Magazine

ICT-bijscholing noodzakelijk

Accountants belijden de noodzaak van meer ICT-kennis nog steeds vooral met de mond, vindt Kor Mollema. Moderne organisaties en hun relaties met de buitenwereld zijn tot in alle facetten doortrokken van ICT. Dat accountants hun deskundigheid en methoden niet hebben doorvertaald naar die nieuwe, steeds papierlozer werkomgeving, brengt de pijlers van de accountantscontrole in gevaar.

Dit artikel is verschenen in de Accountant nr. 3, 2006

Bekijk alle artikelen uit dit nummer

» Download dit artikel in pdf

Kor Mollema

Traditionele beroepen ondervinden nogal eens de noodzaak tot algehele metamorfose, als gevolg van grote veranderingen in het werkveld. Zo werd de autoreparatiewerkplaats lange tijd gedomineerd door monteurs met sleutel en schroevendraaier. Geleidelijk aan is de automobiel een rijdende computer geworden, en is de techniek zo geperfectioneerd dat het technisch onderhoud sterk is afgenomen. Voor de populatie van monteurs had dat ingrijpende gevolgen. Zij hebben aanvullende opleidingen genoten om om te kunnen gaan met de elektronica die de auto in al zijn functies aanstuurt. Daarnaast zijn er geheel op elektronica gespecialiseerde monteurs gekomen. Door tijdig in te spelen op de veranderingen is de garagist in staat om te voldoen aan het maatschappelijk verwachtingspatroon. Hoe zit dat met de accountant?

Verder weg dan ooit

In de jaren zeventig zag een relatief kleine groep accountants het belang van ICT voor de accountantscontrole. Ze bekwaamden zich in ICT en vormden binnen de accountantsmaatschappen een ondersteunende groep. Op het niveau van de beroepsorganisatie werden ze actief in de toenmalige commissie automatiseringsvraagstukken (CAV). Een aantal NIVRA-geschriften verscheen in de serie Automatisering en controle, men organiseerde conferenties.

Het mocht allemaal niet baten. Slechts enkele jaren heeft binnen de NIVRA-opleiding de keuzerichting AO het volgehouden. De droom om een substantiële groep accountants een edp-auditopleiding te geven en hen daarvoor te belonen met een aantekening op het accountantsdiploma, leek verder weg dan ooit. Amsterdam, Rotterdam en Tilburg richtten postdoctorale opleidingen edp-auditing op, geheel buiten het NIVRA om. Niet lang daarna werd de NOREA opgericht, de beroepsvereniging van edp-auditors die sindsdien enorm is gegroeid.

Geen attitudeverandering

Pas na de eeuwwisseling, toen er na een serie beursschandalen meer aandacht kwam voor strengere regels op het gebied van corporate governance, veranderde dit. Het interne risico- en beheersingsysteem kwam duidelijker in beeld en accountantsorganisaties wereldwijd ontdekten dat het ICT-risico een belangrijk onderdeel is van operational risk, terwijl tegelijkertijd de interne beheersing in belangrijke mate is ondergebracht in computersystemen.

In de Richtlijnen voor de Accountantscontrole editie 2002, hoofdstuk 401 wordt nog gesproken over ‘te verrichten werkzaamheden indien gebruik wordt gemaakt van geautomatiseerde informatiesystemen’. Hoezo indien? Meer dan negentig procent van de bedrijven is geautomatiseerd, niet zelden op zeer complexe wijze. RAC 401 stelt verder dat ‘de accountant voldoende kennis (dient) te bezitten omtrent de geautomatiseerde informatiesystemen’.

Met de mond wordt dus al enige jaren beleden dat de accountant meer ICT-kennis nodig heeft en wordt meer nadruk gelegd op samenwerking met de edp-auditor. Maar een attitudeverandering in de beroepsgroep bleef tot op de dag van vandaag uit. De ICT-kennis van de gemiddelde accountant is ver onder de maat. Met ingang van versie 2005 zijn RAC 400 en 401 vervallen en voor een deel opgenomen in 315 en 330. De vraag hoe om te gaan met ICT in de accountantscontrole is daarmee verder gemarginaliseerd. Toch staan er nieuwe IFAC-richtlijnen aan te komen die hogere eisen gaan stellen aan de IT-kennis van de accountant. De grote kloof tussen eis en compliance zal daardoor zichtbaar worden.

