Accountant
NBA-platform voor accountants en financials
Overig
Magazine Podcast Dossiers Nieuwsbrief Contact
Home > Opinie > 2013 > 4 > De IT-auditor komt van Venus
Opinie

De IT-auditor komt van Venus

Leestijd van ongeveer 4 minuten 16 reacties

IT-auditors komen van Venus denk ik. Want ze hebben wel heel veel woorden om uit te leggen hoe belangrijk ze zijn voor accountants.

Ivo Kouters en Age-Jan van de Meer pleiten in het maartnummer van Accountant en op dit forum voor audit integration, het toepassen van IT-audit als geïntegreerd onderdeel van de jaarrekeningcontrole. Hun bijdrage lokt zeer lange reacties uit en ook al een stevige  tegenreactie

Hé alweer, denk ik bij mijzelf. In de jaren negentig deed ik ook enorm mijn best om de integratie tussen IT audit en accountant voor elkaar te krijgen. Zowel als IT-auditor als accountant met kennis van en affiniteit met IT probeerde ik beide partijen tot elkaar te brengen. 

Als Venus van huis uit, was het volgens mij niet zo'n ingewikkeld probleem. De bijdrage die de IT-auditor kan leveren aan een jaarrekeningcontrole is maar heel beperkt:

  • Ja accountant, je kunt steunen op de systemen. Aanvullende gegevensgerichte controle niet noodzakelijk.
  • Nee accountant, je kunt niet steunen op de systemen. Volledige gegevensgerichte controle noodzakelijk.
  • Ja accountant, je kunt deels steunen op de systemen.

En de accountant ging gewoon zijn gang. Niet steunen was geen 'best practice'.  

De vaktechnische noodzaak van deze bevindingen neemt inmiddels wel af. Door beschikbaarheid en toegankelijkheid van gegevens is gegevensgericht controleren de norm. Ik corrigeer mijzelf: Gegevensgericht controleren zou de norm moeten zijn. Vraag het aan Philip Elsas en vraag het aan Pieter de Kok. 

Maar ik bereikte de accountant van Mars maar zelden. Ik schreef hier al eerder over. Het standaardwerk van John Gray "Mannen komen van Mars, vrouwen van Venus" gaf me troost en diverse nuttige tips waar de accountant en IT-auditor hun voordeel mee kunnen doen: "Als een Marsbewoner zich beter wil voelen trekt hij zich terug om zijn problemen alleen op te lossen". 

De auteurs van 'Audit integration moet gaan vliegen' hebben dezelfde ervaringen: "Toch wil het nog niet echt van de grond komen, ondanks de vele trainingen op dit gebied. Dit is onder meer verklaarbaar door een gebrek aan communicatieve vaardigheden van de betrokken specialisten." 

Volgens de auteurs is de gemiddelde accountant niet goed op de hoogte van de mogelijkheden en beperkingen van IT-audit en heeft hij daar ook weinig tot geen affiniteit mee. En omgekeerd. Het ligt dus blijkbaar aan de communicatie. Maar als IT-auditors zoveel woorden nodig hebben is er iets bijzonders aan de hand. Dat vraagt ook om bijzondere oplossingen, en een heel andere kijk op het probleem. 

De oplossing van Kouters en Van de Meer is echter weinig creatief. De IT-auditors gaan het nog maar een keer uitleggen en nog maar weer eens beter communiceren. Maar IT-auditors en accountants spreken niet dezelfde taal. En dan kun je uitleggen tot je een ons weegt. Ik citeer John Gray: "Zodra je maar begrijpt dat je soms niets van elkaar begrijpt, zijn veel relatieproblemen meteen opgelost". 

Zelf ben ik ook tot de conclusie gekomen dat de verschillen te groot zijn om enkel door relatietherapie ("Dokter ... mijn accountant van Mars luistert zo slecht naar me!") te worden opgelost.  

Ook Jan Matto gelooft niet direct in Audit integration. De kern van de reacties komt voor mij samen in de bijdrage van Prof drs H.C. Kocks RA (zie zijn reactie). Hij schrijft: "Mijn aantoonbare stelling is dat een IT-auditor niets te zoeken heeft bij de jaarrekeningcontrole. De accountant is daarvoor opgeleid en niet de IT-auditor. (...)  Ik heb in 1991 de EDP auditing opleiding aan de EUR gestalte mogen geven. Die opleiding is, zolang ik er verantwoordelijk voor ben geweest, nimmer bedoeld geweest om mensen op te leiden voor (ondersteuning van) de jaarrekeningcontrole maar als zelfstandige discipline." 

Voor mij ook nieuw, geef ik toe. Ik ben van de school: "Kom, geef de Mars- accountant een handje en nu samen spelen!" 

