IT-auditor: gedraag je!

IT-auditor: gedraag je!

Afstudeerscriptie Postgraduate IT Audit Opleiding Vrije Universiteit Amsterdam Z. Gültekin RA drs. A.J. Woudenberg RA

Voorwoord Het is gebruikelijk om in een voorwoord van een afstudeerscriptie terug te kijken op de weg die is bewandeld. Deze traditie willen wij in dit voorwoord graag voortzetten. In de periode van 2009 tot en met 2011 hebben wij de Postgraduate IT Audit Opleiding aan de Vrije Universiteit Amsterdam gevolgd. Vanuit onze vooropleiding tot registeraccountant dachten wij wel ongeveer te weten hoe een dergelijke opleiding er uit zou zien. De realiteit is echter altijd anders dan wat je verwacht. Dit was bij deze opleiding niet anders. En het scriptieproces mag wat ons betreft hierbij in allerlei opzichten als climax worden gezien. Het schrijven van deze scriptie was een arbeidsintensief proces. Dit werd niet in de laatste plaats veroorzaakt doordat wij als professionals gedreven waren om een goed product op te leveren. Het schrijven van deze scriptie was ook een uitdagend proces. Dit mede aangezien wij nu eens niet zoals zo velen onderzoek hebben gedaan naar een technisch georiënteerd onderwerp, maar naar iets ‘ongrijpbaars’ als ethiek. Het schrijven van deze scriptie was ook niet altijd een even soepel proces. En dan doelen we met name op het feit dat op bepaalde momenten waarop je medewerking van anderen verwacht, er juist sprake bleek te zijn van tegenwerking. Degenen die de moeite nemen om deze scriptie aandachtig te lezen, zullen een deel van deze tegenwerking vanzelf tegenkomen. Gelukkig konden wij ook in die situaties in ieder geval onderling goed op elkaar vertrouwen. Een al weer circa 11-jarige gezamenlijke werkervaring bij Deloitte Accountants en de Belastingdienst en duizenden gezamenlijke woon-werkkilometers waren hierbij een pré. Maar ondanks en misschien wel juist dankzij bovenstaande zaken, zijn wij trots op de scriptie zoals deze voor u ligt. Wij wensen u allen dan ook veel leesvreugde toe! Aan het einde van dit voorwoord willen wij nog graag van de mogelijkheid gebruik maken om enkele personen te bedanken voor hun rol bij de totstandkoming van deze scriptie alsmede voor de gehele theoretische opleiding tot IT-auditor. Allereerst willen wij de hoogleraren Ronald Paans en Arno Oosterhaven en het gehele docententeam bedanken voor de lessen die wij hebben mogen volgen. Zij hebben ons kennisbeeld zeker verrijkt. In de context van deze scriptie willen wij uiteraard ook onze scriptiebegeleiders bedanken. Dit betroffen successievelijk René Matthijsse, Pieter Frijns en Arno Oosterhaven vanuit de Vrije Universiteit Amsterdam en Bart Jonker vanuit onze werkgever de Belastingdienst. Bedankt voor jullie zinvolle suggesties en luisterend oor. Ook alle register IT-auditors en deskundigen die ons bij het praktijkonderzoek behulpzaam zijn geweest, zijn wij veel dank verschuldigd. En last but not least willen wij onze gezinnen bedanken. Leyla, Lenny, Isolde en Hannelore, wij beseffen ons dat wij door na de HEAO-accountancy en universitaire opleiding tot registeraccountant nóg een studie te volgen, nogal wat van jullie hebben gevraagd. Uiteraard willen wij dat de komende tijd allemaal goedmaken! Amersfoort, maart 2011

Zafer Gültekin

Jan Woudenberg

i

Inhoudsopgave SAMENVATTING...................................................................................................................... 1 BEGRIPPENLIJST ................................................................................................................... 3 1. INLEIDING............................................................................................................................ 4 1.1 AANLEIDING TOT HET ONDERZOEK ........................................................................................ 4 1.2 VRAAGSTELLING EN ONDERZOEKSVRAGEN ............................................................................ 4 1.3 ONDERZOEKSMETHODE ...................................................................................................... 5 1.3.1 LITERATUURONDERZOEK .................................................................................................. 5 1.3.2 ENQUÊTE ONDER IT-AUDITORS EN INTERVIEW MET DESKUNDIGEN ......................................... 5 1.3.3 SCHEMATISCHE WEERGAVE ONDERZOEKSMODEL ................................................................ 5 2. HISTORISCHE ONTWIKKELING.......................................................................................... 6 2.1 INLEIDING .......................................................................................................................... 6 2.2 BEGRIPSBEPALING (IT-)ETHIEK ............................................................................................ 6 2.3 PERIODE 1930-1992.......................................................................................................... 7 2.4 PERIODE 1992-2001........................................................................................................ 11 2.5 PERIODE 2001-2010........................................................................................................ 14 2.6 SAMENVATTING ................................................................................................................ 16 3. INHOUDELIJKE BEHANDELING REGLEMENT GEDRAGSCODE..................................... 18 3.1 INLEIDING ........................................................................................................................ 18 3.2 FUNDAMENTELE BEGINSELEN ............................................................................................. 18 3.3 OVERIGE ASPECTEN REGLEMENT GEDRAGSCODE ................................................................ 20 3.4 VERGELIJKING MET GBRE ................................................................................................ 23 3.5 VERGELIJKING MET VGC EN IFAC-CODE ............................................................................ 25 3.6 SAMENVATTING ................................................................................................................ 27 4. OPZET VAN HET PRAKTIJKONDERZOEK........................................................................ 29 4.1 INLEIDING ........................................................................................................................ 29 4.2 OPZET EN INHOUD VAN DE ENQUÊTE ................................................................................... 29 4.3 BEPALING POPULATIE EN UITZETTEN ENQUÊTE ..................................................................... 30 4.4 SELECTIE DESKUNDIGEN ................................................................................................... 33 4.5 SAMENVATTING ................................................................................................................ 34 5. RESULTATEN VAN HET PRAKTIJKONDERZOEK ............................................................ 36 5.1 INLEIDING ........................................................................................................................ 36 5.2 RESULTATEN VAN DE ENQUÊTE .......................................................................................... 36 5.2.1 RESPONSE OP DE ENQUÊTE ............................................................................................ 36 5.2.2 INHOUDELIJKE RESULTATEN ENQUÊTE .............................................................................. 38 5.3 UITKOMSTEN INTERVIEWS MET DESKUNDIGEN ...................................................................... 46 6. INHOUDELIJKE BESCHOUWING EN AANBEVELINGEN.................................................. 48 6.1 INLEIDING ........................................................................................................................ 48 6.2 INHOUDELIJKE BESCHOUWING ............................................................................................ 48 6.3 AANBEVELINGEN .............................................................................................................. 52 7. CONCLUSIES..................................................................................................................... 54 7.1 INLEIDING ........................................................................................................................ 54 7.2 BEANTWOORDING ONDERZOEKSVRAGEN EN VRAAGSTELLING ................................................. 54 8. PERSOONLIJKE REFLECTIE ............................................................................................ 59 LITERATUURLIJST................................................................................................................ 60 BIJLAGE 1: REGLEMENT GEDRAGSCODE ('CODE OF ETHICS') ....................................... 64 BIJLAGE 2: ENQUÊTE ONDER RE’S INZAKE HET REGLEMENT GEDRAGSCODE............ 72 BIJLAGE 3: UITNODIGINGSMAIL ENQUÊTE ........................................................................ 78

ii

BIJLAGE 4: BERICHTGEVING WEBSITE NOREA ................................................................ 79 BIJLAGE 5: CIJFERMATIGE RESULTATEN ENQUÊTE ........................................................ 80

iii

Samenvatting Door de loop der jaren heen is het besef steeds meer gegroeid dat er, naast de technische kant, ook aandacht dient te bestaan voor de ethische kant van het vakgebied van ITauditing. De in dit perspectief belangrijke ethische gedragscode voor IT-auditors staat in deze scriptie centraal. De afgelopen decennia zijn er diverse gedrags- en beroepsregels opgesteld. In deze scriptie hebben wij onderzocht hoe het huidige Reglement Gedragscode voor IT-auditors van de NOREA is ontstaan. Hierbij hebben wij stilgestaan bij ontwikkelingen door de tijd heen en vergelijkingen gemaakt met soortgelijke codes van het NIVRA en de IFAC. Waar de focus in de beginjaren van het auditberoep in Nederland nog voornamelijk was gericht op de technische en rule-based beroepsregels, zien we de laatste tijd steeds meer aandacht en ruimte komen voor ethische en principle-based gedragsregels. De recente boekhoudschandalen en wellicht ook de publicaties over het nut en de noodzaak van ethische beginselen hebben hier ook zeker hun stempel op gedrukt. Tussen de huidige codes van de diverse beroepsorganisaties blijken, ondanks hun gezamenlijke oorsprong, wel degelijk verschillen te bestaan. Deze verschillen betreffen bijvoorbeeld het al dan niet opnemen van voorbeelden, het al dan niet opnemen van afzonderlijke onderdelen voor specifieke groepen auditors en het al dan niet specifiek aandacht besteden aan onafhankelijkheid. Belangrijke overeenkomsten tussen de diverse gedragscodes zijn bijvoorbeeld het principle-based karakter, de fundamentele beginselen, de potentiële bedreigingen en het conceptueel raamwerk. Vanuit de analyse van enerzijds de historische ontwikkeling van de gedragscodes en anderzijds de overeenkomsten en verschillen tussen de diverse gedragscodes, hebben wij een aantal stellingen ontwikkeld die wij door middel van een enquête aan register ITauditors hebben voorgelegd. Ondanks dat het aantal van 110 respondenten enigszins teleurstellend was, hebben wij uit de enquêteresultaten een aantal interessante trends geïdentificeerd. De meeste respondenten geven aan het Reglement Gedragscode te kennen, ook al lijkt dat voornamelijk van papier te zijn. Een nadere verdiepingsslag door middel van bijvoorbeeld discussiebijeenkomsten en scholing achten wij nodig. Immers, met alleen het opstellen van een gedragscode ben je er niet, zo blijkt ook uit andere onderzoeken. De meerderheid van de respondenten geeft aan wel degelijk een rol voor ethiek te zien weggelegd binnen het vakgebied van IT-auditing. Een code kan hierbij volgens hen behulpzaam zijn. In deze context is het ook positief dat de meeste respondenten de voorkeur geven aan de huidige principle-based code boven de meer rule-based voorganger. Positief is ook dat de opzet van de code met fundamentele beginselen overwegend toereikend wordt gevonden. Het nut en de invalshoek van de code lijken derhalve bij de respondenten niet echt ter discussie te staan. Desondanks hebben wij op basis van het literatuuronderzoek en de enquêteresultaten wel een aantal mogelijke verbeterpunten ten aanzien van de opzet van het Reglement Gedragscode geïdentificeerd. Zo lijkt er onder de beroepsgroep behoefte te bestaan aan voorbeelden voor toepassing van de code. Ook dient overwogen te worden of explicietere aandacht voor onafhankelijkheid wenselijk is. Daarnaast is het eventueel opnemen van afzonderlijke onderdelen voor de diverse werkterreinen van de IT-auditor het overwegen waard. Voor zover mogelijk hebben wij door middel van de enquête ook gepeild in hoeverre de code daadwerkelijk wordt toegepast. Hierbij valt het op dat circa de helft van de respondenten volgens eigen zeggen nog nooit tegen een bedreiging van een fundamenteel beginsel is aangelopen. Verder zien wij verbeteringsmogelijkheden ten aanzien van de toepassing van de code in het dagelijkse werk alsmede ten aanzien van de dossiervorming omtrent ethische evaluaties.

1

Kortom, het doel van het Reglement Gedragscode wordt volgens de respondenten gedeeltelijk bereikt. Ten aanzien van de opzet hebben wij echter wel een aantal mogelijke verbeterpunten geïdentificeerd. Ook de inbedding van de code in de dagelijkse beroepsuitoefening lijkt voor verbetering vatbaar. Dit alles zal moeten resulteren in een toekomstvaste gedragscode. Wij hebben de enquêteresultaten en onze aanbevelingen in interviews besproken met een tweetal hoogleraren die deel uitmaken van de Raad voor Beroepsethiek van de NOREA. Wij zijn verheugd met het feit dat zij de uitkomsten en aanbevelingen onderschrijven. In deze samenvatting hebben wij enkele highlights van ons onderzoek en daaruit resulterende bevindingen en aanbevelingen weergegeven. Voor een diepgaandere behandeling nodigen wij u uit om deze scriptie verder te lezen.

2

Begrippenlijst Accountant-Administratieconsulent (AA): De natuurlijke persoon die is ingeschreven in het in artikel 36 van de Wet op de Accountants-Administratieconsulenten bedoelde accountantsregister. Auditor: De IT-auditor, de registeraccountant of de accountant-administratieconsulent. Auditor in business: De auditor die werkzaamheden verricht, maar niet als openbaar auditor, intern auditor of auditor in overheidsdienst. Auditor in overheidsdienst: De auditor die werkzaam is bij of verbonden is aan een auditafdeling behorende tot de overheid of daarmee gelijk te stellen dienst. Tot een auditor in overheidsdienst wordt eveneens gerekend de auditor die werkzaam is bij de belastingdienst en belast is met de controle van door belastingplichtigen ingeleverde aangiften en de auditor die aan deze controle direct leiding geeft. Intern auditor: De auditor, niet zijnde een auditor in overheidsdienst, die werkzaam is bij of verbonden is aan een auditafdeling. IT-auditor: De Register EDP-auditor (RE), ingeschreven in het register van de NOREA. Openbaar auditor: De auditor die werkzaam is bij of verbonden is aan een auditpraktijk. Hieronder is begrepen de externe auditor. Principle-based: De gedragscode beschrijft het doel en het is aan de gebruiker om te bepalen hoe te handelen in overeenstemming met het doel en de strekking ervan (professioneel-kritische oordeelsvorming). Registeraccountant (RA): De natuurlijke persoon die is ingeschreven in het in artikel 55 van de Wet op de registeraccountants bedoelde accountantsregister. Rule-based: De gedragscode beschrijft (in detail) welke werkzaamheden moeten worden uitgevoerd om eraan te voldoen.

