Opinie 22 april 2013

'IT-auditors, come back to earth'

Nadat Arnout van Kempen mij in zijn blog meermalen heeft geciteerd, kan een reactie haast niet uitblijven. Duidelijk mag zijn: het onderwerp IT-auditing leeft! In de formalistische benadering vanuit de Standaarden kan ik mij echter niet vinden.

De IT- en financial auditor zijn beide controleurs. Primair om - volgens de agency-theorie - actief te zijn als onafhankelijk mechanisme om de moral hazard te beperken. Een IT-auditor heeft dus net zoals de accountant een actieve rol voor het maatschappelijk verkeer te vervullen.

Zelf werk ik bij een big four kantoor en heb ik enige jaren geleden de overstap gemaakt van de financial audit- naar de IT-auditafdeling. Binnen deze afdeling binnen onze Nederlandse firma zie ik dat ‘wij' als IT-auditors ons voor méér dan vijftig procent van de tijd bezighouden met audits in het kader van de jaarrekeningcontrole, waarbij we acteren als integraal onderdeel van het controleteam (COS 220).
De overige beschikbare tijd besteden we kortweg voor de helft aan assurance-opdrachten en de andere helft aan adviesopdrachten in het kader van IT en projecten.

Nu mijn punt. Ja, de accountant dient voldoende kennis van IT te hebben gezien de ontwikkelingen rondom automatisering. Maar daarnaast zie ik ook een beweging ontstaan waarbij IT-auditors een steeds groter gedeelte van de jaarrekeningcontrole voor hun rekening nemen.

De IT-auditor dient in mijn visie uit te blinken in AO/IB en de vertaling daarvan richting systemen. Maar daarnaast moet er ook een vertaling plaatsvinden naar de jaarrekeningcontrole. En dat is precies het vlak waar IT-auditors en accountants elkaar kunnen helpen.

Als we de kennis van boekhouden en de jaarrekening van accountants kunnen bijbrengen aan de IT-auditors, en de kennis over systemen en processen van IT-auditors aan accountants, hebben we een brug gebouwd.

De integratie van accountants en IT-auditors is wenselijk. Als we kijken naar toekomst van de jaarrekening zie ik deze somber in. Producten zoals continuous auditing, monitoring en SBR-assurance kunnen niet bestaan zonder een primaire proces- en IT-audit.

Een voorbeeld is de XBRL-taxonomie die de NBA eerder dit jaar heeft gepresenteerd. Dit is echt een product van accountants vóór accountants. Maar heeft een gebruiker hier ook iets aan? Het zou toch veel mooier zijn als we bij de dataset zekerheid kunnen verschaffen door inzicht te geven in de processen en automatisering bij de totstandkoming van de dataset.

Dus, concluderend in reactie op de voorgaande opinies:

• een kloof tussen de IT-auditor en accountant is zeker niet wenselijk;
• de IT-auditor komt niet van Venus. En mocht hij wel van Venus komen: Come back to earth! Of schik je in de rol als IT-specialist;
• IT-auditors en accountants dienen zich gezamenlijk verantwoordelijk te voelen voor de audit of assurance-opdracht. Hierbij dient de IT-auditor niet op basis van de Standaarden te verwijzen naar de verantwoordelijkheid van enkel de accountant.

Wellicht komt er ooit een integratie van de beide beroepsorganisaties en opleidingen. Maar misschien is dit nog iets te ver in de toekomst kijken.

We kunnen blijven hangen in Standaarden en niet innoveren, maar de innovatiekracht van accountants wordt mede bepaald door de IT-auditors van nu. Daarom is het belangrijk dat IT-auditors en accountants elkaar opzoeken en daarin ook de gedeelde verantwoordelijkheid nemen.

Op 29 mei 2013 bespreken we tijdens het innovatiedebat integrated reporting en eind 2013 organiseren we een gezamenlijk debat voor accountants en IT-auditors.