De voornaamste werkzaamheden van een IT-auditor binnen de jaarrekeningcontrole zijn gericht op het in kaart brengen en beoordelen van de AO, BIV, de maatregelen van interne controle. Een kerntaak van de accountant zelf. 

Door de opmerking van Kocks valt voor mij het kwartje. De accountant die zijn vak beheerst begrijpt IT. De technische kennis kan hij in zijn controle betrekken zonder de verantwoordelijkheid over te dragen: Een Java-expert in plaats van een Java-auditor, een Oracle-specialist in plaats van een Oracle-auditor. De accountant bepaalt wat hij wil weten. En de IT-auditor houdt zich met andere dingen bezig, niet met de jaarrekening. Zo hoort het.

Wat vindt u van deze opinie?

Reageer Spelregels debat

Marc van Hilvoorde is werkzaam voor Logius en daar verantwoordelijk voor het team Centrum voor Standaarden.

Gerelateerd

16 reacties

Jan Matto

AT:Arnout, Dank voor deze duiding. Mooi, en er zit veel in. Moet er eens even over denken. Om even in termen van planeten te blijven: "Housten we have a problem!"

Arnout van Kempen

AT:Jan, the problem is this: De accountant heeft drie opties, als het gaat im het inschakelen van een IT auditor: 1. Als lid van het controleteam, geregeld in COS 220. 2. Als externe deskundige, maar dan moet de IT auditor worden ingeschakeld om zijn IT-kennis en NIET om zijn audit-kennis, geregeld in COS 620. 3. Niet. Veel accountants passen 2 of 3 toe, terwijl 1 de correcte keuze zou zijn. Immers, als de accountant simpelweg de audit-kennis mist met betrekking tot IT, dan moet hij die kennis binnen zijn team halen. Optie 2 is er alleen voor accountants die de noodzakelijke audit-kennis wel hebben, maar de technische componenten-kennis missen. Dan is een IT-auditor een vrij rare keuze. Waarom zou je immers al die audit-kennis toevoegen als je alleen maar kennis van, pak hem beet, SAP R/3 nodig hebt? Optie 3 is er voor accountants die hun vak verstaan en voor accountants die dat zo slecht verstaan dat ze niet eens zelf door hebben dat ze een kennistekort hebben. Het probleem is dat de accountant de IT auditor inschakelt omdat hij audit-kennis mist, maar de IT-auditor behandelt en aanstuurt alsof deze wordt ingeroepen om zijn IT-kennis. En ja, dan gaan dingen mis.

Jan Matto

Hi Marc en Pieter, prima, ik meld mij graag aan. En goed initiatief, dank daarvoor! Ik merk dat ik wel heel anders in de discussie zit. Het gaat mij om de positionering van IT audit in bredere zin en de beeldvorming die hier plaatsvindt. De discussie of de IT auditor wel of niet nodig is bij de jaarrekeningcontrole kunnen we het ook over hebben, maar is meer een deskundigheidsvraagstuk in het accountantsveld lijkt mij. Als de accountant vindt dat een deskundige wel of niet nodig is dan schakelt hij die wel of niet in lijkt mij. Whats the problem? Wel vind ik heel interessant als de accountant zich uit de systeemgerichte controle terugtrekt en wat daar de kansen en bedreigingen van zijn.

Marc van Hilvoorde

Jan, je concludeert terecht dat ik mijn stuk jaarrekening-centrisch (mijn woorden) heb opgeschreven. Dat was zowel een zeer bewuste keuze als maar een deel van het verhaal. Die keuze maak ik hier om een punt te maken. En mijn punt hier is dat de IT auditor niet nodig is/zou moeten zijn bij een jaarrekeningcontrole. Niet bij de audit van de automatisering, en niet bij de automatisering van de audit. Wat me steeds meer bezighoud is dat de hele basis onder het belang van systeemgericht controleren vrij snel aan het wegvallen is. Dat punt raakt, maar staat zelfstandig naast de discussie wel/geen IT auditor bij de jaarrekeningcontrole. Pieter, dank voor je goede initiatief! Ik verheug me al op de discussie als ik zie dat mensen als Ted Mos, Ivo Kouters en Age-Jan van de Meer ook aanwezig zullen zijn.

Pieter de Kok

Haha Jan, we hear you hoor, maar dit forum gaat vaak, waarom weet ik ook niet, over de jaarrekeningcontrole. Vandaar het dominante karakter. Rondetafel ook. Dus hou m vast en een van de vragen (zie ook mijn blog): IT Auditors, wat kunnen we er mee rondom de jaarrekeningcontrole? wordt leuk! Zo beetje alle deskundige zijn er, ook Marc (de schrijver van dit artikel). If needed, kunnen we Philip Elsas via Skype beschikbaar maken:) Philip en ik dagdromen tegenwoordig heel veel over de Hollandse Real-Time Geld Goederen Modellen. Ongoing Monitoring en Assurance Kunnen we ook nog rondetafel over doen. Eerst maar eens die klassieke jaarrekening tackelen.