3

1. Inleiding 1.1 Aanleiding tot het onderzoek De recente periode in de geschiedenis wordt mede gekenmerkt door een wereldwijde economische crisis. Één van de partijen waaromtrent in een dergelijke situatie dikwijls kritische vragen worden gesteld, betreffen de auditors. Hierbij kun je natuurlijk denken aan de registeraccountants, maar dit straalt ook af op bijvoorbeeld de IT-auditors. In de maatschappelijke discussies over hun rol worden dikwijls vragen gesteld als: waarom hebben zij niet gewaarschuwd voor de komende ellende? Waren zij niet deskundig genoeg? Of waren zij wellicht niet objectief? In een dergelijk krachtenveld dient de 1 beroepsgroep van auditors, de IT-auditors hieronder begrepen, zich af te vragen met welk oogmerk zij primair hun beroep uitoefenen. Het IT-auditorberoep onderscheidt zich door zijn aanvaarding van de verantwoordelijkheid om in het belang van het maatschappelijk 2 verkeer op te treden . Dit brengt voor de IT-auditor ethische verantwoordelijkheden met zich mee. Om hier handen en voeten aan te geven, heeft de Nederlandse Orde van Register EDPauditors (hierna: NOREA) in het verleden een Reglement Gedrags- en Beroepsregels Register EDP-auditors (hierna: GBRE) opgesteld. Per 14 juli 2006 is de GBRE vervangen door het Reglement Gedragscode, ook wel bekend als de Code of Ethics voor IT-auditors. Hiermee heeft de NOREA geanticipeerd op het feit dat zij sinds 15 november 2007 als affiliate member is aangesloten bij de International Federation of Accountants (hierna: IFAC). Hierdoor wordt zij geacht zoveel mogelijk de richtlijnen van de IFAC te volgen. Voordelen van uniforme richtlijnen kunnen zijn dat regelgeving vergelijkbaar is, de communicatie tussen beroepsbeoefenaars verbetert, de inzichtelijkheid in regelgeving 3 toeneemt en de kwaliteit van de beroepsuitoefening verbetert . Maar hoe verhoudt het Reglement Gedragscode zich tot bijvoorbeeld de Verordening gedragscode (hierna: VGC) van het Koninklijk Nederlands Instituut van Registeraccountants (hierna: NIVRA)? Zijn eventuele verschillen verdedigbaar, of dienen deze gedragscodes meer op één lijn te liggen? Dergelijke vragen verdienen het ons inziens om nader te worden onderzocht. 1.2 Vraagstelling en onderzoeksvragen 4

De hierboven beschreven aanleiding resulteert in de volgende vraagstelling : Is het Reglement Gedragscode van de NOREA in opzet praktisch toepasbaar en welke lessen kunnen hieruit worden geleerd? Om antwoord te geven op bovenstaande vraagstelling, hebben wij de volgende onderzoeksvragen geformuleerd: 1. Met welk doel en op welke wijze is het Reglement Gedragscode tot stand gekomen? En welke belangrijke overeenkomsten en verschillen zijn er in deze context te onderkennen tussen de codes van de NOREA, het NIVRA en de IFAC? 2. Wordt dit doel volgens andere onderzoekers, deskundigen en de beroepsgroep van ITauditors daadwerkelijk bereikt? 3. In hoeverre is het huidige Reglement Gedragscode van de NOREA toekomstvast en wat zou er eventueel moeten veranderen? Door het evalueren van de toereikendheid van het Reglement Gedragscode in relatie tot 1

In deze scriptie worden de termen IT-auditor, register EDP-auditor en RE door elkaar heen gebruikt. Hetzelfde geldt voor de termen auditor en accountant. 2 Fijneman, R., E. Roos Lindgreen en P. Veltman, Grondslagen IT-auditing. 3 Veth, E., Externe assurance-regels voor het interne IT-audit beroep, de EDP-auditor, nummer 3 | 2009. 4 De probleemstelling ziet op elke hoedanigheid waarin een IT-auditor kan optreden: openbaar IT-auditor, IT-auditor in overheidsdienst, intern IT-auditor en IT-auditor in business.

4

een soortgelijke gedragscode van het NIVRA hopen wij bij te kunnen dragen aan een deugdelijk onderbouwd Reglement Gedragscode die de IT-auditors ondersteuning kan bieden bij het oplossen van ethische kwesties in hun dagelijkse beroepsuitoefening. Hiermee beogen wij derhalve bij te dragen aan de ontwikkeling van de beroepsgroep van IT-auditors. 1.3 Onderzoeksmethode

1.3.1 Literatuuronderzoek Voor de beantwoording van de eerste onderzoeksvraag alsmede van het gedeelte van de tweede onderzoeksvraag met betrekking tot de mening van andere onderzoekers, voeren wij een literatuuronderzoek uit. Het literatuuronderzoek vangen wij aan met een analyse van de historische ontwikkeling van het Reglement Gedragscode en haar voorgangers. Gelet op de nationale en internationale context zullen wij hierbij ook nadrukkelijk aandacht besteden aan de ontwikkeling van ethische codes van beroepsorganisaties zoals het NIVRA en de IFAC. Vervolgens geven wij een nadere inhoudelijke analyse van het huidige Reglement Gedragscode van de NOREA (status d.d. 1 november 2010), waarbij wij deze code ook vergelijken met haar voorganger en haar huidige equivalenten van het NIVRA en de IFAC. Bij dit literatuuronderzoek betrekken wij ook een aantal reeds bestaande relevante publicaties inzake deze gedragscodes en (accountants-)ethiek in bredere zin in onze analyse. 1.3.2 Enquête onder IT-auditors en interview met deskundigen Door middel van een enquête onder IT-auditors en enkele interviews met deskundigen beantwoorden wij de tweede en de derde onderzoeksvraag. Vanuit het literatuuronderzoek ontwikkelen wij een aantal stellingen. Deze stellingen leggen wij enerzijds in conceptvorm voor aan enkele IT-auditors om ze daarna door middel van een enquête breed onder IT-auditors uit te zetten. Anderzijds was het de bedoeling om de stellingen voor te leggen aan enkele deskundigen. Wij hebben hier als gevolg van niet door ons te beïnvloeden externe factoren van af moeten zien. Vervolgens bespreken wij de resultaten van onze enquête inhoudelijk met enkele deskundigen (RE/RA, mensen van beroepsorganisatie). Op basis van de resultaten van de enquête en interviews komen wij tot een aantal relevante conclusies en aanbevelingen. Hierbij doen wij ook een uitspraak omtrent de toekomstvastheid van het Reglement Gedragscode. 1.3.3 Schematische weergave onderzoeksmodel Schematisch weergegeven ziet ons onderzoeksmodel er als volgt uit:

Analyse historische ontwikkeling gedragscodes Enquête met stellingen voorleggen aan IT-auditors

Analyse resultaten en bespreking met deskundigen

Trekken conclusies en formuleren aanbevelingen

Inhoudelijke analyse en vergelijking gedragscodes

Figuur 1. Schematische weergave onderzoeksmodel

5

2. Historische ontwikkeling 2.1 Inleiding Wij vangen het literatuuronderzoek aan met een analyse van de historische ontwikkeling van gedragscodes in auditland. Dit teneinde het huidige Reglement Gedragscode in het juiste perspectief te kunnen plaatsen. De analyse van de historische ontwikkeling zullen wij nader indelen aan de hand van onderstaande tijdslijn. 1930-1992

1992-2001

2001-2010

Limperg, agency, oude regels

GBR-1994, oprichting NOREA, GBRE

schandalen, IFAC CoE, RG, VGC

Figuur 2. Tijdslijn historische ontwikkeling In de periode 1930-1992 bestond de NOREA nog niet. In deze periode hebben enkele belangrijke discussies en besluiten plaatsgevonden die onder andere hebben geresulteerd in de eerste (gedrags-)codes voor registeraccountants. Aan het begin van de periode 1992-2001 is de NOREA opgericht. In deze periode zijn ook de Gedrags- en beroepsregels Register EDP-auditors en de Gedrags- en beroepsregels registeraccountants 1994 opgesteld. Dit betreffen de laatste versies van de gedragscodes voorafgaand aan de thans geldende gedragscodes van de NOREA en het NIVRA. De laatste periode die wij zullen behandelen, 2001-2010, betreft een periode waarin een aantal boekhoudschandalen zoals bijvoorbeeld bij Enron hebben gespeeld. Dergelijke schandalen hebben zeker ook hun stempel gedrukt op de huidige gedragscodes van de NOREA, het NIVRA en de IFAC. 2.2 Begripsbepaling (IT-)ethiek Alvorens inhoudelijk in te gaan op de historische ontwikkelingen, staan wij eerst kort stil bij wat (IT-)ethiek eigenlijk inhoudt. Dit gelet op de prominente rol van ethiek in deze scriptie. Op www.wikipedia.nl wordt ethiek omschreven als een tak van de filosofie die zich bezighoudt met de kritische bezinning over het juiste handelen. Hierbij wordt geprobeerd om criteria vast te stellen om te kunnen beoordelen of een handeling als goed of fout kan worden gekwalificeerd, en om de motieven en consequenties van deze handeling te kunnen evalueren. 5 In lijn met bovenstaande wordt wel gesteld dat ethiek zich bezighoudt met het gedrag van mensen onder het gezichtspunt van goed en kwaad. Ethiek zou omschreven kunnen worden als de systematische bezinning op moraal en op morele vraagstukken. Een nadere verfijning hiervan betreft beroepsethiek. Hierin brengen beroepsbeoefenaars hun verantwoordelijkheid tot uitdrukking door een systematische bezinning op de morele regels waaraan zij zich wensen te houden, de morele waarden die zij nastreven en de deugden die ten grondslag liggen aan hun werkhouding. 6

In het kader van deze scriptie vinden wij het ook interessant dat enkele onderzoekers specifiek ingaan op de rol van IT bij ethische kwesties. Uit analyse van casuïstiek waarin IT in het ene geval wel en in het andere geval geen rol speelt, blijkt dat de respondenten het persoonlijk acceptabeler vinden om te bedriegen met gebruikmaking van IT, dan wanneer er geen IT wordt gebruikt. Er lijkt derhalve een andere ethische standaard te worden gehanteerd als IT meespeelt. Overigens geldt dit volgens de respondenten niet voor anderen: bedriegen is bedriegen, of IT nu wel of geen rol speelt.

5 6

Algera, M., A. Jansen, W. Meykamp en P. Westerhuis, Ethiek in bedrijf. Molnar, K.K., M.G. Kletke and J. Chongwatpol, Ethics vs. IT Ethics: Do Undergraduate Students Perceive a Difference?, Journal of Business Ethics, 2008. Conroy, S.J., T.L.N. Emerson and F. Pons, Ethical Attitudes of Accounting Practitioners: Are Rank and Ethical Attitudes Related?, Journal of Business Ethics, 2010.

6

2.3 Periode 1930-1992 Aangezien, zoals ook uit de historische ontwikkeling nog zal blijken, de NOREA in 1992 uit het NIVRA is voortgekomen, zullen wij in deze scriptie nadrukkelijk stilstaan bij en een vergelijking maken met de gedragscodes voor registeraccountants. Voor een goed begrip van de rol van ethiek en gedragscodes in het auditlandschap is het noodzakelijk om aandacht te schenken aan ontwikkelingen vóór 1992. Derhalve zullen wij in deze paragraaf in vogelvlucht een aantal voor deze scriptie relevante ontwikkelingen in deze periode binnen de wereld van registeraccountants behandelen. In de literatuur behorend bij accountancy-opleidingen zijn diverse theorieën te vinden die ten grondslag zouden liggen aan het ontstaan van de (Nederlandse) accountantsfunctie. De vertrouwensleer van Limperg wordt vaak gezien als een van de fundamenten van de 7 beroepsgroep van registeraccountants in Nederland. In de vertrouwensleer van Limperg staat de maatschappelijke functie van de accountant centraal. Hij is te bestempelen als vertrouwensman van het maatschappelijk verkeer. Hierbij heeft het maatschappelijk verkeer vertrouwen in hetgeen de accountant verklaart, omdat hij integer, onpartijdig en onafhankelijk zou zijn en zijn oordeel zou hebben gebaseerd op een deskundig en nauwgezet onderzoek. Of dit vertrouwen gerechtvaardigd is, hangt ons inziens af van zowel de technische beroepsuitoefening van de accountant als van zijn gedrag. Dit laatste aspect geeft ons inziens reeds aan dat ook onder de vertrouwensleer van Limperg bepaald gedrag van de accountant wordt verwacht, waarbij een ethische code wellicht behulpzaam kan zijn. Limperg stelt als reactie op een discussie met Belle echter expliciet dat zijn leer op een economische grondslag is opgebouwd en dat ethische overwegingen hem bij het opstellen van de vertrouwensleer vreemd zijn geweest. Ethiek geldt volgens Limperg namelijk voor iedereen, niet specifiek voor de accountant. Maar het doet ons deugd dat Limperg tenslotte nog stelt dat hij er niets op tegen heeft als anderen de accountant willen voorhouden dat hij bij de uitoefening van het beroep een plaatsje moet inruimen voor ethische beginselen. Een andere theorie die binnen het internationale accountantsberoep een prominente plaats inneemt, betreft de agency-theorie. Bij deze theorie staan de principaal (de opdrachtgever), de agent (de opdrachtnemer) en de monitor (de accountant) centraal. De agent verricht hierbij tegen een beloning bepaalde diensten voor de principaal. De principaal en de agent hebben vaak tegengestelde belangen. Aangezien de principaal niet continu het werk van de agent kan controleren, heeft hij een informatie-achterstand, en heeft de agent een informatie-voorsprong. Er is derhalve sprake van informatie-asymmetrie. Hierbij maken beide partijen kosten om te monitoren dat de andere partij aan zijn verplichtingen voldoet respectievelijk om aan te tonen dat aan de verplichtingen wordt voldaan. Om deze kosten te verlagen wordt een accountant ingeschakeld. In deze agency-theorie is duidelijk de economische toegevoegde waarde van de accountant te zien. Maar ons inziens gelden ook hierbij weer ethische aspecten zoals bijvoorbeeld objectiviteit en deskundigheid. Zonder de vervulling van dergelijke ethische randvoorwaarden voegt het oordeel van de accountant naar onze verwachting voor de partijen weinig tot niets toe. 8

Diverse schrijvers hebben beide genoemde theorieën vergeleken. Rode draad hierbij is dat er meer aandacht zou moeten zijn voor de ethische kant van het accountantsberoep.

7

Limperg jr., Th., De functie van de accountant en de leer van het gewekte vertrouwen, 1932/33, Maandblad voor de Accountancy en Bedrijfshuishoudkunde. Belle, L.H., Accountancy en Beroepsethiek, met Naschrift van Th. Limperg jr., Maandblad voor Accountancy en Bedrijfshuishoudkunde, januari 1940.

8

Westra, B.A.J. en M.J.Th. Mooijekind, Compendium van de Accountantscontrole. Dassen, R.J.M., De Leer van het Gewekte Vertrouwen: Agency avant la lettre?, Maandblad voor Accountancy en Bedrijfseconomie, september 1989. Kollenburg, J.C.E. van, De deugd in het midden; Een beschouwing over kwaliteit in het accountantsberoep, de Accountant, november 1991.

