1 CONTROLE OVER DE IT OMGEVING EN DE ROL VAN DE ACCOUNTANT

(1)

CONTROLE OVER DE IT OMGEVING EN DE ROL VAN DE ACCOUNTANT

Een verkenning naar de mogelijkheden om IT beheersing van kleine- en middelgrote organisaties in te zetten voor de jaarrekeningcontrole.

Door

Wybo van der Hoek

Thesis

Faculteit Economie en Bedrijfskunde Rijksuniversiteit Groningen,

als onderdeel van de

MASTER OF SCIENCE Accountancy and Controlling

Najaar 2013 - voorjaar 2014 Grijpskerk

Begeleider:

(2)

INHOUDSOPGAVE

SAMENVATTING ... 3

1. INTRODUCTIE ... 4

1.1 PROBLEEMSTELLING ... 5

1.2 OPBOUW VAN DE THESIS ... 6

2. CONTEXT ... 7

2.1 WET- EN REGELGEVING ... 7

2.2 FRAUDE ... 9

2.3 INFORMATIE ... 11

2.4 UITVAL VAN IT SYSTEMEN ... 11

2.5 INVESTERINGEN ... 12

3. THEORETISCH KADER ... 14

3.1 AGENCY THEORIE ... 14

3.2 VERWACHTINGSKLOOF ... 15

4. IT GOVERNANCE ... 17

4.1 COBIT ... 19

4.2 IT GOVERNANCE IN DE PRAKTIJK ... 20

4.3 CONTROLEMECHANISMEN ... 20

4.4 IT AUDIT ... 24

5. ONDERZOEKSVRAGEN ... 26

5.1 HOOFDVRAAG ... 26

5.2 DEELVRAGEN ... 26

6. RESULTATEN ... 29

6.1 BEHEERSING VAN DE IT SYSTEMEN ... 30

6.2 SLEUTELSPELERS BIJ IT BEHEERSING ... 32

6.3 RISICO’S RONDOM IT SYSTEMEN ... 34

6.4 AGENCY PROBLEMEN EN IT BEHEERSING ... 38

6.5 DE ACCOUNTANT EN IT BEHEERSING ... 39

6.6 BEHEERSING HEBBEN OVER DE IT OMGEVING ... 39

7. CONCLUSIE ... 41

7.1 DEELVRAGEN ... 41

7.2 HOOFDVRAAG ... 43

7.3 JAARREKENING ... 44

7.4 AANBEVELINGEN ... 45

7.5 SLOT EN ONDERZOEKSBEPERKINGEN ... 46

LITERATUURLIJST ... 48

BIJLAGEN ... 54

A. VERSLAG INTERVIEW 1 ... 54

B. VERSLAG INTERVIEW 2 ... 57

C: VERSLAG INTERVIEW 3 ... 60

(3)

SAMENVATTING

De thesis vormt een verkenning naar de IT beheersing van middelgrote organisaties in Nederland en de rol die IT beheersing kan spelen binnen de controle van de jaarrekening. IT beheersing is relevant vanwege onder andere de toenemende weten regelgeving, fraude op bijvoorbeeld het gebied van betalingsverkeer of hacking, groeiende aandacht voor informatieveiligheid, de continuïteit van IT systemen en investeringen die zijn gemoeid met IT. Vanuit de agency theorie, de leer van het verwerkte vertrouwen en de manier van werken van de accountant tijdens de controle van de jaarrekening, is er aanleiding te veronderstellen dat ook voor de accountant een rol is binnen de thematiek van IT beheersing. Middels interviews met betrokkenen bij de IT beheersing binnen een middelgrote dienstverlener, een HBO-instelling en een IT auditor van één van de vier grote accountantskantoren van Nederland, wordt in deze thesis geconcludeerd dat binnen middelgrote organisaties geen algemene opvatting over IT beheersing bestaat. Bedrijven onderkennen het belang van IT beheersing, maar vullen dit op dit moment op beperkte wijze in. Een gebrek aan kennis, bewustzijn en betrokkenheid bij de belangrijke sleutelspelers is hier mede debet aan. Ook het gebrek aan meetbaarheid van resultaten speelt een rol. Dat IT beheersing binnen organisaties in beperkte mate is ingevoerd, beperkt de mate waarin accountants kunnen steunen op IT systemen bij de controle op de jaarrekening. Organisaties verwachten echter wel van de accountant dat hij een proactieve rol speelt en de organisatie wijst op risico’s die worden geïdentificeerd. Deze thesis identificeert verbeteringen om IT beheersing effectiever binnen organisaties in te voeren. Voorbeelden hiervan zijn het introduceren van een parttime CIO en verregaande samenwerkingsverbanden met IT leveranciers, om tenminste gedeeltes van het probleem te ondervangen. Dit opent perspectieven voor verder onderzoek.

(4)

1. INTRODUCTIE

Informatietechnologie (IT) is diep doorgedrongen in de hedendaagse samenleving (Lee; z.j.). Sinds de introductie van IT is het een steeds prominentere rol gaan spelen binnen vrijwel alle bedrijven, verenigingen, stichtingen, overheden, non-profit instellingen en overige organisaties. De mogelijkheden die IT biedt, groeien met de dag en daarmee gaan de ontwikkelingen binnen dit vakgebied razendsnel. Een van de bekendste uitlatingen op dit gebied is gedaan door Gordon Moore. Hij voorspelde dat het aantal transistors die op een geïntegreerde schakeling kunnen worden gezet iedere twee jaar verdubbelt en de prijs halveert (Moore; 1965). Decennia later blijkt deze voorspelling uitgekomen en heeft deze ontwikkeling ervoor gezorgd dat zowel de rekenkracht exponentieel is toegenomen als dat de kosten drastisch zijn gedaald (Moore; 2002). Mede hierdoor zijn computers, servers en andere hardware compacter, sneller en goedkoper geworden. Dit heeft de mogelijkheden doen toenemen om IT systemen te ontwikkelen, te onderhouden en uit te rollen.

Inmiddels heeft het grootste gedeelte van de bevolking in de ontwikkelde landen een computer, laptop, mobiele telefoon, tablet of tegenwoordig zelfs een bril, waarmee hij of zij verbinding kan krijgen met de rest van de wereld. Ook een groeiend gedeelte van de bevolking van ontwikkelingslanden beschikt over deze mogelijkheden. Ongeacht de locatie is het mogelijk om met elkaar te bellen, berichten te versturen, e-mail te ontvangen, nieuwsberichten te lezen of zelfs muziek en televisie te streamen (International Telecommunication Union; 2013, Friedrich e.a.; 2007 en Deloitte; 2013).

Jaarlijks wordt voor zeker meer dan honderd miljard dollar in IT geïnvesteerd (Gartner, 2011), waarvan in 2013 voor ruim veertig miljard dollar aan cloud computing (Enisa; 2009). Deze investeringen maken een significant deel uit van de totale investeringen die door organisaties worden gedaan (OECD; 2013). Daarmee zijn er steeds minder organisaties te bedenken waarin IT geen enkele rol speelt (Harindranath e.a.; 2008). Tal van nieuwe bedrijven zijn de laatste jaren ontstaan die enkel online hun goederen verkopen, zonder fysieke verkooppunten of een fysieke vestiging. Grote bedrijven investeren in het automatiseren van belangrijke bedrijfsonderdelen, maar ook het traditionele Midden- en Kleinbedrijf (MKB) is volop actief met IT (Carcary e.a.; 2013, Heliview; 2012 en Kutlu en Özturan; 2008). Bakkers bestellen hun ingrediënten via het internet en ontvangen gelijk een bevestiging nadat de chauffeur van de bezorgbus op weg is gegaan naar de bakkerij, kappers stellen hun agenda open en laten klanten direct via het internet een afspraak maken en kledingzaken beginnen webshops als tegenwicht aan de online concurrentie. Het verwerken en betalen van facturen geschiedt op digitale wijze en ook rijschoolhouders doen hun boekhouding ‘in de cloud’ (Pezza; 2011 en Smits e.a.; 2011). Het mag dan ook duidelijk zijn dat in veel onderdelen van organisaties, IT systemen ondersteuning bieden of gehele organisatieonderdelen worden zelfs volledig geautomatiseerd.

(5)

1.1 PROBLEEMSTELLING

Met de verregaande intreding van IT binnen de samenleving, worden steeds meer financiële data en privacy gevoelige gegevens opgeslagen in de vele IT systemen. Veel van deze IT systemen kunnen daardoor relevant zijn of in de toekomst gaan worden voor de jaarrekening. Op geaggregeerd niveau zullen uiteindelijk alle financiële data, die voor een gedeelte door de verschillende systemen zijn gegaan, gepresenteerd worden in de jaarrekening. Dit maakt het een aandachtspunt voor de accountant bij zijn werkzaamheden voor de controle van de jaarrekening.

