44
de EDP-Auditor nummer 3 2005
Interview IT-auditor: adviseur of controleur? Het profiel van de auditor behoeft verduidelijking. Als een CIO een IT-auditor inschakelt, zoekt hij meer een adviseur dan een controleur. Een accountant daarentegen schakelt eerder een IT-auditor in als controleur. Kortom: is de IT-auditor nu vooral een accountant op IT-gebied of een IT-consultant met auditkennis. Het profiel behoeft verduidelijking en de klantvraag zou daarbij centraal gesteld moeten worden. Dit stelt Prof. dr. R(ob) G.A. Fijneman RE RA in z’n oratie ‘IT-auditing: grenzeloos of gelimiteerd’, uitgesproken op 22 april 2005 aan de Universiteit van Tilburg bij de aanvaarding van het ambt van hoogleraar EDP-auditing. Van deze oratie is ook een bewerking gepubliceerd in Automatisering Gids van 6 mei 2005. Interview door Wilfried Olthof en Rainer Steger
We leggen enkele stellingen en conclusies van Rob Fijneman voor aan collega-hoogleraar Prof. Drs. P(aul) L.A.M. van Kessel RE RA, eveneens verbonden aan de Universiteit van Tilburg en evenals Rob Fijneman partner bij één der ‘big four’-kantoren en voorzitter van EDPaudit aldaar.
beperkt bent in je adviesmogelijkheden. Dan ben je dus auditor en mag je geen advies doen! Wanneer je daarentegen niet optreedt als auditor, dan kun je best adviezen geven. Het is dan ook geen academische discussie die los van de maatschappelijke werkelijkheid kan worden gevoerd.’
Adviseur of controleur? Paul: ‘Rob Fijneman werpt de vraag op: ‘Wat is nu eigenlijk een IT-auditor?’ Is het een auditor of is het een consultant? Hij benadert die vraag vanuit de individuele beroepsbeoefenaar. Als je de vraag op die manier stelt, dan kom je er (dus) niet uit. Ik vind zelfs dat hij in deze tijd een hele gevaarlijke discussie begint, waarbij hij tegen de stroom in roeit. Het gaat niet zozeer om het één (audit) of het ander (advies), maar om het op verantwoorde wijze scheiden van audit en advies. Je kunt dus niet zomaar ‘out of the blue’ de vraag stellen: is de IT-auditor een auditor of consultant? Ik vind deze vraag op twee punten te breed.
Waait deze discussie over of
In de eerste plaats is het duidelijk dat sinds de boekhoudschandalen alle regelgeving – zoals de Sarbanes Oxley wet en de onafhankelijkheidrichtlijnen van de Security Exchange Commission (SEC) en het NIVRA – erop is gericht om ervoor te zorgen dat zodra je als individu of als organisatie bij een klant als auditor optreedt, je héél erg
Drs. W.J.A. Olthof is ambtelijk-secretaris van de NOREA;
moeten we hier iets mee? ‘De vraag is dus niet zozeer: ben ik nu een auditor of adviseur; waait deze hele discussie over of moeten we er iets mee? De markt heeft dat immers al voor ons bepaald. Wanneer je auditor bent, dan ben je geen adviseur en als je adviseur bent, dan ben je geen auditor. Volgens die praktijk acteren we ook in de maatschappen op grond van de aangescherpte onafhankelijkheidsregels. Dat was ook precies de aanleiding voor de accountancymaatschappen om de consultancytakken af te stoten. Dit wil overigens niet zeggen dat assurancebedrijven geen adviezen meer geven. Het gaat dus niet om het één of ander, het is beide maar met de beperking dat zodra je jezelf als auditor manifesteert, je géén adviseur (meer) bent. Het is geen vraag die je jezelf zomaar in het algemeen kunt stellen los van de maatschappelijke werkelijkheid. Je bent auditor en adviseur, maar waar je het één (audit) of het ander (advies) doet, wordt bepaald door de klant. Zodra je klant een ‘audit-klant’ is, dan kun je niet adviseren.’
Drs. R.J.Steger is Hoofd Adm. en Bedrijfsorganisatie van de KAS BANK, tevens redactielid van ‘de-EDP-Auditor’.