7

Naast bovenstaande theorieën zijn er door de jaren heen binnen de beroepsgroep van 9 registeraccountants ook diverse gedrags- en beroepsregels opgesteld . De oorsprong is te vinden in het Reglement van Arbeid uit 1910, opgesteld door de Nederlandse Accountants Vereniging en het latere Nederlands Instituut van Accountants waar onder andere Limperg bij was aangesloten. In de jaren ’30 en ’40 van de vorige eeuw is dit Reglement van Arbeid 10 onder leiding van een daartoe ingestelde commissie herzien . Hierbij heeft de commissie eerst overwogen of het in de jaren ’30 en ’40 van de vorige eeuw nog wel nodig en nuttig was om een dergelijk reglement in stand te houden. Het Reglement van Arbeid was immers ingevoerd in een tijd waarin omtrent de taak van de accountant nog veel onduidelijkheid bestond. Hierbij heeft het Reglement van Arbeid in de beginjaren grote waarde gehad voor het bekendmaken van de beroepseisen aan het maatschappelijk verkeer, alsmede heeft het de accountant geholpen bij het bepalen van de normen waaraan zijn arbeid moest voldoen. De commissie concludeerde dat dergelijke regels nog steeds nuttig kunnen zijn bij de beroepsontwikkeling en richtlijnen geven voor de verantwoordelijkheid van de accountant. Gelet op de voortschrijdende techniek en grote verscheidenheid aan accountantswerkzaamheden achtte de commissie het niet nodig en niet mogelijk om gedetailleerde voorschriften tot op werkplanniveau op te stellen. Ook achtte de commissie het niet nodig om de toepasselijkheid van het reglement te beperken tot specifieke groepen accountants of tot bepaalde soorten werkzaamheden. Kortom, ook in deze periode werd er al nadrukkelijk nagedacht over zaken als nut en noodzaak, mate van detaillering en pluriformiteit. Dit zullen we in latere perioden vaker naar voren zien komen. Wat ons bij deze herzieningsronde overigens ook is opgevallen, is dat de desbetreffende commissie toen reeds oog had voor hetgeen in het buitenland ter zake van de in het Reglement van Arbeid behandelde materie zoal is opgesteld. Hierbij heeft de commissie vastgesteld dat Nederlandse bepalingen ook elders werden aangetroffen en dat dus ook in andere landen de behoefte aan voorschriften werd gevoeld. Wel betrof het toen voornamelijk een vergelijking, waarbij verder is uitgegaan van de in de Nederlandse context ontwikkelde regels. Later zullen we nog zien dat in de huidige code en regels internationaal ontwikkelde voorschriften leidend zijn geweest. Inhoudelijk gezien valt op dat het Reglement van Arbeid met name beroepsvoorschriften bevatte. Dit is ons inziens in lijn met de opvattingen van Limperg zoals hiervoor behandeld. Hierbij was het reglement nogal rule-based opgesteld met veel verboden en geboden. De omvang was met 17 artikelen vrij beperkt. Er bleek wel enige ruimte voor gedragsregels te zijn. Dit kwam met name tot uitdrukking in artikel 2 lid 1: “De leden zijn gehouden hun arbeid te verrichten met eerlijkheid, nauwkeurigheid en onzijdigheid.” Naast het Reglement van Arbeid werden in 1946 ook de Ereregelen herzien. Ook dit betrof een mix van gedrags- en beroepsregels, die voornamelijk een rule-based karakter hadden. De belangrijkste gedragsregel betrof artikel 1: “De leden zijn verplicht zich te onthouden van al hetgeen schadelijk is voor het aanzien van de stand der accountants.” Dit artikel werd toen reeds beschouwd als overkapping van de andere artikelen, een kapstokartikel. Bij de behandeling van de wijzigingsvoorstellen in de jaren ’30 en ’40 werd reeds gewezen op het ontwerp tot wettelijke regeling van het accountantswezen dat was ingediend. In die context werd het wenselijk geacht dat het nieuw op te richten Instituut van Register Accountants (het latere NIVRA) de beschikking had over een reglement dat actueel was en in accountantskringen was vastgesteld. In dit kader is het ook niet verwonderlijk dat er in 1954/1955 wederom een herziening van het Reglement van Arbeid en de Ereregelen van het Nederlands Instituut van Accountants 9

Deckers, F.B.M. en J.C.E. van Kollenburg, Elementaire theorie accountantscontrole.

10

Nederlands Instituut van Accountants, Ereregelen, 1946. Nederlands Instituut van Accountants, Reglement van Arbeid, 1946. Nederlandsch Instituut van Accountants, Herziening Reglement van Arbeid, 1946. Nederlandsch Instituut van Accountants, Voorstellen tot herziening der statuten, het huishoudelijk reglement en het reglement op de tuchtrechtspraak en tot vaststelling van eere-regelen en een algemeen kringreglement, 1946.

8

en de Voorschriften inzake de beroepsuitoefening van de Vereniging van Academisch Gevormde Accountants heeft plaatsgevonden. Dit met het doel om te komen tot gelijkluidende regels bij deze accountantsgroepen die uiteindelijk zouden samengaan in het NIVRA. Opvallend is dat bij deze herzieningsronde de herzieningscommissie heeft voorgesteld om de zinsnede dat leden zijn gehouden hun arbeid te verrichten met eerlijkheid, nauwkeurigheid en onzijdigheid, te schrappen. Deze bepaling zou immers geen vereisten vermelden die voor het accountantsberoep zo specifiek zijn, dat zij dit beroep typeren. Het artikel uit de Ereregelen inzake de eer van de stand zou wel gehandhaafd blijven. Door middel van amendementen hebben de leden er echter voor gezorgd dat de betreffende zinsnede wel gehandhaafd bleef. Dit met name omdat het wenselijk werd geacht aan te sluiten bij de historie. Ook werd onzijdigheid van essentieel belang geacht en zelfs bestempeld als een van de pijlers van het accountantsberoep. Zoals hierboven reeds enigszins bleek, zijn er door de jaren heen diverse 11 accountantsbroederschappen, unies en verenigingen opgericht . Al deze organisaties stelden verschillende eisen wat betreft de deskundigheid om te kunnen worden toegelaten als lid. Dit was reden voor de wetgever om regelend in te grijpen. Enerzijds ter bescherming van het publiek tegen ondeskundigheid. Anderzijds om een aanknopingspunt te hebben als in Nederland in bepaalde gevallen accountantscontrole wettelijk werd voorgeschreven. Hierom werd in 1962 ook de Wet op de registeraccountants opgesteld, nadat een voorstel tot wettelijke regeling van het accountantsberoep reeds eind jaren ’30 was ingediend. Begin jaren ’60 is ook het NIVRA opgericht. Bij haar oprichting heeft het NIVRA onder andere als taken meegekregen het bevorderen van een goede beroepsuitoefening en het zorgdragen voor de eer van de stand. In deze context vinden wij het dan ook niet verwonderlijk dat in deze tijdsgeest in 1963 de Regelen 12 Beroepsuitoefening Registeraccountants (hierna: RBR) zijn opgesteld, ter vervanging van het Reglement van Arbeid en de Ereregelen. Zoals de naam al zegt, bevatten de RBR vrijwel alleen beroepsregels. In lijn met de voorgaande regels was er sprake van met name rule-based verbods- en gebodsbepalingen. Het valt op dat in de RBR voor het eerst onderscheid werd gemaakt naar de hoedanigheid waarin een accountant optreedt. Wellicht dat dit mede werd veroorzaakt doordat het NIVRA een samenvoegsel is van diverse accountantsgroeperingen. Al vrij snel nadat de RBR was opgesteld, werd er in 1968 een werkgroep inventarisatie 13 wijziging RBR ingesteld . Hiermee is de commissie herziening RBR vervolgens aan de slag gegaan. Deze commissie stelde dat het maatschappelijk verkeer bij een registeraccountant bepaalde wezenskenmerken van het accountantsberoep mag veronderstellen, zoals bijvoorbeeld eerlijkheid, nauwgezetheid en het bewaren van geheimen. Hierbij slaat het gedrag van iedere ingeschreven accountant terug op de hele beroepsgroep. In deze context heeft deze commissie ook voorgesteld om gedragsregels op te nemen, die voor alle registeraccountants gelden. Uiteindelijk zijn in 1973 de Gedrags- en beroepsregels registeraccountants (hierna: GBR) 14 vastgesteld . Conform voorgaande regels was er ook nu weer vooral sprake van verbodsen gebodsbepalingen. Er was echter wel meer ruimte voor gedragsregels. Daarnaast valt het op dat ook deze GBR concentrisch was opgebouwd, waarbij ten opzichte van de RBR een verder uitgewerkt onderscheid is gemaakt naar de hoedanigheid waarin accountants optreden. Hierbij was sprake van afzonderlijke hoofdstukken die golden voor alle RA’s, voor RA’s die optreden als accountant en voor RA’s die optreden als openbaar accountant. Uiteraard is ook deze GBR uit 1973 geëvalueerd. In 1987 is er een commissie ingesteld teneinde de bestaande regelgeving te toetsen aan de historische en in de toekomst te 11 12

Storm, J.R., Wet op de registeraccountants. Directoraat-Generaal voor Handel en Nijverheid/DO, Regelen Beroepsuitoefening Registeraccountants, 9 juli 1963, Nr. 263/4755.

13

Nederlands Instituut van Registeraccountants, Van R.B.R. tot GBR, 1972/1973.

14

Nederlands Instituut van Registeraccountants, Gedrags- en Beroepsregels Registeraccountants, 1973.

9

15

verwachten ontwikkelingen in het beroep en in de samenleving. De commissie heeft als taak meegekregen om na te denken over zaken als de concentrische opbouw van de GBR, het maken van onderscheid tussen gedragsregels en beroepsregels en summiere regelgeving met separate uitwerking daarvan. Deze commissie is ons inziens tot een aantal interessante conclusies gekomen. Zo diende volgens haar in een nieuwe GBR veel duidelijker te worden aangegeven dat de accountant een vertrouwensfunctie vervult. Verder diende de GBR te bestaan uit positief geformuleerde gedragsregels. Voor allerlei vaktechnische regelgeving (de beroepsregels) zou in de nieuwe GBR geen plaats meer zijn. Er zou dan ook moeten worden gekomen tot Gedragsregels Registeraccountants. Hierbij dienden de regels een meer open globaal karakter te hebben, waarbij er een Raad voor Beroepsethiek diende te komen om te kunnen adviseren over de toepassing van de regels. Hierin zien wij een tendentie van de commissie naar een principle-based benadering. De commissie stelde ook dat er zoveel mogelijk aansluiting moest worden gezocht bij regelgeving van de in de jaren ’70 in het leven geroepen IFAC, alsmede van de Europese equivalent daarvan. Echter zijn de aanbevelingen van de commissie niet als zodanig overgenomen. Dit werd met name veroorzaakt door de aanpassingen van de Wet op de registeraccountants en de 16 Wet op de accountants-administratieconsulenten begin jaren ‘90 . Deze wetswijzigingen hebben een grote mate van gelijkheid tussen RA’s en AA’s met zich meegebracht, met name met betrekking tot de gedrags- en beroepsregels. Hierdoor moesten het NIVRA en de NOvAA inhoudelijk gelijke gedrags- en beroepsregels vaststellen met betrekking tot de wettelijke controle van jaarrekeningen. In deze context heeft het NIVRA-bestuur besloten om de door bovenvermelde commissie ontworpen geheel vernieuwde en aan moderne inzichten en opvattingen aangepaste gedragsregels voorlopig te laten voor wat ze waren en uit te gaan van de bestaande GBR-1973. Dit met name aangezien de gedrags- en beroepsregels van de AA’s hierop waren gebaseerd en op deze wijze sneller tot uniforme gedrags- en beroepsregels gekomen zou kunnen worden. De inhoudelijke wijzigingen in de GBR-1994 ten opzichte van de GBR-1973 hadden met name betrekking op de technisch getinte beroepsregels. Gelet op de context van deze scriptie zullen wij hier niet nader op ingaan. In de volgende paragraaf zullen wij nog nader ingaan op de GBR-1994. Naast de hierboven beschreven Nederlandse ontwikkelingen in deze periode, bleek ook internationaal steeds meer aandacht te ontstaan voor gedragsregels en ethiek. Zijdelings hebben wij reeds vermeld dat de IFAC is opgericht en dat ook in andere landen gedragsen beroepsregels werden opgesteld. Daarnaast zijn er in deze periode een aantal onderzoeken rondom accountantsethiek uitgevoerd. Zo werd er in 1979 reeds melding gemaakt van de noodzaak om een conceptueel 17 raamwerk te ontwikkelen voor accountantsethiek . Dit zou bruikbaar zijn om diverse omstandigheden te evalueren die niet door specifieke regels afgedekt kunnen worden. De beroepsgroep van accountants zou zich hierbij met name laten leiden door de wens om hun gezamenlijke behoeften te bevredigen. Deze onderzoeker concludeerde ook dat ethische scholing voor de bewustwording van de ethische kanten van het beroep nodig is. Dat terwijl de grootste accreditatiecommissie in de Verenigde Staten in die tijd nog niet vereiste dat ethiek onderdeel van de accountantsopleiding zou uitmaken. Andere onderzoekers hebben eind jaren ’80 onderzoek gedaan naar de effectiviteit van handelingen van accountants bij ethische problemen en de toegevoegde waarde van 18 ethische gedragscodes daarbij . Hierbij kwamen zij tot de conclusie dat de gesignaleerde 15

Nederlands Instituut van Registeraccountants, Rapport van de Commissie Inventarisatie GBR, Ontwerp ter discussie 25, 1990.

16

Nederlands Instituut van Registeraccountants, Gedrags- en Beroepsregels Registeraccountants 1994, en de totstandkoming daarvan.

17 18

Bollom, J.W., Ethics and Self-Regulation for CPAs in the U.S.A., Journal of Business Ethics, 1988. Finn, D.W., L.B. Chonko and S.D. Hunt, Ethical Problems in Public Accounting: The View from the Top, Journal of Business Ethics, 1988.

10

ethische problemen vrij goed werden afgedekt door de toen geldende code of ethics voor Amerikaanse accountants. Wij vinden het overigens nog wel vermeldenswaardig dat de respondenten geen nauw verband zagen tussen de mate van ethisch handelen en het hebben van succes. 19 Weer een andere onderzoeker heeft een theoretisch raamwerk met een aantal hypothesen ontwikkeld. Enkele interessante punten: a) bij ethisch handelen ligt de nadruk op straffen in plaats van belonen, b) accountantskantoren onderscheiden zich met name met techniek en niet met ethiek, c) een algemeen conceptueel ethisch raamwerk draagt bij aan de kwaliteit van ethische gedragingen. Echter, een abstracte code maakt het wel mogelijk om naar eigen believen te interpreteren en maakt het juist moeilijker om overtredingen van de code aan te tonen. In de context van nationale en internationale aandacht voor ethiek is het ook interessant dat eind jaren ’80 een vergelijking is uitgevoerd tussen ethische regels in de Nederlandse 20 accountancywereld en enkele andere landen . Deze vergelijking is gemaakt in de periode dat ook de hiervoor vermelde herbezinning ten aanzien van de gedrags- en beroepsregels heeft plaatsgevonden, waarbij internationale aansluiting werd gezocht. Uit deze vergelijking kwam naar voren dat kernbegrippen als objectiviteit, integriteit, deskundigheid, geheimhouding, collegialiteit en onafhankelijkheid universeel bleken te zijn. De meeste van deze begrippen zullen we later in deze scriptie bij de huidige ethische codes voor accountants nog terug zien komen. 2.4 Periode 1992-2001 GBR-1994 Zoals gesteld zijn in 1994 de Gedrags- en beroepsregels registeraccountants voor het laatst gewijzigd, alvorens werd overgegaan naar de huidige Verordening gedragscode. Wij zullen ons in deze paragraaf beperken tot de behandeling van de hoofdlijnen van deze laatste versie van de GBR. 21

De GBR-1994 hebben de volgende belangrijke functies :
richting geven aan het functioneren van accountants;
verduidelijking voor het maatschappelijk verkeer van wat mag worden verwacht van een als accountant optredende registeraccountant;
grondslag voor correctieve maatregelen door middel van de Raad van Tucht en de beroepsorganisatie. Wat bij een eerste globale beschouwing van de GBR-1994 al direct opvalt, is dat deze 22 trapsgewijs (= concentrisch ) zijn opgebouwd. Zo zijn er regels die gelden voor alle RA’s, regels die gelden voor RA’s die optreden als accountant en regels voor RA’s die optreden als openbaar accountant. Enkele verschillen ter illustratie:
artikel 5 geldt voor alle RA’s en ziet toe op de eer van de stand;
RA’s die optreden als accountant dienen zich te houden aan artikelen inzake onpartijdigheid, geheimhouding en het doen van mededelingen c.q. het afgeven van verklaringen;
RA’s die optreden als openbaar accountant dienen zich onafhankelijk op te stellen. Door deze opbouw werd er vanuit gegaan dat RA een titel is en dat de titelhouders ervoor konden kiezen accountant te zijn of niet. In het laatste geval golden slechts enkele 23 artikelen . 19

Schlachter, P.J., Organizational Influences on Individual Ethical Behavior in Public Accounting, Journal of Business Ethics, 1990.

20

Schilder, A., Kernbegrippen van accountantsethiek, 1989.

21

Frielink, A.B. en A. Schilder, De GBA verklaard.

