Opinie 15 april 2013

ICT binnen de controle

Leestijd van ongeveer 2 minuten 7 reacties

In de reacties onder de opinie van Jan Matto RE RI valt te lezen dat Tom Ooms ziet dat er een probleem is tussen accountants en IT-auditors. "Waar het probleem ligt is dat de IT-auditor de proces objectives niet kan vertalen naar de jaarrekening assertions en andersom."

Kortom, niet de accountant heeft een probleem, maar de door de accountant ingeschakelde deskundige. Dat is curieus, aangenomen dat accountants hun eigen regels wel eens lezen. Standaard 220 maakt in paragraaf 14 en 15 glashelder dat als de IT auditor deel uitmaakt van het opdrachtteam, de accountant volledig verantwoordelijk is voor de keuze van een IT-auditor die over de benodigde kennis en ervaring beschikt en dat hij zijn werk goed uitvoert binnen de opdracht.

Uit 620.7 valt af te leiden dat een IT-auditor nooit een externe deskundige kan zijn, indien hij wordt ingeschakeld als auditor. Maar ook als je daar overheen stapt, zorgt 620.9 tot 620.13 er voor dat de accountant volstrekt dezelfde eindverantwoordelijkheid draagt als onder 220.

Als, kortom, de IT auditor niet geschikt is, is dat het probleem van de accountant. Als de accountant de IT auditor feitelijk niet begrijpt, is dat het probleem van de accountant.

Het bijzondere is, dat als ik er op wijs dat de accountant een probleem heeft en dat dit voortkomt uit de gemiddeld genomen uiterst gebrekkige kennis van (in het bijzonder geautomatiseerde) AO (administratieve organisatie) bij accountants, Tom Ooms zegt het met me eens te zijn. Maar de oplossing blijft: 'bruggen bouwen' en de IT-auditor leren boekhouden.

Toen ik jaren geleden voor het eerst in controleteams van pensioenfondsen ging meedraaien, onder leiding van Henk-Jan Strang, was het eerste wat ik van hem leerde: wil je een pensioenfonds controleren, dan moet je zoveel kennis van het actuariële vak opdoen, dat je de actuaris daadwerkelijk het vuur aan de schenen kan leggen. Leek me een zinnig idee.

Bij IT-audit is datzelfde idee van toepassing, maar nog een stapje erger. Actuarissen hebben kennis die de accountant niet noodzakelijkerwijs moet hebben. De inbreng van een IT-auditor is echter grotendeels niets anders dan het oplossen van lacunes in de basisopleiding van de accountant.

Dus nee, Tom Ooms is het niet met mij eens, volgens zijn eigen teksten. Tenzij hij bedoelt dat de accountant al jaren faalt en alleen maar steeds sterker faalt in het op peil brengen en houden van zijn kennis van het basisvak inrichtingsleer, bestuurlijke informatie voorziening, administratieve organisatie, ofwel: informatiesystemen.

Er is geen kloof tussen een accountant die zijn vak verstaat en de door hem ingeschakelde deskundigen volgens COS 620. Er is wel een kloof tussen een accountant die een lid van het controleteam volgens COS 220 inschakelt alsof hij 620 volgt. Simpelweg omdat hij zelf niet begrijpt wat die deskundige voor hem moet doen.

De oplossing ligt niet in het dichten van enige kloof, maar in het verbeteren van het accountantsonderwijs op het punt van AO. Geautomatiseerde AO.

Maar het zal niet verbazen: er is niets nieuws onder de zon, (lees vooral de reacties eens).

Wat vindt u van deze opinie?

Reageer Spelregels debat

Arnout van Kempen di CCO CISA is directeur compliance & risk bij aaff, de fusieorganisatie van Alfa en ABAB. Hij schrijft op persoonlijke titel.

Gerelateerd

Nieuws 21 augustus 2023

NOREA onderzoekt rol IT-auditor bij duurzaamheids-informatie

NOREA, de beroepsvereniging van IT-auditors, heeft recent een position paper gepubliceerd over audits van duurzaamheidsinformatie. De organisatie vraagt om te reageren...

Discussie Opinie 03 juli 2023

Zijn kinderen online veilig?

De IT-auditor vervult een preventieve rol in onze digitale samenleving om het algemeen belang te dienen.

