtsgebied van de IT-auditor aanzienlijk. Vertrouwelijkheid is al genoemd als alleen die toegang tot informatie voor gedefinieerde gerechteden. Integriteit kan worden uitgesplitst in bron, doel, inhoudelijke, blijvende en life-cycle. Samengestelde kenmerken zijn eveneens mogelijk te weten; authenticiteit en onweerlegbaarheid. Het betreft hier dan eigenschappen met betrekking tot zekerheid over afzender, ontvanger of dat de informatie inhoudelijk juist en volledig is met de juiste betekenis en waarde. Sinds initiële creatie ongewijzigde data dan wel het geldig zijn, niet herroepen of verlopen zijn andere informatiebeveiligingskenmerken van integriteit.

Beschikbaarheid tenslotte bevat de kenmerken continuïteit en tijdigheid. Continuïteit is de beschikbaarheid op de lange termijn. Het betreft het voortzetten van de

bedrijfsvoering na ernstige verstoring waarna er geen sprake meer is van een normale operationele omgeving. Dit kan bijvoorbeeld betekenen dat moet worden uitgeweken naar een andere locatie. Continuïteit duidt op de mate waarin “(…) informatiesystemen zijn beschermd tegen verstoringen en veranderingen waarvan de oorzaak ligt buiten de informatiesystemen.”34. Overbeek hanteert een

30 NBA-Audit-Alert 1, 1993, p. 1 31 Schellevis, 2014, p. 3 32 _{Overbeek, 2005, p. 22} 33 Looijen, 1997, p. 71 34 Looijen, 1997, p. 72

vergelijkbare omschrijving; “Continuïteit is de mate waarin een object continu beschikbaar is en de gegevensverwerking ongestoord kan plaatsvinden.”35

Bovenstaande geeft enig inzicht in de omvang van het onderzoeksterrein dat de IT-auditor vandaag de dag tegenkomt en in de wet36 met slechts twee woorden wordt benoemd; betrouwbaarheid en continuïteit.

In de vorige paragraaf gaf ik aan dat controleren van systeemeigenschappen zonder vastgestelde eisen en meerwaardes tot verschillende interpretaties leidt. Omdat de bepaling niet duidelijk beschrijft wat er dient te gebeuren en welke handelingen moeten worden uitgevoerd is hier eerder sprake van een principe in plaats van een regel. Deze principles benadering is verder ook terug te zien in de rest van titel 9 Boek 2 van het Burgerlijk Wetboek: De jaarrekening en het jaarverslag, en is daarmee overigens in lijn met de rest van de Nederlandse wet. Een principe is voor meerdere uitleg vatbaar. Een regel is dat meestal niet.

Interpretatieverschillen van de bepaling zorgen voor onzekerheid over de precieze betekenis en leiden tot verschillen in verwachtingen. Op hun beurt kunnen deze verschillen in verwachting in concrete gevallen gevolgen hebben voor de beleving van kwaliteit op uitgevoerde werkzaamheden door belanghebbenden. Van belang is daarom vooraf voldoende duidelijkheid te verschaffen over wat mag worden verwacht. Daarom heeft onder andere de Nederlandse Beroepsgroep van

Accountants (NBA) de bepaling uit de wet uitgewerkt in aanvullende richtlijnen en regels. Ik kom daar in paragraaf 2.4 op terug.

Sinds het opnemen van de bepaling in het Burgerlijke Wetboek en het opstellen van het Audit Alert 1 in 1993 heeft de ontwikkeling van informatietechnologie een enorme vlucht genomen. De hele maatschappij is in grote mate verweven met en afhankelijk van geautomatiseerde systemen. Accountant en IT-auditor zouden samen verantwoording kunnen afleggen en vanuit wettelijke gelijkwaardigheid invulling kunnen geven aan de jaarrekeningcontrole; “Financial audit en IT zijn onlosmakelijk met elkaar verbonden (…). De accountant kan niet om de IT van de onderneming heen!”37. Er is echter (nog) geen wettelijke taak voor de IT-auditor waarmee hij gemandateerd betrokken dient te zijn bij de accountantscontrole.