Kernvragen

In de rubriek Opinie van ‘de Accountant’ van februari 2006 dicht Jules Muis mij toe: ‘Het hernieuwd claimen van het primaat van ICT-deskundigheid binnen een beroep dat inmiddels volwassen is uitgegroeid tot een coalitie van deskundigheden.’

In dezelfde rubriek schrijven Rick Mulders en Bob van Kuijck: ‘Met Mollema zijn wij van mening dat ICT een complex auditobject is. Zo complex dat deze materie niet past bij een (bij)geschoolde accountant.’ Hieraan vooraf ging een interessante uitwisseling van toekomstvisies op het accountantsberoep, later gebundeld in het NIVRA-boekje ‘Trends in accountancy 2005-2006’. Naar aanleiding van deze twee reacties wil ik de volgende vraag opwerpen en trachten te beantwoorden.

Is de beoordeling van de ICT een primaire en onvermijdelijke verantwoordelijkheid van iedere accountant, waartoe hij/zij vaktechnisch toegerust moet zijn/worden?

Een belangrijke vraag. Een positief antwoord zou namelijk betekenen dat, bij een blijvend passieve opstelling van de beroepsorganisatie en de beroepsgenoten, het accountantsberoep wegens gebrek aan kwaliteit niet langer kan beantwoorden aan het maatschappelijk verwachtingspatroon.

Maatschappelijke evolutie Het is nuttig om eerst eens te zien wat ICT in de samenleving is gaan betekenen. In het maatschappelijk-economische krachtenveld geven twee krachten een impuls aan ICT. Ten eerste de noodzaak tot excellente klantenservice, die zonder adequate ICT nauwelijks nog denkbaar is. En ten tweede, onder druk van wereldwijde concurrentie, de noodzaak tot kosteneffectief produceren. Omdat onze persoonlijke bereidheid harder te werken grenzen kent, is er maar één weg naar efficiency-verhoging: meer en betere ICT. Beide ontwikkelingen leggen een grote druk op permanente ICT-innovatie en maken ICT tot een onmiskenbaar penetrante factor in de samenleving.

Accountantscontrole

Terug naar het accountantsberoep. Het doel van de accountantscontrole is de accountant in staat te stellen een oordeel te geven of de jaarrekening in alle van materieel belang zijnde opzichten in overeenstemming is met de van toepassing zijnde grondslagen van financiële verslaggeving. De jaarrekening moet een getrouw beeld geven, zodat gebruikers op basis daarvan hun beslissingen kunnen nemen. In het kader van de Sarbanes-Oxley Act en de code Tabaksblat moet inmiddels ook het nodige worden gedaan aan beoordeling van het interne risico- en beheersingsysteem, maar beide codes expliciteren slechts wat eigenlijk allang had gemoeten vanuit de beoordeling van de jaarrekening als sluitstuk van de financiële verantwoording.

Moderne onderneming

Laten we de moderne onderneming eens weergeven met behulp van een schema (zie figuur ‘De moderne onderneming’). In de kern vinden we de primaire functies waarmee het bedrijf zich een positie in de markt verschaft. Ze worden onmiddellijk geflankeerd door human capital en de logistiek. De volgende flanken zijn treasury (optimaal beheer van kasstromen) en het interne controlesysteem, zoals dat is verankerd in procedures en vooral computernetwerken. De volgende laag is de ICT. Die is diep gepenetreerd in de primaire functies bijvoorbeeld e-marketing, electronic data interchange aan de inkoopzijde, gerobotiseerde productie, e-sales maar ook in het menselijk kapitaal (werkplekautomatisering), de logistiek (per internet traceren van stromen en voorraden grondstoffen en eindproducten over de wereld), en de treasury (internet banking). Ten slotte is de ICT ook nog eens in belangrijke mate het woonhuis van het interne controle systeem (zie hierna).

Hebben Mulders en Van Kuijck gelijk?

