Lang heb ik gedacht dat de IT-auditor de missing link was van het auditvak.
Op de dag dat mijn professor zei dat ik mocht afstuderen, spraken we over mijn toekomst. Het was de crisis van de beginjaren negentig en starters op de arbeidsmarkt zochten massaal naar een goede ingang. Ik zei dat ik EDP-auditor - toen de gangbare term - wilde worden. De professor vond het een slimme keuze. Ik werd aangenomen als junior EDP-auditor en begon met werken. Ik vond IT-audit de accountancy van de toekomst. Nu vonden wel meer mensen dat in die tijd, maar de toekomst kwam niet echt dichterbij, zoveel was wel duidelijk. De samenwerking tussen de accountant en IT-auditor stond permanent op de agenda van vele heidesessies die ik mocht bijwonen.
Later toen ik zelf ook accountant ben geworden was ik me goed bewust van de kloof. Accountants vinden een IT-auditor wel handig. Als hij zich met de computers bemoeit hoeft de accountant dat niet te doen. Alleen jammer dat hij zoveel budget opmaakt. De meeste IT-audit werkzaamheden hebben te maken met de beoordeling van AO/IB. Daar heb je geen IT-auditor voor nodig.
In het debat zijn de IT-auditors onzichtbaar. Ik hoor heel weinig van IT-auditors over de toekomst van de accountancy. NOREA mengt zich in geen enkele relevante discussie. Nu lees ik in 'de Accountant' dat de kloof nog steeds bestaat in het artikel 'RA en RE: samenwerking gaat niet vanzelf'. Ik denk dat er zelfs al in de jaren zeventig artikelen zijn verschenen over deze kloof.
Ik ben er nu wel uit. De IT-auditor heeft een tijdje meegedaan maar is niet in staat zich aan te passen aan de omstandigheden. Net als de Neanderthaler. Wetenschappers twijfelen of de Neanderthaler is uitgestorven of zich heeft vermengt met de moderne mens. Op de dag dat accountants doorhebben dat de bulk van het IT-audit werk tot hun eigen basispakket hoort is er geen plaats meer voor hem. De keuze is verdwijnen of vermenging tot de moderne accountant.
Bij uw eerste reactie op deze site vragen wij om een bevestiging.
Er is een bevestigingsmail naar het door u opgegeven e-mailadres gestuurd.
Jurgen van der Vlugt
Fouk, Je had kennelijk een zaaltje 'traditionele' IT-auditors tegenover je, van het soort dat PE-punten sprokkelt omdat dat moet. Ik kan je verzekeren dat er zat IT-auditors zijn (zeker ook buiten de NOREA (om) ...!) die wél bij zijn en zelfs mee vooraan lopen qua (theoretisch en praktisch implementatie-)advies over de aller-, allernieuwste ontwikkelingen. Waar 'smart' data-analyse, continuous monitoring/auditing en zeker 'integrated auditing' als voorhoede van accountantswerk toch echt al járen zo niet decennia geleden breed zou moeten zijn doorgedrongen en in de IT-toepassingenwereld een (nieuwe-ontwikkelings)'jaar' nog slechts een paar maanden beslaat. Dus als jij nou inziet dat de met de massa meehobbelende grijze muizen- NOREA-leden niet maatgevend zijn voor IT-auditors en het nogal opvallend kortzichtig is om als het om ánderen gaat telkens zo pars pro toto te denken, dan zal ik niet langer als spiegel alle accountants en bloc aan te duiden als (door gebrek aan gewicht...?) omhooggevallen boekhoudertjes. Het schijnt dat dat heel gevoelig ligt. Als ik over 'de' accountants een mening geeft die gelijkwaardig is aan wat anderen over 'de' bankiers schrijven (terwijl bijvoorbeeld slechts de top-5% (of veel minder) überhaupt ooit een bonus van dichtbij zag; de grote massa moest het met middelmatige inkomens zónder wat voor bonus dan ook en zelfs demotie doen), dan mag dat niet en wordt mijn reactie geschrapt als ongepaste belediging...? Kortom, er zijn zat accountants die bij zijn net als er zat IT-auditors zijn die bij zijn dus laten we ons bezighouden met vernieuwing van ons vak(ken) en niet anderen maar dom gaan vinden.