Het geformuleerde standpunt van de NIVRA in het Audit Alert lijkt daarmee

gedateerd en loopt de wettelijke bepaling BW 2:393 lid4 achter bij de werkelijkheid van vandaag de dag. Iedere organisatie in Nederland heeft immers vele

bedrijfskritische processen of tenminste haar financiële administratie geautomatiseerd.

De automatiseringsgraad is in Nederland enorm. Informatiesystemen zijn via complexe netwerken en interfaces met elkaar verbonden. 24x7 en 365 dagen per jaar worden gegevens uitgewisseld. Landsgrenzen bestaan in de digitale wereld niet

35 Overbeek, 2005, p. 156 36 Zie: http://wetten.overheid.nl/BWBR0003045/Boek2/Titel9/Afdeling9/Artikel393/geldigheidsdatu m_11-01-2015 37 Schellevis, 2014, p.7

waardoor het gebruik alleen maar toeneemt. Altijd en overal worden zaken gedaan, webwinkels sluiten nooit en ook buiten kantoor kan overal worden gewerkt.38

Gegevens worden continue geautomatiseerd verwerkt en uitgewisseld en kunnen doordat alle systemen met elkaar zijn verbonden op allerlei manieren de financiële huishouding van organisaties beïnvloeden. Het gevolg van een geautomatiseerde maatschappij of organisatie is dat zaken niet meer los van elkaar zijn te beschouwen of te onderzoeken. Op het moment dat een financieel systeem gekoppeld is aan een netwerk en dat netwerk heeft verbinding met de buitenwereld zijn alle

internetdreigingen relevant voor dat systeem.39

Dat de automatisering van organisaties niet meer weggedacht kan worden als wezenlijk onderdeel van de wettelijke controle mag mijns inziens als een gegeven worden beschouwd.

Daarmee lijkt het niet langer houdbaar om de geautomatiseerde

gegevensverwerking geen deel uit te laten maken van het jaarrekeningsproces en reikwijdte van de jaarrekeningcontrole. Het in stand houden van het kunstmatige onderscheid tussen het inhoudelijke werk van de accountant en de automatisering is een verouderd concept, doet de controlekwaliteit geen goed en knaagt daarmee aan het vertrouwen in beroepsgroep en beoefenaar.40

2.4

Wetten, Gedrags- en Beroepsregels

In de vorige paragraaf heb ik de wetsbepaling behandeld die als grondslag dient voor het werk van de IT-auditor die hem daarmee nog geen formeel wettelijke taak geeft. Tevens heb ik aangegeven dat de bepaling, in lijn met de rest van de Nederlandse wet, een zogenaamde principles gebaseerde benadering hanteert, wat zoveel betekent als het aanreiken van algemene uitgangspunten.

In deze paragraaf komt de deelvraag: Kan de IT-auditor op basis van bestaande richtlijnen (wetgeving) voor het communiceren en afleggen van verantwoording in voldoende mate uiting geven aan vak gerelateerde waarnemingen? aan de orde. Aanvullend op bovengenoemde wettelijk kader wordt de hand van relevante governance aspecten en beroepsregels een antwoord gegeven welke ruimte en mogelijkheden de auditor heeft om te communiceren en verantwoording af te leggen.

Om aan bovengenoemde algemene uitgangspunten meer houvast te geven voor de beroepsbeoefenaar zijn deze door verschillende belanghebbenden uitgewerkt in aanvullende specifieke wetten, gedragscodes en standaarden zoals de gedrags- en beroepsregels van NOREA. De gedragscode van NOREA wordt ondersteund door en verwijst naar andere (deel)codes met betrekking tot primaire en aanvullende (neven)werkzaamheden. Te denken valt aan aanvullende richtlijnen, statuten en

38 _{Prins et.al., 2012} 39

Prins et al., 2012

40

reglementen voor de IT-auditor maar ook hulpmiddelen ter ondersteuning van specifieke werkzaamheden zoals het ‘Cyber Security Assessment (CSA).

