Eén van de belangrijkste uitkomsten van het digitale debat dat de NBA op 3 april hield was de vaststelling dat de ontwikkelingen in ICT de toekomst van het accountantsberoep nog meer zullen gaan bepalen dan nu al het geval is. En de vraag of het beroep daar op dit moment voldoende op voorbereid is had eveneens een behoorlijke mate van consensus.
ICT zal naar verwachting een uiterst belangrijke rol gaan spelen in de toekomst van ons beroep zoals bijvoorbeeld de impact op het business model van kantoren, de impact op hoe wij werken en communiceren, de impact op systemen bij cliënten en de impact op controletechnieken. Nu is naar mijn mening aan dat laatste deels ook nu al wat te doen door gebruik te maken van de competenties die voorhanden zijn. Naar mijn mening zijn daar nog wel mogelijke verbeteringen aan te brengen en dan heb ik het bijvoorbeeld over de samenwerking met IT-auditors. In mijn eigen praktijk zie ik namelijk dat deze samenwerking die in mijn ogen cruciaal is voor een kwalitatief goede controle niet altijd optimaal is.
In het kader van het delen van ervaringen om deze samenwerking te verbeteren en nu al meer aandacht te besteden aan ICT ontwikkelingen heb ik een aantal praktische suggesties voor u:
Soms worden de IT-auditors behandeld als een soort 'onderaannemers' van het controleteam; dat betekent dat zij onvoldoende kunnen deelnemen aan de discussie over de beste controleaanpak en hun bijdrage dan vaak niet verder gaat dan de IT general controls want dat staat in de checklist; IT-auditors moeten dus wat mij betreft van het begin tot het eind medeverantwoordelijk zijn voor de gehele controleaanpak en uitgedaagd worden om alle mogelijke ICT-ontwikkelingen daarin volledig mee te nemen;
De beoordeling of er sprake is van een complex of niet complex IT-systeem wordt soms door het controleteam gedaan terwijl de specialist, de IT-auditor, er pas later wordt bijgehaald; IT-auditors zouden in mijn ogen dus de beoordeling van het systeemlandschap moeten doen;
In de planningsfase zou specifiek de effecten van de IT-toepassingen en de processen daaromheen op de agenda moeten worden gezet om 'underauditing' maar ook 'overauditing' te voorkomen;
De rapportage over de IT-punten in de management letter is soms erg technisch van aard; mijn advies is dat het controleteam inclusief IT-auditors om de tafel gaat zitten voordat de management letter wordt geschreven om te bezien wat de issues zijn, wat de consequenties daarvan zijn voor de controleaanpak, en hoe deze punten het beste aan de cliënt gecommuniceerd kunnen worden;
Een voorbeeld is logische toegangsbeveiliging; als leek betekent deze terminologie weinig voor mij, maar als gesteld wordt dat bepaalde personen in de organisatie teveel bevoegdheden hebben, zodat zij de bestaande functiescheidingen kunnen doorbreken en er dus frauderisico's ontstaan, dan zorgt dat ervoor dat degene die het leest de opmerkingen serieus neemt omdat de mogelijke effecten helder zijn; advies: zorg dat IT-punten zodanig zijn geformuleerd dat een leek begrijpt wat er wordt bedoeld en welke risico's er worden gelopen;
Daarbij valt het mij op dat de IT-auditors vaak zoveel van de systemen afweten dat zij ook kunnen aangeven hoe de cliënt hier beter en efficiënter gebruik van kan maken; mijn advies: zorg dat verplicht in elke management letter ook het verbeterpotentieel helder wordt aangegeven;
Op basis van ervaringscijfers per sector en per soort systeem is het mogelijk om een schatting te maken van het percentage uren dat IT-audit zou moeten hebben als onderdeel van het urenbudget; mijn advies aan kantoorleidingen is om die percentages als targets op te leggen, zodat de discussie waarom het bij deze cliënt allemaal niet nodig is, kan worden overgeslagen;
Laatste advies is dat jaarlijks de IT-auditor meegaat naar de opdrachtgever/toezichthouder om bovenstaande zaken te bespreken en dat dit niet wordt overgelaten aan het auditteam.