Q
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 Quote: `Ik ben er nu wel uit. De IT-auditor heeft een tijdje meegedaan maar is niet in staat zich aan te passen aan de omstandigheden. Net als de Neanderthaler.` U weet hoe het met de dinosauriers i
Fouk Tsang
Ben het wel eens met de strekking van het verhaal. Het doet mij ook terugdenken aan een lezing nog niet zo lang geleden voor IT auditors. Ik was helemaal blij eindelijk een leuke bijeenkomst met mensen met een frisse kijk op de wereld. Nu moet ik een beetje op mij worden letten anders ga ik er gelijk weer met een gestrekt been in. Maar de IT auditors kwamen op mij meer over als een groepje cobol programmeurs dan mensen met een frisse blik. Laten we niet vergeten dat veel IT of EDP auditors natuurlijk wel opgeleid zijn met achterhaalde technologieën als basis. Want hoe werkt dat virtueel of in de cloud kan de IT auditor mij daar een goed antwoord op geven. Natuurlijk zullen ze roepen, maar hoe weet ik dat zeker. En wat te denken over de recente problemen bij de banken rondom telebankieren, die systemen zijn toch allemaal geaudit door IT auditors. En waarom spreekt het recente AFM rapport over ICT deskundigen en niet over IT auditors. Zagen zij al eerder dat wij spreken over een uitstervend ras? PS ik las in de reacties dat er weel veel moeite is met de beeldspraak die wordt gebruikt door de columnisten. Ik wil de lezers en overigens ook de redactie van accountant.nl aanbevelen om wat meer columns te lezen. Dan weet je dat wij columnisten gebruik maken van stijlfiguren om ons verhaal soms wat aan te dikken om in weinig woorden duidelijk te maken wat je precies bedoelt. Een hele goede is iedere zaterdag op de achterkant van het NRC, ja die met het brilletje.
Jack van Crooij
Overbruggen van de kloof tussen RA en RE is inderdaad een uitdaging van formaat. Maar zit de kern van het probleem niet in het gebrek aan aandacht voor IT in de opleiding van de RA? Als je onvoldoende weet wat IT is, waarom zou je er dan iets mee doen in je dagelijkse werk? Immers niets menselijks is accountants (en IT auditors vreemd). Mijn constatering is dat accountants best graag meer met IT willen doen maar simpelweg nog niet weten hoe. Kennis delen vanuit de IT auditor en de accountant in staat stellen de basis werkzaamheden zelf uit te voeren heeft volgens mij de beste kans van slagen. Ik moet zeggen hulde aan zowel TUACC, NBA als NOREA die dit al lang hebben ingezien en druk bezig zijn met het afronden van An integrated audit approach als fundament onder de betere samenwerking.
Frank Felten
Geachte heer Mock, Iemands carrierepad is iets anders dan diens levensverhaal (mag ik hopen). Er zijn vast vele tientallen personen met een vergelijkbare achtergrond als de heer Van der Vlugt, echter geen van hen heeft zich kennelijk als ernstig onheus behandeld beschouwd. En ik blijf erbij, laten we het bij inhoudelijke discussies houden.