Bij alle wet en regelgeving waar de accountant mee te maken krijgt bij de uitoefening van zijn beroep en waar organisaties aan moeten voldoen wordt de rol en betekenis van informatietechnologie steeds zichtbaarder. Iedere organisatie dient tenminste te beschikken over een proces dat relevante wet- en regelgeving vertaalt naar de eigen organisatie. Voor wat betreft Nederlandse wetten kan daarbij gedacht worden aan de Wet Bescherming Persoonsgegevens (WBP) en de eerder genoemde Wet op de Computer Criminaliteit (WCC). Maar ook de hieronder genoemde corporate governance code en voor de in de Verenigde Staten beursgenoteerde bedrijven Sarbanes-Oxcley wetgeving is relevant.

Tabaksblat

De Code Tabaksblat is op 1 januari 2004 in werking getreden en is de gedragscode voor beursgenoteerde ondernemingen en vennootschappen. De aanbevelingen uit deze corporate governance richt zich met name op het functioneren van de leden van de raad van bestuur, de macht van commissarissen en de invloed van

aandeelhouders.

Er is in de code geen inhoudelijk uitwerking van de interne beheersing en control maar beursgenoteerde bedrijven moeten van interne risicobeheersings- en controlesystemen wel de werking hiervan in het jaarverslag opnemen.

De rol van de IT-auditor vanuit Tabaksblat komt dan ook alleen maar tot stand vanuit een vraagbehoefte omtrent de betrouwbaarheid van de informatie- en

communicatietechnologie middels een rechtstreekse opdrachtverstrekking. Of vanuit de wettelijke taak van de accountant als ondersteuning bij de controle van de

jaarrekening.

Sarbanes-Oxley

De Sarbanes-Oxley wet is net zoals de Code Tabaksblat in Nederland het antwoord vanuit de VS op meerdere bedrijfs- en accountingschandalen. In korte tijd opgesteld is ‘SOX’ na het Enron schandaal en de rol van accountantskantoor Arthur Anderson hierin in 2002 aangenomen. De wet is bedoeld om frauduleus handelen bij aan de beurs genoteerde bedrijven tegen te gaan. Met name ook het herstellen van vertrouwen in de accountancy en corporate goverance was uitgangspunt voor de invoering.41

De kosten voor het naleven van de SOX regelgeving bedragen voor organisaties gemiddeld miljoenen dollars. Voor organisaties een reden om technologie in te zetten om de intensiteit van tijdrovend handmatig testen te verminderen. Vooral de introductie van data analyse technieken boden de gewenste efficiency waardoor de kosten voor SOX daalden, de audit scope vergroot kon worden en de

betrouwbaarheid stijgt.42

41

Zie: https://www.riskworld.nl/kennis/wet-regelgeving/sox-in-een-notendop

42

Het richtpunt voor SOX is voornamelijk de nauwkeurigheid en zorgvuldigheid van de financiële processen. Tevens dienen bedrijven hieromtrent passende

controlemaatregelen te implementeren. Processen dienen adequaat beheerst te worden wat betekent dat deze moeten zijn beschreven inclusief de beschikbaarheid van maatregelen voor beheersing binnen de processen. Om de werking van deze beheersingsmaatregelen te kunnen beoordelen dient het management hiervoor een structuur op zetten waarmee aangetoond kan worden dat men ‘in control’ is. Dit impliceert dat het organisatiebestuur niet enkel verantwoordelijkheid draagt voor de juistheid van de financiële gegevens maar ook verantwoordelijk is voor de goede werking van de interne beheersingsmaatregelen.

De wet eist dat organisaties een goed beeld geven van de financiële huishouding en dat de informatie hierover juist en volledig is. Bij het vervaardigen van deze

informatie moet voldoende zorgvuldigheid worden betracht en een afspiegeling zijn van een geaccepteerde industriestandaard. SOX schrijft verder voor dat de externe auditor (accountant) de beoordeling van de leiding van de organisatie van de financiële informatie onderzoekt en hierover rapporteert.

De betrouwbaarheid van de financiële systemen dient blijvend te worden gewaarborgd. Daarom dienen deze systemen regelmatig grondig te worden

gecontroleerd op goede werking. Alle menselijke en technische handelingen moeten worden gelogd zodat rapportage over status vervaardigd kunnen worden. Het aantoonbaar ‘in control’ zijn is hiermee te waarborgen.

Op onderdelen van de informatiebeveiliging stelt SOX dan ook eisen. Dat is anders dan bij de principe benadering van bepaling in lid 4 van BW 2:393 en daarom is deze wet dan ook enorm uitgebreid in regels met bijhorende straffen bij overtreding. SOX kent 11 secties met standaarden voor IT beheer, het financiële beheer en de

auditing.

