Magazine 01 juli 2013

Venus en Mars: IT- en financiële audit in zes deelthema's

Gaan controlerend accountant en IT-auditor intensiever samenwerken - en wordt audit integration uiteindelijk de standaardaanpak? Of zijn IT- en financiële audit juist bezig zich meer en meer los van elkaar te ontwikkelen, en blijft samenwerking beperkt tot het naar behoefte inkopen - of afkijken - van vaktechnische inzichten?

Dit artikel is verschenen in Accountant nr. 7/8, 2013

Bekijk alle artikelen uit dit nummer

» Download dit artikel in pdf

De vraag wordt al twintig, misschien wel dertig jaar gesteld en de praktijk heeft een breed spectrum aan mogelijke oplossingen laten zien. Maar zicht op één oplossing, een best practice, is er gek genoeg niet.

De meest recente aanleiding die de discussie toch weer flink liet oplaaien was een artikel in het maartnummer van ‘Accountant’ van Ivo Kouters en Age-Jan van de Meer, van het Zwolse bureau voor prestatieverbetering KoutersVanderMeer. De kop: ‘Audit integration moet gaan ‘vliegen’’. Omdat de gepercipieerde waarde van controle-oude-stijl erodeert is volgens hen een meer op processen en IT gerichte aanpak onvermijdelijk. IT-audit moet volledig worden geïntegreerd in de jaarrekeningcontrole, stellen de auteurs. Op Accountant.nl maakte dat artikel een storm van reacties los.

Discussie accountant.nl

De meest vocale tegenstander van audit integration bleek Jan Matto, IT-auditor en partner bij Mazars. Gezien de relevantie van IT, maatschappelijk en voor de bedrijfsvoering, vindt hij het essentieel dat IT wordt geauditeerd, los van de jaarrekeningen. Audit integration moet er volgens hem zeker niet toe leiden dat assurance wordt geclaimd over IT. Matto ziet de twee disciplines juist steeds meer tegenover elkaar staan. Sterker: hij vreest dat als accountant en IT-auditor inniger worden, de eerste de tweede kan meeslepen in zijn afkalvende maatschappelijke status.

Marc van Hilvoorde, een IT-auditor die accountant werd, werkzaam bij het overheidsbedrijf Logius maar als columnist op Accountant.nl ook deelnemer aan de discussie, lijkt minder uit op het benadrukken van de verschillende rollen. Hij vindt dat de accountant vooral moet zorgen beter te begrijpen wat de IT-auditor doet.

ICT is immers geautomatiseerde administratieve organisatie. De hoofdtaak van een IT-auditor, althans binnen de jaarrekeningcontrole, is gericht op het beoordelen van die administratieve organisatie. De accountant die ICT niet begrijpt, beheerst zijn vak niet. En wat die IT-auditor betreft: zijn toegevoegde waarde mag groot zijn, maar een zware rol in de jaarrekeningcontrole ziet Van Hilvoorde voor hem niet.

‘Soep' van argumenten

Pieter de Kok, bekend als aanvoerder van de TUACC-beweging die het accountants-establishment poogt wakker te schudden uit zijn lethargische reactie op maatschappelijke kritiek, nodigde hierop geïnteresseerden eind mei 2013 uit in het kantoor van zijn Coney in Halfweg, om de argumenten van de twee ‘scholen’ nu eens goed op een rij te zetten. Dat bleek niet eenvoudig.

Tijdens de bijeenkomst bleek dat de vraag of IT- en financiële audit zouden moeten integreren, zich snel verengt tot de kwestie of systeemgericht dan wel juist datagericht controleren effectiever is. Dat in de eerste aanpak de accountant zwaarder op de IT-auditor leunt, is begrijpelijk. Maar die discussie neemt ook het zicht weg op zaken die minstens zo belangrijk zijn. Zelfs hoofdthema's worden snel onherkenbaar in een ‘soep’ van argumenten.

Daarom is het zinnig om die hoofdthema's eens apart te benoemen.

1. De rollen die controlerend accountant en IT-auditor kunnen innemen bij de klant

De financieel auditor controleert een organisatie in principe ten behoeve van het maatschappelijk verkeer. In die verantwoordelijkheid huurt hij meestal een IT-auditor in (als ‘onderaannemer’) om te weten of de IT-systemen en IT-gestuurde processen voldoende betrouwbaar zijn om de data die ze produceren te gebruiken als betrouwbaar uitgangspunt voor beoordeling van de jaarrekening.

De IT-auditor echter kan daarnaast ook direct door het management worden ingehuurd om een oordeel te geven over kwaliteit en efficiency van de geautomatiseerde processen. Dus ook op commercieel of productietechnisch gebied. Dan werkt hij puur voor de onderneming. Maar hij kan ook dan dingen tegenkomen die invloed hebben op de financiële rapportage en verantwoording. Ze zijn dus steeds vaker concurrenten. Vertaald in termen van controle op veiligheid op de weg: IT-auditors kijken naar kwaliteit en ontwerp van de wegenbouw, controlerend accountants doen wat de verkeerspolitie doet. Combinatie van die taken is niet vanzelfsprekend.