‘Ook in een ander opzicht wordt de discussie door Rob Fijneman te breed gevoerd. Dat betreft de vraag op welk
de EDP-Auditor nummer 3 2005
Paul van Kessel: ‘Een IT-auditor is niet primair een deskundige op het gebied van IT. Hij is een deskundige op het gebied van IT-controls.’ gebied de IT-auditor deskundig is. Neem de accountant als voorbeeld: de accountant is niet deskundig op bijvoorbeeld de inkoopprocessen of hypotheekprocessen, de betalingsprocessen of zorgprocessen. Zijn deskundigheid ligt op het terrein van de controls in en rondom die processen: internal-control en/of environmental-controls over die processen. Natuurlijk, als je heel vaak een inkoopproces hebt beoordeeld op het aspect control, dan weet je op een gegeven moment wel hoe een inkoopproces werkt. Maar onze ‘core-competence’ heeft te maken met control(s). Als ik naar de IT-auditor kijk, dan is een IT-auditor niet primair een deskundige op het gebied van IT. Hij is een deskundige op het gebied van IT-controls. En hoe je dus rondom die control(s) assurance kunt bieden.’
Een management consultant? Dat is ‘ie’ dus niet! ‘Wanneer je al de vraag stelt: is een IT-auditor een auditor of adviseur en je constateert: ja, bij sommige klanten is hij inderdaad een adviseur. Dan is hij dus een adviseur op het gebied van IT-control(s). En omdat hij vaker naar controlevraagstukken rondom IT heeft gekeken, weet hij veel van IT af. Maar het gaat veel te ver om – zoals Rob Fijneman doet – de indruk te wekken dat een IT-auditor zich ook nog als een all-round management-consultant op ITgebied kan manifesteren.
Soms zijn we consultant op het terrein van de controls van IT, maar dat is fundamenteel iets anders. Het behoort in principe niet tot het profiel van de IT-auditor om een pakketimplementatie te doen. Het behoort wel tot z’n competentie om te adviseren over de noodzakelijke application-controls die moeten worden ingebouwd in een pakket dat geïmplementeerd wordt.’ Moet het profiel van de auditor derhalve in de opleiding worden verduidelijkt? ‘Mijns inziens niet. Ook binnen de IT-audit-opleiding in Tilburg wordt altijd een bepaald aspect van IT inclusief de beheersing behandeld; vervolgens wordt aandacht besteed aan de wijze waarop de beheersingsaspecten kunnen worden geaudit. Het vertrekpunt van de audit-benadering is dus steeds het beheersingsvraagstuk: hoe stel je vast dat de onderneming dit stuk van de IT beheerst (in termen van betrouwbaarheid, beveiliging en continuïteit). Wanneer je dat als auditor doet, dan zit daar ook altijd een natuurlijke adviesfunctie aan, dat wil zeggen (daar is Rob Fijneman het blijkbaar ook mee eens) de auditor moet in staat zijn oplossingsrichtingen aan te geven. Maar dan houdt het – wat betreft de auditklanten – op. Je kunt natuurlijk alleen maar oplossingsrichtingen aangeven wanneer je weet hoe de beheersing van de IT in elkaar steekt. Wanneer je dus bij een andere organisatie komt waar je geen audit doet, dan kun je naar mijn mening best adviezen geven over de beheersing van IT. Het is eigenlijk een drieluik waarbij de
45
46
de EDP-Auditor nummer 3 2005
‘De IT-auditor zal zich in de toekomst moeten specialiseren, niet alleen inhoudelijk, maar ook qua werkveld.’ ‘knip’ zit tussen de natuurlijke adviesfunctie en de uitwerking van die adviezen. De beroepsorganisaties NIVRA en NOREA hebben zich terecht – vind ik – met name gericht op die audit-functie, want daar neem je als auditor verantwoordelijkheid voor je oordelen. Daar zijn die kwaliteitsregels, beroepsregels en ethische normen het meest belangrijk. Als het daarbij gaat over de financial-audit dan denk ik dat de IT-auditor gewoon meemoet in de regelgeving die geldt voor de financial-auditors, zeker wanneer hij RA RE is. Betreft het een RE (niet tevens RA), dan denk ik dat er missiven moeten zijn vanuit NOREA waarin staat: gij zult u houden aan hetgeen dat binnen de financial-audit gebruikelijk is. Wat dat dan precies is, dat zou naar mijn mening met spoed uitgewerkt moeten worden! Op dit gebied leven immers in de praktijk veel vraagstukken zoals scope afbakening, verantwoordelijkheid van de RE en rapporteren. Ik vind bovendien ook dat de NOREA zich druk moet maken over regels die in acht genomen moeten worden wanneer het een audit betreft die los staat van de financial audit. Als het gaat om advies (en accountants hebben ook veel geadviseerd; vroeger kon dat zelfs makkelijk bij auditklanten) hoef je daarover in aanvullende zin niet zoveel extra’s voor te regelen, want dan is er op grond van algemene beroepsregels en rapportagevoorschriften genoeg geregeld.’