22

Zie bijvoorbeeld: Deckers, F.B.M. en J.C.E. van Kollenburg, Elementaire theorie accountantscontrole. Langen, R. van, en B. Majoor, GBR herzien, de Accountant, november 2003. Westra, B.A.J. en M.J.Th. Mooijekind, Compendium van de Accountantscontrole.

23

Bindenga, A., Code commotie, MAB, maart 2007.

11

Als we vervolgens kijken naar de inhoudelijke formuleringen van de GBR-1994, dan valt het op dat deze ons inziens nog steeds een overwegend rule-based karakter hebben. Er is sprake van diverse zogenaamde gebods- en verbodsbepalingen. Enkele citaten ter illustratie:
artikel 28 lid 1: “Het is de RA verboden toestemming te geven tot openbaarmaking van zijn verklaring, anders dan tezamen met de verantwoording waarop die verklaring betrekking heeft.”
artikel 33: “Het is de RA verboden een oordeel te geven omtrent de arbeid van een andere accountant alvorens hem in de gelegenheid te hebben gesteld inlichtingen te geven.” De zojuist gegeven voorbeelden zien met name op beroepsmatige aspecten van het accountantsberoep. Naast deze beroepsregels bevatten de GBR-1994 ook gedragsregels. Het wellicht meest bekende voorbeeld hiervan betreft het hierboven aangehaalde artikel 5 omtrent de eer van de stand. Wat ons tenslotte ook opvalt, is dat de GBR-1994 geen voorbeelden bevat. Je zou enerzijds kunnen stellen dat dit positief is, aangezien er dan ruimte is voor persoonlijke invulling in een specifieke situatie. Hiermee wordt het document ook beperkt in de omvang, hetgeen naar onze mening in ieder geval de leesbaarheid ten goede komt. Anderzijds zijn 24 er ook schrijvers die stellen dat de bedoelingen van de GBR-1994 door hun beknopte formuleringen zonder casuïstiek niet altijd goed overkomen. Zij zien dan ook een behoefte aan uitgewerkte voorbeelden teneinde dreigende misvattingen tegen te gaan en een goede beroepsuitoefening te stimuleren. Nu gold de GBR-1994 alleen voor RA’s. In artikel 26 lid 1 b van de GBR is echter vermeld dat het de RA slechts is toegestaan op te treden onder gemeenschappelijke naam met een beoefenaar van een vrij beroep, niet zijnde een openbaar accountant, die lid is van een door het bestuur van het NIVRA erkende beroepsorganisatie, en die verder voldoet aan door het bestuur nader te geven voorschriften. Hiermee werden derhalve vanuit de GBR1994 reeds eisen gesteld aan bijvoorbeeld de veelvuldig voorkomende samenwerking tussen RE’s en RA’s. Het is in deze context ook niet vreemd dat de NOREA bij haar oprichting de GBRE heeft opgesteld. Oprichting NOREA en opstellen GBRE De NOREA is op 30 maart 1992 opgericht. Hiermee is de beroepsgroep van IT-auditors te bestempelen als een nog relatief jonge beroepsgroep. Echter, de NOREA is voortgekomen uit het NIVRA, die zoals hiervoor bleek al een veel langere geschiedenis kent. De bij het NIVRA aangesloten registeraccountants houden zich van oudsher voornamelijk bezig met jaarrekeningcontroles. Een accountant kan voor het vormen van een oordeel over de 25 getrouwheid van de jaarrekening echter niet meer om de computer heen controleren . Hierbij is het besef ontstaan dat specifieke kennis van automatisering steeds belangrijker is geworden. Dit heeft uiteindelijk geleid tot een nieuwe beroepsgroep, namelijk die van ITauditors. Deze beroepsgroep bestaat niet alleen uit accountants die zich hebben gespecialiseerd in het beoordelen van informatietechnologie, maar ook uit professionals 26 met een technische achtergrond die zich het IT-auditvak hebben eigen gemaakt . Ook de NOREA heeft bij haar oprichting begin jaren ’90 van de vorige eeuw gedrags- en beroepsregels opgesteld. Dit wordt wel gezien als één van de kenmerken van een echte 27 beroepsorganisatie , samen met zaken zoals ballotage, tucht en formele beroepsethiek. Het is voor ons in ieder geval duidelijk dat de NOREA het belang van een gedragscode onderkent. Dit is reeds zichtbaar in de doelstellingen van de NOREA. Hieruit blijkt onder 24

Frielink, A.B. en A. Schilder, De GBA verklaard.

25

Sijbring, H.E., De EDP-auditor: vertrouwensman, agent of …?, de EDP-auditor/Compact 1996/3.

26

Fijneman, R., E. Roos Lindgreen en P. Veltman, Grondslagen IT-auditing.

27

Mollema, K., NOREA en NivRA, een LAT relatie!, de EDP-auditor, januari 1995. Bindenga, A.J., Het openbaar accountantsberoep als professioneel beroep, MAB, december 2000.

12

andere dat RE’s zich dienen te houden aan gedrags- en beroepsregels teneinde de kwaliteit van de beroepsuitoefening te bevorderen. Dat dit door de NOREA serieus wordt genomen, blijkt bijvoorbeeld uit de instelling en samenstelling van de Raad voor 28 Beroepsethiek . Een dergelijke Raad ontbrak in deze tijd nog bij het NIVRA. Deze Raad dient op basis van artikel 15 van de statuten van de NOREA onder meer de actualiteit van de gedrags- en beroepsregels (tegenwoordig: het Reglement Gedragscode) te bewaken. Ook heeft de Raad een adviesfunctie ten aanzien van de leden die bij de beroepsuitoefening problemen ondervinden bij de naleving van deze regels. Indien RE’s handelen in strijd met de GBRE, kan hieromtrent op basis van artikel 16 van de statuten van de NOREA een klacht worden ingediend bij de Raad van Tucht. Na deze vogelvlucht door het ontstaan en enkele regelgevingen van de NOREA, gaan we onderstaand nog wat nader in op de GBRE zelf. In de beginperiode van de NOREA bestond volgens ingewijden van de beginuren de gedachte dat de NOREA snel zou 29 worden opgeheven. Overigens is ook later deze gedachte weleens geuit . Uit een interview met één van de leden van de Raad voor Beroepsethiek hebben wij begrepen dat 30 de GBRE dan ook voornamelijk is gebaseerd op de GBR. Hierbij is toendertijd uitgegaan van de gedachte dat niet alles strak en tot op het laatste punt hoeft te worden geregeld, maar dat eerder op hoog abstractieniveau een aantal afspraken moesten worden vastgelegd. Deze aanpak wordt ook door de Raad voor Beroepsethiek gehanteerd. In lijn met de gehanteerde aanpak bij de behandeling van de GBR-1994, zullen we ons ook ten aanzien van de GBRE beperken tot de korte behandeling van enkele hoofdlijnen. Kijkend naar de omvang van de GBRE valt direct op dat deze veel beknopter is dan de GBR-1994. Dit betreft zowel het aantal artikelen als de omvang van de individuele artikelen. Zo heeft de GBRE 15 artikelen ten opzichte van de 38 van de GBR-1994. Het verschil in omvang zit ons inziens met name in de beroepsregels die in de GBR-1994 veel gedetailleerder en normatiever zijn uitgewerkt dan in de GBRE. Bijvoorbeeld zijn er in de GBR-1994 meerdere uitgebreide artikelen gewijd aan de formulering en de wijze van verstrekken van verklaringen. In de GBRE is dit beperkt tot het principe dat de RE optimale duidelijkheid in zijn opdrachtaanvaarding, optreden en uitingen betracht (artikel 5 GBRE). Wij gebruiken hierbij bewust de term ‘principe’. Wij zijn namelijk van mening dat de GBRE ten opzichte van de GBR-1994 in verhouding meer principle-based dan rule-based artikelen kent. Hierin staan wij niet alleen. Zo wordt bijvoorbeeld ten aanzien van het Reglement Gedragscode wel gesteld “die is net zo principle-based als onze oude GBRE 31 en nieuwe regels” . Daarentegen wordt ook wel gesteld dat het Reglement Gedragscode 32 juist meer uitgaat van principes in tegenstelling tot de verboden en geboden in de GBRE . Deze verschillen zijn ons inziens wellicht terug te leiden tot het feit dat het werkterrein van de RE veel diverser en minder duidelijk omlijnd is dan het werkterrein van de RA. Wat overigens nog wel opvalt, is dat in de GBRE bij een aantal artikelen een korte toelichting is opgenomen. Dit ontbreekt in de GBR-1994. Wellicht dat hiermee in enige mate invulling wordt gegeven aan artikel 1 van het Reglement Beroepsethiek NOREA. Hierin staat immers onder andere vermeld dat het de functie van de Raad voor Beroepsethiek is om een adequate interpretatie en gelijkvormige toepassing van de regels door de leden te bevorderen. Toelichtingen op regels kunnen ons inziens hieraan zeker bijdragen. In hoeverre de opgenomen toelichtingen in de GBRE (en het Reglement Gedragscode) dan toereikend zijn, is een punt waarover ons inziens kan worden gediscussieerd. Hierop zullen we later in deze scriptie nog terugkomen. Tenslotte valt het op dat de GBRE geen onderscheid kent tussen de diverse hoedanigheden waarin een RE kan optreden. Dit in tegenstelling tot de concentrisch opgebouwde GBR-1994. Kijkend naar de inhoud van beide reglementen is dit verschil ook 28

Verkruijsse, J.P.J., Van de Raad voor Beroepsethiek, de EDP-Auditor, april 1993.

29

Bruijn, A.J.M. de, De externe IT-auditor en de beroepsorganisatie in 2015, de EDP-Auditor, nummer 2 2005.

30

Verkruijsse, J.P.J., Van de Raad voor Beroepsethiek, de EDP-Auditor, april 1993.

31

Vlugt, J. van der, Controleur, ontwaakt als I-Auditor!, de EDP-auditor 2009/2.

32

Fijneman, R., IT-auditor: adviseur of controleur?, Automatisering Gids, 18, 2005.

13

niet zo vreemd. De GBRE bevat immers ten opzichte van de GBR-1994 veel meer generiek toepasbare regels in plaats van gedetailleerde regels omtrent bijvoorbeeld de bewoording en wijze van openbaarmaking van verklaringen. Ook wordt er wel gesteld dat de NOREA geen onderscheid heeft willen aanbrengen omdat men de interne EDP-auditor niet wil diskwalificeren en/of de externe EDP-auditor niet een kwalificatie wil geven die niet 33 reëel is . In deze context is ons inziens ook relevant dat in de toelichting op het Reglement Beroepsuitoefening Register EDP-auditors is vermeld dat de GBRE ook van toepassing is op het handelen van de RE in situaties waarin hij niet als RE functioneert. Wettelijke verankering beroep en consequenties voor toepassing GBR(E) Uit de hiervoor behandelde theorieën blijkt ons inziens reeds dat de auditor zeker toegevoegde waarde kan hebben. De positie van de registeraccountants is dan ook wettelijk verankerd, met name in de Wet op de registeraccountants en het Burgerlijk Wetboek inzake de verplichte jaarrekeningcontrole. Uitgebreide regels, bijvoorbeeld op ethisch terrein, zullen dan in beginsel ook niet concurrentievervalsend werken. Immers, alle controleurs (allen RA’s) dienen zich eraan te houden. Een dergelijke wettelijke verankering ontbreekt nagenoeg bij de register EDP-auditors, waardoor zij op hun werkterrein geen alleenrecht hebben. Dit met uitzondering van de Wet Politiegegevens waarin de inschakeling van een RE wordt voorgeschreven. Wij zijn het 34 eens met schrijvers die stellen dat het ontbreken van een wettelijke steun voor register EDP-auditors concurrentievervalsend kan werken en als last kan worden ervaren. Dit brengt een extra vraagstuk met zich mee ten aanzien van het opstellen van zowel gedrags- als beroepsregels voor register EDP-auditors. Wat ons bij het literatuuronderzoek is opgevallen, is dat er in deze tijdsperiode eigenlijk geen voor deze scriptie interessante wetenschappelijke onderzoeken ten aanzien van accountantsethiek zijn gepubliceerd. Wel zijn er een aantal artikelen geschreven waarin (mede) wordt gerefereerd aan accountantsethiek. Er lijkt derhalve sprake te zijn van een periode van relatieve rust op ethisch terrein. Daarin zou in de volgende periode echter verandering komen. 2.5 Periode 2001-2010 Vanuit de voorgaande beschouwingen omtrent de GBR-1994 en de GBRE blijkt ons inziens dat er door de beroepsorganisaties zeker is nagedacht over een gedegen stelsel van gedrags- en beroepsregels. Desondanks zijn deze GBR en GBRE inmiddels al enige jaren geleden ingetrokken. In deze paragraaf zullen wij kort behandelen hoe dit zo is gekomen. Ook hierbij zijn duidelijke procesmatige parallellen waarneembaar tussen de NOREA en het NIVRA. Het is dan ook niet toevallig dat de overgang naar de huidige codes bij beide beroepsorganisaties in ongeveer dezelfde periode heeft plaatsgevonden: bij de NOREA per 14 juli 2006 en bij het NIVRA per 1 januari 2007. 35

De basis voor het Reglement Gedragscode wordt al direct aan het begin van dit reglement aangegeven. Hier staat namelijk vermeld dat deze is gebaseerd op de Code of Ethics van de IFAC. Hieruit blijkt reeds dat de NOREA goed beseft dat ook op het vakgebied van de IT-audit internationalisering niet meer is weg te denken. De NOREA is 36 dan ook sinds 15 november 2007 als affiliate member aangesloten bij de IFAC . Één van de speerpunten van de IFAC is het streven naar internationale harmonisatie van gedragsen beroepsregels. In deze context heeft de NOREA vooruitlopend op haar lidmaatschap 33 34

Borne, J. van den, en J. de Vries, RA RE kan dat wel???, de EDP-auditor, oktober 1994. Borne, J. van den, en J. de Vries, RA RE kan dat wel???, de EDP-auditor, oktober 1994. Kocks, C., De EDP-auditor: rechts-, normhandhaver of deskundig burger, de EDP-auditor, 2 e jaargang, nr. 2 1993.

35

Nederlandse Orde van Register EDP-Auditors, Reglement Gedragscode (‘Code of Ethics’), opgenomen in de RE-gids 2010/2011.

36

http://web.ifac.org/about/member-bodies.