Het lijken wellicht open deuren, maar in mijn ervaring gaat dit toch te vaak niet goed genoeg, met als gevolg een controle die beter en efficiënter had gekund en een cliënt die de toegevoegde waarde van zijn accountant onvoldoende ziet.
Het feit dat Tuacc IT auditing op de agenda heeft gezet met als doelstelling om te komen tot een IT integrated audit approach vind ik dan ook een uitstekend initiatief. De NBA doet graag mee.
Bij uw eerste reactie op deze site vragen wij om een bevestiging.
Er is een bevestigingsmail naar het door u opgegeven e-mailadres gestuurd.
Gerard van IJzendoorn
Binnen een samenwerking tussen NBA Norea en Tuacc zijn we al ver gevorderd met een uitgave over "an integrated audit approach". Dit mede in het kader van de extra NBA aandacht voor MKB-kantoren.
Arnout van Kempen
Ik hoop niks (nou ja, niet in dit leven) ik reken er gewoon op! Mooie verhalen houden s prima, aar zo nu en dan moet er boter bij de vis. Wetenschappelijk onderzoek ondersteunen. NBA gaat Tuacc ondersteunen in het uitrollen van een IT integrated audit las ik. Er gaan stappen gezet worden richting de Openbaar Aanklager. We gaan verder praten over de wikiRA. Enzovoort, enzoverder. Ik noteer de hele en halve toezeggingen, en reken op het waarmaken daarvan.
Jan Bouwens
Ik help het je hopen Pieter. Ik heb met een hoogleraar tevens medewerker van een groot kantoor 5 jaar terug een compleet onderzoek in de verf gezet (weken werk, inclusief interviews met betrokkenen) dat werd gedragen door de organisatie. Toen we de data opvroegen ging de deur dicht. Het kleine wereldje is klein en tegelijkertijd gesloten! Ik heb sinds die tijd geen poging meer gewaagd. Ook mijn tijd is duur. 'Gewone' bedrijven zijn veel opener. Zo heb ik bij meerdere bedrijven zowel de boekhouding als de HRM systemen onbegrensd mogen gebruiken voor onderzoek. En ja, dan krijg je inzicht waar iedereen beter van wordt.
Pieter de Kok
Als die docent toevallig Coen heet mag hij mij bellen, of Wilco Schellevis, linken we m zo door. Data-analyse. Of Peter Eimers, PWC, zal ook kunnen helpen. Klein wereldje.
Arnout van Kempen CISA
Ik dacht, laat ik mijn titel maar eens voeren :) Maar serieus, dit is al de tweede keeri zeer korte termijn dat de hoeveelheid wetenschappelijk onderzoek van de audit-branche aan de orde komt. We kunnen opnieuw met elkaar vaststellen dat het daarmee best beter kan, en we kunnen opnieuw met elkaar vaststellen dat twee belangrijke voorwaarden zijn: - geld - data van kantoren En we kunnen opnieuw vaststellen dat zowel geld als data geleverd kunnen worden door de kantoren die ook nog eens zelf het meeste, zo niet alle, belang hebben bij versteviging van het wetenschappelijk fundament onder het audit-vak. En we kunnen natuurlijk opnieuw deze discussie een tijdje voeren, en dan wachten tot het weer stil wordt. (gelukkig zijn er van die zeurders die er dan na een tijdje wel weerop terug komen. Zo isook de Aanklager nog niet uit beeld hoor) Laten we eens concreet worden. Ik weet toevallig, doordat ik gistermiddag een verhaal mocht houden voor docenten uit het accountantsonderwijs, dat een van die docenten een onderzoek wil doen naar een IT-aspect van de audit, naar het onderdeel data-analyse als ik goed geluisterd heb. En wat is zijn grootste probleem? Juist, het vinden van kantoren die hier aan willen meewerken. Zou het nu niet mooi zijn als al die discussies hier op deze site, zo nu en dan tot concrete actie leiden? Bijvoorbeeld doordat de voorzitter die tevens partner bij een Big 4-kantoor is, zijn collega's inseint en bewerkstelligt dat pakweg twee of drie grotere kantoren hier spontaan melden dat ze vanuit een positieve grondhouding in gesprek willen met genoemde docent over de inrichting van zijn onderzoek? Gewoon, omdat erover praten leuk is, maar echt iets doen nog veel leuker?