Bovenstaande kan ons helpen te bepalen of Mulders en Van Kuijck gelijk hebben met hun commentaar. ‘Met Mollema zijn wij van mening dat ICT een complex auditobject is’, schrijven ze. Uit eerdere publicaties van hun hand blijkt dat hier de nadruk moet liggen op het woordje een: één uit meer. Zoals je als accountant ook een complex verzekeringsvraagstuk kunt tegenkomen of een portefeuille met ingewikkelde contracten.

Figuur ‘De moderne onderneming’ laat echter zien dat ICT àlle kernfuncties en ondersteunende functies in de onderneming behelst. Het is niet ‘een’ boompje uit het bos, maar de bosgrond waarin alle bomen wortelen. ICT is niet slechts een complex auditobject naast andere, maar doortrekt de gehele onderneming. Mulders en Van Kuijck voegen er nog aan toe: ‘Zo complex dat deze materie niet past bij een (bij)geschoolde accountant.’ Dit is een merkwaardige stelling. Als je zou zeggen dat het menselijk lichaam zo complex is dat het niet past bij de geschoolde huisarts, zou iedereen raar opkijken. Complexiteit is een uitdaging en nimmer een argument om iets wat natuurlijk op je weg ligt uit de weg te gaan.

Metamorfose interne controle

Accounting en rapportage staan als belangrijkste auditobject niet op zichzelf. Zij reflecteren de gehele werkelijkheid in de achterliggende periode, vertaald naar prestatie-indicatoren en uiteindelijk in belangrijke mate uitgedrukt in geld. Dat gaat niet door directe waarneming, maar door het vastleggen van miljoenen gegevens zoals die binnen alle functiegroepen worden gegenereerd.

In de tijd dat ICT niet bestond werd dit rechtstreeks door de mens gedaan. De accountant heeft al vroeg ingezien dat hier ordening is vereist en ontwikkelde theorieën over vereiste functiescheidingen en autorisaties, en controle op gegevensstromen.

In de pre-computertijd beperkte dit spel zich tot functiescheidingen, procedures en de controle achteraf op naleving daarvan. De accountant was hiervoor de expert bij uitstek en het kwam bij de beroepsgenoten niet op om daarvan een gespecialiseerde discipline te maken. Iedere accountant moest deze theorie beheersen.

Nieuwe situatie

Na de intrede van de computer ontstond er een geheel nieuwe situatie. Niet de mens doet overwegend de primaire vastleggingen, maar dit gebeurt nu voor een groot deel rechtstreeks vanuit productierobots of -machines. Binnen het ICT-systeem vindt bewerking, controle en aggregatie van de gegevens plaats en worden deze omgezet in informatie door er betekenis aan toe te kennen. De autorisaties worden geheel geautomatiseerd gecontroleerd en zelfs in belangrijke mate geautomatiseerd afgedwongen. Procedures zijn vertaald in een automatische routing die de kans op fouten sterk verkleint. Een verfijnd systeem van automatische validaties controleert permanent niet alleen autorisaties maar valideert ook de integriteit van de gegevensstromen. Dit spel wordt zo gespeeld, ongeacht of deze informatie uiteindelijk op papier wordt geprint of niet. Het papier mag voor de accountant/auditor een middel zijn om kennis te nemen van informatie, de informatie zelf is digitaal en wordt opgeslagen, gecontroleerd en bewerkt door het ICT-systeem en via netwerken uitgewisseld met andere ICT-systemen.

Is er één goede reden om, zodra je de primaire gegevensopslag en -bewerking en de controle daarop automatiseert, de eis van ‘iedere accountant moet het aankunnen’ te laten vallen? Hooguit een pragmatische: ICT is complex. Maar dat is een zwaktebod.

Heeft Jules Muis gelijk?

Zoals gezegd, maak ik mij volgens Jules Muis schuldig aan ‘het hernieuwd claimen van het primaat van ICT-deskundigheid binnen een beroep dat inmiddels volwassen is uitgegroeid tot een coalitie van deskundigheden’.

Het laatste deel van deze zin is waar. Juridische, technische, ecologische, actuariële en andere kennisdisciplines zijn in de audit van complexe ondernemingen niet meer weg te denken.

Maar is ICT slechts één van deze invalshoeken en claim ik ten onrechte een primaat?