14

dan ook de Code of Ethics van de IFAC vertaald naar de context van de Nederlandse ITauditor. In hoeverre het hierbij verplicht is om de Code of Ethics van de IFAC vrijwel letterlijk te vertalen en integraal over te nemen, is een punt waarover verschil van mening 37 bestaat. Zo wordt gesteld dat aan het IFAC-lidmaatschap de eis verbonden is om de door 38 de IFAC uitgegeven standaarden te implementeren. Anderen nuanceren dit door erop te wijzen dat de NOREA als affiliate member aanbevolen maar niet verplicht is om de IFAC39 regelgeving over te nemen. Dit blijkt ook uit het ‘Statement of membership obligations 4’ inzake de ‘IFAC Code of Ethics for Professional Accountants’. De IFAC Code of Ethics is mede naar aanleiding van financiële debacles zoals Enron 40 opgesteld . In de Code of Ethics heeft de IFAC de rol van de accountant in het maatschappelijk verkeer weer centraal gesteld in plaats van het eigen-/klantbelang. De code begint namelijk met: “A distinguishing mark of the accountancy profession is its acceptance of the responsibility to act in the public interest.” Bij debacles zoals Enron en de ondergang van Arthur Andersen werd wel gesteld dat onder andere accountants door het volgen van een rule-based ethische lijn hebben gefaald 41 in het beschermen van de belangen van investeerders en stakeholders . Het volgende citaat van een voormalig medewerker van Enron geeft ons inziens een aardige illustratie van het rule-based handelen: “Here’s how another former employee describes the process: “Say you have a dog, but you need to create a duck on the financial statements. Fortunately, there are specific accounting rules for what constitutes a duck: yellow feet, white covering, and orange beak. So you take the dog and paint its feet yellow and its fur white and you paste an orange plastic beak on its nose, and then you say to your accountants, ‘This is a duck! Don’t you agree that it’s a duck?’ And the accountants say, ‘Yes, according to the rules, this is a duck.’ Everybody knows that it’s a dog, not a duck, but that doesn’t matter because you’ve met the rules for calling it a duck.”” De schrijvers concluderen dan ook dat een principle-based benadering nodig is om het ethische gedrag van onder andere accountants te veranderen. Dialoog en initiële en permanente educatie in ethiek achten zij hierbij belangrijk. 42 Ook andere onderzoekers concluderen op basis van case-studies onder accountants en studenten dat een rule-based benadering tot ongewenste situaties kan leiden. Uit dit onderzoek bleek dat accountants in vergelijking met niet-accountants meer situaties die wettelijk gezien weliswaar toelaatbaar zijn, maar ethisch discutabel, accepteren. Uit deze onderzoeken blijkt dat er in deze tijdsgeest een switch wordt bepleit van rule-based naar principle-based ethische codes. Dat er in deze tijdsperiode met financiële debacles echt actie door accountants moest 43 worden ondernomen, blijkt ook uit een onderzoek waarin werd onderzocht op welke wijze accountantsethiek in films werd geëtaleerd. Accountants die als slecht persoon werden geportretteerd, bleken altijd onethisch gedrag te vertonen. Accountants die als neutraal of goed persoon werden geportretteerd, zijn in de films net zo geneigd tot goed als tot slecht gedrag. 60% van de accountants in de films laat zich in met duidelijk onethisch gedrag, variërend van fraude tot meervoudige moord. Opvallend is ook dat uit de films blijkt dat accountants die competenter zijn dan anderen, in 37

Kersten, F., IT-auditor, wordt wakker?!, de EDP-auditor 2009/1.

38

Vlugt, J. van der, Controleur, ontwaakt als I-Auditor!, de EDP-auditor 2009/2.

39

International Federation of Accountants, Statements of Membership Obligations, Revised as of November 10, 2006.

40

Horn, H.A.L.M. van, Voor professional accountants in business: gedragscode, of code of ethics?, MCA, april 2007.

41

Satava, D., C. Caldwell and L. Richards, Ethics and the Auditing Culture: Rethinking the Foundation of Accounting and Auditing, Journal of Business Ethics, 2006.

42

Emerson, T.L.N., S.J. Conroy and C.W. Stanley, Ethical Attitudes of Accountants: Recent Evidence from a Practitioners’ Survey, Journal of Business Ethics, 2007.

43

Felton, S., T. Dimnik and D. Bay, Perceptions of Accountants’ Ethics: Evidence from Their Portrayal in Cinema, Journal of Business Ethics, 2008.

15

de films ook de accountants zijn die meer onethisch gedrag vertonen. Dit kan een lastige combinatie zijn, aangezien in het accountantsberoep veel waarde wordt gehecht aan vaktechnische ontwikkeling. Het beeld dat omtrent de ethiek van accountants uit de films naar voren kwam, was derhalve niet bepaald positief. Ook dit gaf aan dat er actie nodig was op het gebied van accountantsethiek. Er zijn ook een aantal onderzoekers geweest die aandacht hebben besteed aan de rol die 44 ethiek speelt in accountancy-opleidingen . In deze onderzoeken wordt erop gewezen dat de recente financiële debacles aanleiding geven tot meer aandacht voor onderwijzing in ethiek. Dit temeer aangezien bestaande ethische codes steeds meer een technisch karakter kregen, weg van de morele verantwoordelijkheid naar het maatschappelijk verkeer. Ethisch onderwijs is hierbij volgens de onderzoekers belangrijk, waarbij naast onderwijs in ethische theorieën ook een belangrijke plaats moet worden ingeruimd voor morele discussies. Ethiek leer je niet alleen van regels op papier. Uit bovenstaande korte beschouwing blijkt reeds dat er in de recente periode diverse onderzoeken naar accountantsethiek zijn uitgevoerd. Het onderwerp lijkt hiermee zeker actueel te zijn. Na deze inleidende bespiegelingen omtrent de overgang van de GBRE naar het Reglement Gedragscode en een aantal in deze tijdsperiode uitgevoerde onderzoeken, gaan wij in het volgende hoofdstuk nader in op de inhoud van het Reglement Gedragscode. Hierbij zullen wij ook een vergelijking maken met de voorganger (de GBRE) en met het equivalent bij het NIVRA (de Verordening gedragscode). Gelet op de gewenste internationale convergentie zouden wij ten opzichte van laatstgenoemde code (vrijwel) geen verschillen verwachten. Maar is dat ook daadwerkelijk zo? 2.6 Samenvatting In dit hoofdstuk hebben we stilgestaan bij enkele algemene theorieën alsmede bij door de loop der jaren heen opgestelde (gedrags)codes voor accountants (RE/RA). Nader inzicht hierin helpt bij het beantwoorden van de eerste onderzoeksvraag waarbij het gaat om het doel waarmee en de wijze waarop het Reglement Gedragscode is opgesteld, alsmede om belangrijke overeenkomsten en verschillen in deze context tussen de gedragscodes van de NOREA, het NIVRA en de IFAC. Uit theorieën die ten grondslag liggen aan de (Nederlandse) accountantsfunctie, zoals de vertrouwensleer van Limperg en de agency-theorie, blijkt in meer of mindere mate dat ethisch gedrag van de accountant gewenst is. Dit gelet op de positie die hij ten opzichte van het maatschappelijk verkeer inneemt. Met betrekking tot de opgestelde (gedrags)codes voor registeraccountants bleek dat deze in de beginjaren van het beroep voornamelijk gericht waren op de vaktechnisch inhoudelijke kant van het beroep. Dit is ook logisch, aangezien een jonge beroepsgroep in haar beginfase deze kant van de beroepsuitoefening duidelijk op de kaart wil zetten en wil uniformeren. In deze context is het ook niet verwonderlijk dat de eerste (gedrags)codes met name rule-based waren. Waar in de eerste helft van de vorige eeuw diverse accountantsgroepen met eigen eisen waren ontstaan, heeft de wetgevende macht in Nederland besloten om het accountantsberoep wettelijk te regelen. Dit heeft begin jaren ’60 geresulteerd in de Wet op de registeraccountants en de oprichting van het NIVRA. Belangrijke taken hierbij waren het bevorderen van een goede beroepsuitoefening en het zorgdragen voor de eer van de 44

Dellaportas, S., Making a Difference with a Discrete Course on Accounting Ethics, Journal of Business Ethics, 2006. Melé, D., Ethical Education in Accounting: Integrating Rules, Values and Virtues, Journal of Business Ethics, 2005.

16

stand. In deze tijdsgeest zijn ook de Regelen Beroepsuitoefening Registeraccountants opgesteld, ter vervanging van het oude Reglement van Arbeid en de Ereregelen. Ook deze regelen waren nog met name rule-based en vooral vaktechnisch inhoudelijk georiënteerd. Deze RBR bleek echter ook geen lang leven beschoren. Zij werd begin jaren ’70 alweer vervangen door de Gedrags- en beroepsregels registeraccountants. Hierin was eigenlijk voor het eerst in ruimere mate aandacht voor de ethische kant van het accountantsberoep, resulterend in de opname van meerdere gedragsregels. Wel had de GBR nog een primair rule-based karakter. Deze GBR uit begin jaren ’70 is eind jaren ’80 uitvoerig geëvalueerd. Hierbij kwam de desbetreffende commissie tot interessante voorstellen inzake bijvoorbeeld het centraal stellen van de vertrouwensfunctie van de accountant, het van elkaar scheiden van gedragsregels en beroepsregels en het opstellen van meer principle-based en positief geformuleerde gedragsregels. Interessant is ook dat deze commissie nadrukkelijk aansluiting zocht bij internationale regelgeving. Door een wettelijke gelijkschakeling van onder andere de gedrags- en beroepsregels van registeraccountants en accountants-administratieconsulenten zijn de voorstellen van deze commissie echter niet doorgevoerd. Daardoor waren de GBR-1994, de laatste gedrags- en beroepsregels voor registeraccountants vóór de huidige code, nog grotendeels gelijk aan de GBR uit de jaren ’70. Op deze gedrags- en beroepsregels van registeraccountants zijn ook de eerste Gedragsen beroepsregels Register EDP-auditors van de in 1992 opgerichte NOREA gebaseerd. Deze regels bleken in meer (NIVRA) of mindere (NOREA) mate rule-based te zijn en vrijwel geen voorbeelden te bevatten. Daarnaast werd er bij het NIVRA onderscheid gemaakt naar de hoedanigheid waarin een accountant optreedt. De NOREA maakte dit onderscheid niet. Ook viel het op dat het aantal en de omvang van de beroepsregels bij het NIVRA groter waren dan bij de NOREA. Dit hangt waarschijnlijk ook samen met de aard van de werkzaamheden en diversiteit daarin. Tevens viel het op dat de NOREA bij haar oprichting het nut inzag van het opstellen van een Raad voor Beroepsethiek. Na een periode van betrekkelijke rust op ethisch terrein in de jaren ’90, waarbij vooral werd voortgeborduurd op gedrags- en beroepsregels uit de jaren ’70, brak in het nieuwe millennium een ethisch rumoerige periode aan. Het maatschappelijk verkeer en het accountantsberoep werden geconfronteerd met financiële schandalen zoals bijvoorbeeld Enron. Hierbij bleek onder andere dat de maatschappelijke functie van de accountant weer centraal diende te staan. Ook bleek dat rule-based codes tot ongewenste effecten kunnen leiden en dat principle-based regelgeving weleens effectiever zou kunnen zijn. De IFAC heeft in deze tijdsgeest een nieuwe Code of Ethics opgesteld. Als leden van de IFAC hebben het NIVRA en de NOREA deze ethische code in meer of mindere mate overgenomen. Hierop gaan we in het volgende hoofdstuk inhoudelijk nader in. Naast de beschreven ontwikkelingen binnen de beroepsorganisaties van accountants zelf, zijn ook een aantal onderzoeken ten aanzien van accountantsethiek de revue gepasseerd. Hierin is onder andere ingegaan op zaken zoals het belang van onderwijs in ethiek, focus op techniek dan wel ethiek, hoe om te gaan met onethisch gedrag en het onderscheid tussen rule-based en principle-based codes.

17

3. Inhoudelijke behandeling Reglement Gedragscode 3.1 Inleiding In dit hoofdstuk gaan we nader in op de huidige code van de NOREA. Deze code zullen we ook vergelijken met haar voorganger, de GBRE, alsmede met soortgelijke codes van het NIVRA en de IFAC. Alvorens op de inhoudelijke behandeling van de huidige codes in te gaan, willen we nog 45 kort stilstaan bij een onderzoek van Kaptein en Wempe . Zij hebben een onderzoek uitgevoerd waarin zij komen tot 12 dilemma’s die moeten worden opgelost bij de ontwikkeling en implementatie van een ethische code. Enkele ons inziens relevante dilemma’s benoemen we kort:
spanning tussen enerzijds snel willen opstellen en implementeren en anderzijds beheerste oriëntatie en implementatie. Je bent er niet met alleen het opstellen en rondsturen van een code;
dilemma tussen diversiteit en eenheid. Maak je al dan niet onderscheid tussen soorten onderworpenen;
rule-based versus principle-based. Hoe concreter de code wordt opgesteld, hoe groter de kans is dat alleen de beschreven situaties in ogenschouw worden genomen en andere situaties worden genegeerd. Echter bieden algemene principes op haar beurt wellicht weer weinig houvast;
mate van detaillering van de code. Een gedetailleerde code kan enerzijds leiden tot duidelijkheid, maar anderzijds de onderhoudbaarheid van de code negatief beïnvloeden;
wijze van handhaven. In hoeverre moet je elke situatie bestraffen of belonen;
ontwikkelen van normbesef. De code dient continu actief te worden uitgedragen, onder andere via discussiebijeenkomsten, publicaties en trainingen in ethiek. 3.2 Fundamentele beginselen Uit de hoofdstukindeling van het Reglement Gedragscode (zie bijlage 1) blijkt direct de centrale rol van de fundamentele beginselen. Immers, de code bestaat uit een hoofdstuk ‘Inleiding en fundamentele beginselen’, gevolgd door vijf hoofdstukken waarin telkens nader wordt ingegaan op één fundamenteel beginsel. Deze centrale rol wordt in artikel A100.3 nog eens benadrukt. Onderstaand gaan we kort in op de afzonderlijke fundamentele beginselen. Hierbij zullen we telkens beginnen met de beschrijving van het desbetreffende beginsel zoals gegeven in artikel A-100.4. Integriteit “De IT-auditor treedt in zijn beroepsmatige en zakelijke betrekkingen eerlijk en oprecht op.” Het valt ons op dat integriteit in dit artikel is beperkt tot het beroepsmatig en zakelijk handelen. Dit is op zich verklaarbaar aangezien het Reglement Gedragscode primair ziet op de professionele dienstverlening door IT-auditors. Wij kunnen ons echter voorstellen dat indien een IT-auditor in privé niet integer optreedt, dit dan ook zijn weerslag kan hebben op de wijze waarop zijn omgeving hem beschouwt in zijn optreden als IT-auditor. Hiervoor zal de IT-auditor ons inziens oog moeten hebben. Verder zal in de praktijk moeten blijken wat precies onder “eerlijk en oprecht” wordt verstaan. Wat de één nog net eerlijk en oprecht genoeg vindt, kan een ander ontoelaatbaar vinden. Invulling kan hieraan mede worden gegeven vanuit het tuchtrecht. Een

45

Kaptein, M. and J. Wempe, Twelve Gordian Knots When Developing an Organizational Code of Ethics, Journal of Business Ethics, 1998.