Bij een intern informatiebeveiligingsbeleid worden de regels die SOX stelt aan financiële systemen meestal al afgedekt door beheersingsmaatregelen. Wanneer dat beleid is gebaseerd op een internationaal erkende en veel toegepaste standaard als de ISO 27002 is dat zeker het geval. Vanuit de SOX wetgeving behoeven zaken als aantoonbaarheid zoals archivering en de onafhankelijke waarborging dan wellicht nog aanvullende aandacht.

NOREA-Gedrags- en Beroepsregels

Het vervullen van de taak van de Register EDP-auditor (RE) komt met verplichtingen en verwachtingen. De wet- en regelgeving is niet sluitend voor alle situaties die de RE tegen kan komen bij de uitvoering van zijn beroep. Om de kwaliteit van de RE bij zijn beroepsuitoefening te waarborgen en bedreigingen voor de uitvoering hiervan preventief weg te nemen heeft NOREA een ‘huis van reglementen en richtlijnen’ opgesteld. De belangrijkste uitgangspunten voor het uitoefenen van IT-audit diensten zijn achtereenvolgens de Reglementen; Statuten, Gedragscode, Beroepsbeoefening en Kwaliteitsbeheersing NOREA.

De gedragscode of ‘Code of Ethics’ heeft als doelstelling beschreven; “De doelstelling van dit reglement is het stellen van algemeen geldende gedragsregels voor

IT-auditors die in het RE-register zijn ingeschreven die in acht moeten worden genomen bij het uitoefenen van het beroep en daar buiten.”43. De reglementen representeren ‘gedragsregels’ die voor transparantie binnen organisaties zorgen en helpen bij de verantwoording richting de maatschappij. De reglementen zijn de basis voor de oordeelsvorming van de RE en ondersteunend aan het vertrouwen in de verslaglegging.

In de gedragscode zijn vijf fundamentele beginselen opgenomen; integriteit, objectiviteit, deskundigheid en zorgvuldigheid, geheimhouding en professioneel gedragen44. Deze beginselen verlangen van de IT-auditor dat hij bij zijn

beroepsuitoefening onbevooroordeeld en integer is, zo duidelijk mogelijk communiceert en met uiterste zorg omgaat met gevoelige informatie. De professionele houding van de RE verlangt tevens dat blijvend voldaan wordt aan hoge kwaliteitseisen voor deskundigheid en vaardigheid nodig voor het werk dat wordt verricht. Andere belangrijke onderdelen voor de RE zijn onpartijdigheid bij het uitoefenen van de functie en zich altijd onafhankelijk op te stellen. Ook dient

voldoende zorgvuldigheid te worden betracht bij het uitbesteden van deelonderzoeken en het bij het houden aan relevante wet- en regelgeving.

Het reglement gedragscode vormt de basis voor het geheel aan regels van de beroepsorganisatie en geldt voor iedere RE inclusief die RE’s die zich niet direct bezighouden met het uitvoeren van professionele diensten.

Het in de ‘Code of Ethics’ beschreven conceptueel raamwerk dient de IT-auditor te gebruiken bij het onderzoeken en signaleren van een bedreiging. Hij brengt deze bedreiging terug tot een acceptabel niveau of neemt deze geheel weg. NOREA zegt hierover “Een conceptueel raamwerk dat van de IT-auditor vraagt iedere bedreiging te signaleren, te evalueren en aan de orde te stellen, in plaats van de eis te voldoen aan een aantal min of meer arbitraire specifieke regels, is in het algemeen belang.”45 De RE is dus zelf verantwoordelijk voor het naleven van de gedragscode.

Met de code spreekt NOREA het vertrouwen uit in de juiste handelwijze van de RE bij de beroepsuitoefening en daarmee krijgt de RE ook handvaten aangereikt om

verantwoordelijkheid over zijn handelen te kunnen afleggen. De RE heeft met de ‘Code of Ethics’ in de hand een adequate set aan principes, richtlijnen en

handreikingen om invulling te geven aan verwachtingen die de maatschappij stelt aan de taak van de RE in het maatschappelijk verkeer. De relatie tussen verwachting en vertrouwen behandel ik in het volgende hoofdstuk.