Robert Jan
AT: Will/allen: ik sluit me aan bij de beschouwing van Wil...... tenminste voor zover het de theorie betreft. Helaas kom ik in de praktijk zowel RA's als RE's tegen, die echt geen kaas hebben gegeten van de samenhang tussen controle van een IT-omgeving en een financial audit. En dan hebben we het niet over een controle bij de lokale groenteboer, maar bij grote ondernemingen in bedrijfstakken waar de verwevenheid tussen IT en FA enorm is. Toch is zelfs daar geen sprake van verbinding tussen IT-audits en controleaanpak voor de jaarrekeningcontrole (ook bij enkele van de big four). Nu ben ik vast niet de vakinhoudelijk ideale expert, maar ik mag toch hopen dat alle RE's en RA's weten dat ze bij gebleken tekortkomingen in infrastructuur én beheerprocessen én AO/IC in en rondom de applicaties met elkaar om tafel moeten gaan zitten om de impact van de tekortkomingen te bespreken. Dit teneinde de RA in staat te stellen om zijn controleaanpak te bepalen en/of aan te passen. Helaas, onthutsend maar waar: zonder knippering van de ogen wordt gewoon lekker verder gegaan met de reeds beschreven aanpak. De uitkomsten van IT audits worden dus ter kennisgeving aangenomen en dat was het dan ...... Op mijn simpele vraag of, wanneer en hoe men aanvullende controles ging uitvoeren keken een tweetal paar ogen mij vrij blanco aan. Geen blik van herkenning over de reden van mijn vraag .... geen twinkeling in de ogen in de trend van "ooh ja, dat hebben we inderdaad wel eens in onze mooie theorie-boekjes gelezen"... nee, niks ! Ooh ja toch, na enig aandringen was het antwoord echter alleen nog erger: "maar we doen ook cijfercontrole en er zitten geen gekke verschillen met vorig jaar in de cijfers ...." Even twijfelde ik of ik moest vragen hoe zeker ze dan over de cijfers van vorig jaar konden zijn .... toen was immers ook sprake van tekortkomingen in de IT-omgeving. Maar ik had het lichte vermoeden dat dit een redelijk nutteloze poging zou zijn om deze dwalende zielen nog op het juiste pad te krijgen. Kortom: theorie en praktijk liggen tot op de dag van vandaag nog mijlenver uit elkaar .... en wie nu naar wie toe moet groeien weet ik niet, en over de vraag of er sprake is van neanderthalers kan ik me ook niet uitspreken. Maar wel constateer ik dat er nog een gapend gat ligt. Ik heb mijn hoop gevestigd op mannen als Marc die met dit soort prikkelende colums in ieder geval iedereen weer even wakker kietelt en daarmee een stukje bijbouwt aan de brug over dit helaas nog grote gat. ikzelf heb minder geduld .... en ben maar met ander werk begonnen. Waar mensen wel begrijpen waar het werk van hun collega's voor dient en hoe dat hun werk kan beïnvloeden. En waar nodig zoeken we elkaar gewoon op om het samen beter te maken. En dat allemaal zonder COS of IAS of hoe de standaarden dan ook mogen heten. Maar gewoon omdat we weten dat we niet zonder elkaar kunnen. Soms is boerenverstand best fijn.
Mock RA
Geachte Felten, Als U even op Google had gekeken, had u de levensloop van Ir.Drs.J. v d Vlugt RE CISA kunnen volgen en zien dat hij een gerespecteerd senior manager is op het gebied van de IT governance en risicobeheer. Tevens is hij regelmatig publicist en spreker op conferenties, en lid van de Vaktechnische Commissie en de Commissies Educatie en Herziening Beroepsregels van de NOREA. Ik denk dat hij terecht boos is geworden om door zijn collega s op een nogal vervelende toon voor Neanderthaler te worden uitgemaakt, en dat hij daaarop geirriteerd reageert kan ik goed begrijpen.
Frank Felten
AT: J. van der Vlugt: Zonder uw levensverhaal te kennen, zullen wij niet gaan begrijpen waarom u zo extreem reageert en blijft reageren. Ik vind het wel jammer dat dit medium op deze wijze gebruikt wordt. Inhoudelijke discussies zijn uitstekend, laten we het daar vooral bij laten!