18

46

voorbeeld hiervan hebben we aangetroffen in een uitspraak van de Accountantskamer van 26 april 2010. 47 Tenslotte refereren wij nog kort aan het welbekende Milgram-onderzoek , waaruit blijkt dat mensen hun eigen geweten in bepaalde omstandigheden ondergeschikt maken aan opdrachten van een autoriteit. Integer handelen is derhalve sterk situatieafhankelijk. Kortom, integriteit betreft ons inziens zeker een belangrijk fundamenteel beginsel waaraan situatieafhankelijk een gedegen invulling dient te worden gegeven. Objectiviteit “De IT-auditor accepteert niet dat zijn professioneel of zakelijk oordeel wordt aangetast door een vooroordeel, belangentegenstelling of ongepaste beïnvloeding door een derde.” Zoals wij ook reeds in het voorgaande hoofdstuk hebben gezien, is het objectieve oordeel van een accountant wellicht één van de belangrijkste redenen waarom het accountantsberoep bestaat. Hierbij ziet objectiviteit met name op het werk dat de accountant uitvoert. Als een andere accountant zijn werkzaamheden herhaalt, dient deze tot dezelfde uitkomsten te komen. Het fundamentele beginsel objectiviteit omvat ons inziens ook onafhankelijkheid. Zoals ook later zal blijken, is onafhankelijkheid in de Code of Ethics van de IFAC en de Verordening gedragscode van het NIVRA afzonderlijk (en uitgebreid) uitgewerkt. Wij vinden het met 48 anderen dan ook opvallend dat hieraan in het Reglement Gedragscode geen afzonderlijke aandacht is besteed. Eigenlijk is het uitgangspunt van objectieve oordeelsvorming al direct in het eerste artikel van het Reglement Gedragscode opgenomen. In artikel A-100.1 wordt het algemeen belang als eerste genoemd. De IT-auditor dient zich derhalve primair op het algemeen belang te richten en niet (zoals in de praktijk wellicht dikwijls het geval is) primair op de belangen van de opdrachtgever. Tekenend vinden wij de volgende opmerking hieromtrent van een deelnemer aan een discussiebijeenkomst omtrent onder meer het Reglement 49 Gedragscode: “is dit niet een droom?”. Deskundigheid en zorgvuldigheid “De IT-auditor houdt zijn deskundigheid en vaardigheid op het niveau dat is vereist om aan een opdrachtgever professionele diensten te kunnen verlenen in overeenstemming met actuele ontwikkelingen in de praktijk, wetgeving en vaktechniek. De IT-auditor handelt bij het verlenen van professionele diensten zorgvuldig en in overeenstemming met de van toepassing zijnde vaktechnische en overige beroepsvoorschriften.” In de literatuur zijn we weinig schrijvers tegengekomen die expliciet op dit fundamentele beginsel ingaan. Desondanks zien we toch zeker wel belangrijke implicaties van dit artikel. Om te beginnen is de IT-auditor over het algemeen werkzaam in een dynamische omgeving. De IT-wereld staat eigenlijk nooit stil. Wij vinden het dan ook niet meer dan logisch dat van een IT-auditor wordt vereist dat hij zich permanent laat bijscholen, onder andere op ethisch terrein. De NOREA zelf stelt dat permanente educatie een punt van 50 ethiek is geworden . Verder zien we in dit fundamentele beginsel een duidelijke link tussen de gedragsregels zoals vastgelegd in het Reglement Gedragscode en de beroepsregels zoals vastgelegd in verordeningen, standaarden, e.d. Zoals gesteld waren voorheen in de GBRE zowel gedrags- als beroepsregels opgenomen, maar dat is met ingang van het Reglement Gedragscode uit elkaar getrokken.

46 47

Accountantskamer, Inschrijving AA voor tien jaar doorgehaald, Accountancynieuws, 7 mei 2010. Blass, T., The Milgram paradigm after 35 years: Some things we now know about obedience to authority, Journal of Applied Social Psychologie, 1999 nr. 29.

48

Veth, E., Externe assurance-regels voor het interne IT-audit beroep, de EDP-Auditor, nummer 3|2009.

49

Discussieavond nieuwe regelgeving, 25 mei 2010, VU Amsterdam.

50

NOREA, E-studie voor NOREA, Leereenheid 1: Reglement Gedragscode, 2009.

19

Geheimhouding “De IT-auditor eerbiedigt het vertrouwelijke karakter van informatie die hij in het kader van zijn beroepsmatig en zakelijk handelen heeft verkregen. Hij maakt deze informatie zonder specifieke machtiging daartoe niet aan een derde bekend, tenzij wettelijk of beroepshalve een recht of plicht daartoe bestaat. Het is de IT-auditor niet toegestaan vertrouwelijke informatie die hij bij zijn beroepsmatig of zakelijk handelen heeft verkregen, te gebruiken om zichzelf of een derde te bevoordelen.” Wat ons betreft zou dit fundamentele beginsel eigenlijk vanzelfsprekend moeten zijn. Het valt ons dan ook op dat dit fundamentele beginsel ten opzichte van de andere vier fundamentele beginselen het uitgebreidst in een specifiek hoofdstuk (A-140) is uitgewerkt. Het specifieke hoofdstuk met betrekking tot de geheimhouding is ongeveer even groot als de hoofdstukken inzake de vier andere fundamentele beginselen bij elkaar! Wellicht dat hierin een relatie zichtbaar wordt gemaakt met de vertrouwensfunctie die een accountant historisch gezien wordt geacht te vervullen. Een mogelijke verklaring zou ook kunnen zijn dat bij de Code of Ethics van de IFAC en de Verordening gedragscode van het NIVRA in andere (bij de NOREA niet bestaande) onderdelen van de code met name nader wordt ingegaan op de andere fundamentele beginselen. Het is de vraag of het terecht is dat aan deze andere fundamentele beginselen in het Reglement Gedragscode niet uitgebreider aandacht wordt besteed. Later in dit hoofdstuk gaan we nog nader in op deze vergelijking. Daarnaast valt het ons op dat, in tegenstelling tot de andere fundamentele beginselen, in dit fundamentele beginsel ook duidelijk een relatie zichtbaar is naar het privé-optreden van de IT-auditor. Wat ons betreft is dit terecht. Enerzijds aangezien de IT-auditor of personen uit zijn omgeving geen ongeoorloofd voordeel uit zijn beroepsmatig verkregen informatie mogen hebben. Anderzijds omdat je nu eenmaal IT-auditor bent of niet. Professioneel gedrag “De IT-auditor houdt zich aan de voor hem relevante wet- en regelgeving en onthoudt zich van handelen dat het auditberoep in diskrediet brengt. Bij samenloop van functies dient een zodanige zorgvuldigheid in acht genomen te worden dat de relatie tussen het optreden c.q. het uiting geven als Register EDP-auditor en de andere functie ondubbelzinnig bepaald is.” Het is ons inziens niet meer dan logisch dat professioneel gedrag een fundamenteel beginsel is voor een IT-auditor. Het Reglement Gedragscode ziet immers op het professioneel en zakelijk handelen van IT-auditors. Derhalve zou dit fundamentele 51 beginsel beschouwd kunnen worden als een soort overkoepelend beginsel . Hiermee is dit fundamentele beginsel wel enigszins vergelijkbaar met de ‘eer van de stand’ uit artikel 5 52 van de oude GBR . Daarmee is het wellicht ook het meest algemeen en vaag. 3.3 Overige aspecten Reglement Gedragscode In de vorige paragraaf hebben wij stilgestaan bij de in het Reglement Gedragscode centraal staande fundamentele beginselen. In deze paragraaf zullen wij aandacht besteden aan andere aspecten van deze code. Hierbij gaan wij eerst in op achtereenvolgens de categorieën bedreigingen en de categorieën waarborgen. Daarna zullen wij nog kort stilstaan bij een aantal overige aspecten. Categorieën bedreigingen Inzake bedreigingen is het allereerst de vraag hoe ver de IT-auditor moet gaan bij het signaleren van mogelijke bedreigingen. Moet hij zich bij het signaleren actief of passief opstellen? Hieromtrent stelt artikel A-100.6 dat de IT-auditor omstandigheden of relaties evalueert waarmee hij bekend is of in redelijkheid bekend behoort te zijn. Ons inziens vraagt dit zeker wel om een actieve houding. 51 52

Besproken tijdens discussieavond nieuwe regelgeving, 25 mei 2010, VU Amsterdam. Horn, H.A.L.M. van, Voor professional accountants in business: gedragscode, of code of ethics?, MCA, april 2007.

20

In het Reglement Gedragscode zijn potentiële bedreigingen in een aantal standaard categorieën ingedeeld. Het gaat hierbij om de volgende categorieën (artikel A-100.10):
bedreiging als gevolg van eigenbelang: dit is de bedreiging die ontstaat uit een financieel of ander belang van de IT-auditor dan wel van een gezins- of naast familielid van hem;
bedreiging als gevolg van zelftoetsing: dit is de bedreiging die ontstaat indien de ITauditor zijn eigen werkzaamheden of het resultaat daarvan beoordeelt;
bedreiging als gevolg van belangenbehartiging: dit is de bedreiging die ontstaat indien de IT-auditor op een zodanige wijze een standpunt verdedigt dat objectiviteit in het gedrang komt;
bedreiging als gevolg van vertrouwdheid: dit is de bedreiging die ontstaat indien er een nauwe band bestaat tussen de IT-auditor en zijn opdrachtgever of indien de IT-auditor te veel sympathie koestert voor de belangen van een ander;
bedreiging als gevolg van intimidatie: dit is de bedreiging die ontstaat indien de ITauditor door feitelijke of vermeende dreigementen wordt afgehouden van objectief handelen. Wij vinden het vanzelfsprekend dat niet iedere bedreiging die er zou kunnen zijn, behoeft te worden gemitigeerd. Hiervoor zou toch zeker een soort ondergrens aanwezig moeten zijn. Dit uitgangspunt komt ook naar voren in bijvoorbeeld artikel A-100.5 en artikel A100.7. Artikel A-100.5 heeft het onder meer over een bedreiging die van niet te verwaarlozen betekenis is en die moet worden weggenomen of teruggebracht tot een aanvaardbaar niveau. Het is niet direct duidelijk hoe de termen ‘van niet te verwaarlozen betekenis’ en ‘aanvaardbaar niveau’ zich tot elkaar verhouden. In publicaties wordt 53 weleens getracht om dergelijke termen te kwantificeren. Zo heeft Dieleman het inzake ‘van niet te verwaarlozen betekenis’ over een percentage van maximaal 5%. Waartegen dit percentage bij een bedreiging van een fundamenteel beginsel vervolgens afgezet dient te worden, wordt niet duidelijk. Wij juichen het dan ook toe dat in ieder geval in de per 1 januari 2011 geldende Code of Ethics van de IFAC alleen nog wordt gesproken over 54 ‘aanvaardbaar niveau’ . Voorts wordt in artikel A-100.7 onder meer gesteld dat de ITauditor bij het beoordelen van de aard, het belang en de ernst van een bedreiging zowel kwalitatieve als kwantitatieve factoren betrekt. Hier wordt ons inziens weer een stukje professionele oordeelsvorming verwacht, hetgeen overigens eigenlijk voor de hele principle-based code geldt. Dit kan gebruikers van de code wellicht weleens onzeker maken. Maar toch zou dit voor een beroep waar professionele oordeelsvorming belangrijk is, geen obstakel moeten zijn. Categorieën waarborgen De IT-auditor dient eventuele bedreigingen van de fundamentele beginselen te signaleren en bij een bedreiging van niet te verwaarlozen betekenis waarborgen te treffen om de bedreiging weg te nemen of terug te brengen tot een aanvaardbaar niveau. In artikel A-100.11 zijn twee hoofdcategorieën waarborgen opgenomen, te weten:
waarborgen tot stand gebracht door de wetgever, de NOREA of andere regelgevers;
waarborgen in de werkomgeving. Het is wat ons betreft logisch dat waarborgen in de werkomgeving situatieafhankelijk zijn en derhalve zich moeilijker van voorbeelden laten voorzien. Omtrent de eerste categorie waarborgen zijn in artikel A-100.12 wel een aantal voorbeelden gegeven. Deze voorbeelden betreffen vrijwel allemaal waarborgen die tot stand dienen te worden gebracht door de NOREA. Dit ligt ook in lijn met het feit dat het IT-auditvakgebied in Nederland (vrijwel) geen wettelijke verankering heeft. Nadere wet- en regelgeving hieromtrent kan blijkens het gestelde in het Reglement Gedragscode wel een belangrijke waarborg voor de IT-auditor bieden om ethisch te handelen.

53 54

Dieleman, De VGC in de praktijk (II), Accountant Adviseur, november 2007. Majoor, B., Aanscherpingen in gedrags- en onafhankelijkheidsregels accountants op komst, Accountancynieuws, 11 september 2009.

21

Gelukkig is in de code ook onderkend dat de IT-auditor ook maar een mens is en derhalve onopzettelijk een bepaling uit de code kan schenden. In artikel A-100.8 is expliciet geregeld dat er dan, afhankelijk van de aard en de betekenis ervan, geen sprake is van een schending. Uiteraard dienen de gevolgen dan wel direct te worden geëvalueerd en voor zover mogelijk te worden gecorrigeerd en eventuele waarborgen te worden getroffen. Nadat in de code is uiteengezet wat de fundamentele beginselen zijn, welke bedreigingen hiervan mogelijk zijn en welke waarborgen zoal kunnen worden getroffen, geeft de code ook een soort principle-based stappenplan hoe te handelen bij een eventueel conflict. Uiteraard dient de IT-auditor de relevante feiten, beroepsethische aspecten, fundamentele beginselen, interne procedures en mogelijke alternatieve handelwijzen in aanmerking te nemen (artikel A-100.17). Uit de artikelen A-100.17 tot en met A-100.20 blijkt ook dat de IT-auditor wordt geacht te overleggen met bijvoorbeeld andere auditors, de NOREA en de leidinggevenden van de organisatie waar hij werkzaam is. Indien oplossing van het beroepsethisch conflict niet mogelijk is, dient de IT-auditor op basis van artikel A-100.21 indien mogelijk zijn betrokkenheid bij de aangelegenheid die heeft geleid tot het conflict te beëindigen. Dit kan leiden tot opdrachtbeëindiging of het nemen van ontslag. Overige aspecten Wij zijn van mening dat de fundamentele beginselen, de mogelijke bedreigingen daarvan en de waarborgen die getroffen kunnen worden, samen het hart van het Reglement Gedragscode vormen. Daarom hebben wij hiervoor wat uitgebreider stilgestaan bij deze aspecten. Onderstaand gaan wij nog kort in op enkele overige aspecten van de code die onze aandacht hebben getrokken. Allereerst willen we benadrukken dat ook omtrent beroepsethische conflicten een gedegen documentatie is vereist (artikel A-100.19). Dit mag ons inziens voor een auditor niet meer dan normaal zijn. In lijn met het bekende gezegde uit de hoek van controlerend accountants ‘niet gedocumenteerd is niet gecontroleerd’ zouden wij hier willen stellen ‘niet gedocumenteerd is niet geëvalueerd’. En dat betekent ons inziens dat je als auditor, mocht het bijvoorbeeld in het slechtste geval tot een tuchtzaak komen, al direct achterstaat. In artikel A-100.3 is onder andere vermeld dat het NOREA-bestuur nadere regels kan uitvaardigen over de toepassing van het conceptueel raamwerk in specifieke situaties. Ook kan zij voorbeelden geven van situaties waarin geen waarborgen beschikbaar zijn en van activiteiten of relaties die vermeden moeten worden. Het NOREA-bestuur heeft er echter 55 voor gekozen dit niet te doen. Zoals ook Majoor stelt, vereist een principle-based benadering dat elke professional zijn eigen verantwoordelijkheid neemt voor een juiste toepassing, dus voor zijn eigen integere en professionele handelen. Ook kunnen wij ons voorstellen dat het in het zeer diverse werkveld waarin juist de ITauditor zich begeeft, praktisch niet haalbaar is om nadere voorbeelden en regels voor allerlei mogelijke situaties te geven. Een dergelijke gedachtegang wordt ook nog eens benadrukt in artikel A-100.5, waarin onder andere wordt gesteld dat een conceptueel raamwerk dat van de IT-auditor vraagt iedere bedreiging te signaleren, te evalueren en aan de orde te stellen, in plaats van de eis te voldoen aan een aantal min of meer arbitraire specifieke regels, in het algemeen belang is. Anderzijds kunnen wij ons ook voorstellen dat de IT-auditor in de praktijk juist behoefte heeft aan concrete voorbeelden en nadere regels. Dit is dan ook één van de aspecten waaraan wij in ons praktijkonderzoek nader aandacht zullen besteden. 56 Onder andere Blokdijk lijkt juist tegen allerlei voorbeelden en detailregels te zijn. Deze zouden volgens hem een rule-based toepassing uitlokken, en dat past niet bij een principle-based code.

55

Majoor, B., Minder ‘precies’, maar wel voor iedereen, de Accountant, juli/augustus 2006.