2.5

Samenvatting

Mensen controleren elkaar al heel lang. We houden ook vrijwel continue alles om ons heen in de gaten. Overigens meestal zonder dat dit een bewust proces is.

43 _{NOREA, 2012, p.87} 44

NOREA, 2012, p.88: 100.4

45

Controleren gaat gepaard met verwachtingen over de uitkomst. Het onafhankelijk en kwalitatief toetsen van een verwachting kan door vooraf aan te geven waaraan het controleobject moet voldoen waarbij het object als onderwerp van controle van alles kan zijn. Objecten binnen de automatisering kunnen hele rekencentra of delen van informatiesystemen betreffen. Daarmee is de potentiële scope van het werkterrein van de RE immens groot. Immers de digitalisering en technologisering van de huidige maatschappij is overal zichtbaar.

Auditing was het antwoord op de roep door aandeelhouders, investeerders en schuldeisers om meer en beter inzicht in de financiële huishouding van organisaties te verkrijgen. Controleren werd geformaliseerd en de accountant kreeg de wettelijke taak de financiële huishouding van organisaties te toetsen en hierover verslaglegging te doen aan belanghebbenden.

Met de opkomst van de computer ontstond het vakgebied rondom het controleren van de goede werking hiervan. De wettelijke basis voor het werk van de IT-auditor werd verankerd in het Burgerlijk Wetboek. Als controleur van de betrouwbaarheid en continuïteit van de geautomatiseerde gegevensverwerking toetst de IT-auditor de mate van kwaliteit van het te onderzoeken object tegen vastgestelde criteria. Hij gebruikt voor zijn oordeelsvorming beschikbare normen, richtlijnen, kaders, protocollen en best practices maar handelt allereerst op basis van de gedragscode van de beroepsgroep NOREA en past het conceptuele raamwerk beschreven in de ‘Code of Ethics’ toe.

Accountants en IT-auditors beseffen steeds meer dat weliswaar de vakgebieden te onderscheiden zijn maar niet te scheiden. Het uitvoeren van de werkzaamheden van accountant en IT-auditor als gescheiden proces draagt onvoldoende bij aan de kwaliteit van het controleresultaat. De term integrated audit duikt op waarmee wordt bedoeld “het bij elkaar brengen van (traditionele) accountantscontrole en IT-audit in een Integrated Audit Approach.”46. Echter “Many audit procedures today can be deconstructed into tasks that can be performed wherever is most effective, whereas in years past, audit procedures had to be performed onsite by vertically integrated audit teams of local office resources.”47en lijkt daarmee als werkvorm niet voldoende gebruik te maken van de beschikbare technologische mogelijkheden.

De wet- en regelgeving lijkt hier achter te lopen op de ontwikkelingen waardoor er risico bestaat voor verkeerde verwachtingen over het werk van de auditor.

Desondanks breidt de samenwerking tussen accountant en IT-auditor zich binnen en buiten de wettelijke taak verder uit. Aanjager is onder andere de eerder genoemde toenemende technologische complexiteit en altijd en overal gebruiken van

informatietechnologie.

De RE heeft voldoende houvast aan de ‘Code of Ethics’ en is zelf verantwoordelijk voor het naleven hiervan. Bij het goed toepassen en naleven van de code heeft de RE passende ruimte om verantwoording af te leggen over uitgevoerde werkzaamheden en hierover adequaat te communiceren.

46

Schellevis, 2014, p.3 ev.

47

Normen komen vanuit vanuit de wet- en regelgeving, de beroepsorganisatie, jurisprudentie en ‘best-practices’. Vanuit vakliteratuur, ervaring en gegevens uit zowel het verleden als heden. Ook door de opdrachtgever zelf opgestelde eisen reiken handvaten aan te komen tot een oordeelsvorming over de kwaliteit van de geautomatiseerde gegevensverwerking.

