Afstudeerscriptie. Hoe kan men als organisatie op rationele wijze een keuze maken tussen het gebruik van interne versus externe (IT)auditcapaciteit?

Afstudeerscriptie

3e jaar Postgraduate IT Audit Opleiding

Hoe kan men als organisatie op rationele wijze een keuze maken tussen het gebruik van interne versus externe (IT)auditcapaciteit?

De interne/externe auditors binnenstebuiten gekeerd

Team 832

Voorwoord Deze scriptie is het eindresultaat van een aantal maanden hard werken tussen de reguliere werkzaamheden door. Wij willen Marcel Baveco bedanken voor zijn tijd en moeite. Verder was Ronald Paans een onmisbare schakel, onder meer door de helft van ons duo tijdens de rookpauze nuttige informatie te verstrekken. Ruud Kerssens, bedankt voor je kritische blik op het materiaal. Daarnaast gaat speciale dank uit naar alle organisaties die hun bijdrage hebben geleverd door het invullen van het vragenformulier, te reageren op door ons gestelde vragen via telefoon of e-mail.

Rob Sprong. Amsterdam, april 2008.

832 Scriptie Versie 1.0 (Definitief)

Pagina 2 van 30

Inhoudsopgave Voorwoord .............................................................................................................................2 Inhoudsopgave .......................................................................................................................3 Samenvatting..........................................................................................................................4 1. Achtergrond scriptie ...........................................................................................................5 1.1 Inleiding .......................................................................................................................5 1.2 Aanleiding ....................................................................................................................5 2. Opdracht .............................................................................................................................5 2.1. Onderzoeksvraag .........................................................................................................5 2.2. Subvragen ....................................................................................................................6 2.3 Relatie subvraag tot hoofdvraag ....................................................................................6 2.4. Doelstelling .................................................................................................................6 2.5 Scope en afbakening .....................................................................................................6 2.5.1 Soort organisatie ....................................................................................................6 2.5.2 Type opdrachten.....................................................................................................6 2.5.3 Werking model ......................................................................................................7 3. Methode van onderzoek ......................................................................................................7 3.1. Opstellen criteria ten behoeve van gesloten vragen ......................................................7 3.2. Open vragen ................................................................................................................9 3.3. Geïnterviewde personen ...............................................................................................9 3.4. Excelmodel ................................................................................................................10 4. Afbakening van de begrippen interne en externe auditor ...................................................10 4.1. Interne auditor............................................................................................................10 4.2. Externe auditor ..........................................................................................................11 5. Ervaringen uit het verleden ...............................................................................................11 6. Analyse interviewresultaten en bevindingen .....................................................................14 6.1. Resultaten gesloten vragen .........................................................................................14 6.2 Resultaten open vragen ...............................................................................................17 66.3 Toelichting op de analyse van de gesloten vragen .....................................................21 6.4. Bevindingen...............................................................................................................22 7. Beslissingsmodel ..............................................................................................................23 7.1 Beslissingsboom .........................................................................................................23 7.2 Invullijst .....................................................................................................................25 7.3 Keuze voor model .......................................................................................................26 8. Conclusie en aanbevelingen ..............................................................................................27 9. Persoonlijke reflectie ........................................................................................................28 10. Bronvermelding ..............................................................................................................30 Bijlage A ................................................................................................................................1


Pagina 3 van 30

Samenvatting Voor de uitvoering van audits hebben organisaties de mogelijkheid hiertoe interne dan wel externe auditors in te zetten, of een combinatie van beide. Aan de feitelijke invulling hieraan liggen een aantal criteria ten grondslag die per soort organisatie kunnen verschillen. Uit een in juni 2007 uitgebracht persbericht (zie 1.2 Aanleiding) blijkt: “ een toename van het aandeel IT-auditors werkzaam bij de interne auditdiensten van met name de grotere ondernemingen. Dit gaat ten koste van het aandeel IT-auditors werkzaam bij (externe) auditof accountancyfirma’s en -in mindere mate- van de IT-auditors werkzaam bij non-profit instellingen als overheid, onderwijs en toezichthouders. Deze trend doet zich al 4 jaar voor.” Aldus het persbericht. Dit persbericht is de aanleiding voor het in deze scriptie uitgewerkte onderzoek, dat antwoord geeft op de vraag: ‘Hoe kan men als organisatie op rationele wijze een keuze maken tussen het gebruik van interne versus externe (IT)auditcapaciteit?’ Niet de oorzaak van de onderkende trend, maar de beweegredenen van organisaties die gelden bij het maken van een keuze tussen de inzet van interne dan wel externe auditors is hetgeen wij willen beantwoorden met het onderzoek. Hierbij is als volgt tewerk gegaan: Er is een vragenformulier opgesteld dat na invulling en analyse duidelijkheid moest verschaffen over welke criteria een rol spelen bij het maken van de keuze. Hierbij zijn zowel gesloten als open vragen gesteld omtrent het betreffende onderwerp. De antwoorden zijn vervolgens overzichtelijk gerubriceerd in een Excelspreadsheet. Op basis van het toekennen van een numerieke waarde per criterium dat voor het maken van de keuze voor een organisatie van belang is, kon door sortering op de totaalscore per criterium een algemeen beeld worden gevormd, dat ons antwoord verschafte op de vraag wat van belang is voor de verschillende organisaties bij het bepalen van de keuze. Door deze werkwijze was ook hierin een trend waarneembaar, waardoor kon worden geconcludeerd welke criteria het meest doorslaggevend zijn en welke in mindere mate een rol spelen bij het bepalen van de keuze. Hierdoor werd het mogelijk aan de verschillende criteria een voor gedefinieerde score toe te kennen. Door vervolgens de criteria op te nemen in een invullijst, waarmee het mogelijk is aan te geven welk criterium wanneer het zwaarst weegt, ontstond hiermee een bruikbaar hulpmiddel voor het op rationele wijze bepalen van de keuze tussen de inzet van een interne of externe auditor. Op deze wijze zijn wij gekomen tot de beantwoording van de vragen zoals deze staan verwoord in hoofdstuk 2 van deze scriptie. Het vragenformulier is aan totaal 10 verschillende organisaties verzonden met een verzoek tot invulling. Uiteindelijk heeft dit na veelvuldig via e-mail verzenden van herinneringen en het voeren van telefoongesprekken geleidt tot 7 ingevulde formulieren. De uitslag daarvan was voor ons voldoende basis om tot verdere uitwerking van ons onderzoek te komen. De verdere details daarvan staan verwoord in de navolgende paragrafen.


Pagina 4 van 30

1. Achtergrond scriptie 1.1 Inleiding Als onderdeel van het 3e jaar voor de opleiding tot Register EDP Auditor aan de Vrije Universiteit te Amsterdam is de scriptie een verplicht item voordat de opleiding als voltooid kan worden beschouwd. Hierbij is de doelstelling dat de onderzoekers blijk geven van het feit dat zij het stadium van “kijken” achter zich hebben gelaten en hebben verruild voor het begrip “zien”. Het ‘zien’ houdt in dat de onderzoekers in staat zijn afstand te nemen van de dagelijkse praktijk.

1.2 Aanleiding Aanleiding van ons onderzoek is de publicatie van onderstaand persbericht:

Meer interne auditors op gespannen arbeidsmarkt Gepubliceerd op: 13 Juni 2007

Publiceerder: ANP Pers Support

Uit de jaarlijkse opgave van gekwalificeerde IT-auditors, ingeschreven in het NOREA-register, blijkt wederom een toename van het aandeel IT-auditors werkzaam bij de interne auditdiensten van met name de grotere ondernemingen. Dit gaat ten koste van het aandeel IT-auditors werkzaam bij (externe) auditof accountancyfirma’s en -in mindere mate- van de IT-auditors werkzaam bij non-profit instellingen als overheid, onderwijs en toezichthouders. Deze trend doet zich al sinds vier jaar voor. Het aandeel interne IT-auditors is daarmee boven de 50% gekomen, inclusief de IT-auditors werkzaam in de non-profit sector zelfs boven de 65% (N=1282). Een andere trend is de groei van het aandeel IT-auditors in business. IT auditors stromen door naar managementfuncties als CIO, controllers en Security- of Technology Officer en houden zich niet (meer) bezig met beoordelingen ten behoeve van interne of externe opdrachtgevers.1

Volgens dit bericht heeft er de afgelopen jaren een verschuiving plaatsgevonden van relatief meer bij de NoREa ingeschreven externe auditors naar meer ingeschreven interne auditors. Beide groepen hebben voorstanders die zich hiervoor hard maken. Het Instituut voor Interne Auditors (IIA) vervult deze rol voor de interne auditors, grote accountantskantoren voor de externe auditors. Ook zij laten zich horen. Op de websites van de Big Four kantoren worden legio redenen genoemd waarom juist externen de voorkeur zouden genieten boven interne auditors. Afgezien van de wettelijke verplichtingen kunnen bedrijven er dus voor kiezen om gebruik te maken van interne auditcapaciteit (in loondienst binnen de organisatie waarvoor audits worden uitgevoerd), of auditors extern in te huren. Ook een combinatie hiervan behoort tot de mogelijkheden. Maar wat is nu de redenering van de verantwoordelijken bij een organisatie om voor een interne auditdienst of externe auditor te kiezen?

2. Opdracht 2.1. Onderzoeksvraag Ons onderzoek zal antwoord moeten geven op de hieronder geformuleerde vraag:


Pagina 5 van 30

‘Hoe kan men als organisatie op rationele wijze een keuze maken tussen het gebruik van interne versus externe (IT)auditcapaciteit?’