Jan Matto

Toch valt ook hier heel wat op af te dingen. Probleem ook in dit artikel is het dominante denken vanuit de jaarrekening en het kennelijk niet onderkennen wat een IT auditor zelfstandig naar de markt doet. Uiteraard gaat de accountant over de jaarrekening. Prima. Maar dat een IT auditor naar andere objecten kijkt dan een accountant klopt niet. AO/IC is net zo core voor de IT auditor als voor de accountant net zoals andere aspecten van de bedrijfsvoering. Dus met enige vrijheid, de IT auditor doet deels het zelfde wat de accountant doet, maar niet binnen de beperkingen van het " jaarrekeningcontrole denken". We zien ook steeds meer dat bevindingen van IT auditors met opdrachten buiten de jaarrekeningcontrole bij cliënten waar de financial auditor ook beweringen doet over de IT tot andere inzichten komt. (Hoe zat dat ook al weer bij Diginotar?) Dit pleit er dus voor om IT audit over te laten aan een beroepsgroep die niet de beperkingen heeft van de aanpak van jaarrekeningcontrole. "If you want to beat the market, the market will beat you" Margareth Thatcher

pieter.dekokAT:coney.nl

Voor de goede orde even een tussenstand: na één dag een line up van 10 aanmeldingen, waaronder het team met het artikel waar alles mee begon, een aantal betrokkenen Accountant.nl stamgasten en ook al één Finance/Business man als afnemer van assurance diensten die met de nodige vragen zit. Ofwel, er lijkt zich een mooie mix te ontwikkelen. Voorlopig ontbreekt nog de heer Kocks, die ga ik kietelen om te kijken of hij nog een bijdrage wil leveren. Het leeft, er is dialoog, dat is wat we nodig hebben met elkaar. Kennisdelen, #mooistevak

Paul Stoele

Pas in de jaren '70 zijn beide activiteiten ('controle van de automatisering' en 'automatisering van de controle' - PS) in Nederland goed van de grond gekomen, waarbij overigens het hiervóór gehanteerde onderscheid niet zo duidelijk uit de verf kwam. Dit is wellicht te verklaren uit de omstandigheid dat een doeltreffende aanpak in de praktijk slechts kon worden gerealiseerd door binnen accountantskantoren c.q. accountantsdiensten op automatisering verbijzonderde groepen te formeren, die beide (oorspronkelijk gecursiveerd - PS) activiteiten voor hun rekening namen. Zo ontstond een specialisme waarvan in aanvang werd gedacht dat het tijdelijk zou zijn. (haha - PS) Het ging immers toch vooral om een 'inhaalslag'. Het doel was de vereiste kennis en vaardigheid op het gebied van controle en automatisering aan alle accountants te verschaffen. Dit doel is door allerlei oorzaken (nog?) niet bereikt. Het voorgaande schreef de heer B. Goossens RA, gedateerd Januari 1988 in het Liber Amicorum "Stevig in de leer, moedig in de toepassing" ter gelegenheid van de pensionering van drs. K. Kruisbrink RA bij Moret & Limperg (thans EY). Bij het tijdelijke karakter van het werk van de EDP-auditors in het kader van de controle heb ik al iets genoteerd, zodat ik nu alleen nog maar behoef te wijzen op de laatste zin van bovenstaand citaat. Wie weet wanneer we weer 25 jaar verder zijn hoe de situatie dan is, toch?

Arnout van Kempen

De kwestie "IT auditor wil op stoel accountant" vind ik wel een hilarische overigens. Zonder uitzondering zie ik dat IT auditors (ik noem mezelf naar mijn titel overigens liever IS auditor, gewoon, voor de spraakverwarring) juist zo ver mogelijk bij de jaarrekeningcontrole vandaan blijven. Sterker, ik herinner me ooit een blogje geschreven te hebben waarbij ik niet heel expliciet aangaf dat ik het alleen had over de IT auditor in de jaarrekeningcontrole, en daar volgde een partij boosheid op van een IT auditor! Dat ik kennelijk niet wist dat IT auditors vooral niks met jaarrekeningcontrole te maken hebben, domme ik! Dus tsja, sorry, maar accountants die bang zijn voor opdringerige IT auditors, ik moet daar een heel klein beetje om lachen.