56

Blokdijk, J.H., Alternatief voor gedragscode bijgepunt, Accountancynieuws, 24 november 2006.

22

In hetzelfde artikel A-100.3 is ook opgenomen dat de code van toepassing is op iedere in het RE-register ingeschreven IT-auditor. Dit ligt in lijn met de oude GBRE. Het blijkt dat het NOREA-bestuur ervoor heeft gekozen om geen onderscheid te maken tussen categorieën IT-auditors. Zij achtte dit bij de invoering van het Reglement Gedragscode, gezien de rol 57 die IT-auditors in Nederland vervullen, een vooralsnog niet noodzakelijke verdieping . De IFAC-regelgeving streeft ook naar een goede beroepsuitoefening, ongeacht de aard van de opdracht. Dat dit voor de buitenwacht wellicht ook het duidelijkst is, blijkt bijvoorbeeld 58 uit een artikel in het Financieele Dagblad rondom de aanvaarding van de gedragscode van het NIVRA. Hoewel het hier derhalve gaat om de NIVRA-code, zien wij hierin in beginsel geen onderscheid met het Reglement Gedragscode. In dit artikel wordt onder andere gesteld dat nu elke registeraccountant aan dezelfde beroepsethiek is gebonden. Hiermee komt een einde aan het verwarrende schizofrene karakter van de registeraccountant. 59 Wij zijn het dan ook eens met schrijvers die stellen dat een verlicht regime voor bepaalde functiegroepen ook niet past bij een principle-based benadering. We zullen overigens nog zien dat er in de Code of Ethics van de IFAC en de Verordening gedragscode van het NIVRA wel onderscheid is gemaakt naar gelang de werkomgeving van de accountant. Tenslotte valt het ons op dat de definities in het Reglement Gedragscode aan het einde zijn opgenomen. Op dit moment volstaan wij door te stellen dat het ons inziens gebruikelijk is om een code te beginnen met de begripsbepalingen, zodat direct duidelijk is in welke context bepaalde begrippen in een code moeten worden geïnterpreteerd. In de volgende paragrafen zullen we nog nader beschouwen hoe dat in de GBRE en in de codes van de IFAC en het NIVRA is geregeld. 3.4 Vergelijking met GBRE In deze paragraaf gaan we allereerst in op enkele definities. Daarna zullen we achtereenvolgens ingaan op een aantal andere ons inziens relevante overeenkomsten en verschillen tussen de GBRE en het Reglement Gedragscode. Het is logisch dat er naar de letter vrij veel verschillen zijn tussen de GBRE en het Reglement Gedragscode. Al is het maar omdat de GBRE is afgeleid van de in Nederland opgestelde GBR en het Reglement Gedragscode van de door de IFAC opgestelde Code of Ethics. Het mag ons inziens evenmin tot verwondering leiden dat beide reglementen naar de geest een groot aantal overeenkomsten vertonen. Immers, een aantal belangrijke uitgangspunten horen gewoonweg tot het accountantsberoep. Definities Zoals gesteld waren in de GBRE de begripsbepalingen aan het begin van het reglement opgenomen, terwijl de definities in het Reglement Gedragscode aan het einde zijn opgenomen. Ons inziens valt voor beiden wat te zeggen. Voordeel van opname aan het begin zou kunnen zijn dat het voor elke lezer direct duidelijk is wat onder bepaalde in het reglement gehanteerde (vak)termen wordt verstaan. Nadeel zou kunnen zijn dat het reglement daarmee wellicht eerder een rule-based karakter krijgt. Wat bij een vergelijking van de gedefinieerde termen voorts opvalt, is dat in het Reglement Gedragscode termen als bedreiging, fundamentele beginselen en professionele dienst worden gedefinieerd. Dit terwijl in de GBRE onder meer termen als attestfunctie en uiting zijn omschreven. Hierin is ons inziens ook reeds een belangrijk onderscheid tussen beide reglementen zichtbaar. De definities in het Reglement Gedragscode horen namelijk bij een conceptueel raamwerk, terwijl de genoemde termen in de GBRE met name in het kader van de opgenomen beroepsregels belangrijk zijn.

57

NOREA, Herziening Beroepsregels en Richtlijnen voor IT-auditors, de EDP-auditor, nummer 2 | 2007.

58

Wijnen, J.F. van, Gedragscode accountant, het Financieele Dagblad, 18 december 2009.

59

Moleveld, W. en B. Majoor, NIVRA’s Verordening Gedragscode versus IFAC’s Code of Ethics, MAB, september 2008.

23

Aantal overeenkomsten Onderstaand geven we een korte uiteenzetting van een selectie bepalingen die naar de geest overeenkomen tussen de GBRE en het Reglement Gedragscode. Om te beginnen vangen beide reglementen aan met beginselen inzake integriteit en objectiviteit. Hierbij is objectiviteit in de GBRE onder andere uitgewerkt als onbevooroordeeldheid. Dit lijken derhalve in beide reglementen in ieder geval (historisch) belangrijke beginselen te zijn. Voorts is in beide reglementen een soort ‘veegartikel’ opgenomen. In de GBRE betreft dit ons inziens artikel 3 inzake de collegialiteitsverplichting. Hierin wordt gesteld dat de register EDP-auditor is gehouden al datgene na te laten dat afbreuk doet aan de goede naam van het beroep en de beroepsorganisatie. Zoals reeds eerder gesteld, zien wij dit terugkomen in het fundamentele beginsel ‘professioneel gedrag’ in het Reglement Gedragscode. Vervolgens zien we artikel 4 van de GBRE inzake deskundigheid terugkomen in het fundamentele beginsel ‘deskundigheid en zorgvuldigheid’ in het Reglement Gedragscode. Dit laatstgenoemde fundamentele beginsel is wel wat breder dan alleen deskundigheid. Dit fundamentele beginsel stelt namelijk ook eisen ten aanzien van bijvoorbeeld het volgen van vaktechnische en beroepsvoorschriften, waar dit in de GBRE in separate artikelen inzake beroepsregels was uitgewerkt. Verder valt het ons op dat zowel in artikel 6 van de GBRE als in hoofdstuk A-140 van het Reglement Gedragscode relatief uitgebreid aandacht wordt besteed aan geheimhouding. Blijkbaar was en is dit een potentieel heet hangijzer voor de IT-auditor waaromtrent hij behoefte heeft aan guidance. Tenslotte valt het ons op dat zowel in de GBRE als in het Reglement Gedragscode specifiek aandacht wordt besteed aan de rol van de, ons inziens belangrijke, Raad voor Beroepsethiek. Aantal verschillen Onderstaand gaan wij in op een aantal verschillen tussen de GBRE en het Reglement Gedragscode. Om te beginnen blijkt uit de benamingen van de reglementen reeds dat de GBRE zowel gedrags- als beroepsregels bevatte, terwijl in het Reglement Gedragscode alleen gedragsregels zijn opgenomen. In het verlengde hiervan kunnen er uitgebreide beschouwingen worden geschreven over rule-based versus principle-based reglementen. Zoals eerder gesteld, zijn de meningen over het karakter van de GBRE verdeeld. Ons inziens bevatte de GBRE met name principle-based uitgangspunten inzake gedragsnormen en met name rule-based regels inzake beroepsvoorschriften. Het Reglement Gedragscode met gedragsnormen hanteert een ons inziens duidelijk principle-based uitgangspunt. In lijn hiermee geeft het Reglement Gedragscode een conceptueel raamwerk dat de ITauditor situatieafhankelijk nader dient vorm te geven. Naast de primaire uitgangspunten geeft de code hierbij ook een opsomming van een aantal categorieën mogelijke bedreigingen en mogelijke waarborgen. Dit is ons inziens zeker een verbetering ten opzichte van de wat kalere regels uit de GBRE. Wat dit betreft gaat het Reglement Gedragscode eigenlijk wat verder en biedt een completer model. Een mogelijk interessant verschil is voorts dat in de GBRE bij diverse artikelen in cursieve tekst toelichtingen waren opgenomen. Dergelijke toelichtingen alsmede voorbeelden ontbreken in het Reglement Gedragscode. Gesteld zou kunnen worden dat dit mede haar oorsprong vindt in het principle-based karakter van het Reglement Gedragscode. Echter is het de vraag in hoeverre de IT-auditors hier al dan niet behoefte aan hebben. Hierop komen wij in het praktijkonderzoek terug. Tenslotte verwijzen wij naar hetgeen wij eerder hebben vermeld inzake het ontbreken van expliciete bepalingen inzake onafhankelijkheid in het Reglement Gedragscode. Dit in tegenstelling tot de GBRE. Wij zullen hierna zien dat hieraan in gedragscodes van verwante beroepsorganisaties wel expliciet aandacht is besteed.

24

3.5 Vergelijking met VGC en IFAC-code Zoals in paragraaf 3.4 aangegeven, is het Reglement Gedragscode afgeleid van de Code of Ethics van de IFAC. Hetzelfde geldt voor de Verordening gedragscode van het NIVRA. Van nauw bij het opstellen van beide codes betrokken accountants hebben wij zelfs begrepen dat bij het opstellen van het Reglement Gedragscode is uitgegaan van een tussentijdse vertaalversie van het NIVRA. Zodoende verwachten wij in beginsel weinig verschillen tussen het Reglement Gedragscode en de Verordening gedragscode. In deze paragraaf zullen wij de ons inziens belangrijkste overeenkomsten benoemen en verschillen analyseren. Bovendien zullen wij de verschillen ook vergelijken met de gezamenlijke bron, de Code of Ethics van de IFAC. Aantal overeenkomsten De belangrijkste overeenkomst tussen het Reglement Gedragscode van de NOREA en de Verordening gedragscode van het NIVRA is ons inziens dat de fundamentele beginselen en het conceptueel raamwerk zoals geformuleerd in deel A nagenoeg gelijk zijn. Dit is maar goed ook, want dit betreft eigenlijk de kern van de Code of Ethics van de IFAC. Aantal verschillen Er zijn echter ook verschillen te onderkennen, waarvan wij onderstaand de belangrijkste behandelen. Wat bij vergelijking van beide codes direct opvalt, is dat het Reglement Gedragscode eigenlijk alleen bestaat uit deel A waarin de fundamentele beginselen en het conceptueel raamwerk centraal staan. Dit deel A geldt voor alle IT-auditors. De Verordening gedragscode bevat daarnaast ook nog de delen B1, B2, C en D. In deel D wordt een link gelegd naar specifieke Nederlandse nadere voorschriften en slotbepalingen. Hierop gaan wij niet nader in. In de delen B1, B2 en C is de Verordening gedragscode toegespitst op achtereenvolgens openbare accountants, interne en overheidsaccountants en accountants in business. Elk deel verwijst naar het conceptueel raamwerk zoals opgenomen in deel A. Interessant in 60 deze context vinden wij dan ook de opmerking dat de voorbeelden in de diverse onderdelen van de Verordening gedragscode voor alle registeraccountants van toepassing 61 kunnen zijn. Hiermee is overigens niet iedereen het eens . Vergelijken we deze Nederlandse codes met de Code of Ethics van de IFAC, dan valt op dat laatstgenoemde code bestaat uit drie delen: a) deel A met fundamentele beginselen en het conceptueel raamwerk, geldend voor alle leden, b) deel B met voorbeelden voor openbaar accountants, c) deel C met voorbeelden voor accountants in business. Hierbij zijn intern accountants en overheidsaccountants bij de IFAC ondergebracht bij accountants in business. Het NIVRA heeft gepoogd met het afzonderlijke deel B2 specifieke voorbeelden voor de in Nederland veel voorkomende overheidsaccountants en interne 62 accountants te geven. Onder andere Majoor wijst erop dat met name het NIVRA, anders dan veel andere (buitenlandse) beroepsorganisaties, een pluriforme samenstelling heeft. Uit een interview met een nauw betrokken hoogleraar hebben wij begrepen dat het NIVRA de enige organisatie is met een B2-categorie in haar gedragscode. In het Reglement Gedragscode zijn, in tegenstelling tot de codes van het NIVRA en de IFAC, vrijwel geen voorbeelden opgenomen. Vóór het opnemen van voorbeelden zou bijvoorbeeld pleiten dat voorbeelden behulpzaam zijn bij het interpreteren van wellicht in beginsel wat vage fundamentele beginselen. Dit geldt enerzijds voor de interpretatie door 60

Moleveld, W. en B. Majoor, NIVRA’s Verordening Gedragscode versus IFAC’s Code of Ethics, MAB, september 2008.

61

Zie bijvoorbeeld: Horn, H.A.L.M. van, Voor professional accountants in business: gedragscode, of code of ethics?, MCA, april 2007. Vergoossen, R.G.A., Code-Blokdijk geen alternatief voor VGC, Accountancynieuws, 24 november 2006.

62

Majoor, B., Een robuust stelsel, de Accountant, juni 2004.

25

de accountants zelf. Anderzijds maakt de uitgebreide toelichting de code ook voor de 63 buitenwereld toegankelijk en transparant . Tegen het opnemen van voorbeelden zou kunnen pleiten dat hiermee het principle-based karakter van de gedragscode mogelijk 64 wordt losgelaten . Dat voorbeelden bij de NOREA ontbreken, is niet zo vreemd als je bedenkt dat de werkzaamheden van IT-auditors zeer divers zijn. Dit terwijl een groot gedeelte van de werkzaamheden van registeraccountants bijvoorbeeld bestaan uit jaarrekeningcontroles en daaraan verwante opdrachten. Afwijkend is ook dat in de Verordening gedragscode onderscheid is gemaakt tussen vetgedrukte normen en niet vetgedrukte voorbeelden en toelichtingen op de normen. Dit onderscheid is zowel in het Reglement Gedragscode als in de Code of Ethics van de IFAC niet opgenomen. Deze afwijking is in de Verordening gedragscode aangebracht op 65 verzoek van de overheid . Wij onderschrijven dat dit primair een vormgevingskwestie is en 66 geen materiële betekenis heeft . Ook al kunnen wij ons voorstellen dat vetgedrukte tekst wordt opgevat als zijnde belangrijker dan niet vetgedrukte tekst. Een ogenschijnlijk minder belangrijk verschil betreft het feit dat de definities in het Reglement Gedragscode achter in het document zijn opgenomen en in de Verordening gedragscode voorin. Voor onze mening omtrent de plaats van opname van definities verwijzen wij naar paragraaf 3.4. In de Code of Ethics van de IFAC zijn de definities ook achter in de code opgenomen. Een mogelijke verklaring voor dit verschil kan overigens zijn dat gelet op enerzijds het al dan niet opnemen van de onderdelen B1 / B2 / C en anderzijds de koppeling bij het NIVRA aan zaken als contributie en permanente educatie, het belang van definiëring van bijvoorbeeld een openbaar accountant, intern accountant, overheidsaccountant en accountant in business bij het NIVRA groter is. Diverse registeraccountants en accountants-administratieconsulenten gaan dan ook uitgebreid op 67 deze definities in . Een mogelijke reden om de definities in de Verordening gedragscode voorin op te nemen, kan ook gelegen zijn in de omvang van deze code. Tenslotte komt met name in artikel A-140.7 nog eens duidelijk naar voren dat het vakgebied van registeraccountants wettelijk verankerd is en dat van IT-auditors niet. Dit artikel gaat in op situaties waarin een accountant kan komen te verkeren waarin hij verplicht is of waarin het maatschappelijk juist is vertrouwelijke informatie bekend te maken. In de Verordening gedragscode wordt expliciet verwezen naar diverse wetten zoals de Wet toezicht accountantsorganisaties en de comptabiliteitswet. Dergelijke wetten zijn voor de IT-auditor niet van toepassing. Naast de inhoudelijke verschillen tussen de codes, vertoont ook het acceptatieproces van de codes opvallende verschillen. Omtrent de acceptatie van het Reglement Gedragscode 68 hebben wij relatief weinig publicaties aangetroffen. Er zijn wel enkele schrijvers geweest 63

Majoor, B., Nieuwe Gedrags- en beroepscode is aanstaande, Internationaler, specifieker en dwingender, de Accountant, maart 2005.