3

Vertrouwen

Dit hoofdstuk over vertrouwen begint met een beschouwing van een aantal algemene elementen waaronder we vertrouwen kennen. Hierop voortbordurend plaats ik in paragraaf 3.2 de voor de auditor relevante kenmerken van de agency theorie en in paragraaf 3.3 die van Limperg’s ‘Leer van het gewerkte vertrouwen theorie’. De auditor heeft met zowel harde als zachte vertrouwensaspecten te maken en daarom worden beide belicht.

In dit hoofdstuk komen verschillende elementen terug die bij het beantwoorden van de deelvraag: Op welke wijze kan de IT-auditor in relatie tot openbaarmaking aan het algemeen belang een voldoende kritische houding aannemen zonder de partij onder onderzoek te beschadigen? dienen te worden beschouwd. Omdat alle aspecten van vertrouwen bij de beantwoording een rol spelen alsmede ethiek en moraliteit is er geen simpel antwoord op deze vraag mogelijk en dient steeds afweging van belangen plaats te vinden. De behandelde elementen in dit hoofdstuk geven daarbij houvast.

Op 24 augustus werd het effect van gebrek aan vertrouwen mondiaal zichtbaar door de paniekreactie op de beursval van China met 8 procent in een dag. De onrust was al op 11 augustus gestart en bleef toenemen tot het beetje vertrouwen wat over was omsloeg in wantrouwen en argwaan. Op maandag 24 augustus is in Europa ruim 400 miljard euro aan beurswaarde verdwenen48_{. Wereldwijd is sinds de onrust op 11}

augustus begon ruim 4.350 miljard euro aan beurswaarde verdwenen.

De dag erna op 25 augustus krabbelde de beurs weer enigszins op en werd de paniek als reactie op de onzekerheid over de groei van China als overtrokken aangemerkt. Toch was het vertrouwen niet helemaal terug. Ervaringen uit de weken voorafgaand maken beleggers voorzichtig ondanks dat de Chinese overheid zijn best heeft gedaan om de koersval in de aandelenmarkt te stuiten. Herstel van vertrouwen heeft tijd nodig.49

Uit recente publicaties zoals het AFM rapport van september 2014 over

tekortkomingen bij de Big-4 accountantskantoren50, maar ook de Zembla uitzending van woensdag 2 september 201551 over het SVB Multi Regelingen Systeem (MRS), laten zien dat gebrek aan vertrouwen veel geld kost, heel veel geld en bijzonder moeilijk is ter herstellen. Falende ICT projecten leiden tot groot maatschappelijk wantrouwen en soms zoals in het geval van het persoonsgebonden budget ook tot onrust.

Al vroeg in het SVB traject gaven interne medewerkers aan dat het project feitelijk mislukt was maar men is er daarna toch nog jaren mee doorgegaan. Signalen werden genegeerd en waarschuwingen in de wind geslagen. Facturen van het project werden onder meer gecontroleerd door een SVB-ambtenaar die naast zijn werk voor de SVB ook zakenpartner was van de manager die het project begeleidde. Formeel wordt 48 Zie: http://www.hpdetijd.nl/2015-08-25/de-dag-na-zwarte-maandag-de-europese-beurzen-veren-weer-op/ 49 _{Covey, 2006, e.v.} 50 AFM, 2014, p. 25 e.v. 51 http://www.npo.nl/zembla/02-09-2015/VARA_101375763

aangegeven dat er 43,7 miljoen aan is uitgegeven maar volgens ex-medewerkers is het werkelijke bedrag tientallen miljoenen hoger. Onbekend is of de jaarlijkse controle hierover waarschuwingen heeft afgegeven.

Zonder vertrouwen functioneert de mens en daarmee de maatschappij niet maar kost het ons allen wel veel geld52 Minder vertrouwen is meer kosten. Meer

vertrouwen voegt waarde toe53. Vertrouwen alleen is echter niet voldoende en door ook te controleren worden onzekerheden gereduceerd en waarde gecreëerd54.

De auditor voert beroepsmatig allerlei controlerende werkzaamheden uit ten

behoeve van informatievraagstukken bij organisaties. De IT-auditor toetst zoals in het vorige hoofdstuk al aangegeven de mate van kwaliteit van het te onderzoeken object tegen vastgestelde criteria. Op basis van zijn bevindingen vormt de auditor een oordeel. Voor het werk van de auditor is het van groot belang dat het vertrouwen in zijn oordeel tot stand komt en ook behouden blijft. Dit is de voorwaarde voor

voldoende geloofwaardigheid over de blijvende kwaliteit van zijn beroepsuitoefening en beroepsbekwaamheid.