Aandachtspunten voor de accountant zijn de factuurverwerking, die in zijn geheel gedigitaliseerd kan worden. Alle akkoorden die verschillende functionarissen vervolgens dienen te geven, geschieden niet langer met een handtekening op fysiek papier, maar middels een digitale aftekening (Pezza; 2011). Ook de salarisadministratie is een punt van aandacht. Deze kan volledig worden opgeslagen in databases en wordt enkel door computers of andere elektronische apparaten inzichtelijk gemaakt. Het is eveneens optioneel om de salarisadministratie in zijn geheel uit te besteden, inclusief de IT (Ernst & Young; 2013).

Het manueel controleren van handelingen, die zich binnen IT systemen afspelen, kent haar beperkingen. Automatisch geprogrammeerde verbanden kunnen in IT systemen worden ingebouwd, waardoor het vanaf buiten lastig te beoordelen is wat er zich daadwerkelijk binnen een dergelijk systeem afspeelt. Hierdoor is een manuele controle tijdrovend en in sommige gevallen zelfs onmogelijk. Daar komt bij dat de opslag van gegevens, het aanpassen van algoritmes en geprogrammeerde verbanden, het benaderen van data en het aanpassen van de data zelf, ongezien en onopgemerkt plaats vindt. Er hoeft immers geen fysiek bewijs te worden weggegumd. Dit verhoogt logischerwijs de complexiteit van de controle. Een afwijking binnen het proces, bijvoorbeeld een fout in het programmeren, kan uiteindelijk zorgen voor een systeemfout. Dit heeft als gevolg dat op consequente wijze foutieve verwerking van informatie plaats vindt. Om deze reden is de accountant, voor bedrijven die rapporteren onder de Amerikaanse PCAOB, verplicht om IT systemen, die relevant zijn voor de financiële rapportage, op te nemen in de controlehandelingen (PCAOB, z.j.).

IT systemen zijn belangrijk voor de accountant bij de controle van de jaarrekening, omdat deze systemen financiële data kunnen bevatten. De accountant heeft eveneens een functie in het informeren van de stakeholders en het maatschappelijk verkeer. Een concreet voorbeeld hiervan is het zogenaamde “going concern” (International Federation of Accountants; 2009). De ISA 570 beschrijft dat de accountant een inschatting moet maken of mag aannemen dat er geen gevaar bestaat voor de continuïteit van de onderneming in de voorzienbare toekomst. Indien de accountant van mening is dat de continuïteit wel in gevaar is, dan dienen de waarderingsgrondslagen te worden aangepast.

(6)

Gezien het feit dat IT systemen cruciale rollen binnen de organisatie kunnen bezetten, kan beargumenteerd worden dat eventuele problemen die optreden met of binnen deze systemen grote gevolgen kunnen hebben voor de organisatie als geheel. Denk hierbij aan productieprocessen, aangestuurd door IT systemen, die compleet stil komen te liggen, privacy gevoelige klantgegevens die ongewenst openbaar worden met schadeclaims tot gevolg, online verkoopprocessen die niet meer plaats kunnen vinden of betalingen die niet verwerkt kunnen worden. In een geheel andere context, maar wellicht niet minder relevant, wordt ook steeds vaker cruciale infrastructuur gedigitaliseerd. Denk bijvoorbeeld aan bedrijfsbeveiliging door middel van digitale sloten, maar ook aan pijpleidingen of bedieningspanelen (Miller en Rowe; 2012). Allemaal zaken die direct van invloed kunnen zijn op de organisatie of een indirect gevolg hebben, middels de bedrijfsresultaten.

Het is van belang voor zowel organisaties zelf, maar ook voor externen die een rol van monitor op deze organisaties vervullen, om beheersing te hebben over de IT systemen die gebruikt worden. Hierbij gaat het om het identificeren van risico’s en bedreigingen rondom deze IT systemen, deze risico’s en bedreigingen analyseren en hierop inspelen, bijvoorbeeld als het gaat om de betrouwbaarheid van financiële rapportages of de continuïteit van de organisatie. Centraal in deze thesis staat dan ook de vraag wanneer organisaties zelf van mening zijn dat zij beheersing hebben over hun IT omgeving en de rol die de accountant daarbij speelt, zowel als controleur van de jaarrekening als het oordeel van de accountant over de IT omgeving.

1.2 OPBOUW VAN DE THESIS

Om op gestructureerde wijze antwoord te kunnen geven op de probleemstelling, is de thesis in een aantal deelfases opgebouwd. Ten eerste wordt een context geschetst van de problematiek die komt kijken bij het thema van deze thesis. In het derde hoofdstuk zal er aansluiting worden gezocht bij twee belangrijke theorieën die van belang zijn bij de rol van de accountant, te weten de agency theorie en de verwachtingskloof. Vervolgens wordt uiteengezet op welke wijze er mogelijk controle kan worden gehouden over IT systemen. Daarna zullen er op basis van de context, de mogelijke wijzen van beheersing van IT systemen en de aansluiting die is gezocht bij de theorie, concrete onderzoeksvragen worden geformuleerd en zal de methodologie worden uiteengezet. Hierna zullen de resultaten van het onderzoek worden gepresenteerd. De thesis besluit met een conclusie, een discussie gevoerd op basis van de gevonden resultaten en mogelijke oplossingen voor eventuele onvolkomenheden. Ook worden aandachtspunten voor vervolgonderzoek aangegeven.

(7)

2. CONTEXT

De ontwikkelingen op het gebied van IT hebben invloed op de manier waarop organisaties worden ingericht. Daarmee heeft het ook verband met de producten of diensten die deze organisaties aanbieden. In het kielzog van de IT ontwikkelingen verandert eveneens de manier waarop de samenleving zichzelf en haar visie op IT ontwikkelt. Hierdoor worden de verwachtingen en eisen die zowel de samenleving, de overheid en organisaties stellen aan IT systemen en de inrichting daarvan steeds veeleisender. Hiermee neemt ook de complexiteit toe.

In dit hoofdstuk zullen een aantal aandachtgebieden worden besproken die van invloed zijn op de wijze waarop organisaties omgaan met IT systemen. Ten eerste spelen weten regelgeving een belangrijke rol. Het belang is hierbij voornamelijk aanwezig bij grotere organisaties, in een aantal gevallen eveneens bij kleinere organisaties bijvoorbeeld in de rol die de accountant hierin heeft. Een tweede onderwerp is fraude, een thema wat steeds meer aandacht vereist zoals later in dit hoofdstuk zal blijken. Het derde onderwerp is informatie en de veiligheid daarvan. Als vierde thema wordt de continuïteit van IT systemen aangehaald. Tot besluit wordt gekeken naar de investeringen die IT systemen met zich meebrengen.

2.1 WET- EN REGELGEVING

Een illustratief voorbeeld van veranderende eisen en verwachtingen van de overheid zijn de ontwikkelingen die zich hebben afgespeeld, en nog steeds gaande zijn, op het gebied van regelgeving. Hierin is in de afgelopen twee decennia veel veranderd. Belangrijk hierbij waren enkele grote schandalen die zich hebben afgespeeld gedurende eind jaren ‘90 van de vorige eeuw. In de Verenigde Staten zijn ENRON (Li; 2010) en WorldCom (Lyke; 2002) bekende voorbeelden. Maar ook Europa ontkwam hier niet aan, denk bijvoorbeeld aan de boekhoudfraude bij AHOLD (Knapp en Knapp; 2007) of aan Parmalat in Italië (Singh; z.j., Strategic Competency in action; z.j.). Beleggers werden voor miljarden gedupeerd en ook binnen de samenleving waren de gevolgen niet verwaarloosbaar. Dit vormde de aanleiding om strengere regelgeving te bepleiten en uiteindelijk werd dit ook omgezet in nieuwe weten regelgeving.

Het meest in het oog springende voorbeeld van nieuwe weten regelgeving is de Sarbanes-Oxley act (SOX) uit 2002. Centraal in deze wet staan de onafhankelijkheid van de accountant, de aandacht voor corporate governance en internal control, de openbaarmaking van financiële gegevens en de toelichting daarop. Maar wellicht nog belangrijker is dat bestuurders op basis van de SOX expliciet verantwoordelijk worden gesteld voor één van deze onderdelen, namelijk het opbouwen, evalueren en monitoren van de effectiviteit van de interne beheersing (Smith en McKeen; 2006). Op dit gegeven wordt nader ingegaan. “Assessment of internal control” (section 404), onderdeel van de SOX, gaat over de interne

(8)

beheersing en kent enkele bepalingen die van belang kunnen zijn. In deze regelgeving wordt beschreven dat er mogelijk een beoordeling moet plaatsvinden om de risico’s in kaart te brengen, die binnen de algemene ICT beheersmaatregelen op kunnen treden (The Institute of Internal Auditors; 2008). Hiermee kunnen bestuurders dus expliciet verantwoordelijk worden gesteld voor het in kaart brengen van de risico’s die voortkomen uit de algemene ICT beheersmaatregelen. De controle over IT moet hiermee een belangrijk aandachtspunt worden binnen bestuurskamers. Uiteraard moet rekening gehouden met de scope van SOX, die enkel is beperkt tot bedrijven uit de Verenigde Staten met beursnoteringen of tot bedrijven van buiten de Verenigde Staten met een beursnotering aan een beurs in de Verenigde Staten.