Nieuws 12 april 2023

NOREA publiceert manifest over digitale weerbaarheid en verslaggevingsstandaard voor IT-beheersing

NOREA, de beroepsorganisatie van IT-auditors, heeft recent een manifest uitgebracht dat moet bijdragen aan de digitale weerbaarheid van de samenleving. Ook is een...

Nieuws 31 augustus 2022

NOREA: Ziekenhuizen gaan gebukt onder toenemende auditlast

Ziekenhuizen hebben te maken met een toenemende auditlast, blijkt uit onderzoek van NOREA.

Discussie Opinie 23 november 2021

Het is geen populaire mening, maar accountants zijn ook maar mensen

Het moet afgelopen zijn met het idee dat een individuele accountant alles maar moet kunnen. Het maakt de accountant blind en komt de kwaliteit van de controle niet...

7 reacties

Gertjan Stoker 18 april 2013

Tsjonge, wat een dilemma is dit nu weer! Deze discussie loopt al enkele jaren, zelfs toen ik nog in de externe audit actief was. Mijn waarneming als buitenstaander zou zijn dat er geen probleem is. Als het een echt probleem is wordt het wel opgelost. Neem een voorbeeld aan de discussie over de samenwerking tussen risk management en internal audit, die pakken het probleem fundamenteel aan, waarbij zij erkennen dat zij elk een eigen vakgebied hebben, maar tegelijkertijd moeten samenwerken om effectief te kunnen zijn, zie de publicatie hier: https://na.theiia.org/standards-guidance/Public%20Documents/RIMS%20and%20The%20IIA%20Executive%20Report%20Forging%20a%20Collaborative%20Alliance.pdf Met name de waaier vind ik mooi.

Jurgen van der Vlugt 16 april 2013

... en jawel, de discussie is alweer beland op het punt waar de Accountant oppermachtig wordt verklaard -- ook al moet 'ie voor de grondslagen van zijn oordeel te rade bij anderssoortige deskundigen..? De stoom*ketel*-ingenieurs hoeven alleen maar explosiemotordeskundigen in te schakelen om alle transportmiddelen te kunnen keuren ...? Neen, de stoomketelingenieurs zijn gewoon collectief achterhaald. Slechts de enkelingen die zich niet (alleen) op de jarrekening-ketel richtten maar op de gehele transportmiddelen (beheersing, informatieverwerking), kunnen (niet zullen) de omslag mee kunnen maken. De rest pretendeert alleskunner te zijn, 'gesteund' (quod non!) door de wettelijke verplichtingen [als het rendement voor bedrijven helder was, zou een wettelijke verplichte controle dan nodig zijn ...?] en groupthink. Want het lijkt wel alsof de accountant die vindt dat een IT-auditor alleen nog naar wat bitjes hoeft te kijken, enerzijds pretendeert bijna-alles van IT te begrijpen, anderzijds daardoor laat blijken niet te zien dat de IT-auditor allang een I-auditor is geworden (de ook daar verkalkten niet te voor gesproken...), zoals de markt vroeg. Ja ook sommige #tuacc-angehauchten zitten nog in dat oude denkpatroon; we zullen het er de 24e mei nog wel over hebben ... ;-(

Arnout van Kempen 16 april 2013

Klopt Hans. Dat zou pas echt reden tot zorg moeten zijn.