2. Waar liggen de grenzen van de expertise die van accountant en van IT-auditor mag worden verwacht?

De traditionele accountant wordt geacht zich op te stellen als ketenregisseur van de financiële audit. Maar soms blijkt hij de systemen die de informatie ophoesten, en waarop hij zijn oordeel baseert, onvoldoende te begrijpen. Hij controleert dan ‘om het systeem heen’. Typisch accountantsstandpunt daarover: als je een auto bestuurt moet je kunnen afgaan op de klokken op je dashboard. Als je twijfelt vraag je de garage om de werking te checken.

Vraag: Is understanding the system inderdaad een primaire verantwoordelijkheid van de accountant? Kán hij als specialist in financiële rapportage wel zo breed zijn? Hij moet welke relevante vragen te stellen.

Omgekeerd: IT-auditors begrijpen weliswaar de vaak gelaagde IT-systemen en welke gegevens - uitgaand van correcte invoer - juist zijn. Maar van de materialiteit van die data heeft hij geen idee. Moet hij zich die kennis eigen maken?

3. Het maatschappelijk Umfeld en daarmee het commercieel krachtenveld verandert voor financiële én IT-auditors, maar op verschillende manieren

Door toezicht en regelgeving gedwongen staat de accountant steeds minder aan de kant van het management, en de IT-auditor juist steeds meer.

Accountants ondervinden prijsdruk in de pure certificering van jaarrekeningen, maar moeten diensten van relatief dure IT-auditors inkopen. Directies erkennen het belang van certificering voor goede corporate governance, maar zien beperkte toegevoegde waarde in ‘terugkijken’.

Naarmate IT complexer wordt, vaker een vitaal onderdeel van de ondernemingsdoelstellingen, en ook SBR de standaardmanier wordt om financiële gegevens te produceren en ter controle aan te bieden, wordt de rol van de IT-auditor groter. Daarnaast worden diensten van IT-auditors ook ingekocht voor advisering over het efficiënt en veilig inrichten van de IT-infrastructuur. Adviezen leveren de onderneming soms kostenvoordelen op, of betere dienstverlening.

Nieuw en steeds belangrijker issue: de kwaliteit van de ICT moet de veiligheid en privacy van klanten waarborgen. Het risico van claims als er iets fout gaat, neemt toe. Ook daarom maken ondernemingen ook makkelijker budget vrij voor IT-audit.

4. Financiële audit kan ook los van IT-audit extra toegevoegde waarde leveren

De kwetsbaarste plekken in elke financiële audit, systeemgericht dan wel datagericht, zitten buiten het geregistreerde geld-goederencircuit. Namelijk: bij de primaire invoer van data, bij contractvoorwaarden, autorisaties en bij de - onvermijdelijke subjectieve - waarderingen van balansposten. De extra bijdrage van accountants aan de betrouwbaarheid van de jaarrekening kan precies in dat onderbelichte, niet door IT-auditors beconcurreerde gebied liggen.

De accountant kan, beter dan de IT-auditor, een beeld krijgen van de kwaliteiten van de mensen die aan de knoppen zitten en van de tone at the top.

Bovendien: Ook al bevatten jaarrekeningen aantoonbaar fouten, en weten gebruikers als banken en beleggers dat, toch vinden ze de betrokkenheid van de accountant belangrijk. Zijn ‘meekijken’ houdt het management - enigszins - op het rechte pad.

De behoefte aan frequentere of zelfs real time rapportage neemt toe. De mogelijkheid om die te leveren hangt af van de kwaliteit van de IT-systemen en de vraag of deze onderling zijn gekoppeld. Maar eenmaal functionerend kan het accountants de mogelijkheid bieden meer inhoudelijk en toekomstgericht uitspraken te doen.

5. Andere manieren om IT en rekencapaciteit in te zetten bij controle van de jaarrekening

In de discussies gaat het vaak over de vraag of controle van de informatieproducerende systemen - door de IT-auditor - traditionele accountantscontrole overbodig maakt. Maar IT wordt ook intensief ingezet bij een heel andere controlebenadering. Die methode zet IT in om alle geld- en goederendata honderd procent beschikbaar en toegankelijk te maken. Slimme data-analyse en process mining worden gebruikt om te beoordelen of de jaarrekening een correct beeld geeft. Deze manier om IT in te zetten heeft dus niets te maken met audit integration.

6. Accountants komen van Mars, IT-auditors van Venus. 'Taal' en cultuurverschillen liggen aan de basis van soms moeizame samenwerking

Accountants zouden last hebben van koudwatervrees voor alles wat met IT te maken heeft, met the cloud, met algoritmen die worden gebruikt om data te analyseren. IT-auditors op hun beurt zouden slechts gefocust zijn op de techniek achter de informatiestromen, spreken in techno- of digi-jargon, en geen idee hebben van de relevantie of materialiteit van de data.

Ongetwijfeld zit er waarheid in de verwijten over en weer. Vreemd is wel dat Mars staat voor het mannelijke, voor techniek, voor bêta-affiniteit en moeizaam communiceren. En Venus voor het vrouwelijke, voor inlevingsvermogen, communiceren en alfa-denken. De associatie met Mars past gek genoeg dus eerder bij IT-auditors, en die met Venus bij accountants, die nog wel enig gevoel voor communicatie en menselijke verhoudingen hebben. Het is goed te beseffen dat hybrides van Mars en Venus extreem zeldzaam zijn.