Uit onderzoek blijkt dat er sinds de invoering van de SOX-wetgeving steeds meer aandacht is voor corporate governance. Zo is onder andere de kwaliteit van corporate governance verbeterd, waaronder de monitoring rol van het audit committee en de verplichtingen op het gebied van interne beheersing (Cohen e.a.; 2013). Hoewel de scope van SOX beperkt is, blijkt dat deze wetgeving wel degelijk verregaande invloed heeft op andere delen van de wereld. Zoals eerder aangegeven geldt de wetgeving ook voor bedrijven die een beursnotering hebben in de Verenigde Staten. Het is dan ook niet ondenkbaar dat bedrijven die om die reden aan de verregaande SOX-wetgeving moeten voldoen, hun notering zouden heroverwegen. Dit is in het verleden gebeurd, maar uit onderzoek van Marshall (2006) blijkt dat er nog altijd veel bedrijven zijn die hun notering hebben aangehouden. Zij zullen dan ook aan deze regelgeving moeten voldoen en daarmee de SOX-vereisten in de organisatie “meenemen”. Het is logisch te veronderstellen dat er sprake is van een zogenaamd “spill-over” effect. De SOX-regelgeving heeft hiermee indirect invloed op het gedrag van bedrijven in andere landen. Het naleven van deze wetgeving wil echter niet zeggen dat er sprake is van excellent gedrag op het gebied van corporate governance (Carver; 2005).

Ook in de regelgeving die Europa op een directe manier raakt, speelt de beheersing van IT systemen een belangrijke rol. Zo wordt er binnen het controleraamwerk voor banken Basel II expliciet aandacht besteed aan IT beheersmaatregelen rondom (financiële) data en rapportages (Wan; 2006). Het is dan ook te veronderstellen dat IT beheersing binnen financiële instellingen een belangrijk punt zal zijn.

Binnen de Nederlandse regelgeving, die van belang is voor accountants, is eveneens de nodige aandacht voor IT beheersing. Zo dient de accountant volgens de NV COS 315 inzicht te verkrijgen in het voor de financiële verslaglegging relevante informatiesysteem (Nederlandse Beroepsvereniging Accountants; 2012). Hierin wordt expliciet aangegeven dat de accountant inzicht moet krijgen in de wijze waarop de gecontroleerde entiteit heeft ingespeeld op risico’s die voortkomen uit IT systemen. Dit maakt IT systemen op zijn allerminst een aandachtspunt voor accountants. Gezien de ontwikkelingen op het gebied van IT zoals eerder uiteengezet, mag aanvullend logischerwijs verondersteld worden dat het belang zal gaan toenemen.

(9)

Zoals uit deze paragraaf blijkt, spelen weten regelgeving zowel internationaal als nationaal een belangrijke rol bij IT beheersing en de rol van de accountant daarin. Echter zijn er meer factoren de beheersing van IT relevant maken. Enkele punten worden in de vervolgparagrafen beschreven.

2.2 FRAUDE

Naast regelgeving zijn er meer factoren die van belang kunnen zijn bij de beheersing over IT systemen door organisaties. Eén die daarbij tot de verbeelding spreekt, is fraude. Hoewel dit ook een directe aanleiding was tot het eerder genoemde aanpassen van weten regelgeving, ging dat eerder om fraude met de boekhouding. IT systemen brengen nieuwe vormen van fraude met zich mee of meer bekendere vormen van fraude, die zich op een nieuwe manier profileren.

Een belangrijk kenmerk van IT systemen is dat data die erin zijn opgeslagen, niet tastbaar zijn. Dit maakt het voor buitenstanders, maar ook in niet ondenkbare gevallen zelfs voor insiders, minder eenvoudig om te volgen wat er zich binnen deze systemen afspeelt. Zonder adequate controle maatregelen biedt dit daardoor mogelijkheden voor kwaadwillende personen met voldoende kennis van de systemen. Eerder is uiteengezet dat de ontwikkeling van IT doorgaat en daarom mag worden verwacht dat systemen in omvang en complexiteit blijven toenemen. Personen met meer kennis dan anderen of specifieke inzichten in de werking van de IT systemen zijn daardoor relatief schaars. Deze personen zouden dit kunnen uitbuiten en er een oneigenlijk voordeel mee kunnen behalen. Zonder voldoende kennis van zaken door een objectief persoon, kan dit een verhoogd risico opleveren.

Diverse onderzoeken tonen aan dat data en informatie op grote schaal worden gestolen uit IT systemen van organisaties. Volgens Friedland (2008) werden er alleen al in januari 2008 een miljoen persoonlijke vermeldingen gestolen, waaronder telefoonnummers, e-mailadressen, sofinummers en financiële gegevens. In diezelfde maand zou het totaal van 220 miljoen gestolen persoonlijke vermeldingen worden gepasseerd. Extrapolerend naar vandaag zou het in het totaal gaan om vele honderden miljoenen gegevens.

In Nederland blijkt dat fraude met betalingen een belangrijk probleem is, zo stelt de Nederlandse Vereniging van Banken (NVB, 2012). Uit dit onderzoek blijkt dat het grootste gedeelte van fraude in het betalingsverkeer in 2011 plaats vindt bij het internet bankieren en middels het ongemerkt kopiëren van betaalkaarten door criminelen (skimming). Volgens het onderzoek van de NVB bedraagt het totale bedrag van deze twee posten samen vele tientallen miljoenen euro in Nederland.

Een andere ontwikkeling zijn digitale betaalmiddelen, waarvan Bitcoin een bekende is en als doel heeft een decentrale wereldwijde munteenheid te vormen (Decker en Wattenhofer; 2014). Cruciaal voor het succes van Bitcoin is de opkomst van wisselkantoren waar Bitcoins kunnen worden verhandeld.

(10)

Hierdoor is het mogelijk digitale munten om te zetten naar traditionele munten of visa versa. Wisselkantoren vormen echter ook gelijk een belangrijke zwakke schakel in het systeem, zo stellen deze onderzoekers. Het gehele systeem is gedecentraliseerd door het onder te brengen bij alle deelnemers van het systeem zelf. De wisselkantoren echter zijn gecentraliseerd en daarmee kwetsbaarder voor fraude en diefstal. Er zijn meerdere gevallen bekend van diefstal van Bitcoins, waarvan MtGox het bekendste is. Het bedrijf moest in februari 2014 het faillissement aanvragen, nadat ze bekend hadden gemaakt dat er ter waarde van 500 miljoen dollar aan Bitcoins waren kwijtgeraakt. Volgens MtGox was dit het gevolg van een fout in het Bitcoin-protocol en hadden hackers van deze fout geprofiteerd, Decker en Wattenhofer stellen echter dat er geen sprake kan zijn van een diefstal op een dergelijke schaal. Zij stellen dat het overgrote deel op een andere manier moet zijn verdwenen.

Uit onderzoek van Neustar (2013) blijkt dat DDOS aanvallen in aantal blijven toenemen en de impact steeds groter wordt. In dit onderzoek werden detailhandel en webshops, telecombedrijven en financiële instellingen en de overheid in meegenomen. DDOS aanvallen zijn een digitale aanvallen door kwaadwillende partijen met als doel het laten uitvallen van IT systemen (Radware; 2013). De resultaten van Neustar tonen aan dat bijna 40% van de onderzochte bedrijven aangaf slachtoffer te zijn van DDOS aanvallen en binnen de financiële instellingen bedroeg dit zelfs 44%, een flinke toename ten opzichte van een jaar eerder (+144% voor detailhandel en webshops; +38% voor financiële instellingen). De financiële gevolgen waren ook van belang. Alleen al aan gemiste omzet, gaf 74% aan dat een DDOS aanval hen tot tienduizend dollar per uur kost, terwijl 26% aangaf dat zij vijftigduizend tot honderdduizend dollar omzet per uur misliepen. Volgens de onderzoekers komen daar nog moeilijk meetbare kosten bovenop op het gebied van imagoschade, reputatie en het vertrouwen van klanten. Daarnaast zijn er nog kosten verbonden aan preventie van DDOS aanvallen, waaronder het beschikbaar maken van personeel. Neustar stelt dat 33% van de onderzochte bedrijven hiervoor zes of meer personeelsleden voor moeten vrijmaken, nog afgezien van technische investeringen.

Concrete voorbeelden als die van skimming en fraude met internet bankieren, MtGox en DDOS aanvallen doen vermoeden dat de schade door dit soort zaken niet gering is en daardoor rekening mee dient te worden gehouden. Het risico van fraude of diefstal mag op financieel gebied dan ook niet worden onderschat.

(11)

2.3 INFORMATIE

Niet alleen financiële informatie of digitale betaalmethoden kunnen een doelwit zijn van fraude en diefstal. Ook bedrijfsinformatie of staatsgeheimen kunnen een aantrekkelijk doel zijn met verregaande gevolgen voor organisaties. In het Verre Oosten is het kopiëren van productie niet ongebruikelijk. Samen met bedrijfsspionage kan dit eveneens een significant risico opleveren. Het zorgt voor het weglekken van potentiële omzet en voor het beschadigen van zorgvuldig opgebouwde reputatie in het geval consumenten denken een merkproduct te hebben gekocht, maar achteraf de kwaliteit tegen blijkt te vallen.