Wil Ehren
Zowel Marc als Arnout ken ik vanuit een vroeger dienstverband bij een van de Big Four. Beiden ken ik als deskundige IT Auditors en tegelijkertijd als zeer bevlogen en personen die hun mening niet onder stoelen of banken steken. Dit laatste blijkt ook wel uit de onverbloemde discussie. Met deze bijdrage wil ik niet bijdragen aan wat niet werkt en/of waarom iets niet werkt, maar vooral wat wel werkt. Ik hoop daarmee de nu lopende, naar een negatieve spiraal neigende, discussie naar het positieve om te buigen. In organisaties waarin automatisering een belangrijke plaats inneemt in de bedrijfsvoering en de tot standkoming van de financiele verslaglegging, staat het vast dat het, in het kader van de controle en vanuit diverse invalshoeken (o.a. bepalen risico’s, komen tot een doeltreffende en doelmatige controle aanpak, testen van processen en het verkrijgen van evidence) noodzakelijk is aandacht aan de automatisering te besteden. Hierbij gaat het er vooral om dat je in het controleteam beschikt over IT Audit skills. Of deze nu worden geleverd door de IT auditor of de accountant (met IT Auditkennis) maakt daarbij niet uit. Het gaat om de professionele skills die nodig zijn om de voor de controle relevante werkzaamheden inzake automatisering, op een doelmatige en doeltreffende manier te kunnen verrichten. Het is vooral van belang dat de persoon met IT Auditskills de behoefte van de accountant begrijpt en vanuit de context van de controleomgeving en –doelstellingen vertaald naar een gerichte inzet van de IT auditskills en te behalen resultaten daarvan (bijvoorbeeld efficiency in de uitvoering van de controle en assurance). Op grond van onze eigen ervaringen als IT auditdienstverlener aan diverse accountantskantoren van uiteenlopende omvang, mag ik stellen dat deze aanpak werkt. Voorwaarde is dat je als IT Auditor in staat bent in de huid te kruipen van de accountant en bij onduidelijkheid doorvraagt naar zijn/haar doelstellingen, deze vertaald naar een concrete inzet van geschikte middelen, doelmatig en doeltreffend de werkzaamheden uitvoert en tijdig de resulaten oplevert die worden beoogt. Door structureel, vroegtijdig en vooral integraal samen op te trekken ontstaat kruisbestuiving en is samenwerking geen punt van discussie meer, maar steeds vaker vanzelfsprekend en meer en meer ook op initiatief van de accountant.
Jurgen van der Vlugt
AT:RA: Tu quoque; waarom anoniem? Nooit van Google gehoord? Ah, daarom snap ik niet waarom je zo reageert. Hoe vaak moet ik herhalen dat ik probeer de discussie een positieve wending te geven!?
RA
AT:Jurgen: ben jij IT-, IS- EDP-auditor of hoe je ook genoemd wil worden? Wat haal je jezelf en je beroepsgenoten toch naar beneden met je reacties! Zo wordt het nooit wat natuurlijk.
Jurgen van der Vlugt
AT:Arnout en Robert Jan: Tu quoque. AT:RJ|allen: Goed idee. Gezien het niveau van de reacties op de mijne waarmee ik de discussie probeerde om te buigen naar wat opbouwends, zet ik zet in op de elfstedentocht. Niet alle RA's werken bij Willibrord Frequin Accountants, dacht ik ..?
Robert Jan
AT: Jurgen: gaap ..... wellicht toch maar ander vak kiezen, b.v. (pré-)historicus ? AT: allen: we kunnen wel een poule opzetten: wat gaat er eerder gebeuren: de volgende elfstedentocht of goed samenwerkende RA's en RE's ?
Arnout van Kempen
AT:Marc: voor je in gaat op de reactie van Jurgen op mijn bijdrage, wil ik er wel op wijzen dat hij niet reageert op wat ik schreef, maar op een onjuiste weergave daarvan. Detail, maar onder auditors hoop ik toch op enige aandacht voor dat soort details.
Arnout van Kempen
Jurgen, ik hoop dat je zelf heel tevreden bent over het niveau.
