Discussie Opinie 23 november 2021

Het is geen populaire mening, maar accountants zijn ook maar mensen

Het moet afgelopen zijn met het idee dat een individuele accountant alles maar moet kunnen. Het maakt de accountant blind en komt de kwaliteit van de controle niet ten goede.

Ronald Trouwen

Afgelopen weekend las ik de verslaggeving van de Busy Season Talks van 9 november. Ditmaal stond het thema IT-audit op de agenda. Van de verschillende verhalen en standpunten sprong er mij een in het oog, namelijk die van Arnout van Kempen: "IT-auditor is eigenlijk een overbodig vak, dat is ontstaan omdat accountants hun kennis niet hebben bijgehouden."

In mijn optiek gaan er twee dingen mis in dit statement. Allereerst is dit een onterechte devaluatie van het beroep van IT-auditor. Dat is een op zichzelf staand beroep, waarbij de accountant slechts nog een van de opdrachtgevers is. Daarnaast blijkt hieruit de verkeerde veronderstelling dat een accountant ook het werk van specialisten zou moeten kunnen doen. Dat lijkt me niet realistisch.

De IT-auditor

Vijftig jaar geleden was de stelling misschien juist geweest. Het beroep van IT-auditor is ontstaan omdat er vanuit de accountantscontrole behoefte bestond aan specialistische kennis over geautomatiseerde systemen. Het waren accountants met affiniteit met EDP die deze behoefte initieel hebben vervuld. Veel oudere RE’s zijn dan ook RA. En hoewel deze nauwe band tussen de beroepsgroepen bestaat tot en met de dag van vandaag, is er iets fundamenteels veranderd. De wereld is in extreme mate gedigitaliseerd en technieken zijn snel veel complexer geworden. De kennis en ervaring die benodigd is voor het doen van een IT-audit is niet meer iets dat de accountant 'erbij' kan doen, maar een vak op zich. Dit blijkt ook uit de volgende trends:

De IT-auditor is niet meer commercieel afhankelijk van de accountant. Als bij de grote kantoren de behoefte aan IT-auditors bij de jaarrekeningcontrole zou wegvallen, betekent dit allerminst het einde van het beroep. De opdrachten waar IT-auditors zich mee bezig houden zijn assurance- en adviesopdrachten waar de accountant simpelweg niet toe in staat is. Primair zijn dit (assurance) opdrachten die gericht zijn op het beheersen van data/informatiestromen. Als onderdeel hiervan kan men denken aan privacy- en cybersecurity audits.

De deelnemers van de IT-auditopleidingen hebben steeds minder een achtergrond in de accountancy noch een ambitie deze te krijgen. De deelnemers werken steeds meer bij private organisaties, banken, de overheid en consultantsorganisaties buiten de accountancy.

De veronderstelling

Uit het statement blijkt de veronderstelling dat de accountant voldoende kennis en kunde zou moeten hebben/heeft om ook het werk van de IT-auditor te kunnen doen. Deze veronderstelling wordt voor mijn gevoel breder gedragen door accountants en toezichthouders dan gewenst. Accountants overschatten echter hun eigen kunnen op dit valk. Het beroep van de IT-auditor staat, net als dat van de jurist en de waarderingsexpert (RV), op zichzelf. Het is absurd om te denken dat een accountant al die rollen kan vervullen. Dat zou ook niet de verwachting moeten zijn.

Door de verscheidenheid in het werkgebied van de IT-auditor is het ook gebruikelijk dat een andere IT-auditor met specifieke kennis bij de eigen opdracht wordt betrokken. Als een IT-auditor het binnen het eigen vakgebied al niet alleen af kan (en wil), waarom zou een accountant dat dan wel kunnen? Het werk van de accountant is te complex geworden voor één enkele accountant/persoon. Doen alsof dat niet zo is maakt de accountant ongeloofwaardig.

De accountant als mens

Mensen functioneren het best vanuit hun specialisme en dit geldt ook voor accountants. Een accountant hoeft niet ook een IT-auditor te zijn. Net zomin als wij verwachten dat de accountant een jurist of een expert op het gebied van waarderingen is. Er wordt al genoeg kennis verwacht van de accountant.

Natuurlijk ben ik wel van mening dat additionele IT-kennis bij accountants wenselijk is. Dat kan de kwaliteit van de controles enkel ten goede komen. Belangrijker is echter dat de accountant de eigen rol goed vervult en een IT-auditor belt wanneer de omstandigheden hierom vragen.