Het belang van aandacht voor bedrijfsspionage en intellectueel eigendom, blijkt uit het feit dat de schade wordt geschat wordt op vele miljarden dollar per jaar in de Verenigde Staten alleen al (Calia e.a., 2013). Dit is niet alleen gelimiteerd tot bedrijfsspionage en diefstal van intellectueel eigendom via digitale methoden, maar de digitale vormen nemen wel steeds meer toe. In het onderzoek van Calia wordt eveneens gesteld dat het aantal rechtszaken betreffende dit onderwerp is verdubbeld in de periode 1988 - 1995 en nog eens is verdubbeld in de periode 1995 - 2004. Daarnaast is de verwachting dat het aantal nogmaals zal verdubbelen tot aan 2017. Ook in andere landen en werelddelen, waaronder in Europa, is er aandacht voor bedrijfsspionage en intellectueel eigendom. Uit onderzoek blijkt dat een vijfde van de ondervraagden hiermee te maken heeft gehad en dat 40% aangeeft dat het risico is toegenomen in de laatste tien jaar (Calia e.a.; 2013).

Schandalen die de Verenigde Staten de afgelopen periode hebben gekend, bewijzen dat overheden eveneens kwetsbaar zijn. Wereldwijd heeft dit voor ophef gezorgd en vermoedelijk de reputatie van Amerika niet verbeterd. Bij deze schandalen werden grote hoeveelheden gevoelige informatie ontvreemd en openbaar gemaakt. Zo was er het schandaal rondom Bradley Manning bij het Amerikaanse ministerie van Defensie, die informatie via Wikileaks openbaar maakte (Fenster; 2012). Een andere bekende affaire was het openbaar maken van de werkwijzen en informatie van de National Security Agency (NSA) door Edward Snowden (Van Cleave; 2013).

De voorgaande informatie bewijst de relevantie van het adequaat beveiligen van informatie. Bovenstaande voorbeelden tonen aan dat het niet alleen om reputatieschade kan gaan, maar ook nog eens andere vormen van schade kan opleveren.

2.4 UITVAL VAN IT SYSTEMEN

Met het invoeren van meer IT systemen en het steeds verder integreren van IT in de wijze waarop organisaties werken, neemt ook de afhankelijkheid van deze systemen toe. De problemen die kunnen ontstaan bij de uitval van deze systemen kunnen aanzienlijk zijn. Ook het verlies van data, denk bijvoorbeeld aan verkooporders, kan directe invloed hebben op de resultaten van een onderneming.

(12)

Indien het kassasysteem niet werkt. kunnen verkopen sterk worden belemmerd. Wanneer de productieafdeling niet in staat inzicht te verkrijgen in de planning en het materiaal, zal dit de productie mogelijkheden beperken. Dit zijn slechts enkele voorbeelden van gebeurtenissen die voor ondernemingen tot omzetverlies of tot extra kosten kunnen leiden. Het uitvallen of niet beschikbaar zijn van IT systemen kunnen eveneens reputatieschade tot gevolg hebben. Vandaar dat back-ups en uitwijkmogelijkheden van groot belang zijn bij het waarborgen van de continuïteit van organisaties.

Uit onderzoek (CA; 2011) blijkt dat de IT systemen van Europese organisaties, met meer dan vijftig medewerkers, gezamenlijk 950.000 uur onbedoeld niet hebben gewerkt. Hierdoor verliezen zij in totaal 37 miljoen manuren per jaar door uitval van IT systemen en het herstellen van data. Dit betekent dat een gemiddeld bedrijf meer dan 550 manuren verliest per jaar, zo onderschrijft het onderzoek. Gedurende de periode dat IT systemen niet werken, verliezen de medewerkers van bedrijven die dit overkomt 37% van hun productiviteit. Naast de 950.000 uren die IT systemen jaarlijks niet werken, kost het nog eens ruim 625.000 uur om data te herstellen. Gedurende de periode dat data hersteld wordt, verliezen medewerkers 31% aan productiviteit. Ditzelfde onderzoek heeft berekend dat binnen Nederland in het totaal een kleine 700.000 manuren verloren gaat door de uitval van IT systemen, dit resulteert in een gemiddelde van 585 uur per organisatie.

Een opvallende uitkomst uit het onderzoek van CA is dat de onderzoekers stellen dat organisaties in de financiële sector zwaar leunen op IT systemen, maar dat deze sector relatief weinig wordt getroffen door de uitval van IT systemen. De onderzoekers stellen ondermeer dat de druk vanuit weten regelgeving en vanuit de branche zelf heeft geleid tot meer maatregelen om de beschikbaarheid van IT systemen te waarborgen.

2.5 INVESTERINGEN

IT projecten kunnen zeer omvangrijk worden. Zo zien organisaties het overschrijven van het budget en het niet halen van deadlines als een belangrijk risico, bijvoorbeeld bij de integratie van EPR systemen (Laukkanen; 2005). Daarnaast evalueren IT systemen steeds verder en worden ze complexer, iets wat gevolgen heeft voor de middelen die ervoor ter beschikking worden gesteld. Zo wordt er in Nederland voor meer dan 30 miljard geïnvesteerd in ICT (Nederland ICT; 2014). Ook beschikken organisaties over Enterprise Resource Planning (ERP) pakketten, waar bij omvangrijke delen maatwerk komen kijken. Dit maatwerk is een bron van risico’s voor het mislukken van de implementatie van IT projecten (Davis; 2005).

Onderzocht is dat IT systemen waardevol zijn, maar dat de omvang en de dimensies van deze waarde afhangen van interne en externe factoren. Een onderzoek van Melville (2004) geeft aan dat de mogelijke voordelen uiteenliepen van toegenomen flexibiliteit en verbeteringen in kwaliteit tot een

(13)

reductie van kosten en verbeteringen in de productiviteit van medewerkers. Bij het creëren van waarde zijn onder andere de ontwikkelingen, die zich bij concurrenten voordoen, van belang en het macro-economisch klimaat (Melville e.a.; 2004).

Specifiek onderzoek naar producenten en de detailhandel gaf als resultaat dat IT systemen kunnen zorgen voor lagere logistieke kosten. Lagere logistieke kosten zijn het gevolg van het versterken van de relatie tussen product en de detaillist. Dit leidt mogelijk tot een verlaging van de kosten die gemoeid zijn met het bestellen van de goederen en levert een voordeel op voor zowel leveranciers als kopers (Woo e.a.; 2000). Aangenomen mag worden dat deze versterkte relatie tussen beide zakenpartners kan leiden tot het verbeterd voldoen aan elkaars wensen en verdere vervlechting van de leveringsketen.

Ook het onderzoek van Mithas (2012) toont aan dat in de periode van 1998 tot 2003 IT systemen een positieve impact hebben gehad op de winstgevendheid van bedrijven. Deze onderzoekers concludeerden eveneens dat het effect van investeringen in IT op verkopen en op de uiteindelijke winstgevendheid groter is, dan dat van andere investeringen zoals marketing, onderzoek en ontwikkeling. In tegenstelling tot het onderzoek van Melville, concluderen Mithas en de andere onderzoekers dat er in hun onderzoek geen bewijs is gevonden dat IT investeringen de winstgevendheid verhogen door kostenreducties.

Hoewel uit de twee onderzoeken die hierboven worden aangehaald, blijkt dat IT investeringen de winstgevendheid kunnen verhogen, wil dit niet zeggen dat iedere investering die in IT wordt gedaan doelmatig wordt gebruikt. Voor organisaties is het logischerwijs belangrijk om beheersing te hebben over de kosten die IT systemen met zich meebrengen, om te weten of de investeringen die zij hebben gedaan ook van toegevoegde waarde blijken te zijn.

In dit hoofdstuk zijn vijf thema’s behandeld gericht op de manier waarop organisaties met IT omgaan en de wijze waarop risico’s die deze organisaties ondervinden, worden beheerst. In het volgende hoofdstuk zal aandacht worden besteed aan de wijze waarop dit kan gebeuren.

(14)

3. THEORETISCH KADER

In de vorige passage zijn een aantal aandachtsgebieden uitgelicht die van invloed zijn op de wijze waarop organisaties omgaan met IT systemen. In navolging van deze thema´s wordt in dit hoofdstuk aandacht besteedt aan twee theorieën die aan de basis staan van het accountantsberoep en relevant zijn voor de beheersing van IT systemen.