Rob Fijneman roept op tot de ontwikkeling van een ‘common body of knowledge’ voor de IT-auditors. Over welke vaardigheden hoort de IT-auditor te beschikken en op welke wijze is dat te borgen? ‘Is het nodig dat een IT-auditor alles wat met beheersing van IT te maken heeft overziet? Nee, kijk maar naar de VU-opleiding; daar onderscheiden ze technical-auditors en system-auditors. Dat is al een inperking of specialisatie. Er zijn bijvoorbeeld ook proces-auditors, meestal oorspronkelijk RA’s die tevens de RE-opleiding zijn gaan doen. Die gaan op een andere manier met een onderzoek om en bereiken andere conclusies dan IT-auditors die geen proces-achtergrond hebben. Hoe breed moet je kennis zijn? Dat is een moeilijk te beantwoorden vraag.’
Accountants hebben er ruim honderd jaar over gedaan Een IT-auditor moet zich beperken tot de IT-componenten en rapporteren aan de directie. Moet hij z’n bevindingen in het business-perspectief kunnen plaatsen? ‘Hoe lang is het geleden dat de accountant in z’n managementletter opschreef dat de tweede handtekening op de
de EDP-Auditor nummer 3 2005
kassa-uitbetaling ontbrak? Het duurt vrij lang voordat je als collectieve beroepsgroep duidelijk kunt maken dat er belangrijkere dingen zijn dan het ontbreken van een specifieke controle. Het duurt even voordat iedereen het businessperspectief aan zijn specialisatie kan toevoegen en kan denken vanuit riskmanagement of business-controls. Het heeft pas toegevoegde waarde wanneer je in staat bent om het in een bredere context te plaatsen. De accountants hebben daar ruim honderd jaar over gedaan. Dan kun je van IT-auditors niet verwachten dat ze dat in no-time hebben bereikt. Naast diversiteit en specialisatie blijft het een belangrijke vaardigheid om als auditor goed te kunnen vaststellen of er sprake is van een rationele opdracht. De NOREA stelt in haar richtlijnen vast dat je als auditor moet beoordelen of er sprake is van een rationele opdracht alvorens de opdracht te aanvaarden. Daar hebben we een heel belangrijk punt te pakken. Alleen rationele opdrachten uitvoeren! Je moet voldoende materiekennis hebben maar ook en vooral de kennis om te beoordelen of er sprake is van een rationele opdracht. We kunnen allemaal een Unix-box onderzoeken en daaraan tot sint-juttemis risico’s onderkennen. Maar de kunst is om de scope van dit onderzoek en de diepgang van de risicoanalyse zodanig af te bakenen dat – in de context van de organisatie en de specifieke problematiek die daar speelt – gesproken kan worden van een rationele opdracht.’ Over welke vaardigheden dient een IT-auditor te beschikken? ‘Ik zou zo niet uit de losse pols kunnen beantwoorden hoe breed of diep de ‘skills’ van een IT-auditor zouden moeten zijn. Je zult kennis moeten hebben van processen en BIV/ AO. Verder moet je kennis hebben van COSO en ERM. De opleidingen bieden voldoende diepgang op de ITbeheersingsgebieden. Wat we in de praktijk missen dat zijn de mensen die kunnen denken vanuit architecturen en infrastructuren, IT-govenance en high-level-design van security-systemen. Waar hang je dat op in de organisatie, wie is verantwoordelijk, et cetera. Toch hebben we het qua opleidingsniveau en beroepskwalificatie met betrekking tot de IT-audit in Nederland prima voor elkaar, in vergelijking met andere landen. Maar adel verplicht. We moeten ons derhalve ook blijven conformeren aan de internationale normen voor de studiebelasting op academisch en (post-)master niveau. Naast kennis zijn ook (audit-)vaardigheden van belang. Hoe is het gesteld met de communicatieve vaardigheden, kennisonderhoud (‘leren- leren’)? De uitgangspunten in dat verband moeten worden vastge-