2.2. Subvragen Om de hoofdvraag te kunnen beantwoorden dient antwoord gevonden te worden op de volgende subvragen: 1. Wat zijn de overwegingen om als bedrijf externe IT-auditors in te huren dan wel voor intern opererende IT-auditors te kiezen? 2. Bestaat er een beslissingsmodel om deze keuze te maken of te onderbouwen? Zo nee hoe zou zo’n model er dan uit kunnen zien?

2.3 Relatie subvraag tot hoofdvraag Om antwoord te verkrijgen op de hoofdvraag zal eerst moeten worden onderzocht welke criteria in organisaties een rol spelen voor het maken van een keuze tussen interne of externe auditors. Daarom is gekozen voor de hiervoor omschreven subvraag. Op die manier is te achterhalen wat de beweegredenen (lees criteria) zijn om tot een (rationele) keuze te komen. Bovendien is het van belang te weten welke overwegingen doorslaggevend zijn voor het maken van de keuze. Dat betekent dat tevens onderzoek moet zijn verricht naar het relatieve belang van de afzonderlijke criteria die bij de keuze een rol spelen. Dit wordt mogelijk gemaakt door het toekennen van een waarde aan de criteria. Het feit dat men nadenkt bij het toekennen van een waarde aan een criterium geeft direct een rationele wending aan de uitkomsten. Men denkt immers na over wat men belangrijk vindt en kiest daardoor al rationeel.

2.4. Doelstelling Doel van het onderzoek is om te komen tot een model dat als hulpmiddel kan fungeren bij het maken van een gefundeerde keuze voor de aanstelling van interne dan wel externe auditors. Ook is het van belang te weten wat daadwerkelijk belangrijke criteria zijn voor de keuze. Verder wordt getracht het model zodanig vorm te geven dat inzicht wordt verkregen in de voor- en nadelen bij de afweging van de respectievelijke keuzes.

2.5 Scope en afbakening 2.5.1 Soort organisatie Bij het onderzoek gaan wij uit van organisaties waar een interne auditdienst aanwezig is, of waar het inzetten van auditors gebruikelijk is. Kleine organisaties doen in het onderzoek niet mee. Ook is er bewust voor gekozen om accountantskantoren buiten de scope van ons onderzoek te laten, omdat deze juist leverancier zijn van externe auditors en dit de objectiviteit van het onderzoeksresultaat (met het oog op commercieel belang) zou kunnen beïnvloeden. Ook zijn wij ervan uitgegaan dat accountantskantoren geen eigen IAD hebben en daardoor er dus geen sprake is van een keuze tussen interne of externe auditors. 2.5.2 Type opdrachten Bij het vergelijken van voor- en nadelen is uitgegaan van opdrachten waarbij het niet relevant is of deze wordt uitgevoerd door een interne dan wel extern ingehuurde auditor. Wel moet


Pagina 6 van 30

onderscheid worden gemaakt in de opdracht van de auditor. Zo is het belangrijk om te weten dat de keuze tussen interne of externe auditor mede afhankelijk is van de soort audit die moet worden uitgevoerd. Is de doelstelling van de audit gericht op het informeren van derden (algemeen publiek, toezichthoudende overheid, kredietverschaffers, e.d.) en dus niet primair bedoeld om het management van een organisatie intern te informeren, dan zal meestal een externe auditor moeten worden ingezet. 2.5.3 Werking model Het onderzoek hoeft geen model op te leveren met behulp waarvan men per definitie tot een objectieve keuze kan komen. Het nemen van een beslissing op rationele gronden (zoals in onze hoofdvraag gesteld) hoeft ons inziens niet te betekenen dat een beslissing daardoor altijd voorspelbaar is. De definitie van rationeel is: “door middel van het verstand, doordacht.”2 De gemaakte keuze tussen een interne of externe auditor kan voor de één een onlogische keuze zijn, maar door degene die de keuze maakt, rationeel zijn beargumenteerd. Het beslissingsmodel hoeft dan ook niet een voor de hand liggende keuze als resultaat op te leveren op basis van ingegeven criteria scores, maar helpt degene bij het maken van een keuze. Wij willen met het model een instrument aanreiken met behulp waarvan de beslisser zijn keuze kan beargumenteren en daardoor rationeel maakt.

3. Methode van onderzoek Om antwoord te krijgen op de vraag: “Wat zijn de overwegingen om als bedrijf externe ITauditors in te huren dan wel voor intern opererende IT-auditors te kiezen?” is besloten tot het opstellen van een vragenformulier. Het schriftelijk beantwoorden van vragen heeft ons inziens de voorkeur boven telefonisch contact omdat men dan beter kan nadenken over de antwoorden. Bovendien komt dit de objectiviteit van ons onderzoek ten goede. Ook is bewust voor een schriftelijke benadering gekozen, omdat de respondenten verspreid over het land zijn gevestigd. Persoonlijk benaderen zou te veel tijd hebben gevergd voor dit onderzoek. Het betreffende vragenformulier is in bijlage 1 toegevoegd aan deze scriptie en was voornamelijk bedoeld om antwoord te verkrijgen op de subvraag ‘Wat zijn de overwegingen om als bedrijf externe IT-auditors in te huren dan wel voor intern opererende IT-auditors te kiezen?’

3.1. Opstellen criteria ten behoeve van gesloten vragen Door middel van een aantal brainstormsessies is een lijst samengesteld met 15 criteria. In het vragenformulier kon aan elk van de genoemde criteria een waarde worden toegekend, tussen 1 en 15. De aan een criterium toegekende waarde impliceert tevens het relatieve belang van elk criterium bij het maken van een keuze tussen interne en externe auditors. Op die manier kon gebruik worden gemaakt van de zogenaamde ordinale verdeling. Een ordinaal getal 3 geeft de positie van een element in een rij van elementen aan. Zo wordt door het toekennen van een waarde aan een criterium dus tevens de volgorde van belangrijkheid aangegeven en daarmee dus de positie van het criterium (als element) in de rij van criteria. Ter bevordering van de eenduidigheid is hieronder onze interpretatie van de keuzecriteria weergegeven. Deze interpretatie is door ons opgesteld vanuit brainstormsessies met elkaar en 832 Scriptie Versie 1.0 (Definitief)

Pagina 7 van 30

begeleiders en niet afkomstig van externe bronnen. De reden hiervoor is dat met zowel een interne als externe auditor in het schrijverduo genoeg ervaring aanwezig is om criteria te bedenken. Verder geeft een kale definitie vanuit een externe bron niet in alle gevallen de essentie van de criteria weer in relatie tot wat de respondenten zich volgens ons zouden moeten voorstellen bij een criterium. Deze lijst van criteria is tevens toegevoegd aan het vragenformulier. Het gaat hierbij om de volgende criteria: 1. Kwaliteit van het auditresultaat Het niveau (manier van onderzoek, diepgang, relevantie, kortom algehele professionaliteit) van onderzoek en rapportage.. 2. Continuïteit van de vakkennis Mate waarin men op de hoogte blijft van de regelgeving en nieuwe ontwikkelingen. Bijvoorbeeld door het volgen van cursussen, bijwonen van vaktechnische bijeenkomsten, lezen van vakbladen, informeel overleg en feedback van collega’s. 3. Relatie van opdrachtgever tot auditor Mate waarin de relatie tussen opdrachtgever en auditor onafhankelijk is. 4. Beleid Mate waarin keuze voor interne dan wel externe auditor al door het te voeren beleid is bepaald. 5. Beschikbaarheid Continue of ad-hoc beschikbaarheid van de auditor. 6. Kosten Mate waarin de kosten voor de inzet van interne auditors dan wel externe auditors een rol spelen bij de keuze. Denk hierbij aan personeelskosten versus kosten van externe inhuur. 7. Kennis Mate waarin de betreffende auditor kennis heeft van de organisatie en de in de organisatie gehanteerde processen 8. Cultuur (bijv. familiebedrijf) Het geheel van normen, waarden, opvattingen, principes en overtuigingen van de mensen, die het gedrag en het functioneren van de organisatie beïnvloeden. 9. Typologie (aard) van de organisatie Aanduiding van grondtype (soort of aard) van de organisatie. 10. Frequentie van het onderzoek Aantal keren dat het onderzoek per jaar dient te worden uitgevoerd. 11. Diepgang van het onderzoek Mate van detaillering waarmee het audit-object bekeken en gerapporteerd wordt. 12. Complexiteit van de organisatie en processen Mate waarin de organisatiestructuur en de processen zijn te doorgronden.


Pagina 8 van 30

13. Grootte van de organisatie Mate waarin de kosten van auditors in verhouding staan tot de kosten van personeel en de hoogte van omzet. 14. Vertrouwen op kennis van auditor Mate waarin vertrouwen wordt gesteld in het oordeel van de auditor. 15. Confidentialiteit van het auditobject Mate waarin het te auditen object geheimhouding eist van de auditor. Hoewel het type opdracht een belangrijk criterium kan zijn voor de keuze tot de inzet van een externe dan wel een interne auditor, dient dit onderzoek tot vergelijk van auditors in opdrachten waarbij beiden ingezet kunnen worden. Daarom is dit criterium niet meegenomen in het onderzoek. (Zie ook 2.5.2. Type opdrachten)

3.2. Open vragen Behalve de meerkeuzevragen hebben wij voor extra informatie en verdieping omtrent het onderwerp gekozen voor het opstellen van open vragen. Hierbij is bewust gekozen voor een verdeling van voor- en nadelen per auditorsoort (intern of extern). Het gevaar voor spiegelantwoorden is in acht genomen. Een spiegelantwoord houdt in: het voordeel of nadeel van een auditorcategorie is meteen omgekeerd evenredig respectievelijk een nadeel of voordeel voor de andere auditorcategorie. Een voorbeeld: indien de onafhankelijkheid van een externe auditor als voordeel wordt gezien door persoon A, hoeft dit volgens ons niet meteen te betekenen dat persoon A dit voor een interne auditor als nadeel aan zal wijzen. Daarom is per auditorcategorie gekozen voor een aparte voor- en nadelen vraag.