3.1 AGENCY THEORIE

De kern van het bestaansrecht van de accountant is ontstaan, nadat in de loop der tijd het eigendom van een onderneming werd gescheiden van de dagelijkse leiding (Majoor en Van Krollenburg; 2011a). Hiermee zal een controle moeten plaats vinden of de dagelijkse leiding in het belang van de eigenaar handelt. Deze scheiding is ontstaan om investeringen te kunnen financieren in vaste activa, die nodig waren om schaalvoordelen te bereiken. De investeringen werden gefinancierd middels de uitgifte van aandelen en obligaties. Hiermee werden de eigenaren van de onderneming, en daarmee de meest prominente stakeholder met aanspraak op de voordelen die voortvloeien uit deze onderneming, niet langer direct verbonden aan de dagelijkse gang van zaken. Zo ontstonden ook verschillen in het belang tussen het management dat dagelijks dichtbij de onderneming betrokken is, en de verschaffers van kapitaal, die op een grotere afstand staan. Hieruit is de theorie ontstaan die zich bezig houdt met het verschil in belangen tussen deze twee groepen. Dit wordt het agency probleem genoemd, ook wel principaal-agent probleem (Eisenhardt; 1989). De kern van het vraagstuk is op welke wijze de agent, in dit geval het dagelijkse management van de onderneming, is te motiveren om in het belang van de principaal, in dit geval de verschaffers van kapitaal, te handelen. Het beschreven probleem ontstaat wanneer het belang van de agent verschilt van het belang van de principaal en er sprake is van informatie asymmetrie in het voordeel van de agent. Hierdoor is het voor de principaal lastig te controleren of de agent zijn werkzaamheden correct, dan wel in het belang van de principaal, uitvoert. Dit biedt voor de agent de mogelijkheid om in zijn of haar eigen belang te handelen door acties te ondernemen of besluiten te nemen, die niet in lijn zijn met het belang van de principaal of zelfs tegenstrijdig daaraan zijn. Hierbij kan worden gedacht aan korte termijnbeslissingen om bonussen te verhogen of om dienstverbanden veilig te stellen, maar op lange termijn onvoldoende waarde opleveren voor de onderneming en daarmee voor de principaal zelfs waarde vernietigend kunnen zijn. Deze informatie asymmetrie tussen de agent en de principaal kan leiden tot moral hazard, een situatie waarin de agent feitelijk geen (direct) risico loopt voor zijn of haar acties of beslissingen, maar wel van de (potentiële) voordelen kan genieten.

Het probleem van een kloof, dan wel een slechte schakeling van informatie, waardoor informatie asymmetrie kan ontstaan, en de risico’s die daaruit voortkomen, kunnen zich op allerlei vlakken presenteren. Enkele voorbeelden van een situatie met een agent-principaal verhouding kunnen optreden

(15)

tussen een werkgever en werknemer, het management van een onderneming en de aandeelhouders, maar ook de onderneming zelf en de kredietverschaffers. Uit de corporate finance-literatuur kan worden opgemaakt dat er wellicht een relevante rol voor de accountant kan zijn weggelegd op dit gebied. Volgens Tirole (2006) kunnen geloofwaardige signalen de agency kosten (de kosten die voortvloeien uit het agency probleem) verlagen, het te verdelen inkomen verhogen en daarbij bijdragen aan de mogelijkheden tot financiering van organisaties. Dit impliceert dat een onafhankelijke derde zou kunnen zorgen voor het bijdragen aan de geloofwaardigheid van dergelijke signalen en daarmee de agency kosten reduceren.

Onderzoek van Watts en Zimmerman (1983) ondersteunt de gedachte dat onafhankelijke derden indruk kunnen uitoefenen. Zij concluderen dat externe audits de agency kosten verlagen. Deze externe audits dienen wel te worden uitgevoerd door personen die onafhankelijk zijn. Watts en Zimmerman tonen in hun artikel aan dat audits al eeuwen eerder zijn ontstaan, dan dat deze bij wet werden voorgeschreven. De oorzaak van het ontstaan van audits moet dus niet primair gezocht worden bij het ontstaan van weten regelgeving op dit gebied. De onderzoekers stellen dat audits blijkbaar een efficiënte manier zijn om contracten te monitoren, die bestaan tussen het dagelijkse management van een organisatie en de verschaffers van kapitaal. De manier waarop deze audits worden uitgevoerd, veranderde echter door de jaren heen. Deze ontwikkeling ging samen met de veranderingen die organisaties doormaakten. Volgens Watts en Zimmerman was de toenemende complexiteit in de tweede helft van de 18de eeuw een belangrijke reden voor het toenemen van audits. Daarnaast zorgden meer audits voor schaalvoordelen en daarmee voor lagere kosten om audits uit te voeren.

De veranderingen die bedrijven op het gebied van IT hebben doorgemaakt, lijken significant. Als de theorie van Watts en Zimmerman klopt, dan zullen accountants moeten mee veranderen om relevant te blijven. Daarnaast kan worden beargumenteerd dat door de veranderingen die bedrijven hebben doorgemaakt, onder andere op het gebied van IT, het voor buitenstaanders lastiger is geworden om controle te houden over de investeringen die zij hebben gedaan in deze organisaties. Volgens de agency theorie brengt dit kosten met zich mee, die mogelijkerwijs kunnen worden verlaagd door een effectief IT governance. Hierbij kan de accountant als hulp dienen door de signalen die de organisatie op dit gebied wil communiceren met de principaal te controleren en daarmee geloofwaardiger te maken. Dit zou kunnen helpen om de agency kosten te verlagen.

3.2 VERWACHTINGSKLOOF

In de vorige passage is aangegeven dat geloofwaardige signalen van significant belang zijn. Als de accountant waarde wil toevoegen aan de organisatie en haar kapitaalverschaffers, dan moet de accountant geloofwaardigheid toevoegen. Dit kan alleen als het vertrouwen aanwezig is. Dit is dan ook

(16)

het belangrijkste bezit van een accountant, evenals zijn of haar deskundigheid. Zonder dit vertrouwen heeft oordeel wat hij of zij geeft, niet veel waarde. Zoals eerder uiteengezet kan de accountant een belangrijke rol spelen bij het monitoren van het management. De accountant kan wellicht zelfs onderdelen van een organisatie monitoren, in opdracht van het management. Opnieuw is het vertrouwen hierbij een zwaarwegende factor. Het monitoren van onderdelen van een organisatie door de accountant kan nuttig zijn, indien het management zelf over onvoldoende kennis beschikt of niet de juiste techniek in huis heeft om bepaalde specialistische onderdelen van een bedrijf te monitoren.

Volgens Limberg (1932) zijn er twee situaties denkbaar waardoor het gestelde vertrouwen in de accountant en de wijze van vervulling van deze functie van de accountant elkaar niet dekken. Ten eerste kan er sprake zijn van overdreven veel vertrouwen. Er kan eveneens sprake zijn van een tekortkoming van de functie zelf. In het eerste geval ligt de oorzaak bij de maatschappij, in het tweede geval bij de accountant. Limberg stelt dat het ontstaan van een kloof tussen het gewekte vertrouwen en de vervulling van de functie door de accountant, een gevaarlijke ontwikkeling is. Dit heeft de potentie om het bestaansrecht van de accountant te ondermijnen en zelfs uiteindelijk in zijn geheel te niet te doen. Daarom is de accountant verplicht om zijn arbeid zo te verrichten dat hij de verwachtingen, welke hij of zij bij een verstandige buitenstaander heeft opgewekt, niet beschaamd. Daarnaast moet de accountant geen grotere verwachtingen scheppen dan zijn arbeid rechtvaardigt. Het is volgens Limberg dan ook niet zo dat de verwachtingen gelijk blijven. Deze verwachtingen veranderen met de maatschappij mee en daarmee dient de functie van de accountant en de werkzaamheden die hij verricht mee te veranderen. Dit sluit aan bij de conclusies die Watts en Zimmerman hebben getrokken in hun artikel.

De theorieën van Watts en Zimmerman en Limberg die verbintenis hebben, zijn onderdeel van de kern van het beroep van de accountant. Het is relevant om te verkennen of de veranderingen die IT binnen organisaties teweeg heeft gebracht, de verwachtingen van organisaties en belanghebbenden hebben beïnvloed. Ook is het van betekenis om te kijken of de accountant zichzelf heeft aangepast of dat dit wellicht nog moet gebeuren.

(17)

4. IT GOVERNANCE

Zoals in de vorige hoofdstukken is uiteengezet, zijn er verschillende aandachtsgebieden waar organisaties rekening mee moeten houden als het over IT systemen gaat. Noem voorbeelden als weten regelgeving, fraude en continuïteit. Voor de controle over organisaties als geheel is er in de afgelopen jaren, in het bijzonder na invoering van de SOX wetgeving, extra nadruk komen te liggen op corporate governance. Binnen de wetenschap is hier eveneens veel aandacht aan gegeven en onderzoek naar gedaan.

Hoewel er binnen onderzoeken veel aandacht is geweest voor corporate governance, is er minder uitgebreid onderzoek gedaan naar IT systemen, ondanks het feit dat er in de SOX-regelgeving wel degelijk aan wordt gerefereerd. Het is dan ook niet verwonderlijk dat Weill en Ross (2004) in hun onderzoek concluderen dat er geen eenzijdige formule is voor IT governance. Wel stellen zij dat effectief IT governance geen toeval is. De best presterende organisaties op dit gebied ontwerpen hun IT governance zorgvuldig. De beslissingen die managers nemen, in alle lagen en onderdelen van de organisatie, brengen vertalen dit zorgvuldig ontworpen proces naar de praktijksituatie tijdens de werkzaamheden die zij dagelijks doen. De conclusie van Weill en Ross dat er geen eenzijdige formule is, is niet een verrassende. Uit onderzoek, beschreven in een eerdere passage, bleek namelijk al dat de voordelen die IT systemen kunnen opleveren, afhankelijk zijn van verschillende factoren.