Figuur ‘De moderne onderneming’ laat zien dat het anders is. Het gaat erom hoe de problematiek zich aandient. ICT doortrekt de gehele onderneming en is ook nog eens het woonhuis van de interne beheersing. Zij is daardoor in alle auditobjecten een laag die doordrongen moet worden om tot de kern te komen. De vroegere accountant claimde dat functiescheidingen, autorisaties en controle van gegevensstromen een conditio sine qua non waren voor de accountantscontrole, en dus tot de bagage van elke accountant moest behoren. Ik claim dat dit onveranderd waar blijft na de intrede van de ICT. Alleen de gedaante verandert.

Niet doorvertaald

Een aanvullend, al heel oud probleem voor de accountant is de mogelijke doorbreking van de interne controle. Bijvoorbeeld door samenspanning of opzettelijke misleiding. In het ICT-tijdperk is daar een hele reeks bijgekomen.

Omdat het interne controlesysteem grotendeels in de ICT is verankerd, is het van groot belang dat de ICT-domeinen en -resources worden beschermd tegen ongeautoriseerde toegang en manipulatie. Dat vergt een groot aantal maatregelen in de ICT-sfeer die rechtstreeks voortvloeien uit eisen die de accountant aan de organisatie moet stellen, zoals goede toegangscontrole, adequaat veranderingsmanagement en probleemmanagement. Dus is de accountant gehouden zich daarvan te vergewissen, wat kennis van zaken eist. De accountant, traditioneel deskundige bij uitstek op het terrein van basisfunctiescheidingen, autorisatiestructuren en gegevensvalidaties heeft deze deskundigheid echter niet doorvertaald naar een door de ICT gedomineerde onderneming. Daarmee zijn de pijlers van de accountantscontrole in gevaar gekomen.

Papierloze samenleving

Wil de accountant zich bekwamen als homo digitalis of wil hij zichzelf een brevet van onvermogen geven door auditor desperatus te worden in een gedigitaliseerde wereld? De accountant is gewend dat bij grensoverschrijding van de organisatie altijd gewaarmerkte originele documenten ontstaan, die de basis zijn voor zijn controle. Bestelbonnen, facturen, afleveringsbonnen, bankafschriften etc. Deze documenten zijn de pijlers van de traditionele accountantscontrole.

Het originele papieren document wordt echter steeds meer verdrongen door e-mail, web files, elektronische gegevensuitwisseling en xbrl (zie figuren ‘Basis voor jaarrekeningcontrole’).

Dit wordt verder gestimuleerd door het woud van bewaarverplichtingen, de onhanteerbaarheid van papier en de juridische erkenning van informatiegegevens en gegevensdragers. Pas met invoering van de Wet computercriminaliteit werden begrippen als gegevens en informatie juridisch solide.

Los van dit alles is er bovendien het probleem dat het steeds moeilijker wordt de authenticiteit van een papieren document vast te stellen. De kwaliteit van fotokopieer-, print, scanning- en imaging-technieken is zo groot dat moeiteloos authentiek uitziende documenten kunnen worden gemaakt.

Bij grensoverschrijding van de organisatie ontstaat dus steeds vaker geen papieren document meer, maar een digitaal record: een (niet per se exclusieve) waarheidsgetrouwe digitale afbeelding van een feit, handeling of gebeurtenis. De integriteit daarvan kan alleen worden gewaarborgd door omringende security-maatregelen, zoals beschikbaarheidswaarborging, toegangsbeveiliging/ programma- en bestandsbeheer, leesbaarheidswaarborging, bronvermelding, digitale handtekening, overige authenticatiewaarborging, encryptietechnieken en controlegetallen/kenmerken.

Als de accountant in de toekomst gegevens wil auditen, dan zal dat dus alleen maar kunnen door digitale records te lezen. En om de integriteit daarvan vast te stellen zal hij zich moeten verdiepen in allerlei ICT-security-maatregelen, wat zonder een behoorlijke ICT-kennis niet kan.

XBRL

De communicatie-explosie drijft ons in de richting van de ontwikkeling van een information supply chain, die om een verregaande mate van standaardisatie vraagt.