3.3. Geïnterviewde personen Om tot daadwerkelijke resultaten te komen zijn de juiste mensen nodig voor het beantwoorden van de vragenlijst. Vanuit ons eigen netwerk en door het raadplegen van kennissen en collega’s zijn een tiental personen aangeschreven van verschillende organisaties met de vraag of men de vragenlijst wilde invullen en terugsturen. Uiteindelijk zijn er 7 ingevuld terug ontvangen. Personen die wij voor het invullen van de lijst geschikt achten zijn interne managers met beslissingsbevoegdheid voor het voeren van personeelsbeleid binnen de auditafdeling. Geprobeerd is om mensen uit verschillende branches te contacteren, om zo een mogelijk (niet statistisch onderbouwd) verschil tussen branches aan te kunnen geven. De 7 organisaties die uiteindelijk hun medewerking hebben verleend zijn afkomstig uit het bank- en verzekeringswezen, financiële instellingen, overheid en nutbedrijven. De personen die de vragenlijst hebben ingevuld zijn in een aantal gevallen telefonisch benaderd zodat zij hun antwoorden nader konden toelichten in geval van onduidelijkheid. Ook kon daarmee eventuele aanvullende informatie worden verkregen. De verkregen antwoorden zijn verwerkt in Excelsheets, om vervolgens te kunnen samenvatten en analyseren.


Pagina 9 van 30

3.4. Excelmodel De antwoorden op de gesloten vragen zijn met behulp van Excel tot overzichten verwerkt. Dit op basis van de criteria zoals genoemd in paragraaf 3.1. De scores op de gesloten vragen zijn van de formulieren overgenomen in Excel. Per criterium is de score van de deelnemende personen bij elkaar opgeteld en gedeeld door het aantal deelnemers. Dit levert een gemiddelde score per criterium op. Hierdoor is het mogelijk de score per criterium te sorteren van belangrijk naar minder belangrijk, gemeten over de organisaties die aan het onderzoek hebben deel genomen. Bij de vraag over de weging van factoren: “Kunt u aangeven wat de weging is van de volgende criteria (ongeacht welke optie voor auditor)” diende de respondent een score van 1 t/m 15 te geven. Het criterium met score 1 is hierbij het meest belangrijk. Vervolgens wordt een gemiddelde totaalscore berekend. De scores zijn in overzichtelijke grafieken weergegeven, gesorteerd op score, zodat er een duidelijk overzicht ontstaat. Door deze werkwijze werd het mogelijk de antwoorden op de vragen schematisch weer te geven, waarbij de belangrijkste criteria verbonden aan toepassing van interne dan wel externe auditcapaciteit inzichtelijk zijn gemaakt, alsmede een totaalscore over de criteria zelf.

4. Afbakening van de begrippen interne en externe auditor Binnen het onderzoek wordt onderscheid gemaakt tussen 2 ‘vakgebieden’ binnen het IT audit gebied: interne audit en externe audit. Het is daarom van belang om duidelijkheid te geven over wat wordt verstaan onder interne en externe auditor. Voor het maken van een keuze moet vooraf bekend zijn welke eisen worden gesteld aan de mate van onafhankelijkheid. Met andere woorden, bij het maken van de keuze spelen behalve de in het vragenformulier genoemde criteria ook wetgeving en de soort opdrachten een rol. Zo kan het voor komen dat de opdracht voor een audit moet worden uitgevoerd ten behoeve van het periodiek afleggen van verantwoording aan een toezichthouder. Bij een dergelijke audit zal worden gerapporteerd aan de toezichthoudende partij, in plaats van aan het management van de organisatie waarbinnen de audit is uitgevoerd. Om de onafhankelijkheid en onpartijdigheid van de audit meer te waarborgen wordt in dergelijke gevallen een externe auditor ingezet in opdracht van de toezichthoudende partij. Een dergelijke situatie doet zich bijvoorbeeld voor bij overheidsinstanties welke namens een departement overheidstaken uitvoeren. Het maken van een keuze voor de inzet van interne dan wel externe auditor is dus alleen relevant wanneer de opdracht een interne audit betreft.

4.1. Interne auditor Het IIA Nederland heeft de definitie van Internal Auditing zoals vastgesteld door het overkoepelende Institute of Internal Auditors, als volgt vertaald: “Internal Auditing is een onafhankelijke, objectieve assurance (geven van zekerheid) en consulting (geven van advies) activiteit met de bedoeling waarde toe te voegen aan en verbetering te brengen in de operaties van een organisatie. Internal Auditing helpt een organisatie om haar doelen te verwezenlijken door een methodische, ordelijke benadering om


Pagina 10 van 30

de effectiviteit van risicomanagement, controle en beheersingsprocessen te evalueren en verbeteren.” De interne auditor heeft een belangrijke rol bij de beoordeling van de opzet, de toereikendheid en de effectiviteit van de interne risicobeheersing- en controlesystemen en in de toetsing van de werking van deze systemen en daarmee in het verbeteren van de operaties binnen een organisatie, inclusief het hiermee samenhangende geheel van risicobeheersing- en controlesystemen. 4

4.2. Externe auditor Interne audits worden door de organisatie zelf uitgevoerd. Echter dit hoeft niet per definitie door een interne auditor te gebeuren. De interne audit kan zowel door een interne auditor, deel uitmakend van de eigen organisatie, als door een extern ingehuurde auditor worden uitgevoerd. In het geval dat de interne audit wordt uitgevoerd door een externe auditor, zal deze vaak tijdelijk zijn ingehuurd voor het uitvoeren van een opdracht binnen de organisatie zelf en slechts voor de duur van de opdracht. Ook kan een externe auditor binnen een organisatie zijn gedetacheerd vanuit een extern accountantskantoor om een audit uit te voeren in opdracht van een externe toezichthouder. (Zie het voorbeeld zoals beschreven in hoofdstuk 4 3e alinea). Rapportage over de uitkomsten van de audit vindt dan primair plaats aan de toezichthoudende partij. Ter illustratie van de verschillen in perspectief is onderstaand figuur toegevoegd.

Figuur 1 'De controlepiramide' 5

5. Ervaringen uit het verleden 5.1. Eigen ervaringen van Rob Onderstaande beschrijving van de rol van de interne versus externe auditor is gebaseerd op puur eigen perceptie zoals ik die ervaar in de organisatie waar ik werkzaam ben.


Pagina 11 van 30

Rollen Gedurende lange tijd ben ik werkzaam bij de RDW Centrum voor voertuigtechniek en informatie, waar ik met name tot 2003 werkzaam ben geweest als testmanager binnen de lijnafdeling. Vanuit deze positie werden door mij regelmatig contacten gelegd met de interne auditors van de RDW. Vooral in de ontwerpfase van nieuwe systemen heb ik mij onder meer bezig gehouden met reviewen van informatieanalyses, functioneel ontwerp en technisch ontwerp. Veelal werkzaamheden die waren gericht op quality-assurance in projecten. Hierbij vond veelvuldig afstemming plaats met de interne audit afdeling. Bovendien werd vaak advies gevraagd bij het beschrijven of herschrijven van de Administratieve Organisatie en Interne Controle van nieuwe en of gewijzigde processen. Betrokkenheid interne auditor Het in een vroegtijdig stadium betrekken van de interne auditor in projecten was in het verleden meer uitzondering dan regel. Echter steeds vaker werd het nut hiervan onderkend, doordat de zogenaamde pre-audits ervoor zorgden dat men achteraf in projecten niet voor verrassingen kwam te staan. Onder het motto “voorkomen is beter dan genezen” is het vroegtijdig betrekken van de interne auditor in de loop der tijd steeds meer als regel in projecten geadopteerd. Sinds een jaar of twee ben ik zelf werkzaam als interne auditor binnen de afdeling Registratie en Informatie van de RDW. Binnen deze afdeling vinden alle administratieve processen plaats, ten behoeve van de kentekenregistratie van voertuigen, waarbij ondermeer voeren vaartuigen worden geregistreerd. Deze processen worden ondersteund door de afdeling automatisering met behulp van eigen vervaardigde applicaties. De automatiseringsafdeling is wel onderdeel van de RDW, maar sinds enige jaren fysiek gescheiden en als aparte divisie gevestigd in Groningen. Externe auditors De RDW is een organisatie die zich bezig houdt met de uitvoering van wettelijke taken. Vanuit dit oogpunt is de RDW verplicht jaarlijks verantwoording af te leggen aan het Ministerie van Verkeer en Waterstaat als toezichthoudende partij. De externe audits worden daarom uitgevoerd door een extern accountantskantoor. Met hetzelfde accountantskantoor heeft de RDW een zogenaamd meerjaren contract afgesloten voor het uitvoeren van interne audits. Hierin is beschreven hoeveel inzet er gedurende de duur van het contract wordt geleverd, waaruit de activiteiten bestaan en welke producten daarbij zullen worden geleverd en tegen welk tarief. Door de externe auditors wordt in de regel nauw samen gewerkt met de interne auditors. Eigen ervaring leert dat externe auditors voordelen ondervinden bij het samenwerken met de interne auditors. Voordelen zoals die door de externe auditors zelf worden genoemd zijn bijvoorbeeld: De interne auditor • kent de organisatie beter, • is op de hoogte van de meest recente ontwikkelingen en kan daarop adequaat inspelen, • heeft vaak diepgaande kennis van de processen, • legt de link naar de juiste contactpersonen per (deel) proces, • kan optreden als intermediair tussen externe auditor en auditee, • is eerste aanspreekpunt voor externe auditor.