Frank Felten

Wat is nog mis in de discussie is het gebruiken van de IT voor de controle. Er wordt nu met name gesproken over de beoordeling van de IT/AO/IB, maar daarnaast kan (en moet?) je de IT ook gebruiken bij de controle, al was het maar gegevensgericht op frauderisico's e.d. Heb me daarom ook graag aangemeld voor 24/5. Pieter, dank voor het initiatief!

Ted O. Mos CISA RE RI

Bijzonder om te zien, hoe de invulling van het raakvlak tussen accountant en IT-auditor velen maar bezig blijft houden. Blijft, want juist dit aspect was 25 jaar geleden een van de redenen en aanleiding voor de afsplitsing van de toen nog als EDP-auditors bekend zijnde IT-auditors uit het accountantswereldje. Eigenlijk zou je kunnen concluderen, dat die stap (NOREA) niet heeft geleid tot de beoogde ‘verzelfstandiging’. De IT-auditor is gegeven de voortdurende discussies over deze relatie, om de een of andere reden in de mindset van velen blijkbaar nooit echt los gekomen van de accountancy. Dat ze altijd een gemeenschappelijk kenniscomponent zullen houden (auditing) wordt helaas te vaak vereenzelvigd op de manier zoals we in de aanleiding voor deze opvlamming van meningen terugzien. En daar zit naar mijn smaak de kern van ‘het bestaansrecht’ van deze discussie. Zoals in de discussies op de artikelen waaraan wordt gerefereerd al uitgebreid is aangereikt, is heel dit ‘kloof gedoe’ eigenlijk een non-discussie. Waar de geponeerde stelling vandaan komt dat IT-auditors op de stoel van accountants willen zitten is voor mij een raadsel. Ik ken geen IT-audit collega’s met die ambitie. Ieder heeft zijn eigen expertisegebied. Accountants zouden prima in staat moeten zijn om te beoordelen of ze expertise bij moeten schakelen in hun opdracht. Evenzo zouden zij ook moeten kunnen beoordelen of iets hun eigen competentie voorbij schiet. Er is niets mis met erkennen dat accountants zich in het heden binnen hun taakstelling wellicht steeds meer zouden moeten profileren of opstellen als ‘regievoerder’. Een insteek gericht op het in opdrachten in zetten van de vereiste expertises in een goede samenhang teneinde de kwalite van de opdrachtuitvoering te borgen. Inderdaad; de COS620 insteek. En dan beperk ik me zeker niet tot IT-auditors als extern deskundigen. Ik heb me aangemeld Pieter. Ben benieuwd of er nog een stoel vrij is.

Willem D. Okkerse MBA - CEO OK-Rating Institute

Helaas zit ik op Cyprus...

Arnout van Kempen

aangemeld!

pieter.dekokAT:coney.nl

Marc, Prima verhaal. Toeval of niet (twee zielen blabla) en in het kader van #PratenNaarDoen maar soms even bijpraten had ik het een idee / voorstel dus om een kleine rondetafel te doen met wat liefhebbers. Ea weggeschreven in Blogje. Datum: 24 mei -12:00 - Coney Halfweg. Ik heb namelijk, ja , je bedenkt het niet, ook wel een vraag voor de deskundigen. Het zou leuk zijn als we leuke mix, Finance, Audit, IT Audit aan de lunchtafel hebben. hwww.coney.nl/2013/04/11/it-auditors-wat-kan-je-ermee-rondom-de-jaarrekeningcontrole/ Vol is vol, voor de liefhebbers, zoekende, onder ons.

Arnout van Kempen

Marlon, dat is precies wat Marc zegt. Alleen, zo Venus, zo lief, dat je het bijna over het hoofd zou zien: De accountant die zijn vak beheerst begrijpt IT. Ja, De accountant die zijn vak beheerst.

Marlon

Sinds 1991 is er wel eea veranderd. Namelijk nu zie je een tendens tot volledige digitalisering van de hele procesketen daar dus ook dwars doorheen lopend de financiele functie. De hele AO/IB zal meer en meer embedded in de IT gaan worden, eerder nog meer dan minder. Dus als je daarop wil Auditen zal je daar toch wel iets van moeten snappen wil je daar op kunnen steunen? Hoe kan de toekomstige verklaring op een XBRL document steunen?

Reageren op een artikel kan tot drie maanden na plaatsing. Reageren op dit artikel is daarom niet meer mogelijk.

Aanmelden nieuwsbrief

Ontvang elke werkdag (maandag t/m vrijdag) de laatste nieuwsberichten, opinies en artikelen in uw mailbox.

Bent u NBA-lid? Dan kunt u zich ook aanmelden via uw ledenprofiel op MijnNBA.nl.

Relevantie Datum