Het antwoord is de ontwikkeling van XBRL, ofwel eXtended Business Reporting Language, dat waarschijnlijk in Europa en Amerika de standaard wordt voor communicatie van computer tot computer. De accountant zal worden geconfronteerd met hoog frequente digitale berichtgeving naar de beurs en zal zich er op moeten voorbereiden dat de financiële en andere externe rapportage van de onderneming in de toekomst voornamelijk digitaal zal plaatsvinden via de XBRL-standaard.

Invloed corporate governance

Het voorgaande betoog is nog geheel opgebouwd vanuit de eisen van de klassieke jaarrekeningcontrole, zij het in een dynamische omgeving waarin ICT een grote rol speelt. Mede door recente wetgevingen op gebied van corporate governance zijn bovendien de bedrijfsrisico's en de interne beheersing daarvan veel meer in de aandacht gekomen. Het management moet vaststellen dat de onderneming in control is, of dat zijn interne beheersingsysteem effectief is en daarover in het jaarverslag verantwoording afleggen. De accountant moet daarover op enige wijze, impliciet of expliciet, assurance geven.

Over wat in control zijn precies betekent lopen de meningen uiteen, maar het refereert in elk geval aan hoe in en in welke mate het behalen van de bedrijfsdoelstellingen, door volatiliteit of risico's in gevaar kan komen. Een belangrijk deel van deze risico's zit in de ICT, die immers de effectiviteit en continuïteit van de hele onderneming van zich afhankelijk heeft gemaakt. Daar komt nog eens bij dat de ICT zelf erg kwetsbaar is, onder meer door de sterke connectiviteit (internet, intranet), externe afhankelijkheid, inherente complexiteit, alomvattendheid, en het risico van opzettelijke beschadiging (virussen, hacken, terrorisme).

Bijscholing

De nieuwe spelregels op het gebied van corporate governance hebben de afhankelijkheid van de onderneming van de (in zichzelf kwetsbare) ICT dus nog eens onderstreept en zijn voor de accountant een onontwijkbaar issue.

Een voor de hand liggende oplossing voor de hier gesignaleerde noodzaak tot met ICT-kennis onder accountants is inschakeling van meer EDP-auditors. Maar deze zijn schaars. Het aantal RE's op het aantal RA's is 1:10. In het openbare beroep zelfs 1:16.

Een mogelijke oplossing zou zijn bijscholing van een groot aantal accountants, bijvoorbeeld door een éénjarige kopopleiding EDP-auditing, zoals die aan de EUR en andere universiteiten wordt aangeboden.

Kor Mollema
Kornelis Mollema is hoogleraar IT-auditing aan de Erasmus School of Accountancy & Assurance en heeft in het internationale financiële bedrijfsleven gewerkt als ICT-manager, concern controller en concern auditor.

Vijf conclusies

ICT is niet slechts een complex auditobject naast vele anderen. Zij is een laag die àlle kernfuncties en ondersteunende functie in de onderneming behelst. Zij is niet een boompje uit het bos, zij is de bosgrond waarin alle bomen wortelen.

De accountant, traditioneel deskundige bij uitstek op het terrein van basisfunctiescheidingen, autorisatiestructuren en gegevensvalidaties heeft deze deskundigheid niet doorvertaald in een door de ICT gedomineerde onderneming. Daarmee zijn de pijlers van de accountantscontrole in gevaar gekomen.

Als de accountant in de toekomst gegevens wil auditen, dan zal dat alleen maar kunnen door digitale records te lezen. Om de integriteit daarvan vast te stellen zal de accountant zich moeten verdiepen in allerlei security-maatregelen, wat zonder een behoorlijke ICT-kennis niet kan.

De nieuwe spelregels op het gebied van corporate governance hebben de afhankelijkheid van de onderneming van de (in zichzelf kwetsbare) ICT nog eens onderstreept en zijn voor de accountant een onontwijkbaar issue.

De onvermijdelijke eindconclusie is dat de beoordeling van de ICT een primaire en onvermijdelijke verantwoordelijkheid van iedere accountant is, waartoe hij of zij vaktechnisch moet zijn of worden toegerust.

Aanmelden nieuwsbrief

Ontvang elke werkdag (maandag t/m vrijdag) de laatste nieuwsberichten, opinies en artikelen in uw mailbox.

Bent u NBA-lid? Dan kunt u zich ook aanmelden via uw ledenprofiel op MijnNBA.nl.