Pagina 12 van 30

Binnen de organisatie waarin ik werkzaam ben, worden externe auditors soms wel als lastige personen ervaren. Zo hoor ik van tijd tot tijd opmerkingen als “extreem kritisch”, “het hemd van het lijf vragend”, maar ook wel uitspraken als “dure jongens” , alsof men op voorhand op de hoogte is van het tarief dat doorgaans wordt gerekend door externe auditors. Daarnaast valt het ook op dat bij afdelingen waarvan bij mij bekend is dat zij hun processen over het algemeen goed beheersen, vaak meer open staan voor advies, maar ook voor kritiek. Hieruit concludeer ik, dat de mate waarin externe auditors welkom zijn, mede afhankelijk is van de kwaliteit van de eigen beheersmaatregelen of de mate waarin men zelf denkt in controll te zijn. Door de auditees wordt het doorgaans wel als prettig ervaren, als gesprekken plaats vinden in het bijzijn van de interne auditor. Temeer omdat deze vaak beter in staat is achtergrondinformatie te geven over de wijze waarop invulling is gegeven aan de beheersmaatregelen binnen de organisatie.

5.2. Eigen ervaringen Jack Vanuit mijn achtergrond als IT auditor kom ik vrijwel altijd als externe persoon binnen bij een organisatie. Er zijn een aantal zaken die ikzelf gehoord en gemerkt heb. De volgende tekst is persoonlijk en niet wetenschappelijk onderbouwd. Tarief Tijdens een audit word wel eens gezucht bij het horen van het uurtarief. Hoewel ik mijzelf als goedkope IT auditor zie (de “other Four” zijn veel duurder) schiet dat bij zowel de accountants als de klant wel eens in het verkeerde keelgat. Wanneer je als junior ergens binnenstapt weten de accountants en collega’s dat het niveau niet dat van een senior kan zijn. Die verwachting wordt echter dikwijls geweld aangedaan door mensen binnen de auditee die vinden of verwachten dat je voor dat uurtarief wel alles zou moeten weten wanneer je een systeem audit uitvoert. Alsof je SAP R/3 er ‘eventjes’ bijdoet! Ook accountants zelf klagen vaak over het tarief. Dit is nou eenmaal hoger dan dat van de accountants, en voor specialistisch werk dient nog meer neergeteld te worden. Diepgang Vanwege de hoge frequentie van opdrachten wordt over het algemeen te weinig diepgang bereikt om de gehele organisatie te doorgronden. Bij een multinational is dit natuurlijk sowieso een utopie. Maar ook bij het midden klein bedrijf lukt dit vaak maar ten dele. Je zal veel moeilijker de achterdeurtjes en uitzonderingen ontdekken (soms is zelfs bevatten al moeilijk genoeg) in de systemen of procedures, omdat je gewoonweg niet de kennis en tijd hebt om elk detail uit te zoeken. Terwijl tegenover de klant vaak je kracht blijkt als je die details boven tafel kunt halen. Ik verwacht dat een interne auditor deze detaillering veel meer kan bereiken, en dat dit door de organisatie zelf ook als zeer belangrijk wordt ervaren. Niet iemand voor een korte temperatuurmeting in de organisatie, maar voor een ‘continue diepzee audit.’ Kwaliteit Het gevolg van het niet weten van de hoed en de rand veroorzaakt in ons werk false positives en false negatives. De kwaliteit van de bevinding is mijn inziens deels gerelateerd aan de


Pagina 13 van 30

kennis van het bedrijfsproces. In een specifieke situatie kwam het voor dat autorisaties door mij als zeer ruim werden gerapporteerd. In de betreffende organisatie werden door de CFO in no-time 3 chefs bij elkaar geroepen om te verklaren of ontkennen dat dit ook zo was. Men was geschokt. Ze dachten alles goed voor elkaar te hebben. Maar onze tool liet anders zien. En als jonge auditor geloof je alles wat uit die tool rolt. Helaas bleek dat we geen rekening hadden gehouden met het feit dat er een extra diepe autorisaties waren ingesteld per functie, en dat het door ons bekeken niveau geen goed beeld van de werkelijkheid gaf. Dit heet in vaktermen ‘nat gaan’. Wanneer je als interne auditor werkt zou je dit (waarschijnlijk) weten en een resultaat (en advies) op maat kunnen geven. False negatives komen ook voor. Zaken die je niet ziet maar wel zou moeten zien. Veel organisaties weten dat de auditor en accountant komt en weten alle handboeken, systeeminstellingen documentatie etc nog onder het stof vandaan te halen voordat wij langs komen. Nadat in het audit rapport voor een groot handelsbedrijf de opmerking was gemaakt vorig jaar dat er het informatie beveiligingsbeleid nodig moest worden herzien werd mij enkele dagen na mijn vraag of ik het nieuwe stuk kon zien een ‘nieuw’ exemplaar verstrekt. In eerste instantie zag het er prima uit, mooi voorblad, en inhoudsopgave. Pas veel later bleek dat het een door de IT manager gekopieerd stuk van een middelbare school was omtrent beveiligingsbeleid. Hij had op sommige punten de schoolnaam vergeten weg te halen. Een dijk van een bevinding, maar in eerste instantie niet eens in mij opgekomen. Kortom, hoe langer je bij een bedrijf werkt en hoe meer je het vertrouwen wint van de organisatie (je collega’s) des te hoger de kans op juiste bevindingen. En dat is kwaliteit.

6. Analyse interviewresultaten en bevindingen Van de 10 verzonden vragenlijsten zijn 7 reacties teruggekomen. Hieruit hebben wij de resultaten per vraag samengevat en vervolgens bekeken welke conclusies uit de resultaten konden worden getrokken. Hieronder zijn de interviewresultaten per vraag verder uitgewerkt, en worden de resultaten grafisch weergegeven.

6.1. Resultaten gesloten vragen 1a: Argumenten voor aannemen interne auditcapaciteit. Geef aan in hoeverre de volgende criteria als argument gelden bij de overweging om gebruik te maken van interne auditors: De scores bij de antwoorden zijn bij elkaar opgeteld. Om tot een duidelijk overzicht te komen is gekozen voor een gesorteerde score per criterium. De grafiek hieronder geeft een gemiddelde score per criterium aan over de geïnterviewde organisaties.


Pagina 14 van 30

1a) Gemiddelde score per criterium interne auditor Kosten Complexiteit organisatie en processen Kwaliteit van auditresultaat Frequentie van onderzoek Kennis Continuïteit van de vakkennis Diepgang van onderzoek Beschikbaarheid Relatie van opdrachtgever tot auditor Grootte van de organisatie Vertrouwen op kennis van auditor Typologie (aard) van de organisatie Beleid Confidentialiteit van het audit object Cultuur van de organisatie 1,00

1,50

2,00

2,50

3,00

3,50

4,00

4,50

5,00

Figuur 2: Gemiddelde score per criterium voor interne auditor.

Let op: in verband met de ordinale verdeling kan een criterium met score 4 niet gezien worden als exact 2x zo belangrijk als een criterium met score 2. Het geeft slechts aan dat het een grotere (maar niet precies hoeveel grotere) mate van belangrijkheid heeft. Uit de resultaten is een aantal interessante conclusies af te leiden: Er springen 5 criteria uit als zijnde wezenlijk belangrijk bij het kiezen voor een interne auditor: 1. Kosten 2. Complexiteit organisatie en processen 3. Kwaliteit van het auditresultaat 4. Frequentie van onderzoek 5. Kennis Er zijn 4 criteria die als onbelangrijk worden ervaren bij het kiezen voor een interne auditor: 1. Soort organisatie 2. Beleid 3. Confidentialiteit van het auditobject 4. Cultuur van de organisatie 5. Relatie tot de opdrachtgever 2a. Argumenten voor aannemen externe auditcapaciteit: Geef aan in hoeverre de volgende steekwoorden als argument gelden bij de overweging om gebruik te maken van externe auditors.


Pagina 15 van 30

De grafiek hieronder geeft de gemiddelde score per criterium aan zoals die uit het onderzoek naar voren zijn gekomen. Hier kon men de waarden 1 t/m 5 toekennen, welke variabelen de waarden symboliseren tussen “volledig onbelangrijk” en “zeer belangrijk”.

2a) Gemiddelde score per criterium voor externe auditor Kennis Kosten Beschikbaarheid Relatie van opdrachtgever tot auditor Kwaliteit van auditresultaat Vertrouwen op kennis van auditor Complexiteit organisatie en processen Diepgang van onderzoek Beleid Continuïteit van de vakkennis Grootte van de organisatie Frequentie van onderzoek Confidentialiteit van het audit object Typologie (aard) van de organisatie Cultuur van de organisatie 1,00

1,50

2,00

2,50

3,00

3,50

4,00

4,50

5,00

Figuur 3: Gemiddelde score per criterium voor externe auditor.

Er springen 3 criteria uit als zijnde wezenlijk belangrijke criteria bij het kiezen voor een externe auditor: 1. Kennis 2. Kosten 3. Beschikbaarheid Er zijn 4 criteria die als onbelangrijk worden ervaren bij het kiezen voor een externe auditor 1. 2. 3. 4.

