Opinie 08 april 2013

Audit Integration: gecrasht voor het opstijgen

De kloof tussen accountant en IT-auditor is een natuurlijke kloof. Hij bestaat al zeker zo'n 25 jaar. Pogingen om de kloof te overbruggen zijn niet geslaagd en zullen ook niet slagen. De kloof is namelijk functioneel.

In het artikel 'Audit Integration moet gaan vliegen' van Ivo Kouters en Age-Jan van der Meer in het maartnummer van Accountant gaat het dan ook flink mis. De kern van hun betoog is dat IT-audit binnen de jaarrekeningcontrole moet worden geïntegreerd. Als de accountant dat doet dan wordt de accountantscontrole relevanter, de marges hoger, stijgt de toegevoegde waarde, wordt de controle efficiënter én wordt er volgens hen ook nog eens meer assurance gegeven.

Kennelijk is er sprake van urgentie want de gepercipieerde waarde van de jaarrekeningcontrole 'oude stijl' neemt af. Een revolutie is nodig, stellen zij.

Maar gelukkig is daar de IT-auditor en die gaat dit allemaal voor de accountant oplossen. Alleen is er volgens Kouters en Van der Meer een probleempje: het vakgebied IT-auditing, plus een nog veel groter probleem, de IT-auditor zelf. Die is namelijk: te duur, dogmatisch, communicatief matig onderlegd, te veel checklist georiënteerd, te traag, en heeft geen verstand van boekhouden.

Als dit de mainstream gedachte is binnen de accountantscontrole anno 2013 wordt de zo hardnodige upgrading van de aandacht voor IT binnen de jaarrekeningcontrole een lastige operatie. IT-auditbashing helpt hierbij ook niet echt.

Het zou beter zijn geweest als de auteurs zich zelf de vraag hadden gesteld waar deze beeldvorming vandaan komt en ook, als die al juist zou zijn, of daar geen diepere redenen voor zijn - gezien het feit dat de geschetste kloof zo persistent blijft bestaan.

En die redenen zijn er volop. Die zitten in de verschillen in de aard van de objecten van onderzoek en verschillen in auditbenaderingen van IT-auditors en accountant. Zij opereren beide uit geheel andere contexten, met elk eigen principles en rules.

IT-auditors onderzoeken de ICT-werkelijkheid. Een werkelijkheid die bestaat uit samenhangende systeemlagen en componenten. Veelal in netwerken verbonden. In deze ICT-werkelijkheid geldt grofweg dat de zwakste schakel de sterkte van de gehele keten bepaalt.

Een risico-analytische benadering gebaseerd op relevantie van data en jaarrekeningposten past hier niet binnen. De gelaagde en genetwerkte ICT-werkelijkheid raakt immers alle data en alle jaarrekeningposten.

IT is van vitaal belang voor de bedrijfsvoering en inmiddels voor de gehele maatschappij. Bedrijven en overheidsorganisaties onderkennen deze risico's en vragen IT-auditors rechtstreeks om assurance.

De Audit alert van 21 maart 2013 van de NOREA over risico's van keteninformatisering maakt dit duidelijk. De IT-auditor voegt met zijn onderzoek en assurance-rapportage rechtstreekse, en voor de markt zichtbare, waarde toe aan de diensten van cliënten. Dit kan in de vorm van Third Party Memoranda, ISAE3402 verklaringen, privacy-verklaringen of via specifieke IT-audits. Hiermee zijn IT-auditors strategisch relevant voor hun opdrachtgevers én de cliënten van opdrachtgevers.

Accountants kunnen vervolgens steunen op rapportages van deze IT-auditors, die niet geremd zijn door doelfixatie en scopevernauwing vanuit de financial audit. Een bijkomend voordeel: IT-auditkosten vallen weg binnen de jaarrekeningcontrole.

Een bijzonder gevaar van audit integration is dat de accountant zijn maatschappelijke en economische problemen exporteert naar de IT-auditor en meer assurance in het IT-domein claimt dan dat hij ooit kan waarmaken.

De kloof is dus ook functioneel om helderheid naar de markt te houden. Geloven in sprookjes mag, maar audit integration kan niet vliegen.