Opinie 15 april 2013

ICT binnen de controle

In de reacties onder de opinie van Jan Matto RE RI valt te lezen dat Tom Ooms ziet dat er een probleem is tussen accountants en IT-auditors. "Waar het probleem ligt is dat de IT-auditor de proces objectives niet kan vertalen naar de jaarrekening assertions en andersom."

Kortom, niet de accountant heeft een probleem, maar de door de accountant ingeschakelde deskundige. Dat is curieus, aangenomen dat accountants hun eigen regels wel eens lezen. Standaard 220 maakt in paragraaf 14 en 15 glashelder dat als de IT auditor deel uitmaakt van het opdrachtteam, de accountant volledig verantwoordelijk is voor de keuze van een IT-auditor die over de benodigde kennis en ervaring beschikt en dat hij zijn werk goed uitvoert binnen de opdracht. 

Uit 620.7 valt af te leiden dat een IT-auditor nooit een externe deskundige kan zijn, indien hij wordt ingeschakeld als auditor. Maar ook als je daar overheen stapt, zorgt 620.9 tot 620.13 er voor dat de accountant volstrekt dezelfde eindverantwoordelijkheid draagt als onder 220. 

Als, kortom, de IT auditor niet geschikt is, is dat het probleem van de accountant. Als de accountant de IT auditor feitelijk niet begrijpt, is dat het probleem van de accountant. 

Het bijzondere is, dat als ik er op wijs dat de accountant een probleem heeft en dat dit voortkomt uit de gemiddeld genomen uiterst gebrekkige kennis van (in het bijzonder geautomatiseerde) AO (administratieve organisatie) bij accountants, Tom Ooms zegt het met me eens te zijn. Maar de oplossing blijft: 'bruggen bouwen' en de IT-auditor leren boekhouden. 

Toen ik jaren geleden voor het eerst in controleteams van pensioenfondsen ging meedraaien, onder leiding van Henk-Jan Strang, was het eerste wat ik van hem leerde: wil je een pensioenfonds controleren, dan moet je zoveel kennis van het actuariële vak opdoen, dat je de actuaris daadwerkelijk het vuur aan de schenen kan leggen. Leek me een zinnig idee. 

Bij IT-audit is datzelfde idee van toepassing, maar nog een stapje erger. Actuarissen hebben kennis die de accountant niet noodzakelijkerwijs moet hebben. De inbreng van een IT-auditor is echter grotendeels niets anders dan het oplossen van lacunes in de basisopleiding van de accountant. 

Dus nee, Tom Ooms is het niet met mij eens, volgens zijn eigen teksten. Tenzij hij bedoelt dat de accountant al jaren faalt en alleen maar steeds sterker faalt in het op peil brengen en houden van zijn kennis van het basisvak inrichtingsleer, bestuurlijke informatie voorziening, administratieve organisatie, ofwel: informatiesystemen. 

Er is geen kloof tussen een accountant die zijn vak verstaat en de door hem ingeschakelde deskundigen volgens COS 620. Er is wel een kloof tussen een accountant die een lid van het controleteam volgens COS 220 inschakelt alsof hij 620 volgt. Simpelweg omdat hij zelf niet begrijpt wat die deskundige voor hem moet doen. 

De oplossing ligt niet in het dichten van enige kloof, maar in het verbeteren van het accountantsonderwijs op het punt van AO. Geautomatiseerde AO. 

Maar het zal niet verbazen: er is niets nieuws onder de zon, (lees vooral de reacties eens).