legd in de vereiste eindtermen en/of beschrijving van het noodzakelijke curriculum’. Is er ook een behoefte aan fundamenteel wetenschappelijk of toegepast onderzoek ten behoeve van dit vakgebied? Rob Fijneman noemt in dat verband de behoefte aan onderzoek op het gebied van audit-theorie en onderzoek naar de ethiek van de auditor. ‘Dat zijn op zich relevante thema’s. Maar zelf zou ik liever toegepast onderzoek zien. Bijvoorbeeld uitgebreide casestudies naar de inrichting van IT-governance in vijf of tien grote ondernemingen. Een beoordeling en vergelijking van de wijze waarop de IT-governance structuur is ingericht. Ik zou ook wel bij een X-aantal grote bedrijven onderzoek willen doen door met de CIO’s in kaart te brengen welke IT-audits in de afgelopen vijf jaar zijn uitgevoerd en dan aan de hand van een ‘rating-model’ proberen de meest waardevolle audit-opdrachten te achterhalen. Dan ontstaat er een beeld of we als beroepsgroep voldoende toegevoegde waarde leveren. We hebben niet echt een ‘track-record’ en een beeld over de mate waarin de ITaudit door de CIO wordt gewaardeerd. Ten slotte zou ik ook graag onderzoek doen naar de wijze waarop IT-auditors hun onderzoeken gericht op de beheersing van IT kunnen ondersteunen met data-analyses.’ Hoe ziet de toekomst van het vakgebied er uit? ‘Als je ziet wat er allemaal met IT gebeurt in organisaties! Meer en meer wordt alles in een organisatie bepaald door de IT. Dat noopt tot de reeds genoemde specialisaties. Naast de IT-auditor met een eigen opdracht zien we ook steeds vaker de IT-auditor samenwerken met andere assurance-providers (bijvoorbeeld financial-auditors, interne auditors). Deze samenwerking verloopt niet bepaald vlekkeloos. Als ze al samenwerken dan weten ze niet wat ze met de uitkomsten van elkaars werk moeten doen. Ook op andere gebieden (management control, treasury, cashmanagement) kun je niets meer aanpakken zonder IT in je vingers te hebben. Ook forensic-onderzoek is doordrongen van IT en techniek. De diversiteit wordt groter en groter. De toekomst is dus: specialisatie en leren optreden in multidisciplinaire teams. Een IT-auditor kan niet samenwerken met een financial auditor, operational auditor of forensic expert wanneer hij/zij niet begrijpt wat een financial auditor, operational auditor of forensic expert is, wat het werkterrein is, wat de werkmethode is, wat het begrippenkader is, et cetera. De IT-auditor zal zich derhalve moeten specialiseren: dat geldt niet alleen inhoudelijk (technisch, of proces/systeemgericht), maar ook qua werkveld (wil ik later zelfstandige opdrachten uitvoeren of met specialiseren in een bepaalde vorm van samenwerking).’
47
48
de EDP-Auditor nummer 3 2005
Reactie Rob Fijneman Uiteraard hebben we de reactie van Rob Fijneman op het voorgaande interview met Paul van Kessel opgetekend.
Interview door Wilfried Olthof en Rainer Steger
Rob opent het gesprek door aan te geven dat ‘Het dilemma adviseur of controleur’ in het artikel in Automatisering Gids enigszins is aangescherpt ten opzichte van zijn oratietekst. Daarin is het in een bredere context neergezet. Rob stelt: ‘Wat ik heb beoogd met de oratie is het schetsen van de ontwikkeling van het vakgebied vanuit het audit- en accountantsprofiel. Vooral in de jaren negentig was binnen het vakgebied een steeds grotere adviescomponent te onderscheiden. Dat vertaalde zich ook in de instroom van medewerkers die als projectmanager naar IT-adviesopdrachten op zoek waren. Dat ging bijvoorbeeld over investeringsbeslissingen, pakketkeuzes, implementatietrajecten, et cetera. Begin 2000 zijn we vervolgens ook (als uitvloeisel van discussies in het accountantsberoep) voor de vraag gesteld: ‘waar staat de IT-auditor nu primair voor opgesteld?’ Je zou kunnen verwachten dat we dezelfde conclusie(s) zouden bereiken als de accountants, namelijk om je vooral op de attestfunctie te richten. Wat ik heb willen oproepen is de vraag: weten we nu zelf goed wat de afbakening zou moeten zijn en welke competenties horen daarbij? Dit geldt zowel van binnenuit (de individuele beroepsbeoefenaren en de beroepsvereniging) maar ook vanuit onze omgeving (de klanten). De vraag is of IT-auditors dat zelf bepalen of dat de opdrachtgevers feitelijk de keuze bepalen. In dat opzicht ben ik het ook wel met Paul van Kessel eens: het is niet het individu dat dat elke keer bepaalt, maar eerder de omgeving.’ Rob gaat in op de vaardigheden van een IT-auditor. ‘Ik heb (en nu generaliseer ik bewust enigszins) het idee dat een deel van de beroepsgroep in de jaren negentig op onderdelen behoorlijk ver is afgedwaald van het auditingvakgebied. Door omstandigheden worden we teruggebracht naar de ‘basics’: IT en auditing. Van daaruit ben je sterk in de adviserende rol. Wat we voor opdrachtgevers