Frequentie van onderzoek Confidentialiteit van het audit object Soort organisatie Bedrijfscultuur

3. Weging van factoren. Kunt u aangeven wat de weging is van de volgende criteria (ongeacht welke optie voor auditor). Hierbij kunt u de cijfers 1 t/m 15 gebruiken. Het criterium waar de 1 aan wordt toegekend is het meest zwaarwegend. Voor de éénduidigheid en de weergave in de grafiek zijn de waarden zoals aangegeven in de ontvangen vragenformulieren omgedraaid. Hierdoor is de wijze waarop de belangrijkheid per criterium wordt weergegeven consistent doorgevoerd in het gebruikte spreadsheet.


Pagina 16 van 30

3a) Ranking van criteria Kwaliteit van auditresultaat Kennis Complexiteit organisatie en processen Kosten Beschikbaarheid Diepgang van onderzoek Continuïteit van de vakkennis Frequentie van onderzoek Relatie van opdrachtgever tot auditor Confidentialiteit van het audit object Vertrouwen op kennis van auditor Beleid Grootte van de organisatie Cultuur van de organisatie Typologie (aard) van de organisatie totaalscore

Figuur 4: Ranking van criteria.

De kwaliteit van het auditresultaat wordt als belangrijkste criterium overall gezien, gevolgd door kennis van de auditor en de kosten die met de inhuur van auditors gemoeid zijn. Criteria omtrent de te auditen organisatie worden als minst belangrijk ervaren. Het gaat hier om beleid, cultuur en typologie van de organisatie.

6.2 Resultaten open vragen In deze paragraaf zijn de resultaten van de open vragen in de interviews weergegeven. De verkregen antwoorden zijn hieronder per vraag gerubriceerd. Zie voor de context van de vragen het in bijlage 1 opgenomen vragenformulier. Vraag 1b. Overige argumenten voor het aannemen van interne auditcapaciteit: Geef ook aan hoe zwaar dit (of deze) argument(en) wegen.

Bij de beantwoording van deze vraag wordt het belang van de volgende punten benadrukt: • Continuïteit van groep en dus kennis. o Hiermee wordt aangegeven dat waarde wordt gehecht aan het als groep fungeren in een team van interne auditors, teneinde continuïteit en kennis te waarborgen. Eén van de doelstellingen hiervan is het van elkaar leren door kennisoverdracht en daarmee continuïteit van de aanwezigheid van kennis in geval van bijvoorbeeld ziekteverzuim. • Kennis van de organisatie zelf en netwerk dat daardoor ontstaat (zeer belangrijk). o Ook hier heeft men kennis hoog in het vaandel naast het creëren van een netwerk in de organisatie. Het creëren van het netwerk in de organisatie is uit


Pagina 17 van 30

te leggen als vertrouwd zijn met de persoon, ingangen in de organisatie en toegang tot informatie. • In 1 van de gevallen werd deze vraag beantwoord met: “Op te leveren product: zeer belangrijk: meestal is een verklaring bestemd voor een derde. Deze hecht over het algemeen meer waarde aan een verklaring van een externe auditor.” o Omdat hetzelfde antwoord werd gegeven als bij vraag 2b en dit antwoord strijdig ten opzichte van elkaar, is telefonisch contact gelegd met de betreffende organisatie. Bij nader inzien bleek dit antwoord alleen bedoeld als antwoord op vraag 2b. Jaarlijks blijkt bij deze organisatie een externe audit te worden uitgevoerd, in opdracht van de toezichthouder. Deze vraag werd in 3 van de 7 gevallen beantwoord, waarvan 3 keer met de nadruk op kennis van de organisatie en/of de processen. Samenvattend kan worden geconcludeerd dat men vindt dat interne auditors doorgaans veel kennis hebben van de eigen organisatie en de interne processen, zorg dragen voor continuïteit (dagelijks aanwezig) hetgeen wordt gezien als voordeel ten opzichte van de inhuur van externe auditors. Vraag 2b. Overige argumenten voor het inzetten van externe auditcapaciteit: Geef ook aan hoe zwaar dit (of deze) argument(en) wegen. Beantwoording van deze vraag leverde slechts 2 keer een antwoord op: •

“Op te leveren product: zeer belangrijk: meestal is een verklaring bestemd voor een derde. Deze hecht over het algemeen meer waarde aan een verklaring van een externe auditor”. o Voor de betreffende organisatie zou kunnen worden geconcludeerd dat het uiteindelijk op te leveren product doorslaggevend is voor de keuze. Navraag heeft echter uitgewezen, dat het hier gaat om audits welke door of namens een toezichthouder worden uitgevoerd, die de audit per definitie door een externe auditor laat uitvoeren. • “Voor ons is de overweging om externe IT-auditors in te zetten vooral bedoeld voor het opvangen van piekbelastingen in de eigen auditorganisatie en specifieke kennis / deskundigheid; waar eigen IT-auditors vaak generalistische systeemauditor zijn, hebben wij soms ook behoefte aan specialisten op bepaald terrein”. Samenvattend kan uit de beantwoording het volgende worden geconcludeerd: In 1 van de beschreven situaties vindt externe inhuur plaats als gevolg van een door de toezichthouder opgelegde verplichting. In het andere geval vindt externe inhuur soms plaats ten behoeve van de inzet van specialistische kennis en / of de opvang van piekbelasting. Hieruit kan tevens worden afgeleid, dat kennis van de interne auditor zich dus kennelijk kan beperken tot de kennis van de eigen organisatie en bestaande processen. Daar waar op bepaalde momenten specialistische kennis nodig is wordt alsnog externe auditcapaciteit ingezet. Vraag 4.1 Wat beschouwt u als belangrijkste voor- en nadelen van het hebben van een interne auditdienst in vergelijking tot externe auditors? Als belangrijkste voordelen van het hebben van een interne auditdienst in vergelijking met externe auditors zijn de volgende redenen gegeven: • Diepere / bredere specifieke en continue kennis (processen en organisatie) 6x • Lagere kosten 5x


Pagina 18 van 30

• • • • • •

Betere continuïteit in de teambezetting / beschikbaarheid 3x Goede ingangen binnen eigen organisatie /toegang tot informatie 3x Betere focus op het onderzoek 1x Gebundelde kennis in team door vertrouwelijkheid 1x Permanente relatie met hoger management 1x Minder tijd nodig voor inwerktijd, kennismaking, opvolging 1x o Samenvattend valt een aantal aspecten op bij de beantwoording van deze vraag. Dit zijn met name de kennis van de organisatie en de processen inclusief het voordeel van borging van opgedane kennis ten opzichte van extern ingehuurde auditors. Vervolgens wordt vooral de kostenbesparing als voordeel genoemd bij de inzet van interne auditors. Ten derde wordt veel waarde gehecht aan continuïteit en beschikbaarheid. Ten slotte wordt de ingang binnen de eigen organisatie en toegang tot de informatie als erg belangrijk ervaren.

Als belangrijkste nadelen van het hebben van een interne auditdienst in vergelijking met externe auditors werden de volgende redenen gegeven: • • • •

De interne auditor is minder onafhankelijk 2x Tunnelvisie, verkokering 2x Minder flexibel 2x Heeft beperkter zicht op ontwikkelingen in buitenwereld 1x o Samenvattend kan hieruit worden geconcludeerd dat ondanks de hiervoor genoemde nadelen van een interne auditdienst duidelijk een voorkeur bestaat voor interne auditors. Hierbij spelen de factoren kennis van de eigen organisatie en de processen, kosten, continuïteit en ingang in de organisatie de belangrijkste rollen. Grootste nadelen die worden genoemd zijn minder onafhankelijk en minder flexibel in teamsamenstelling.

Vraag 4.2 Wat beschouwt u als belangrijkste voor- en nadelen van externe auditors in vergelijking tot een interne auditdienst? Als belangrijkste voordelen van het hebben van externe auditors in vergelijking tot een interne auditdienst zijn de volgende redenen gegeven: • • • • • • •

Specialisme kan dieper zijn (niet altijd) 3x Onafhankelijke blik / opinie 3x Flexibiliteit teamsamenstelling 2x Objectieve frisse blik 1x Beschikking over vaktechnische tools (m.n. grotere kantoren) 1x Bredere benchmark6 1x Dikwijls betere persoonlijke presentatie o Samenvattend kan worden gesteld dat specialisme en onafhankelijkheid ook hier de boventoon voeren. Ook kunnen in sommige gevallen externen de flexibiliteit van de teamsamenstelling verhogen. Of hiermee wordt gedoeld op bredere inzetbaarheid als gevolg van gecombineerde kennis van zowel de interne organisatie en kennis die wordt aangedragen door de externe auditor, of het opvangen van fluctuaties in werkdruk is voor dit onderzoek niet verder onderzocht. Daarnaast valt op dat de beschikbaarheid van vaktechnische tools als voordeel wordt genoemd. De eventuele kwaliteit van die tools is eveneens


Pagina 19 van 30

niet voor het onderzoek onderzocht. Tenslotte werd in één geval aangegeven dat externe auditors dikwijls een betere persoonlijke presentatie vertonen. Mogelijk zegt dit iets over het aanzien van de externe auditor versus het aanzien van de interne auditor. Als nadelen werden genoemd: Kosten hoger 4x Oppervlakkige kennis en minder diepgang van organisatie specifieke processen/problematiek 3x • Continuïteit niet gewaarborgd waardoor herinvesteren van nieuwelingen vaak nodig is 2x • Opbouw en behoud van eigen specifieke kennis minder mogelijk 2x • Aandacht wordt verdeeld over meerdere klanten 1x • Geen permanente relatie met hoger management 1x o Samenvattend valt ook hier op dat met name de kosten van externe inhuur en kennis van de organisatie en processen als nadeel worden onderkend. Ook ervaart men het als nadeel dat men bij externe inhuur regelmatig wordt geconfronteerd met nieuwelingen die de organisatie en dus de processen nog niet goed kennen, waardoor kennis (bij de externe auditor) steeds oppervlakkig blijft. Het steeds opnieuw moeten investeren om die kennis bij te brengen, werkt vertragend en zorgt voor onnodig hogere kosten bij externe inhuur. Ook de opbouw en behoud van eigen specifieke kennis blijkt achter te blijven, wanneer externe auditors worden ingezet. Tenslotte ziet men persoonlijke aandacht en de relatie met het hoger management in een enkel geval als nadeel. • •