Een eenduidige definitie van IT governance is lastig te geven. Belangrijk is dat het een brug dient te slaan tussen de IT systemen en de doelstellingen van de organisatie. Dit sluit ook aan bij de doelstelling die COSO (2004) hanteert voor Enterprise Risk Management. Hierin wordt nadrukkelijk aansluiting gezocht tussen het identificeren, meten en reageren op risico’s gerelateerd aan het behalen van de doelstellingen van de organisatie.

Eerder in deze thesis is aangegeven dat IT governance kan worden gezien als een verlengde van corporate governance. Zeker gezien het feit dat IT als onderdeel wordt genoemd van het grotere interne beheersingsvraagstuk, zoals door SOX geformuleerd. Het hanteren van een definitie waarbij gezocht wordt naar aansluiting op het eerder genoemde ERM, wat onder andere wordt gebruikt als hulpmiddel voor de interne beheersing, is logisch. Het IT Governance Institute (2003) definieert IT governance dan ook als volgt: “IT governance is the responsibility of the board of directors and executive management. It is an integral part of enterprise governance and consists of leadership and organisational structures and processes that ensure that the organisation’s IT sustains and extends the organisation’s strategies and objectives”. Hiermee geeft het IT Governance Institute aan dat IT beheersing de verantwoordelijkheid is van managers en bestuurders, het een integraal onderdeel uit dient te maken van corporate governance en

(18)

het bestaat uit leiding, organisatiestructuren en processen die zorgen dat er een aansluiting is met de strategie en de doelen va de organisatie.

De Beroepsorganisatie van IT auditors (NOREA) ziet IT governance als het besturen, beheersen, uitvoeren, verantwoording afleggen over en toezicht op de informatievoorziening binnen een organisatie (NOREA; 2004). De Australische standaard AS 8015-2005 (Standards Australia; 2005) definieert IT governance als: “The system by which the current and future use of ICT is directed and controlled. It involves evaluating and directing the plans for the use of ICT to support the organisation and monitoring this use to achieve plans. It includes the strategy and policies for using ICT within an organisation”. Volgens deze Austrialische definitie omvat IT beheersing een systeem waarbij het huidige en het toekomstige gebruik van ICT wordt gestuurd en beheerst. Het omvat het evalueren en aansturen van plannen omtrent ICT om organisatie doelstellingen te behalen en het behalen van deze doelstellingen te monitoren. Het bevat de strategie en het beleid voor het gebruiken van ICT in een organisatie.

Binnen ISO 38500 (ISO/IEC; 2008) worden zes principes aangehaald voor een goede beheersing van IT systemen. Deze principes zijn volgens deze standaard van toepassing op veel organisaties. Ten eerste gaat het om de verantwoordelijkheid van groepen en individuen op het terrein van IT. Ook wordt genoemd dat IT onderdeel moet zijn van de strategie. Op de derde plaats moeten alle investeringen in IT worden gedaan op basis van een business case. Het vierde uitgangspunt is dat IT moet bijdragen aan de prestatie van de organisatie en daarbij moet ondersteunen. Als vijfde wordt genoemd dat IT moet bijdragen aan het voldoen aan weten regelgeving. Dit geldt ook voor het IT systeem zelf. Het laatste principe is dat IT systemen voldoende moeten aansluiten op de behoeften van mensen.

Uit de definities van ISO 38500 mag worden afgeleid dat IT governance een verantwoordelijkheid is van veel functionarissen binnen organisaties en zeker ook van het management. Zij dienen aandacht te hebben voor IT systemen en richting te geven aan de manier waarop IT systemen in de toekomst een rol gaan spelen binnen de organisatie. Dit wil zeggen dat aandacht voor IT en IT beheersing niet een activiteit is die af en toe uitgevoerd kan worden, maar dat het een serieuze aanpak vereist. Kortom, IT dient deel uit te maken van de strategie. Dit alles heeft als doel om IT in staat te stellen de organisatie te volgen, de organisatie tot dienst dient te staan en helpen de doelen te behalen. Daarnaast is IT governance een integraal onderdeel van de governance van een bedrijf en het mag dan ook worden verwacht dat IT tenminste een plaats heeft in de corporate governance van organisaties. Dit moet er onder andere voor zorgen dat er verantwoordelijkheid wordt genomen op het terrein van IT beheersing, maar ook om te voldoen aan weten regelgeving.

(19)

4.1 COBIT

Om het invoeren van een effectief IT governance gemakkelijker te laten verlopen en het vervolgens te consolideren op een adequaat niveau, zijn diverse raamwerken ontwikkeld. Een bekend raamwerk is COBIT (2012). Het COBIT raamwerk wordt niet alleen gebruikt tijdens de implementatie, maar ook voor het daadwerkelijk managen van IT. Het is niet alleen bedoeld voor commerciële bedrijven, maar kan ook gebruikt worden voor allerlei andere organisaties. Een belangrijk onderdeel van COBIT is het referentiemodel dat erin uiteen wordt gezet. Daarin worden verschillende generieke processen uitgelicht die bij organisaties zouden kunnen voorkomen.

COBIT geeft een uitgebreid raamwerk voor het implementeren van beheersing op IT gebied in bedrijfsprocessen. Dit kan helpen om waarde te creëren voor organisaties en bedrijfsprocessen efficiënter laten verlopen. Het stelt onder andere dat de beheersing van IT door de gehele organisatie heen dient te worden ingebed. Om deze beheersing en financiële voordelen te behalen is een algehele aanpak noodzakelijk.

COBIT is gebaseerd op vijf principes om effectieve IT beheersing te bereiken (COBIT; 2012). Het eerste principe richt zich op het voldoen aan de behoefte van aandeelhouders. Dit geschiedt door het aanbrengen van een balans, of het bewaken daarvan indien de balans al is aangebracht, tussen de realisatie van opbrengsten, het optimaliseren van risico’s en het gebruik van middelen. Kortom, inspanningen die worden gedaan om IT systemen op te bouwen en te onderhouden, moeten wel renderen. Er moet waarde worden geleverd. Ten tweede dient IT governance de gehele organisatie mee te nemen in het proces. De nadruk dient niet alleen te liggen op de IT functies binnen een organisatie, maar ook andere onderdelen dienen te worden meegenomen. Op deze manier kunnen IT systemen binnen de gehele organisatie worden geaccepteerd en neemt de betrokkenheid toe. Als derde principe wordt gewezen op het feit dat COBIT een enkelvoudig raamwerk betreft dat alle deelprocessen overstijgt. Deels wordt het ook door andere standaarden en raamwerken gedekt. Dit haakt in op het vorige principe, namelijk dat het door de gehele organisatie heen moet worden gedragen. Principe vier stelt een allesomvattende aanpak. Een effectieve IT beheersing heeft invloed op beleid, processen, organisatiestructuren, cultuur, infrastructuur en applicaties, informatie en op mensen. Ook dit haakt weer in op het uitgangspunt dat IT governance algemeen geaccepteerd zou moeten zijn en een serieuze focus nodig heeft. Het vijfde en laatste principe maakt een onderscheid tussen governance en management. Dit dienen twee gescheiden functies te zijn tussen twee teams die speciaal zijn toegewijd aan hun taak. Wel dienen deze twee functies elkaar te ondersteunen. Governance bepaalt de uitkomst. Het management voert beleid, ontwikkelt technologie en implementeert processen om deze gewenste uitkomsten te behalen. Vervolgens bepaalt governance of deze uitkomsten daadwerkelijk zijn bereikt en verzorgt feedback voor noodzakelijke veranderingen.

(20)

IT governance is niet een simpele functie is die door de IT afdeling snel kan worden opgepakt. Het is een manier van denken en werken. Het invoeren en uitvoeren van een effectief IT governance vraagt investeringen in de vorm van tijd, geld en aandacht van het hoogste managementteam. Hierdoor kan het weerstand oproepen bij zowel werknemers, managers en andere personen die bij de uitvoering betrokken zijn. Zij zullen moeten gaan werken op een manier die zij nog niet gewend zijn en verantwoordelijkheden krijgen voor zaken, waar zij waarschijnlijk geen of nog onvoldoende achtergrondkennis van hebben.