Jurgen van der Vlugt
AT:Marc: Het vermoeden-met-enige-grondslag dat de Cro Magnon uiteindelijk de overhand kreeg doordat deze door slimheid honden wist de domesticeren, daarmee de fysieke achterstand van slechtere reuk meer dan compenserend ten opzichte van de Neaderthaler, is kennelijk verloren gegaan. Als je doelde op de weinig efficiënte energiehuishouding van de N, wat is dan de relevantie voor de IT-auditor ..? Zie overigens mijn reactie bij het hoofdartikel op deze site -- en ad jouw inzicht: Ik ben ook wel overtuigd van het nut van een accountant, maar niet in zijn huidige vorm. Waarbij aangetekend dat de ontwikkeling van het IT-auditspecialisme nog zo veel minder rijping heeft gekend dan de financiële controle -- waar ook financiële controle slechts een specialisme is van auditing als beroep in het algemeen... Als je bedoelt dat de Neanderthaler minder mee-evolueerde met de kouder wordende omgeving, zou het zomaar kunnen dat je in wezen de accountant als Neanderthaler ziet... De later zich afgesplitste en ontwikkelde Cro Magnon-figuur past dan meer bij de IT-auditor, dunkt me. Maar misschien moeten we maar wegblijven van borstklopperij. Waar twee vechten (quod non), hebben twee zich aan te passen, niet slechts een! Ook bij inhuur van IT-auditors geldt immers caveat emptor, en professioneel gedrag van de inhuurder vergt professioneel opdrachtgeverschap. Misschien 'moet' de beroepsgroep (in het geheel) eens nadenken over regels (oh nee help niet nog meer) of 'guidance' terzake; dat is nu nog wat erg principle-based geregeld. Als het om samenwerking gaat: Het cliché "m'n vrouw begrijpt me niet" bestaat denk ik al wat langer dan "m'n Rx begrijpt me niet" en toch wordt er nog lustig op los getrouwd... Daarom deel ik je vrees dat, al verandert de wereld nog zo snel, de specialismen over tien jaar nog wel naast elkaar zullen bestaan. Het 'lek' qua communicatie is nog niet boven.
Marc van Hilvoorde
AT:Jurgen: Meer actuele inzichten nuanceren de ‘minder geestelijke vermogens’ van de Neanderthaler. Het uitsterven zou mogelijk eerder worden veroorzaakt door klimaatverandering en de weinig efficiënte energiehuishouding van de Neanderthaler. Mijn Neanderthalerbeeld is veel minder negatief gekleurd. Dat de IT auditor meer doet dan AO ontken ik niet. Dat er ‘gelukkig velen (RE's, RA's en RE RA's, bij NBA en NOREA) zijn die dat zien en weten’ voorkomt niet het zoveelste artikel met de constatering dat de samenwerking -blijkbaar- niet probleemloos verloopt. Dat er COS regels zijn en dat ‘het buitenland het nog niet ziet’ vormen niet de sterkste onderbouwing van het nut van de IT auditor. Overigens ben ik overtuigd van zijn nut, maar niet in de huidige vorm. De discussie tussen de beide groepen -ik vermijd het woord beroepsgroep- overspant inmiddels een periode van meer dan 30 jaar en doen aan een moeizaam huwelijk denken: “Mijn RA (of RE) begrijpt mij niet”. De oplossingen in het artikel roepen bij mij een sterk déjà vu gevoel op. Maar misschien gaat het nu wel lukken, ik sluit niks uit. Als over 10 jaar de RE’s en RA’s nog steeds naast elkaar bestaan en er geen artikel meer verschijnt over de moeizame samenwerking geef ik je gelijk.
Jurgen van der Vlugt
AT:Arnout: RE is nog steeds RE, maar de NOREA is al sinds jaren de vereniging van IT-auditors. Wat gemist ..? En de aggresieve toon, tsja, niet eerst zelf daarmee beginnen met 'ROFL' en dan hard weglopen. 'k Neem althans toch aan dat je ouder bent dan vijf? Toch, ondanks het niveau van columnist en van jou, waarmee een en ander begon. Wie de bal kaatst... Ik ben zéér voor een opbouwende discussie, maar dan wel op basis van volwassen gedrag, onder andere bestaand uit deugdelijke argumentatie en niet op basis van domme en feitelijk onjuiste beweringen...
Arnout van Kempen
Oh, ik dacht dat RE stond voor Register EDP auditor, maar dat is dus heel dom van me. Kan. Maar los daarvan, de inhoud wil maar niet los komen, en de agressieve toon nodigt me ook niet uit tot verder serieus reageren. De groeten.