Jurgen van der Vlugt
AT: Jan Bouwens: Helemaal mee eens. Dat soort onderzoek gebeurt ook wel, hoewel veel te weinig inderdaad. Maar dat heeft nog niet geleid tot wetenschappelijke-toppublicaties -- mede omdat de IT-wereld en de IT-auditwereld in de hekgolf daarvan, te snel draait voor de referee-based wereld. Een artikel dat heel gemakkelijk twee à drie jaar onderweg is, en dan is dat een gunstig geval, is in IT/IT-auditland al járen achterhaald. De verreweg grootste behoefte is aan IT-(audit-)advies over wat nu of beter nog, morgen, actueel is. Wat actueel is, is morgen alweer uit de Twitter time line verdwenen; tempus fugit. En de wetenschappelijke-toppublicaties gaan m.i. ook meer over diepgaande wetenschap, die 'per definitie' anders is dan de toegepaste methodologieën in ons audit- (sic) beroep. Zelfs de weinige (IT-)auditrelateerbare proefschriften zijn qua werkelijk wetenschappelijk methodologisch gehalte nogal dun en weinig rigide ongeacht de soms zeer diepgaande analyses en conclusies. De oppervlakkigheid die je noemt, herken ik dus volledig. 'We' leven derhalve meer van de, vaak te veel verkoop-gekleurde ja maar soms als building block bruikbare, white papers en andere parktijkgerichte inventarisaties en ideeën. En van de Journals en zo van de paar toonaangevende instanties, ISACA met name. Ook daar is het ofwel case-based en dan nogal smal (sample size 1 is geen uitzondering) en met de vraag in hoeverre de geschetste praktijk van de één a. te rooskleurig wordt voorgesteld, b. zonder onoverkomelijke inspanning naar de ander kan worden vertaald, c. een betere, tijdrovender, analyse niet een betere 'best' practice zou opleveren. ['Best' practice is heel vaak niet best maar minst slechte] Maar de behoeften zijn vaak particulier en dus is de funding te beperkt, of de ledenbasis voor kostenomslag (NOREA ?) is te smal. Helaas. De partijen met funding (grote kantoren) houden de commercieel bruikbare resultaten dan ook liever voor zich. Zie de vaktechnische 'speerpunten' quod non van de NOREA, dat zijn meer dingen die al bijna 'van gister' zijn, en de deliverables moeten bruikbaar zijn eerder dan dat wetenschappelijk gehalte prio 1 is. Vertel mij wat, qua Studie Adviesdiensten (Zie de NOREA-site). Of, dank voor de hint ;-] de NBA wil bijspringen -- leest Ruud nog mee? Ik houd mezelf daarvoor zeker aanbevolen -- ik lift nu niet voor niets nog mee met de discussies van een collega-beroepsgroep. Dus: Dakpansgewijs de bullets van Ruud toepassen, 'ondertussen' semi- tot zeer-wetenschappelijk werk ondernemen, en de resultaten daarvan na de bullets uitrollen, ondertussen de volgende dakpan van onderzoek opstarten en zo verder, graag, maar "gaan doen is niets, doen is iets (, gedaan hebben is alles)". Hoe krijgen we (?) dit op gang?