4.2 IT GOVERNANCE IN DE PRAKTIJK

IT governance brengen investeringen in tijd en geld met zich mee. Uit onderzoek van Weill en Ross (2004) blijkt echter dat een effectieve IT governance kan uitbetalen. Bedrijven met een effectief IT governance beleid behalen 20% hogere winsten dan andere bedrijven die over een minder effectief IT governance beschikken. In het onderzoek zijn bedrijven onderzocht die dezelfde strategie navolgen (Weill en Ross; 2004). Een paar verklarende variabelen die worden aangedragen, zijn dat IT governance zorgt voor verantwoordelijkheid van IT gerelateerde resultaten. Het brengt dus een vorm van financiële verantwoordelijkheid met zich mee als het gaat om IT systemen. Daarnaast helpt het organisaties om investeringen in IT te stroomlijnen met de bedrijfsprioriteiten. Hierdoor worden investeringen beter afgewogen en kan er verbeterd controle worden gehouden over deze investeringen. Uit hetzelfde onderzoek van Weill en Ross blijkt echter ook dat IT governance voor beleidsbepalers bij veel bedrijven nog een onbekend fenomeen is. Slechts 38% van de senior managers in een bedrijf blijkt te weten hoe IT moet worden bestuurd.

Zowel vanuit het oogpunt van weten regelgeving, als vanuit een bedrijfseconomisch perspectief is IT governance van belang. De vraag blijft echter wat de IT governance in de praktijk precies inhoudt en hoe effectief IT governance in de praktijk kan worden vormgegeven. Vanuit de theorie in de accounting kan hierbij mogelijkerwijs aansluiting worden gevonden. Dit wordt in een volgende passage uit de doeken gedaan.

4.3 CONTROLEMECHANISMEN

In een systeemgerichte controle die een accountant uitvoert, bestaat een effectieve beheersmaatregel uit drie fasen (Blokdijk, 2001). Dit is ook de verwachte manier van werken bij het controleren van IT systemen. De veronderstelling is dat de systematiek die geprogrammeerd is in een systeem altijd zal werken, mits de programmering niet is aangepast.

De eerste fase van een controle is het ontwerpen en beschrijven van een beheersingsmaatregel. In deze omschrijving moet zijn aangegeven welke functionaris verantwoordelijk is voor de uitvoering van

(21)

welke actie, waar dit dient te gebeuren en waar de resultaten moeten worden opgeslagen. Dit zorgt ervoor dat, in theorie, alle acties waar de specifieke functionaris verantwoordelijk voor is, kunnen worden herleid en beoordeeld door een onafhankelijke buitenstaander. Nadat de beheersingsmaatregel adequaat is ontworpen en beschreven, dient deze daadwerkelijk in de praktijk te worden geïmplementeerd. De onafhankelijke buitenstaander kan dit controleren en vervolgens concluderen dat de beheersmaatregel voor dat ene betreffende moment in de tijd heeft gewerkt. Wil een organisatie met zekerheid kunnen zeggen dat ze over een langere tijd beheersing heeft gehad over het IT proces, dan dient de ontworpen, beschreven en geïmplementeerde beheersmaatregel over de gehele periode, waarover een oordeel gewenst is, daadwerkelijk te hebben gewerkt. Een onafhankelijke derde kan dit oordeel vellen door een steekproef over de gehele periode te nemen of verschillende keren over de periode een controle uit te voeren.

Voor een effectieve en efficiënte controle zijn verschillende functionarissen noodzakelijk. Zowel het management, de externe accountant en de interne accountant hebben daarin een belangrijke rol. Ook hun onderlinge relatie is van belang.

Het management speelt een cruciale rol bij de controle over een organisatie. Uiteindelijk is het management eindverantwoordelijk voor alle acties die namens de organisatie worden uitgevoerd. Daardoor zal het management ook aan de top staan van de controleketen die binnen een organisatie is ingericht. De verantwoordelijkheden van het management bestaan vooral uit het behouden van het overzicht over alle beheersmaatregelen, de bekrachtiging van het belang en bestaan van deze beheersmaatregelen en het dient ethisch leiderschap te tonen. Zonder een effectieve interne beheersing heeft het management weinig zekerheid dat de processen volgens plan verlopen, de doelstellingen die het management heeft gesteld behaald kunnen worden en de strategie gevolgd wordt. Goed ontworpen, geïmplementeerde en werkende interne controlemechanismen verlagen de kans dat significante fouten of fraude ontstaan en onopgemerkt blijven. Het orgaan, dat is aangesteld om toezicht te houden, op het management vertrouwt erop dat het management deze taken uitvoert. De juiste procedures moeten worden ontwikkeld en gehandhaafd om diensten en producten effectief en efficiënt aan te bieden aan de klanten. Daarnaast moeten bedrijfseigendommen worden veiliggesteld. Zoals het toezichthoudende orgaan vertrouwt op het topmanagement, vertrouwt het topmanagement op het middelmanagement en afdelingshoofden om controlemaatregelen voor te stellen en te implementeren. Het implementeren van maatregelen heeft als doel om risico’s in te dekken en te mitigeren op lagere niveaus binnen de organisatie (DiNapoli, 2010).

Binnen het COSO-raamwerk (COSO; 2004) wordt aandacht besteed aan twee soorten checkmomenten, door COSO beschreven als “controls”. Naast de “hard controls” zoals functiescheiding, wordt expliciet aandacht besteed aan “soft controls” zoals de competenties en professionaliteit van

(22)

medewerkers. Hierbij speelt de rol van het management een belangrijke rol. Deze zogenaamde “tone at the top” dient als voorbeeld voor de rest van de organisatie. Indien het management zich niet ethisch gedraagt en niet het goede voorbeeld geeft, is het aannemelijk dat de onderliggende functies zich minder zullen bekommeren om het navolgen van procedures en werkinstructies om processen effectief, efficiënt en op een correcte manier te laten verlopen. Met alle gevolgen van dien.

Sinds eeuwen vervullen accountants een functie in het economische verkeer (Watts en Zimmerman; 1983). Zij dragen zorg voor de controle op de jaarrekening en de controle op het management in opdracht van de eigenaren en andere financiers van de organisatie en in het belang van het maatschappelijk verkeer. De belangrijkste focus van de accountant ligt op de financiële gegevens die het management rapporteert.

In de loop der jaren zijn de organisaties waar de accountant zijn controle uitvoert drastisch veranderd. De omvang van organisaties is toegenomen en de complexiteit is groter geworden. Dit komt door veranderingen op het gebied van regelgeving, door de globalisering, maar ook door wijzigingen van bedrijfsprocessen. Organisaties kennen een toenemende mate van diversificatie, maar ook financieringsconstructies en IT systemen hebben organisaties veranderd. Dit zorgt voor druk bij accountants om bij te blijven in kennis en kunde.

Om een waardevol oordeel te kunnen geven, verdeelt de externe accountant zijn inspanningen over het jaar heen. Tijdens het boekjaar wordt de zogenaamde “interim controle” verricht. Tijdens deze controle ligt een sterke focus op de interne procedures, processen en acties die zijn opgezet om beheersing te hebben over bepaalde bedrijfsprocessen en om deze bedrijfsprocessen op een correcte en efficiënte manier uit te voeren (Majoor en Van Kollenburg; 2011b). In voorgaande hoofdstukken van deze thesis is geconcludeerd dat in toenemende mate deze processen zijn geautomatiseerd en dat deze geautomatiseerde omgevingen veel financiële gegevens herbergen. Wil de accountant kunnen steunen op deze IT systemen, dan zullen ook deze aan een controle onderworpen moeten worden. Het uitvoeren van een IT audit is hiertoe een mogelijkheid. Een IT audit zal over het algemeen plaats vinden ten tijde van de interim controle. Immers, zal er op basis van deze werkzaamheden een beslissing moeten worden genomen in welke mate er op de IT systemen gesteund kan worden voor de controle van de jaarrekening. Indien een accountant van mening is dat de interne processen zodanig worden uitgevoerd dat er op gesteund kan worden, dan zal dit gevolgen hebben voor de controleaanpak. Onder andere uit efficiency overwegingen zal er dan over het algemeen gekozen worden voor een zogenaamde systeemgerichte aanpak, zo blijkt uit het werk van Majoor en Van Krollenburg. Hierbij kunnen IT systemen een belangrijke rol spelen. Immers zullen de geprogrammeerde controlemaatregelen ervoor zorgen dat bepaalde acties of controle worden afgedwongen. Deze systeemgerichte aanpak zal dan ook inhouden dat er minder grote hoeveelheden

(23)

transacties onder de loep worden genomen, maar de focus zal verplaatsen naar een beoordeling van het proces. Wordt dit consequent op een juiste wijze uitgevoerd (voorbeeld van werking), dan is hiermee de kwaliteit van de uitkomst van het betreffende proces gewaarborgd.

Mocht blijken dat de processen onvoldoende beheerst worden, dan zal de accountant waarschijnlijk kiezen voor een gegevensgerichte controle aanpak zo stellen Majoor en Van Krollenburg. Bij deze aanpak ligt een sterke focus op de onderliggende transacties en bewijsstukken. Er wordt minder gekeken naar de processen die ervoor gezorgd hebben dat de transacties zijn uitgevoerd en de manier waarop de bewijsstukken zijn aangemaakt. Gevolg hiervan is dat de omvang van de steekproeven groter moeten zijn dan bij een systeemgerichte aanpak, om tot een zelfde mate van zekerheid te kunnen komen. Deze gegevensgerichte aanpak zou wel eens kunnen leiden tot grotere inspanningen en daarmee hogere kosten.