4.3 Als u in de regel gebruik maakt van een eigen auditdienst, komt het dan ook voor dat u de capaciteit aanvult met externe auditors? Zo ja, welke andere redenen dan onvoldoende eigen capaciteit zijn er dan? Om de onderstaande redenen wordt soms gebruik gemaakt van externe auditcapaciteit naast eigen interne auditors: • •

Eventuele specialistische en / of systeemkennis 3x Voor EDP audits worden altijd externe auditors ingezet en worden door interne auditors ondersteund 1x • Alleen voor projecten 1x • Geen eigen auditdienst 1x o Samenvattend wordt feitelijk aangegeven dat externe auditors vaak worden ingezet op de meer complexere zaken. Als oorzaak hiervoor zou kunnen worden aangedragen dat voor dergelijke opdrachten specifiekere kennis aanwezig moet zijn. Deze is dan kennelijk meer bij de externe, dan bij de interne auditor aanwezig. Ook zou deze keuze te maken kunnen hebben met het vertrouwen in de eigen auditor. Voor dit onderzoek is dit niet verder onderzocht. 4.4 Als uw organisatie beschikt over eigen (interne) auditors, wordt er dan budget en tijd begroot voor het op pijl houden van de vakkennis? Verkregen antwoorden: • Ja 6x


Pagina 20 van 30

•

Niet bekend o Samenvattend kan worden gesteld dat in nagenoeg alle gevallen waarin men beschikt over interne auditors, voldoende aandacht is voor het op peil houden van de vakkennis.

4.5 Welke activiteiten vinden plaats voor het op peil houden van de vakkennis? Verkregen antwoorden: • volgen van seminars, cursussen, inhouse trainingen, round tables, participeren in commissies, verzorgen van trainingen, vaktechnische lunchbijeenkomsten 5x • IA beschikt over opleidingsplan, gebaseerd op IIA-standaarden, richtlijnen etc. • Waarschijnlijk de verplichte permanente educatie o Samenvattend blijkt dat er een breed scala aan opleidingen wordt gevolgd om bij te blijven in het vakgebied. Wel valt hierbij op dat in slechts één geval aandacht is besteed aan het aanbrengen van een zekere mate van structuur in het opleidingsprogramma, door het beschikbaar hebben van een opleidingsplan dat gebaseerd is op IIA- standaarden en richtlijnen. Eén van de geïnterviewde managers was niet op de hoogte van het feit of en welke vormen van educatie in zijn organisatie werden toegepast.

4.6 Als uw organisatie niet over een eigen auditdienst beschikt wordt dit dan wel overwogen en waarom (wel of niet)? Verkregen antwoorden: N.v.t. 5x Nee, omdat hiervoor geen fulltime functie aanwezig is 2x o Samenvattend: In 5 van de geïnterviewde organisaties beschikt men over één of meer interne auditors. Voor 2 organisaties gaf men als reden op te weinig werk voor een fulltime auditfunctie te hebben.

• •

66.3 Toelichting op de analyse van de gesloten vragen In ons onderzoek zijn een aantal moeilijkheden ontstaan ten tijde van het analyseren van de antwoorden op de gestelde vragen door de manier van antwoorden van de ondervraagden: •

Voor die criteria die voor een organisatie niet of in mindere mate van belang waren werd in enkele gevallen geen waarde van 1 t/m 5 toegekend.

Om dit probleem te ondervangen hebben wij aan de criteria waaraan geen invulling op het vragenformulier was gegeven het cijfer 1 toegekend (dit na overleg en goedkeuring van de persoon die de vraag had beantwoord). Daardoor konden de antwoorden op eenduidige wijze in het spreadsheet worden verwerkt en geïnterpreteerd. •

In één geval deed zich de situatie voor dat slechts 8 van de 15 genoemde criteria belangrijk werden geacht. In het specifieke geval is slechts doorgenummerd van 1 tot en met 8 om de volgorde van belangrijkheid per criterium aan te geven. Als motivatie hiervoor werd aangegeven, dat het toekennen van enige waarde aan een criterium dat men totaal niet belangrijk vond, een vertekend beeld zou opleveren. Immers, het criterium met de score 9 wordt in de uitkomst dan toch een stuk belangrijker gevonden


Pagina 21 van 30

dan het criterium met score 15. Om dit te voorkomen was in het geheel geen waarde toegekend. Om dit probleem te ondervangen hebben wij in dit specifieke geval ervoor gekozen om voor de criteria waaraan geen waarde was toegekend het gemiddelde te berekenen en dat als score voor deze criteria in te vullen. Volgens de volgende berekening (9 +10+11+12+13+14+ 15) / 7 levert dit de score 12 op. •

Men geeft meerdere keren dezelfde rangscore (van 1 t/m 15). Dus meerdere keren het cijfer 15 en 14, en een aantal keer 1 en 2. De bedoeling was dat aan elk van de genoemde criteria tenminste een score werd toegekend en dat elke scoringswaarde slechts eenmaal mocht voor komen. Dit met het doel de volgorde van het belang per criterium hieruit te kunnen opmaken. Zo werd men feitelijk gedwongen ook bij gelijke waarde per criterium te kiezen in volgorde van belangrijkheid.

Om dit te ondervangen waren er 2 mogelijkheden: o Er wordt een gemiddelde berekend over de scores die meerdere keren voorkomen o Er wordt een score ingevuld die het gemiddelde is van wat de andere deelnemers hebben ingevuld. (op deze manier wordt de invloed van deze deelnemer verkleind) Wij hebben voorlopig nog niet gekozen voor een van beide oplossingen omdat we nog wachten op eventuele wijzigingen die na terugkoppeling van ons door de deelnemer worden aangebracht. Om de resultaten in de staafdiagrammen visueel makkelijker te kunnen vergelijken is besloten om de oorspronkelijke scorevorming op vraag 3a om te keren. (score 1 wordt 1, in plaats van score 1 is 15).

6.4. Bevindingen De lagere kosten en betere kennis van de organisatie van een interne auditor ten opzichte van zijn externe collega worden als meest belangrijke voordelen genoemd.. Over de gehele linie gezien wordt de oppervlakkige kennis van de organisatie het meest genoemd als nadeel van externe auditors, gevolgd door kosten. Enkele onverwachte zaken die genoemd zijn. • De betere persoonlijke presentatie van de externe auditor wordt meer gewaardeerd. • Externen beschikken over betere tools. Voor ons onderzoek is de oorzaak van betere presentatie door de externe auditor niet verder onderzocht. Noch is een oordeel gevormd over de kwaliteit van door externen gehanteerde tools. Voorgaande is niet van doorslaggevend belang voor de juiste conclusies uit het onderzoek.


Pagina 22 van 30

7. Beslissingsmodel De beantwoording van de subvraag, met alle randvoorwaarden die erbij betrokken zijn leidt tot input voor een beslissingsmodel. Om tot een rationele keuze te komen dient de respondent in een richting gemanoeuvreerd te worden, waarbij de antwoorden op vragen moeten leiden tot een balans die doorslaat naar een interne of externe auditor. Wij hebben 2 beslissingsmodellen voor ogen gehad die hieronder nader worden belicht.

7.1 Beslissingsboom Een `beslissingsboom` of `beslisboom` is een wetenschappelijk model voor de weergave van de alternatieven en keuzen in een besluitvormingsproces en is een techniek uit de besliskunde.7 Dit is een veelgebruikte schematechniek om beslissers in een pad te begeleiden naar een antwoord. De criteria die als meest belangrijk uit de beantwoording van de subvraag komen bepalen uiteindelijk de keus voor het soort auditor. Wij hebben geprobeerd dit in een schema te beschrijven: Zie hiervoor volgende pagina.


Pagina 23 van 30

Wanneer u gevraagd wordt een keus te maken ga dan na of wat u betreft de interne of externe kant meer voorkeur geniet. Op deze manier komt u uiteindelijk op een rationele keuze uit. De vraag ‘Kosten?’ dient gelezen te worden als: Heeft u bij het criteria kosten een voorkeur voor intern of extern?

Start

Intern

Ja

Kosten?

Ja

Ja

Extern

Nee

Intern

Ja

Kennis?

Ja

Extern

Ja

Extern

Ja

Extern

Nee Nee

Intern

Ja

Kwaliteit?

Nee

Intern

Ja

Beschikbaarheid?

Nee

Intern

Geen voorkeur

Extern

Figuur 2: Voorbeeld beslissingsboom.