precies meebrengen als toegevoegde waarde kunnen we echter niet altijd kort en bondig uitleggen. Kijk bijvoorbeeld naar de factsheets waarin we onze expertise proberen uit te leggen. Ik ben het met de opmerking eens dat onze kerncompetentie ligt bij IT-beheersing. Ook ben ik het met Paul eens dat we niet elke dag in vrijheid kunnen besluiten of we een audit- of adviesrol vervullen. Het aardige van het beroep is dat je bij verschillende klanten wel in verschillende rollen kunt optreden. In de praktijk ontstaat natuurlijk gaandeweg wel het onderscheid tussen ‘auditklanten’ en ‘non-auditklanten’. Ik heb echter wel het idee dat een IT-auditor bij non-auditklanten rondom ITbeheersing het nodige kan betekenen en juist daar in een adviesrol. Ik zou dus ook niet willen dat een IT-auditor alleen in een auditprofiel wordt neergezet. Uiteraard vergt de rolopvatting dat deze adequaat wordt ondersteund met Gedragsregels en Richtlijnen, een belangrijke taak voor de beroepsorganisatie. Wanneer je je op geen enkel moment meer met auditing-vraagstukken bezighoudt, dan is wel de vraag of je niet te ver afdwaalt van waar je in de kern bent opgeleid. De kerncompetenties moeten zorgvuldig worden onderhouden maar ook onderscheiden. We zijn dus (inderdaad) ook geen all-round consultants, maar wellicht hebben we ons in het verleden ook bewust niet al te nadrukkelijk tegen dat beeld verzet, toen ons dat nog goed uitkwam.’
Laten we als beroepsgroep proberen meer in de terminologie van onze opdrachtgevers te spreken
Hoe moet het nu verder met de IT-auditing-opleidingen? ‘In het kader van de IT-auditing-opleiding pleit ik ervoor om met studenten veelvuldig de discussie te voeren of een
de EDP-Auditor nummer 3 2005
vandaag op morgen, ook in de accountantspraktijk is daar lang over gedaan. Het is van belang dat men in de opleiding leert om de samenhang te ontdekken. Het ontwikkelen van de vaardigheden die daarbij horen krijg je niet in het bestek van een post-doctorale opleiding overgedragen. Daar is een langere combinatie van opleiding en ervaring voor nodig. Je kunt ook niet alles in die twee jaar opleiding stoppen.’
Rob Fijneman bepaald type opdracht past in het profiel van de IT-auditor. Hoe zit het met de ethische afwegingen? In dat opzicht hebben we als opleidingen en als beroepsorganisatie nog een slag te maken. Dat is ook een van de gebieden of thema’s waar ik meer onderzoek naar zou willen doen. Met betrekking tot de ‘common body of knowlegde’ ben ik er een sterk voorstander van om – zo lang dat kan – te werken met een generalistisch profiel. Een breed opgeleide IT-auditor, aangezien een behoorlijk aantal van de basisvaardigheden gelijk zijn, los van de verscheidenheid aan IT-omgevingen (applicaties en technische componenten). Een onderscheid in profiel wordt in de Tilburgse IT-opleiding ook niet gemaakt, de brede basis is en blijft een goed vertrekpunt. Het ontwikkelen van een profiel gaat niet van
‘Ten slotte: de belangrijkste boodschap van mijn oratie is: laten we als beroepsgroep proberen meer in de terminologie van onze opdrachtgevers te spreken en antwoorden te geven en niet zozeer vanuit de producten en oplossingen die door de IT-auditors van binnenuit worden bedacht. Hierbij speelt de wijze van rapportering een belangrijke rol. Opdrachtgevers stellen vaak betrekkelijk eenvoudige vragen zoals ‘kan ik die leverancier vertrouwen?’ of ‘levert het me iets op als ik investeer?’ Onze vaktechniek en wijze van reageren zijn vaak erg ingewikkeld. Nieuwe aanscherpingen op riskmanagementgebied brengen ons potentieel nog verder van de opdrachtgever af. De formuleringen in onze rapporten (‘niet is gebleken dat, et cetera’) helpen ons niet echt in het vinden van aansluiting met de klant. Daarin ligt echter wel onze uitdaging. Met het steeds verder standaardiseren van formuleringen van rapportages, uitingen of mededelingen dachten we eenduidiger en beter naar de markt te opereren, maar dat gaat ons nu ook voor de voeten lopen.’ ‘Er ligt een mooie toekomst voor ons. De opleving door Sox en Tabaksblat is niet van tijdelijke aard. De behoefte aan oordeelsvorming en (begrijpelijke) IT-beheersingsadviezen zal duurzaam zijn.’
49