De maatschappij vertrouwt er op dat ze bij controles uitgevoerd door auditors tijdig en juist ingelicht wordt over zaken die het publiekelijk belang schade kunnen toebrengen. Zodanig dat tijdig kan worden ingegrepen om onheil af te wenden. Wanneer dit melden volgens maatschappelijke verwachting achterblijft volgt wantrouwen. Omdat de betrouwbaarheid van het uitgevoerde werk pas achteraf blijkt is werken aan maatschappelijk vertrouwen ook vooraf noodzakelijk.

Volgens Covey (2006) komt zonder vertrouwen alles tot stilstand en zijn we in ons handelen afhankelijk van mensen en kunnen we er nooit zeker van zijn dat onze verwachtingen zullen uitkomen: "Als we geen vertrouwen hebben, zullen we geen relaties kunnen onderhouden en daarmee beroven we onszelf van de mogelijkheid om te ontdekken dat er wellicht een basis voor vertrouwen is."55

Wanneer de auditor niet in staat is voldoende vertrouwen te ontwikkelen en behouden verliest de auditor aan betekenis.

In de rest van dit hoofdstuk leg ik uit met welke aspecten van vertrouwen de mens en daarmee ook de auditor tenminste te maken heeft.

3.1

Wat is vertrouwen?

Vertrouwen is een subjectief begrip. Is een bijzonder complex menselijk concept en omvat zowel persoonlijke als niet persoonlijke elementen. Afhankelijk van de context zijn dan ook verschillende definities van het begrip vertrouwen mogelijk. Individueel vertrouwen in eigen kunnen, vertrouwen als groep in een organisatie of vertrouwen dat iemand een bepaalde actie uitvoert. Vertrouwen in instellingen als overheid, banken, verzekeringsmaatschappijen e.d. spelen eveneens een rol.56

52 Covey, 2006 53 Covey, 2006 54 _{Cools, 2005, p. 126} 55 Karssing, 2006, p. 18-26 56 Karssing, 2006, p.18-26

Over het vertrouwen in een ander zegt de uitspraak van Nooteboom: “Ik vertrouw een ander wanneer ik kwetsbaar ben voor zijn/haar handelen maar geloof dat mij geen grote schade berokkend zal worden”57 dit een definitie van vertrouwen kan zijn.

Hieruit valt af te leiden dat het begrip vertrouwen rekbaar, persoonlijk en afhankelijk van individuele beleving is. Daarom zal wanneer er naar eigen mening te veel zaken niet goed gaan vertrouwen veranderen in argwaan; we vertrouwen de ander of het systeem niet meer. Cools (2005) zegt hierover "(…) vertrouwen gaat over de voorspelbaarheid van andermans gedrag: het kunnen voorspellen dat de ander (impliciete!) afspraken en beloftes nakomt."58

Deze voorspelbaarheid over verwacht gedrag betreft niet alleen dat van individuele uiting of de uitingen van samenwerkende groepen mensen. Ook van uitingen van technische systemen wordt voorspelbaarheid verwacht; wat verwachten we als resultaat?

Hierboven schetste ik dat de mens vaak vertrouwt door de mate waarin verwacht gedrag voorspelbaar is. Onbewust wordt deze verwachting getoetst aan eigen referentiekaders; wat verwachten we gegeven deze situatie te zien aan gedrag? In de definitie van vertrouwen is de kern dan ook gelegen in het woord controle.

Controleren van de eigen referentie op verwacht gedrag. Dat betekent echter niet dat je zondermeer de ander echt controleert maar bij jezelf nagaat wat je

redelijkerwijs mag verwachten.

Een ander belangrijk element voor de mate van vertrouwen is gelegen in het collectief bewustzijn over onuitgesproken sociale waarden en normen. In onze samenleving gaan we op een bepaalde manier met elkaar om en dat is voor iedereen de maatstaf. Zo gedragen we ons en zo vertrouwen we elkaar op bepaald gedrag.