Pagina 24 van 30

7.2 Invullijst Er wordt een stelling geformuleerd die op elk criterium in de oorspronkelijke vragenlijst van toepassing is: ‘Geeft u de voorkeur aan een interne of externe auditor?’ Op basis van een 5 punts Likert Schaal worden deze criteria gescoord. De mogelijke antwoorden zijn: 1. Sterke voorkeur intern: score -2 2. Lichte voorkeur intern: score -1 3. Indifferent : score 0 4. Lichte voorkeur extern: score 1 5. Sterke voorkeur extern: score 2 Elk antwoord is gerelateerd aan een wegingsfactor waarmee de score per criterium wordt vermenigvuldigd. Deze factor is afkomstig uit de berekening die bij de subvraag gebruikt is om de criteria in volgorde te zetten. Wij kiezen ervoor om de 5 criteria die als meest belangrijk gezien worden een weging van 30 mee te geven. Het 6e t/m het 10e criterium krijgen een wegingsfactor 20, de vijf laagst beoordeelde criteria krijgen wegingsfactor 10. Deze wegingen zijn enigszins arbitrair maar geven op basis van onderzoek toch een getrouw beeld van de werkelijkheid. Uiteindelijk komt er een negatieve, positieve of 0-score uit, die respectievelijk staan voor: “Voorkeur voor interne”, “Voorkeur voor externe”, of “Geen voorkeur”. Het model ziet er in Excel dan als volgt uit :

Voorkeur voor:

Weging

Balans intern vs extern Intern Intern Indifferent Extern Extern -2

-1

1 Kwaliteit van auditresultaat

30

1

2 Continuïteit van de vakkennis

30

1

3 Relatie van opdrachtgever tot auditor 4 Beleid

10 20

5 Beschikbaarheid

10

6 Kosten

30

1

7 Kennis

10

1

8 Cultuur (b.v. familiebedrijf)

10

9 Typologie (aard) van de organisatie 10 Frequentie van onderzoek

20 20

11 Diepgang van onderzoek

20

12 Complexiteit organisatie en processen 13 Grootte van de organisatie

20 30

14 Vertrouwen op kennis van auditor

30

15 Confidentialiteit van het audit object Totaalscore

10

0

1

Score per criterium

2 -30 -30

1 0 1 40 1 -10 -60 -20 1 20 1 20 1 40 1 -20 1 20 1 60 1 -30 1 -20 -20

Resultaat: voorkeur voor

Intern

Figuur 6: Invullijst.


Pagina 25 van 30

Wanneer het formulier als Word document wordt aangeboden is een lijst met radiobuttons mogelijk een goed alternatief. Ook is er dan code achter te maken die een score toekent en het resultaat berekent.

7.3 Keuze voor model Voordelen beslissingsboom •

Beslissingsboom kan indien juist opgesteld een erg strakke keuzebegeleiding geven.

Nadelen beslissingsboom • • • • •

Bij het gebruik van een keuzeschema is het praktisch niet mogelijk alle criteria aan de orde te laten komen. Dit wordt schematisch te ingewikkeld. Het door het proces heen wisselen van auditorcategorie op basis van criteriumscores is niet in goede banen te leiden. Het is niet mogelijk om een weging aan de criteria in het schema te koppelen. Het is voor de beslisser lastig om zijn beslissingen inzichtelijk na te lopen. Het is moeilijk om er een dynamisch en digitaal toepasbaar model van te maken.

Voordelen van keuzelijst •

• •

Wanneer men binnen een organisatie dit model gebruikt kan men besluiten om de weging naar eigen inzicht aan te passen in een Excelmodel. Indien een papieren versie geleverd wordt kan de kolom met weging leeggelaten worden zodat men organisatiespecifieke wegingen en eventueel zelfs nieuwe criteria kan toevoegen. De rekenmethode blijft immers hetzelfde. Men kan de invloed van een criterium uitschakelen wanneer deze naar het oordeel van de beslisser voor beide auditorsoorten gelijk is, of indien het criterium in zijn geheel geen rol speelt bij de keuze. Het model geeft daadwerkelijk een rekenkundige voorkeur.

Nadelen keuzelijst De test is statistisch mogelijkerwijs niet helemaal verantwoord. Voor veel statistische analyses is het noodzakelijk om te veronderstellen dat de antwoorden op de Likertschaal niet alleen ordinaal, maar ook interval geschaald zijn. Formeel voldoen Likertschalen echter niet aan deze eis. De 'afstand' tussen twee opeenvolgende antwoordcategorieën zoals "sterke voorkeur intern" en "lichte voorkeur intern" is niet noodzakelijkerwijs gelijk aan de afstand' tussen twee andere opeenvolgende antwoord categorieën zoals "indifferent" en "lichte voorkeur extern”. Toch wordt in een aantal wetenschapsgebieden nog wel aangenomen dat elke opeenvolgende antwoordcategorie precies even 'ver' van de voorgaande als de opvolgende antwoordcategorie staat. 8


Pagina 26 van 30

Uiteindelijke keuze Aangezien de keuzelijst wel de mogelijkheid geeft tot het uitspreken van een meer gebalanceerde voorkeur, in combinatie met een weging die het resultaat is van onderzoek onder IAD’s, heeft dit model onze voorkeur. Met behulp van dit model kan men als beslisser in een organisatie een keuze maken op basis van (grotendeels) voor gedefinieerde criteria en naar eigen inzichten. Als uitslag na invulling van het model wordt een voorkeur weergegeven, die gerelateerd is aan de scores die per criterium zijn gehanteerd. Er zijn dan drie mogelijkheden: 1. Een voorkeur voor het inzetten van interne auditors. Dit geschiedt wanneer het totaal van het aantal gescoorde punten per criterium groter is dan het totaal aantal punten dat gescoord is bij de criteria die gelden bij de externe in te huren auditor. 2. Geen voorkeur. Dit geschiedt wanneer het totaal van het aantal gescoorde punten per criterium gelijk is aan het totaal aantal punten dat gescoord is bij de criteria die gelden voor de externe in te huren auditor. 3. Een voorkeur voor het inzetten van extern ingehuurde auditors. Dit geschiedt wanneer het totaal van het aantal gescoorde punten per criterium kleiner is dan het totaal aantal punten dat gescoord is bij de criteria die gelden bij de externe in te huren auditor. De uitslag zoals die door het model wordt gegeven, hoeft echter niet te betekenen dat men niet andere overwegingen kan hebben die de uiteindelijke keuze naar de tegenovergestelde richting kunnen laten doorslaan. Deze situatie kan zich bijvoorbeeld voordoen, wanneer ook andere criteria dan in het keuzemodel zijn opgenomen een rol spelen bij de besluitvorming. Het is dan uiteraard wel van cruciaal belang dat wanneer naast de voor gedefinieerde criteria of in plaats van deze criteria ook hier de juiste volgorde van het onderlinge belang wordt gehanteerd en op basis van die volgorde een evenredige score wordt toegekend. Overweging Voor organisaties is dit model over het algemeen goed bruikbaar, mits men vooraf zeker weet dat de in het model toegepaste criteria dezelfde zijn als in de betreffende organisatie worden gehanteerd voor het maken van een keuze tussen interne en externe auditcapaciteit. Moeten er voor het bepalen van de keuze echter andere criteria worden gehanteerd, dan zou het model nog steeds bruikbaar kunnen zijn, mits de juiste volgorde van het relatieve belang per criterium en het op juiste wijze toekennen van de score per criterium hierbij in acht worden genomen. Het in ons onderzoek daartoe gehanteerde spreadsheet kan hierbij eventueel als hulpmiddel worden ingezet. Weet men echter vooraf dat op basis van wettelijke bepalingen een externe auditor moet worden ingezet of dat de uit te voeren opdracht gaat om certificering, dan heeft toepassing van dit model uiteraard geen toegevoegde waarde.

8. Conclusie en aanbevelingen Door gebruik te maken van een beslissingsmodel waarbij men al naar gelang het te beoordelen criterium, gedwongen is een voorkeur uit te spreken voor intern of extern, is het mogelijk om op rationele gronden te kiezen voor een interne of externe auditor. Het onderzoek zoals dit is uitgevoerd bij organisaties van verschillende omvang en soort, leert ons dat steeds op een aantal vaste criteria de keuze tussen interne of externe auditor van doorslaggevende aard zijn. Zo kan uit het onderzoek worden geconcludeerd dat bij de organisaties waarbij het onderzoek heeft plaats gevonden, in nagenoeg alle gevallen 2 criteria een zeer belangrijke rol spelen. Namelijk de kosten die de inhuur van een externe auditor met zich meebrengen en kennis die nodig is om een bepaalde opdracht uit te voeren. Hierbij