Een derde belangrijke speler binnen de controlemechanismen is de interne audit dienst, waar grotere organisaties mogelijk over kunnen beschikken (Ramamoorti en Evans; 2011). De interne audit dient kan een belangrijke rol spelen gezien het feit dat het management niet altijd volledig vertrouwd kan worden als onderdeel van de controlemaatregelen. Hierbij valt te denken aan eerder aangehaalde grote fraudeschandalen zoals ENRON, Ahold en Parmalat. Anderzijds krijgen externe accountants te maken met een toenemende complexiteit van de organisaties die zij moeten controleren, waardoor deze externe accountant logischerwijs niet altijd in staat zal zijn om alle ins- en outs te kennen van de dagelijkse gang van zaken binnen de betreffende organisatie. Als opvang van het mogelijk tekort schieten van beide andere spelers binnen de controlemechanismen, kan de interne audit dienst een belangrijke rol spelen. Dit is vooral geval op het gebied van ethiek en soft controls, zo stellen Ramamoorti en Evans.

Belangrijke voorwaarde voor de rol van de interne accountantsdienst is haar onafhankelijkheid. In het verleden werd deze interne controlefunctie vooral ingezet als de “ogen en oren” van het management, waarbij voornamelijk werd uitgevoerd wat het management graag van ze verlangde. Tegenwoordig rapporteert het hoofd van de interne accountantsdienst in steeds meer gevallen aan de voorzitter van het auditcommittee. Dit vergroot de onafhankelijkheid van de interne accountantsdienst. Daarnaast is voldoende kennis en kunde, objectiviteit, geloofwaardigheid en toegang tot iedereen en alle processen noodzakelijk om succesvol te zijn. Logischerwijs mag verondersteld worden dat een effectieve interne accountantsdienst een belangrijke toegevoegde waarde kan hebben voor de kwaliteit van de IT goverance. Filipek (2007) brengt een andere veronderstelling als het gaat om de interne accountantsdienst. Hij stelt dat in veel gevallen de accountant de vereiste IT kennis mist om een waardevol oordeel te kunnen stellen over de IT omgeving. Hiermee is de accountant verminderd in staat een bijdrage te leveren aan de interne beheersing op dit gebied.

(24)

4.4 IT AUDIT

Zoals aangegeven in de vorige passage, voert de accountant eerst een zogenaamde audit uit op de IT systemen van een organisatie, voordat hij besluit wel of niet te steunen op de financiële data die middels deze systemen worden vergaard. Aangezien bedrijven steeds vaker IT systemen implementeren, zal deze controle voor de accountant alleen maar aan belang winnen om een zinnig oordeel te kunnen geven over de inrichting en continuïteit ervan.

Om er zeker van te zijn dat de programmeerde automatische controles goed werken en over de gehele periode goed hebben gewerkt, moet er ten eerste worden gekeken naar de onderliggende inrichting (Nederlandse Beroepsvereniging Accountants; 2012). Dit worden de algemene IT beheersmaatregelen genoemd. Indien blijkt dat de beheersmaatregelen adequaat zijn ontworpen, geïmplementeerd en effectief hebben gewerkt gedurende de gehele periode, kan er vervolgens worden gekeken naar de programmeerde automatische controles.

Tijdens een IT audit van de algemene IT beheersmaatregelen wordt de focus voornamelijk gelegd op drie aandachtsgebieden die relevant kunnen zijn voor de jaarrekening (Majoor en Van Krollenburg; 2011b, Nederlandse Beroepsvereniging Accountants; 2012). In de eerste plaats gaat het hierbij om het data center waar de gegevens staan, inclusief back-upfaciliteiten, uitwijkmogelijkheden en fysieke toegang tot de servers waarop de gegevens zijn opgeslagen. Ten tweede gaat het om een logische toegangsbeveiliging. Daarbij moet worden bepaald of de toegang tot kritieke acties binnen het betreffende IT systeem voldoende is beperkt tot bevoegde personen. Het laatste aandachtsgebied is het wijzigingsbeheer. Hierbij wordt voornamelijk ingezoomd op de vraag of er geen ongeautoriseerde wijzigingen hebben plaats gevonden aan het systeem en de geprogrammeerde automatische controles, en of de wijzigingen die hebben plaats gevonden uitvoerig zijn getest en goedgekeurd door de bevoegde functionarissen.

Een gebruikelijke controle van een IT systeem, zoals uitgevoerd door een accountant en hierboven uiteengezet, dekt dit hiermee slechts in beperkte mate de scope van het COBIT raamwerk af. De accountant kijkt bijvoorbeeld niet naar de waarde die eventueel voor financiers wordt gecreëerd of de mate waarin IT in de organisatie is geland, terwijl dit belangrijke pijlers onder het COBIT raamwerk zijn.

Ondanks de bevindingen hiervoor beschreven vinden Chief Information Officers (CIO) dat IT audits de primaire bron zouden kunnen zijn van assurance over de IT risico’s en de beheersing daarvan in hun organisatie, zo blijkt uit onderzoek van Ernst and Young (McCollum; 2008). Bijna 80% van de ondervraagde CIO’s zegt dat IT audits waarde toevoegen aan hun organisatie. Twee derde verwacht dat de eisen die worden gesteld aan IT zullen toenemen. Hiermee kan een kloof ontstaan tussen de vaardigheden die een (IT) accountant heeft en de kennis en vaardigheden die benodigd zijn, om aan de eisen die aan de IT audit worden gesteld, te kunnen voldoen.

(25)

Het is maar de vraag of de accountant aan de verwachtingen van de gebruikers kan voldoen, gezien het gegeven dat een groot aantal belanghebbenden in het management aangeeft dat de accountant een belangrijke rol vervult op het gebied van assurance over IT beheersmaatregelen. Tegelijkertijd is er sprake is van een kloof tussen het raamwerk zoals uiteengezet in COBIT en de standaard IT audit die door accountants wordt uitgevoerd.

Voeg bij deze constatering de resultaten uit de verkenning toe, die in eerdere passages is uitgevoerd, en geconcludeerd mag worden dat het terrein van IT governance omvangrijk en dynamisch is. Voor een gedeelte kan aansluiting gevonden worden bij onderzoek op het gebied van corporate governance, deels is er onderzoek beschikbaar dat specifiek IT-gerelateerd is. Een volledige inventarisatie wanneer een organisatie zelf van mening is dat ze beheersing heeft over haar IT omgeving, in de meest brede zin van het woord en wat daarin de eventuele rol zou kunnen zijn van de accountant, is niet gevonden.

(26)

5. ONDERZOEKSVRAGEN

Op basis van de uitgevoerde verkenning en onderzochte literatuur, zoals beschreven in de voorgaande hoofdstukken, blijkt dat IT beheersing relevant is voor organisaties. IT is steeds dieper doordrongen in cruciale onderdelen van organisaties. Relatief weinig is er bekend over de manier waarop organisaties omgaan met risico’s die IT systemen met zich meebrengen en hoe deze worden beheerst. Deze thesis zal verkennen hoe organisaties zelf aankijken tegen de risico’s die IT systemen met zich meebrengen, de risico’s die zij relevant vinden en de manier waarop organisaties hiermee omgaan.

5.1 HOOFDVRAAG

Het is een cruciale vraagstelling of organisaties zelf van mijn mening zijn of zij beheersing hebben over de eigen IT omgeving. Ten eerste omdat dit het uitgangspunt betreft voor zowel het management als voor de accountant bij het beoordelen van de interne beheersing. Dit oordeel is een verplichting die zij hebben volgens weten regelgeving, voorbeelden zijn SOX en de NV COS die aan bod komen in paragraaf 2.1. Ook risico´s, als fraude en de uitval van IT systemen, hebben invloed op het resultaat van de organisatie. Er bestaat echter geen eenduidig kader met minimumvoorwaarden waaraan een IT systeem getoetst kan worden. Hierdoor is het aannemelijk te veronderstellen dat de manier waarop organisaties invulling geven aan de beheersing van de IT omgeving niet in alle gevallen gelijk zal zijn. Uit deze constateringen volgt dan ook de hoofdvraag:

Aan welke voorwaarden moet volgens een organisatie zelf voldaan worden om beheersing te hebben over eigen IT omgeving?

5.2 DEELVRAGEN

Om de hoofdvraag adequaat te kunnen beantwoorden, zijn enkele deelvragen opgesteld. Deze deelvragen dekken een gedeelte van de hoofdvraag en in combinatie met elkaar geven de deelvragen een richting om de hoofdvraag te kunnen beantwoorden. De thema’s die binnen de deelvragen worden geraakt, komen voort uit de uitgevoerde verkenning en onderzochte literatuur in de voorgaande hoofdstukken.

Het eerste relevante gebied is de vraag of binnen organisaties zelf aandacht is voor de beheersing van IT systemen en de IT omgeving. Zoals uiteengezet in eerdere hoofstukken kunnen IT systemen van grote invloed zijn op organisaties. IT systemen hebben echter het karakter dat zij moeilijk te doorgronden, dan wel te begrijpen, zijn. Organisaties als geheel hebben hierdoor geen eenduidig idee wat zich daadwerkelijk in het systeem afspeelt.