Deze ‘cultuuruitingen’ bestaan uit bijna ongrijpbare individuele en maatschappelijke opvattingen en sentimenten omdat vertrouwen van vele rationele en emotioneel vervlochten variabelen afhankelijk is.

Een voorbeeld hiervan hebben we kunnen zien in juli 2015 toen het vertrouwen van de Grieken in hun regering ernstig was geschaad. Het Griekse volk geloofde dat de regering niet langer in staat was een Grexit af te wenden. Het verloren vertrouwen uitte zich collectief door het grootschalig opnemen van tegoeden. Pinautomaten waren dagen achtereen leeg en banken hadden nagenoeg geen reserves meer in huis. Griekenland stevende af op een faillissement en de regering was niet langer in staat het vertrouwen van de bevolking te behouden.

Vooralsnog definieer ik in navolging van Cools (2005) vertrouwen als de

voorspelbaarheid van andermans gedrag en het kunnen voorspellen dat de ander (impliciete!) afspraken en beloftes nakomt.59

57 _{Nooteboom, 2010, p.25} 58

Cools, 2005, p 103.

59

3.2

De Agencytheorie

Voor een eerste analyse op de hierboven geschetste problematiek rondom de totstandkoming van vertrouwen wordt als eerste aansluiting gezocht met de agencytheorie. De kenmerkende economische basis van deze theorie over

contractuele relaties is in essentie gebaseerd op wantrouwen60 en daarom uitermate geschikt als handvat voor de auditor bij het voorkomen hiervan.

De agencytheorie ziet een organisaties als een ‘netwerk van contracten’ tussen individuen met verschillende belangen. Zij gaat uit van twee basis veronderstellingen die in essentie is gebaseerd op wantrouwen binnen contactuele relaties . De eerste veronderstelling is dat er in de relatie tussen een principaal (opdrachtgever, leider, eigenaar e.d.) en een agent (opdrachtnemer, werknemer) een tegenstrijdig belang heerst. Er zijn meerdere partijen waarbij het economisch gedrag van deze

deelnemers bij dit belang centraal staat.

De theorie veronderstelt dat de agent andere belangen nastreeft dan de principaal voor ogen heeft. Dit zou onder andere voortkomen uit de scheiding tussen leiding en eigendom. Daarom is constant toezicht nodig omdat anders eigen belangen worden nagestreefd in plaats van de belangen van de eigenaar.

Dat de principaal door het ontbreken van informatie niet in staat is om de activiteiten en doelen van de activiteiten van de agent voldoende te achterhalen is de tweede veronderstelling. Dit zou voortkomen uit het feit dat de agent een

informatievoorsprong heeft doordat hij directer, dus dichter, op de materie zit. Zo weet het lijnmanagement (agent) bijvoorbeeld wel wat er in de organisatie gebeurt en heeft daarmee een informatievoorsprong op de directie (principaal).61

De accountant als opdrachtnemer wordt bij zijn wettelijke taak op het uitvoeren van de jaarrekeningcontrole geconfronteerd met meerdere partijen zoals opdrachtgever en gebruiker. Alle hebben uiteenlopende belangen. Financiële verantwoording moet worden afgelegd door het bestuur van een onderneming aan verschillende soorten gebruikers van de controle-uitkomst. Zij wil richting het maatschappelijk

toezichthoudend verkeer een zo vertrouwenwekkend mogelijk beeld laten zien. De auditor wil boven andere belangen steeds centraal het publiek belang van de wettelijke controle stellen.62

Geldverstrekkers zoals banken en investeerders, aandeelhouders en andere belanghebbenden of geïnteresseerden zijn externe gebruikers van de jaarrekening. Het maatschappelijk verkeer als gebruiker verwacht dat voldoende rekening wordt gehouden met haar belangen en verwacht deze uiting in de controle die de auditor uitvoert. Externe gebruikers van de jaarrekening verwachten een waarheidsgetrouw beeld. Het management zoals gezegd een zo goed mogelijk weergave over de prestaties van de onderneming.63

Economisch kan nut en noodzaak van de accountantscontrole worden verklaard door de agencytheorie. De theorie stelt dat er een zeker risico is voor het optreden van

60 Waterman en Meier, 1998, p.174 61 _{Limperg, 1960} 62 NBA, 2014 63 AICPA, 2015