Pieter de Kok
Goed dat de voorzitter dit onderwerp op deze manier ook extra aandacht geeft. Naast bovengenoemde observaties zie ik nog andere aanvullende onderwerpen waar we met elkaar over kunnen stoeien: aanpak testen general- en application controls in een meer MKB setting in relatie tot inzet data-analyse op transactieniveau en toegevoegde waarde, beleving klant.. Volgorde, karakter, uitwisselbaar, complementair, nuttig etc. Prachtig! Prima Ruud! Meer, van deze concrete bijdrages haha
Jan Bouwens
AT:de heer Van der Vlugt Onderzoek doe je om een vakgebied vooruit te helpen. Het gaat hier om twee zaken. In de eerste plaats kennisverzameling en in de tweede plaats kennisdistributie. Het zou zo maar kunnen zijn dat een IT auditing praktijk niet werkt en we daar pas na jaren achter komen bij gebrek aan onderzoek. We komen derhalve zonder onderzoek vooruit. Alleen niet zo snel! Als het om auditingonderzoek gaat. Onderzoek naar hoe kantoren werken wordt bijna niet gedaan omdat kantoren niet graag gegevens vrijgeven. Er zouden veel meer bijdragen aan de praktijk mogelijk zijn vanuit auditing-research als de kantoren dat wel zouden doen. Het onderzoek dat tot nu wordt gedaan is daarom oppervlakkiger dan gewenst.
Jurgen van der Vlugt
... Inderdaad zijn er geen wereldtoppublicaties over IT-auditing. Zoals er ook geen wereldtoppublicaties zijn over fietsbandventielnippelfabrieksadministratie-auditing. Er zijn toch wereldtoppublicaties over auditing ..? Alsof IT-auditing daar niet net zo goed deel van uitmaakt als accountancy. Oh nee, die laatste is dominant in die literatuur -- wat die literatuur degradeert tot slechts een deelaspect van auditing beslaand. Haal de literatuur over administraties eraf en er blijft toch al niet zo veel over. Nee, de administratieve wereld of het hele 'In Control' circus is er niet ten behoeve van de accountant maar andersom; de accountant is de muis die op de brug tegen de olifant zegt 'wat stampen we toch lekker hard'. Oftewel: IT-auditing heeft als praktisch beroep (nog) geen wereldtoppublicaties nodig om productief te kunnen zijn. Als er een behoefte was, zou die wereldtoppublicatiewereld allang hebben bestaan... Ook of juist hier wint de markt uiteindelijk toch wel. Verdieping door wetenschappelijk onderzoek -- aardig maar bijzaak. De IT-auditwereld laat zich slecht sturen of ontwijkt regels die niet uit de praktijk voortkomen of erin hanteerbaar zijn. Voor zover er wel wetenschappelijk onderzoek wordt gedaan door IT-audit-Angehauchten, betreft het veelal werk buiten het auditing-aspect. Omdat daar weinig (meer) aan te onderzoeken valt ..? Terug naar de stellingen van Ruud op de kerkdeur van Wittenberg. Hoe die tot (hopelijk informeel te houden) norm te verheffen?
Jan Bouwens
Beste Ruud, Ik mis een belangrijk aspect in je betoog. Wat me opvalt in de wereld is dat wereld-TOP- publicaties op het gebied van IT audit niet bestaan. Terwijl we auditing research steeds vaker zien verschijnen in de topbladen zien we geen IT-auditing research terug. Een vak kan zich moeilijk ontwikkelen bij ontstentenis van serieus onderzoek. Dat wil zeggen, onderwijsprogramma’s kunnen niet alleen bestaan uit colleges verzorgd door praktijkdeskundigen. Als IT auditing inderdaad zo belangrijk wordt, moet er ook nagedacht worden over de vraag hoe IT auditing onderzoek kan worden gestimuleerd. De activiteiten van NOREA zijn in dat opzicht weinig hoopgevend.