Jurgen van der Vlugt
AT:Arnout: Ik kon niet geloven dat een integere RA een collega-auditor vergelijkt met een Neanderthaler, die zoals eenieder wel weet een stuk minder geestelijke vermogens werd toegedicht dan de 'concurrent' Cro Magnon. Vandaar .-150 En de IT-auditors in Nederland noemen zich géén EDP auditor! Waar je die misvatting vandaan hebt, is me een raadsel. Ja, er schijnt nog een kantoor te zijn waar men het zo noemt, maar dat is nou juist een kantoor waarvan (buiten dat kantoor) bekend is dat de IT-auditors zwaar onder de plak zitten van de accountants, en qua werkinhoud niet loskomen van simpel vinkwerk ten behoeve van de jaarrekeningcontrole (althans qua aanpak, methodiek en scope). Dat de scope van IT-auditors veel, en veel meer is dan alleen maar (sic) information systems in de zin die jij lijkt te bedoelen, wordt juist in Nederland wél, en in het buitenland nog niet gezien! (Nee, ook ISACA is wat dat betreft een pover verhaal..!) Of denk je dan auditors zich alleen maar zouden moeten beperken tot beheersingsvraagstukken? 'Dodelijk' saai, en onze klanten zien als eerste dat dat totaal onnut is. Het gaat dan ook niet (alleen) om IT-auditors met accountantsachtergrond, maar om IT-auditors die kaas hebben gegeten van informatievoorziening binnen en buiten organisaties. Da's wel heel wat meer dan AO... Gelukkig zijn er wel velen (RE's, RA's en RE RA's, bij NBA en NOREA) die dat zien en weten.
Arnout van Kempen
AT:Jurgen, het ligt wellicht aan mijn leesvaardigheid, maar ik snap de reactie niet zo. Over wie doet Marc precies "insinuerend en neerbuigend"? En wat insinueert hij dan? En los daarvan, gezien je achtergrond, lijkt me dat een INHOUDELIJKE reactie best tot een boeiende discussie zou kunnen leiden. Als IT auditor moest ik wel even lachen om de insteek die Marc kiest, maar hij zegt naar mijn idee nu niet bepaald dingen die doen denken aan een 1 aprilgrap. Wat VGC A.150 (neem ik aan?) er mee te maken heeft ontgaat me ook al. Kennelijk raakt Marc een gevoelig punt gezien de emotie die het oproept, maar waarom niet gewoon inhoudelijk de discussie aan gaan? Om daar zelf maar een bijdrage aan te leveren: na jaren accountancy en IS audit te hebben gecombineerd, denk ik dat Marc het fout ziet. Niet de IT auditor is overbodig, maar de IT auditor zonder accountantsachtergrond is vrijwel kansloos binnen de jaarrekeningcontrole, maar blijft daar actief zolang de RA gemiddeld genomen niet voldoende kennis heeft van zijn eigen vakgebied: AO. Het is geen toeval dat de "IT auditor" in Nederland zichzelf edp auditor noemt, en in de rest van de wereld: IS auditor. Information Systems, dáár gaat het om in de jaarrekeningcontrole, voor Information Technology huur je gewoon een IT-er in, en gebruik je COS 620.
Jurgen van der Vlugt
... Dus omdat een columnist doof en blind is, ligt dat aan 'de ander'..? Ja zo makkelijk is het insinuerend en neerbuigend te doen over een ander. Nog zo een: 'Gelukkig weet de maatschappij wel dat alle accountants een stelletje botte oplichters zijn'. Laten we (is vrijwel alle auditors) er maar van uitgaan dat columnist z'n kalender niet goed heeft bijgehouden en denkt dat het nog (of permanent?) 1-4-2010 is, anders is er VGC .-150
Arnout van Kempen
ROFL!
Reageren op een artikel kan tot drie maanden na plaatsing. Reageren op dit artikel is daarom niet meer mogelijk.
Aanmelden nieuwsbrief
Ontvang elke werkdag (maandag t/m vrijdag) de laatste nieuwsberichten, opinies en artikelen in uw mailbox.