Ted O. Mos CIA RE RI 16 april 2013

Je slaat de spijker op de kop Arnout. In veel van de reacties op de relatie tussen accountant en IT-auditor wordt telkens weer de verkeerde beroepsbeoefenaar (de IT-auditor) als oplossingseigenaar aangewezen. Daar moet toch een oorzaak voor zijn. De kern van COS220 en COS620 is inderdaad dat de accountant verantwoordelijkheid dient te nemen over zijn eigen handelen. De accountant dient zich er zelf van te vergewissen en zeker te stellen, dat als hij andersoortige expertises inzet binnen zijn controleaanpak omdat die persoon naar zijn oordeel bijdraagt of kan bijdragen aan het daarbij door hem beoogde resultaat. Een verantwoordelijkheid die niet verandert in het geval daarbij een eigen medewerker of een extern ingeschakelde deskundige wordt ingezet. De discussie op dit vlak focussen is dus per definitie een verkeerde invalshoek. Net zo goed dat het niet nodig is om de IT-auditor te leren boekhouden is het niet nodig van de accountant een RE te maken. Dat zijn benaderingen waar we met elkaar doorslaan qua oplossingsrichting. Het komt neer op streven naar de inmiddels alom geroemde ‘alleskunner’. Een concept waar ik om meerdere redenen niet in geloof. In dat licht vind ik het kenschetsen van de toegevoegde waarde van een IT-auditor als zijnde “grotendeels niet anders dan het oplossen van lacunes in de basisopleiding van de accountant” erg bedenkelijk en zeker geen recht doen aan deze beroepsbeoefenaar. En die conclusie trek ik graag door richting de actuaris die je opvoert. Een actuaris houdt zich beroepshalve bezig met het doorrekenen en evalueren van risico's, iets dat accountants binnen hun controleaanpak zeker ook doen. Om de algemene onjuist- of onvolkomenheid in je benadering te benadrukken haal ik ook nog even de fiscaliteit erbij. Accountants worden mijns inziens terecht geacht van al die gebieden (IT-audit, ICT, actuarieel, fiscaal) wel iets te weten. In ieder geval genoeg om de inzet ervan te kunnen aansturen binnen zijn controleaanpak. De praktijk laat echter te vaak zien, dat accountants, zelfs als al die expertises in eigen huis aanwezig zijn, vaak (te) lang in eigen beheer aanmodderen. De achtergrond daarvan is gewoon een financieel getint vraagstuk, die iedereen voor zichzelf kan uittekenen. Hoezo ‘een stapje erger’? Vandaar ook mijn pleidooien voor een meer generieke insteek. COS220 en COS620 kun je ook zien als een ideale opmaat om als accountant regievoerder te kunnen zijn voor zijn controleaanpak. Regie voeren betekent dat je in ieder geval moet snappen waarover je dat doet. Dus, begrijpen wat het speelveld waarin men zich begeeft aan expertises vereist en welke informatiewaarden je als accountant nodig hebt om de doelstelling binnen de controleaanpak vaktechnisch verantwoord te kunnen invullen. Het gaat er dus niet om dat we het wel of niet met elkaar eens zijn. Met respect voor ieders expertisegebied zou het van een constructieve benadering getuigen, als we er voor gaan om alle spelers meer van elkaars werkveld te laten begrijpen. Dat is absoluut iets anders dan dat we elkaars werkveld over willen nemen of zaken te baggetaliseren. Laat de focus dus liggen op het creëren van een goede basis voor partijen om op gelijke basis goede gesprekspartners te worden, zodat de klant daarvan de vruchten plukt in plaats van de nare nasmaak ervaart omdat hij door het door de accountant niet of niet op tijd bijschakelen van de vereiste expertise, wellicht een kans mist of een probleem rijker wordt. Discussies over een kloof is een theoretisch benadering, terwijl zowel vaktechnisch als in de praktijk het effect ervan wel degelijk duidbaar is. Als klanten het bestaan van dit soort ‘onderwatergevechten tussen professionals’ in de aan hun geleverde dienstverlening gaan merken, is het te laat. Komen tot een betere samenwerkingsvorm waarin ruimte is om elkaars expertises complementair te benutten is derhalve de boodschap. Daar wordt iedereen beter van.

Hans Hoekstra 16 april 2013

....oud nieuws.....

Tom Ooms 15 april 2013

Arnout, goed te lezen dat we het op bepaalde vlakken wel degelijk eens zijn. Alleen benader je het vooral uit een oogpunt van wet- en regelgeving. Ik probeer het meer te benaderen vanuit de praktijk en wellicht hetgeen we naar toe moeten als beroep (lees: audit beroep). Om maar even te beschrijven op welke punten we het eens zijn: - de accountant is uiteraard verantwoordelijk voor de keuzes in het audit plan, de uitkomsten van de IT audit, etcetera; - de accountant mag soms inderdaad wel eens worden bijgeschoold over IT. Zie ook andere discussies die ik in diverse rollen (ook als Young Prof) al eerder heb benoemd. Maar dit is meer een opleidingsthema (en PE). Met betrekking tot de kloof. Ja nu benader je het weer puur vaktechnisch. Dat is niet mijn punt. Ik praat liever over praktijk en hoe we hier mee om gaan. Gezien de kritische noot kom ik hier in een column even op terug. Jouw suggestie overigens dat veelal IT auditors als deskundige worden ingezet kan ik ook niet stroken met de praktijk waar ik juist zie dat IT auditors als onderdeel van het team (Standaard 220) worden ingezet.

Q 15 april 2013

Reageren op een artikel kan tot drie maanden na plaatsing. Reageren op dit artikel is daarom niet meer mogelijk.