Pagina 27 van 30

wordt aanbevolen dat men zich steeds moet afvragen of de besparing die van toepassing is wanneer men besluit interne auditcapaciteit in te zetten, opweegt tegen het risico dat genomen wordt door geen externe auditor in te zetten. Deze afweging kan echter alleen rationeel worden gemaakt indien men zeker weet welke kennis nodig is voor het uitvoeren van een bepaalde opdracht. Is men eenmaal overtuigd van de benodigde kennis, dan zal moeten worden bekeken of de vereiste kennis binnen het eigen auditteam voldoende aanwezig is. Met dit gegeven kan feitelijk worden gesteld dat daarmee (zij het met enige kanttekening, gezien de omvang van het onderzoek) het antwoord op de 1e subvraag voor het onderzoek is gegeven (deze was: Wat zijn de overwegingen om als bedrijf externe IT-auditors in te huren dan wel voor intern opererende IT-auditors te kiezen? Op het eerste deel van de 2e subvraag voor het onderzoek:” Bestaat er een beslissingsmodel om deze keuze te maken of te onderbouwen?”, kan worden geconcludeerd dat nergens uit blijkt dat een dergelijk model beschikbaar was. Ook is vanuit de geïnterviewde organisaties geen opmerking gekomen, die erop wees dat een dergelijk model al bestond. Het antwoord op dit deel van de vraag is dus “nee”. Omdat het eerste deel van de 2e subvraag negatief is beantwoord, is mede op basis van de resultaten van het onderzoek getracht vorm te geven aan een in de praktijk toepasbaar model. Het resultaat hiervan is weergegeven in paragraaf 7.2. “Invullijst”. Hiermee wordt een handreiking gedaan aan organisaties die voor de keuze staan om interne dan wel externe auditors in te zetten. Tevens geeft dit het antwoord op de vraag “Hoe zou zo’n model er dan uit kunnen zien?” Uiteraard is aan de organisatie die het model daadwerkelijk zou willen toepassen de keuze of zij dezelfde lay-out van het model willen hanteren, of zelf deze nog verder willen ontwikkelen. Het model biedt daartoe voor iedere organisatie een mogelijkheid en kan zonder verder risico worden aangepast. Wel geldt hier de aanbeveling steeds rekening te houden met het toekennen van de juiste criteria voor het maken van de keuze. Immers deze criteria kunnen per doelstelling en per bedrijfstak verschillen. Daarnaast is het toekennen van de juiste score per criterium en het toepassen van de berekening van de uitkomst, zoals dat in het voorbeeld van de invullijst is aangebracht, van cruciaal belang voor de juiste werking van het model. Door de beantwoording van de beide subvragen kon worden toegewerkt naar het antwoord op de hoofdvraag t.w.: ‘Hoe kan men als organisatie op rationele wijze een keuze maken tussen het gebruik van interne versus externe (IT)auditcapaciteit?’

9. Persoonlijke reflectie Tijdens de voorbereidingen voor ons onderzoek is gebrainstormd over de criteria zoals die uiteindelijk in het vragenformulier zijn opgenomen. Hierbij was al snel tot de conclusie te komen dat het voor het onderzoek feitelijk ondoenlijk is om alle criteria zoals die gelden binnen de verschillende organisaties voor het maken van een keuze tussen interne en externe auditors, in de vragenlijst op te nemen. Bovendien zou dat de berekening zoals die in het spreadsheet is opgenomen alleen maar complexer maken. Wij hebben ons daarom beperkt tot het noemen van 15 criteria, waarvan wij dachten dat deze algemeen van toepassing zouden kunnen zijn voor het bepalen van de keuze.


Pagina 28 van 30

Over in het vragenformulier gehanteerde criteria zijn in de beantwoording nauwelijks opmerkingen of aanvullingen gemaakt over andere criteria die bij het maken van de bedoelde keuze voor de betreffende organisaties van belang zijn. Uit gesprekken met beslissers in de organisaties is gebleken dat het voldoen aan de gestelde criteria, die feitelijk gelden om tot een weloverwogen keuze te komen, niet altijd op eenduidige wijze worden nagestreefd. Uit eigen ervaring blijkt, dat voor sommige organisaties de feitelijke kostendekkendheid doorslaggevender is dan het criterium “kosten” op zich. Bijvoorbeeld wanneer vooraf bekend is dat de kosten van inzet van een auditor aan een inhurende organisatie door derden zullen worden vergoed, deze organisatie zich minder zorgen zal maken over de uiteindelijk te betalen prijs voor de externe inhuur. Deze situatie kan zich bijvoorbeeld voordoen binnen de overheid. Daar tegenover staat dat de mate waarin bijvoorbeeld winstgevendheid van een organisatie een rol speelt, zoals dat met name in de handel en industrie het geval is, de kosten bij het maken van een keuze tussen intern of extern, juist meer bepalend zijn. Uit voorgaande kan worden opgemaakt dat niet alleen de criteria zoals genoemd in het vragenformulier een rol spelen bij de keuze, maar ook voor welk type organisatie de keuze moet worden gemaakt. Immers per soort organisatie kunnen verschillende criteria van belang zijn. Voor de toepasbaarheid van het model maken de hiervoor beschreven nuances in benadering geen verschil. De opzet van het keuzemodel is zo gekozen dat deze is aan te passen naar behoefte voor elke organisatie, mits aan de gestelde voorwaarden is voldaan. Zie hiertoe de aanbevelingen in het vorige hoofdstuk. ==========================


Pagina 29 van 30

10. Bronvermelding Tijdens ons onderzoek hebben wij gebruik gemaakt van diverse bronnen. Hieronder vindt u een weergave van de geraadpleegde literatuur en bronnen:

1

Persbericht NoREa 13-06-07: Weer groter aandeel ‘interne IT auditors’ op gespannen arbeidsmarkt. Dikke van Dalen: rationeel 3 http://nl.wikipedia.org/wiki/Ordinaal 4 Studierapport ‘De internal auditor in Nederland’ 5 De modernisering van de controlepiramide vanuit internationaal perspectief, Bouckaert. 2005 6 http://nl.wikipedia.org/wiki/Benchmark 7 http://nl.wikipedia.org/wiki/Beslissingsboom 8 http://nl.wikipedia.org/wiki/Likertschaal (bewerkt) 2


Pagina 30 van 30

Bijlage A Vragenlijst interview interne/externe IT- auditcapaciteit

Naam deelnemer: Functie: Datum: Organisatie: Soort organisatie* Aantal medewerkers: Aantal IT-auditors intern: Aantal IT-auditors extern:

*Bijvoorbeeld: Handelsbedrijf, Overheid, Productiebedrijf, Bank-of verzekeringsbedrijf, etc.

De vragen dienen beantwoord te worden door één van de keuzes 1 t/m 5 aan te kruisen, waarbij de 1 staat voor ‘volledig oneens of onbelangrijk’ en de 5 voor ‘volledig eens of zeer belangrijk’. NB. De beantwoording van de vragen zal anoniem worden behandeld en zal alleen bijdragen aan de verdere uitwerking van ons onderzoek. Uiteraard is het van belang dat u de vragen beantwoordt vanuit uw eigen visie en ten aanzien van de organisatie waarvoor u werkzaam bent. Dit om de resultaten van het onderzoek zo zuiver mogelijk te houden.


A-1

1a. Argumenten voor aannemen interne auditcapaciteit. Geef aan in hoeverre de volgende steekwoorden als argument gelden bij de overweging om gebruik te maken van interne auditors.

Volledig Onbelangrijk

Zeer Belangrijk

Criteria interne auditors 1 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15.

2

3

4

5

kwaliteit van auditresultaat continuïteit van de vakkennis relatie van opdrachtgever tot auditor beleid beschikbaarheid kosten kennis cultuur (b.v. familiebedrijf) typologie (aard) van de organisatie frequentie van onderzoek diepgang van onderzoek complexiteit van de organisatie en de processen grootte van de organisatie vertrouwen op kennis van auditor confidentialiteit van het audit object

1b. Indien er volgens u andere criteria zijn dan hierboven genoemd, welke zijn dit dan? Geef ook aan hoe zwaar dit (of deze) argument(en) wegen. Vrije tekst:


A-2

2a. Argumenten voor aannemen externe auditcapaciteit Geef aan in hoeverre de volgende steekwoorden als argument gelden bij de overweging om gebruik te maken van externe auditors. Volledig Onbelangrijk

Zeer Belangrijk

Criteria externe auditors 1 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15.

2

3

4

5

kwaliteit van auditresultaat continuïteit van de vakkennis relatie van opdrachtgever tot auditor beleid beschikbaarheid kosten kennis cultuur (b.v. familiebedrijf) typologie (aard) van de organisatie frequentie van onderzoek diepgang van onderzoek complexiteit van de organisatie en de processen grootte van de organisatie vertrouwen op kennis van auditor confidentialiteit van het audit object

2b. Indien er volgens u andere criteria zijn dan hierboven genoemd, welke zijn dit dan? Geef ook aan hoe zwaar dit (of deze) argument(en) wegen. Vrije tekst:


A-3

3. Weging van factoren. Kunt u aangeven wat de weging is van de volgende criteria (ongeacht welke optie voor auditor). Hierbij kunt u de cijfers 1 t/m 15 gebruiken. Het criterium waar de 1 aan wordt toegekend is het meest zwaarwegend.

1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15.

Criteria (als bij vraag 1a en b) kwaliteit van het auditresultaat continuïteit van de vakkennis relatie van opdrachtgever tot auditor beleid beschikbaarheid kosten kennis cultuur (b.v. familiebedrijf) typologie (aard) van de organisatie frequentie van onderzoek diepgang van onderzoek complexiteit van de organisatie en de processen grootte van de organisatie vertrouwen op kennis van auditor confidentialiteit van het audit object

Weging

4. Open vragen. 4.1 Wat beschouwt u als belangrijkste voor- en nadelen van het hebben van een interne auditdienst in vergelijking tot externe auditors? Voordelen:

Nadelen:

4.2 Wat beschouwt u als belangrijkste voor- en nadelen van externe auditors in vergelijking tot een interne auditdienst? Voordelen:

Nadelen:


A-4

4.3 Als u in de regel gebruik maakt van een eigen auditdienst, komt het dan ook voor dat u de capaciteit aanvult met externe auditors? Zo ja, welke andere redenen dan onvoldoende eigen capaciteit zijn er dan?

4.4 Als uw organisatie beschikt over eigen (interne) auditors, wordt er dan budget en tijd begroot voor het op pijl houden van de vakkennis?

4.5 Welke activiteiten vinden plaats voor het op peil houden van de vakkennis?

4.6 Als uw organisatie niet over een eigen auditdienst beschikt wordt dit dan wel overwogen en waarom (wel of niet)?


A-5

Afstudeerscriptie. Hoe kan men als organisatie op rationele wijze een keuze maken tussen het gebruik van interne versus externe (IT)auditcapaciteit?

Recommend Documents