Paul Stoele
Beste Ruud, Hartelijk dank voor jouw heldere uiteenzetting. Maar is het eigenlijk niet droevig, dat je je hier anno nu nog toe moet zetten? ICT is toch een onderdeel van ons dagelijks bestaan? Vanzelfsprekend is er verschil in moeilijkheidsgraad en complexiteit. Zoals met alles is er een samenhang met de omvang en de complexiteit van de organisatie van de cliënt. En natuurlijk kan een 'gewone' accountant als generalist van alle voor de normale beroepsuitoefening maar kennis tot een beaapld niveau hebben. Maar ICT-kennis moet gewoon tot de basiskennis behoren anno nu. Wel geldt vanzelfsprekend dat de accountant, zoals op alle terreinen, de grenzen van zijn kennis moet kennen en moet weten wanneer specialisten moeten worden ingeschakeld. Maar dat geldt toch ook voor fiscale of juridische kwesties? Kortom. Ik blijf bij mijn aanvangswoorden van waardering en droefenis. Groet, Paul Stoele
Jurgen van der Vlugt
... Als RE met een privé doorlopend hoge financieringsbehoefte ;-] kan ik een en ander natuurlijk alleen maar toejuichen. Maar ik zou er wel aan willen toevoegen: Er is, voordat Ruud's punten effectief kunnen zijn, nog wel wat werk te verzetten aan overbrugging van de verschillen in risico-mindesets. De controlerend accountant kijkt naar controlerisico's t.a.v. de jaarrekening en daaromtrent; de IT-auditor kijkt (normaliter) naar alle systemen bij elkaar omdat een groot deel van de maatregelen nu eenmaal generiek zijn. En richt zich daarbij in de CIA vooral op de C en een beetje op de A -- want de I, ach, op IT-auditorsniveau zal een bit dat een systeem ingaat, heus niet zomaar omvallen, daar zijn error correcting codes voor à la debet=credit en omspannende controles. En de A doet er in controleperspectief ook wat minder toe! Terugkijkend is bekend of er continuïteit was, vooruitkijkend, tsja, dat ruikt naar Adviseren ja ik ga m'n mond spoelen. Blijft over: de C. Die inderdaad steevast marginaal of erger is wat niet zo prettig rapporteert. De klant weet dat er veel geld en overhead tegenaan zou moeten om het eens goed te krijgen en dan nog permanent veel geld en overhead om het goed te houden. En de accountant weet dat 'ie ei-gen-lijk zou moeten terugvallen op een forse dosis gegevensgericht controleren. Maar da's (nog) niet populair (genoeg); data mining is nog onvoldoende gemeengoed. Dus inderdaad, al vroeg de IT-auditor inschakelen om dit duidelijk te krijgen, en dan blijven betrekken met het voldoende in systemen kunnen duiken om de data voor data mining beschikbaar te krijgen. [Even afgezien van mogelijkheden voor continuous monitoring, misschien beter maar in de praktijk nog een brug verder.] En inzake zorgvuldige communicatie naar de klant: Niet alleen de IT-auditor poogt als een Calimero gehoor te krijgen voor haar/zijn zorgen en vangt bot door een te hoog Boy Cried Wolf-gehalte. De accountant heeft er heus ook last van ook al is hij niet bij uitzondering verblind door een eigendunk die weinig wordt erkend (anders waren de boardroom consultancies allang verdwenen in plaats van alive and kicking). [Afgezien van het MKB, waar wat dit betreft zowel accountants als IT-auditors heel wat zakelijker, down to earth, moeten en kunnen communiceren. En ja, de adviescomponent ... Daar zit inderdaad een groot waarde-potentieel... Mits de adviezen, van welke auditor dan ook, voortkomen uit *praktijk*ervaring. Dat is fundamenteel wat anders dan decennia meedraaien in het auditvak ..! Vandaar een pleidooi om een carrièretussenstap de 'business' [ugh! wat een lelijke en vage term]in, verplicht te maken. Hoorde van een multinational waar dat voor promotie tot (internal) audit manager als vereiste geldt; lovenswaardig.
Sjoerd Kurstjens
Hulde! Goed en praktisch artikel. Wat ik nog graag als toevoeging zou willen zien: meer specifieke aandacht voor IT-Audit in de brede accountantsopleiding. In dezelfde zin als nu belastingen behandeld worden - niet om de acccountant tot fiscalist te maken, maar om te weten wanneer je een fiscalist in moet schakelen. Daar kan al een heel stuk miscommunicatie verholpen worden - opdat inderdaad de goed opleide accountants'leek' begrijpt wat er bedoeld wordt. En je dus ook echt die collega snapt (en misschien ook meer waardeert) en die ook volwaardig kan deelnemen.
Reageren op een artikel kan tot drie maanden na plaatsing. Reageren op dit artikel is daarom niet meer mogelijk.
Aanmelden nieuwsbrief
Ontvang elke werkdag (maandag t/m vrijdag) de laatste nieuwsberichten, opinies en artikelen in uw mailbox.