64

Blokdijk, J.H., Alternatief voor gedragscode bijgepunt, Accountancynieuws, 24 november 2006. Moleveld, W. en B. Majoor, NIVRA’s Verordening Gedragscode versus IFAC’s Code of Ethics, MAB, september 2008.

65

Moleveld, W. en B. Majoor, NIVRA’s Verordening Gedragscode versus IFAC’s Code of Ethics, MAB, september 2008.

66

Horn, H.A.L.M. van, Voor professional accountants in business: gedragscode, of code of ethics?, MCA, april 2007.

67

Zie bijvoorbeeld: Horn, H.A.L.M. van, Voor professional accountants in business: gedragscode, of code of ethics?, MCA, april 2007. Wietsma, J., VGC: definitie openbaar accountant flink opgerekt, Accountancynieuws, 12 januari 2007.

68

Kersten, F., IT-auditor, wordt wakker?!, de EDP-auditor 2009/1. Kloosterman, T.G. en M.A. de Kiewit, NOREA Code of Ethics globaal toepasbaar?, Compact 2006/3. Veth, E., Externe assurance-regels voor het interne IT-audit beroep, de EDP-Auditor, nummer 3|2009.

26

die hun mening hebben geventileerd omtrent de invoering van dergelijke internationale regels door de NOREA. De toon in de betreffende publicaties vinden wij nog relatief mild. Daarentegen is het acceptatieproces van de Verordening gedragscode zeker niet zonder horten of stoten verlopen. Zo zijn er bijvoorbeeld enkele bekende registeraccountants 69 geweest die hun eigen alternatieve code hebben opgesteld. Deze alternatieve codes hebben het overigens uiteindelijk niet gehaald. Ook de gang van zaken tijdens de algemene ledenvergadering waarin de Verordening gedragscode uiteindelijk met een nipte meerderheid van 56% van de stemmen is aangenomen, is wat ons betreft geen schoolvoorbeeld van hoe je als accountants met elkaar omgaat. De discussies waren niet van de lucht en zelfs termen als ‘dag des oordeels’, ‘beulen’ en ‘broedermoord’ werden 70 hierbij niet geschuwd . En het feit dat dit ook uitgebreid is uitgemeten in bijvoorbeeld het Financieele Dagblad, draagt ons inziens ook niet echt bij aan het herstel van het vertrouwen in accountants. Ons inziens zijn er diverse mogelijke verklaringen voor het verschil in acceptatieproces:
bij de NOREA is een beperkt aantal ‘goeroes’, die tevens zitting hebben in commissies die bij de totstandkoming en implementatie van de gedragscode zijn betrokken;
het ontbreken van voorbeelden bij de NOREA kan leiden tot minder discussies;
de gedragscode was een van de eerste stappen naar internationale aansluiting van de NOREA;
bij het NIVRA bestaat er een relatie tussen categorie-indeling en zaken zoals contributie, PE-verplichting en van toepassing zijnde wet- en regelgeving. Een dergelijke relatie ontbreekt bij de NOREA;
bij de NOREA is er sprake van een generieke gedragscode, wat tot minder discussie leidt dan de afzonderlijke onderdelen bij het NIVRA. Tenslotte vermelden wij nog dat inzake de Verordening gedragscode van het NIVRA uit 71 casestudies is gebleken dat kennis van de gedragscode niet significant bijdraagt aan het signaleren van bedreigingen en het treffen van waarborgen. Dit mag teleurstellend worden genoemd. Discussie bleek wel bij te dragen aan het komen tot de kern van de ethische problematiek. 3.6 Samenvatting In dit hoofdstuk hebben wij met het oog op met name de eerste en de tweede onderzoeksvraag (mening van andere onderzoekers/deskundigen) stilgestaan bij het huidige Reglement Gedragscode van de NOREA, alsmede bij soortgelijke codes van het NIVRA en de IFAC. Uit de inhoudelijke behandeling blijkt dat in de huidige codes van alle drie de beroepsorganisaties een vijftal fundamentele beginselen centraal staat: integriteit, objectiviteit, deskundigheid en zorgvuldigheid, geheimhouding en professioneel gedrag. Vervolgens wordt een vijftal categorieën bedreigingen ten aanzien van deze fundamentele beginselen onderkend: eigenbelang, zelftoetsing, belangenbehartiging, vertrouwdheid en intimidatie. Teneinde niet te verwaarlozen bedreigingen ten aanzien van de fundamentele beginselen weg te nemen of terug te brengen tot een aanvaardbaar niveau, zijn twee hoofdcategorieën waarborgen onderkend: waarborgen tot stand gebracht door de wetgever, de beroepsorganisatie of andere regelgevers en waarborgen in de werkomgeving. Vlugt, J. van der, Controleur, ontwaakt als I-Auditor!, de EDP-auditor 2009/2. 69

De code van Blokdijk werd zelfs de ‘Limperg-code’ genoemd, verwijzend naar een van de grondleggers van het accountantsberoep in Nederland.

70

Zie bijvoorbeeld: Bindenga, A., Code commotie, MAB, maart 2007. Nierop, T., Nieuwe gedragscode na tumultueuze Ledenvergadering, de Accountant, januari 2007. Wijnen, J.F. van, De beulen zijn hier onder ons, het Financieele Dagblad, 15 december 2006.

71

Marinus, D., Verordening Gedragscode, NIVRA/Nyenrode, 2007.

27

In het hele traject van evaluatie van eventuele bedreigingen van niet te verwaarlozen betekenis en het treffen van waarborgen speelt professionele oordeelsvorming een belangrijke rol. Ten aanzien van het Reglement Gedragscode vinden wij het opvallend dat hierin vrijwel geen specifieke voorbeelden zijn uitgewerkt. Dit past ons inziens wel bij een principlebased benadering. Dit wil echter niet zeggen dat een auditor in de praktijk geen behoefte kan hebben aan nadere guidance in de vorm van voorbeelden. Bij de vergelijking van het Reglement Gedragscode met haar voorganger de GBRE hebben wij zowel overeenkomsten als verschillen geïdentificeerd. Overeenkomsten blijken bijvoorbeeld te zijn gelegen op het terrein van de gehanteerde uitgangspunten of fundamentele beginselen. Belangrijk verschil is in ieder geval dat in het Reglement Gedragscode alleen gedragsregels zijn opgenomen, terwijl de GBRE zowel gedrags- als beroepsregels bevatte. Ook vinden wij het opvallend dat in de GBRE expliciet aandacht werd besteed aan onafhankelijkheid, terwijl dit in het Reglement Gedragscode is inbegrepen in het fundamentele beginsel objectiviteit. Het benoemen van mogelijke bedreigingen en waarborgen vinden wij een belangrijke verbetering die in het Reglement Gedragscode is aangebracht. Naast de nagenoeg overeenkomende fundamentele beginselen en conceptueel raamwerk, hebben wij ook een aantal verschillen tussen de codes van de NOREA, het NIVRA en de IFAC geïdentificeerd. Zo bevat de code van de NOREA alleen een deel dat geldt voor alle Register EDP-auditors, terwijl binnen de codes van het NIVRA en de IFAC separate delen zijn opgenomen die gelden voor specifieke categorieën auditors. In deze separate delen zijn ook diverse voorbeelden opgenomen, terwijl in het Reglement Gedragscode voorbeelden nagenoeg ontbreken. Verder valt het op dat het Reglement Gedragscode geen expliciete aandacht besteedt aan onafhankelijkheid. Dit terwijl onafhankelijkheid in de codes van het NIVRA en de IFAC expliciet is uitgewerkt. Ook is het ons opgevallen dat in de diverse codes verschillend wordt omgegaan met de positionering van de definities: aan het begin of einde van de code. Het belang van de definities lijkt in ieder geval tussen de NOREA en het NIVRA ook verschillend te zijn. Ook al is het maar omdat bij het NIVRA hieraan ook zaken als contributie en verplichtingen inzake permanente educatie zijn gekoppeld. Tenslotte heeft het acceptatieproces bij het NIVRA ten opzichte van het NOREA veel meer hobbels vertoond. Dit kan ons inziens zeker samenhangen met de eerder genoemde verschillen.

28

4. Opzet van het praktijkonderzoek 4.1 Inleiding Op basis van onze bevindingen bij het literatuuronderzoek ontwikkelen wij in de volgende paragraaf een aantal stellingen. Deze stellingen hebben wij in een enquête aan RE’s voorgelegd. Tevens zijn wij aan de hand van de resultaten van de enquête met enkele deskundigen in gesprek gegaan. Wij willen op deze plek alvast benadrukken dat wij het niet per definitie met een geformuleerde stelling eens hoeven te zijn. Wij formuleren een aantal stellingen bewust zwart-wit. Dit kan in ieder geval aanleiding geven tot interessante discussies. 4.2 Opzet en inhoud van de enquête Aan de hand van het literatuuronderzoek hebben wij een enquête opgezet. Hierin hebben wij, naast enkele algemene vragen naar de achtergrond van de respondenten, voornamelijk gewerkt met stellingen. Voor een volledig beeld van de enquête verwijzen wij naar bijlage 2 van deze scriptie. Bij het opzetten van de enquête hebben wij onszelf enkele randvoorwaarden opgelegd. Allereerst dient het aantal vragen c.q. stellingen overzichtelijk te zijn. Een kleine deelwaarneming onder enquêtes op internet en navraag bij andere onderzoekers leerde dat een aantal van circa 30 stuks redelijk zou moeten zijn. Verder dient de benodigde invultijd redelijk te blijven. Enerzijds zijn wij van mening dat je van (toekomstige) beroepsgenoten zou moeten mogen verwachten dat ze in zekere mate medewerking verlenen aan wetenschappelijk onderzoek op hun vakgebied. Anderzijds beseffen wij ook dat de potentiële respondenten waarschijnlijk druk zijn en regelmatig verzoeken voor enquêtes zullen krijgen. Navraag onder enkele RE’s leerde dat een invultijd van circa 30 minuten redelijk is. Vervolgens zijn wij van mening dat, teneinde het invullen van de enquête te vereenvoudigen en de responseratio te verhogen, de enquête op een overzichtelijke en goed benaderbare manier aan potentiële respondenten dient te worden aangeboden. Teneinde de enquête overzichtelijk te maken, hebben wij de stellingen en vragen onderverdeeld in een vijftal secties. Dit betreft:
Sectie I – Bekendheid met het Reglement Gedragscode en de totstandkoming ervan In deze sectie vragen wij de respondenten of ze bekend zijn met het Reglement Gedragscode en hoe die kennis is verkregen. Ook vragen wij in deze sectie naar de plaats die ethiek volgens hen in opleidingen en permanente educatie zou moeten innemen.
Sectie II – Draagvlak voor het Reglement Gedragscode Om antwoord te kunnen geven op de vraag of het Reglement Gedragscode in opzet praktisch toepasbaar is, vinden wij het belangrijk om eerst te evalueren of er wel draagvlak voor een dergelijke ethische code is. Als RE’s bijvoorbeeld het nut van een ethische code niet inzien of vinden dat het Reglement Gedragscode niet zorgvuldig tot stand is gekomen, dan zal dat naar onze inschatting de praktische toepassing van het Reglement Gedragscode zeker niet ten goede komen. Dergelijke vragen komen in deze sectie van de enquête aan de orde, voordat inhoudelijk op het Reglement Gedragscode wordt ingegaan.
Sectie III – Opzet van het Reglement Gedragscode Bij het opstellen van de stellingen omtrent de opzet van het Reglement Gedragscode hebben wij nadrukkelijk geput uit het literatuuronderzoek. In deze sectie van de enquête komen dan ook bijvoorbeeld discussies omtrent verschillen tussen NOREA / NIVRA / IFAC, rule-based versus principle-based, onafhankelijkheid en het al dan niet opnemen van voorbeelden aan de orde. Feitelijk peilen wij in deze sectie de mening van RE’s omtrent belangrijke inhoudelijke karakteristieken van het Reglement

29







Gedragscode en belangrijke verschillen met soortgelijke codes van het NIVRA en de IFAC. Deze sectie vormt wat ons betreft dan ook het hart van de enquête. Indien de RE’s belangrijke bedenkingen hebben bij de opzet van het Reglement Gedragscode, dan zal dat de toepasbaarheid van de code niet ten goede komen, en vice versa. Sectie IV – Naleving van het Reglement Gedragscode Na in de voorgaande sectie naar de opzet van het Reglement Gedragscode te hebben gekeken, gaat het in deze sectie over (om in auditterminologie te blijven) het bestaan en de werking ervan. Oftewel: wordt de ethische code ook toegepast? Hierbij beseffen wij ons direct dat dit moeilijk door middel van een enquête is te toetsen. Hiervoor zouden ons inziens bijvoorbeeld dossieronderzoek en inhoudelijke discussies noodzakelijk zijn. Dat valt echter buiten de scope van ons onderzoek. Derhalve beperken wij ons in deze sectie tot het vragen naar bijvoorbeeld de wijze van dossiervorming omtrent ethische evaluaties, het eventuele nut van wettelijke verankering bij de toepassing van de ethische code en de rol van ethiek bij toetsingen en beoordelingen. Sectie V – Achtergrond In deze sectie stellen wij enkele vragen naar de achtergrond van de respondenten. Dit teneinde de antwoorden van bepaalde ‘categorieën’ respondenten beter in perspectief te kunnen plaatsen. Zo vragen wij bijvoorbeeld naar de inschrijvingsduur om te weten of men alleen met het Reglement Gedragscode is opgegroeid, of dat men ook de GBRE nog heeft meegemaakt. Ook kan het bijvoorbeeld zo zijn dat het Reglement Gedragscode door een openbaar IT-auditor heel anders wordt ervaren dan door een IT-auditor in business. Gelet op bijvoorbeeld de stellingen waarin ook naar de situatie bij het NIVRA wordt verwezen, vinden wij het bij sommige stellingen ook interessant om te kunnen evalueren of RE’s die ook registeraccountant zijn andere antwoorden geven dan degenen die geen registeraccountant zijn.

Teneinde de enquête goed benaderbaar aan potentiële respondenten aan te bieden, vinden wij het belangrijk dat zij de enquête in een webbased omgeving kunnen invullen. Hiertoe hebben wij op de website www.thesistools.nl een enquête aangemaakt. Een beperkt onderzoek op internet leerde ons dat deze website in onderzoeksland regelmatig wordt gebruikt en de enquêtes op een overzichtelijke manier aan respondenten aanbiedt. Hierbij hebben wij ook per sectie van de enquête een separaat venster gehanteerd. Teneinde de aandacht van de respondenten niet van de inhoud af te leiden, hebben wij voor de betaalde variant van de enquête zonder reclame gekozen. Op het moment dat wij de enquête zowel inhoudelijk als wat betreft vormgeving in concept gereed hadden, hebben wij een proefsessie onder een vijftal RE’s gehouden. Dit teneinde te peilen of:
de benodigde invultijd acceptabel is;
de enquête overzichtelijk en goed leesbaar is;
de stellingen en vragen duidelijk zijn;
er naar de mening van de respondenten irrelevante vragen of ontbrekende vragen zijn. Naar aanleiding van de uitkomsten van deze verificatieslag hebben wij de enquête nog enigszins gefinetuned. De benodigde invultijd van 20 à 25 minuten werd bestempeld als acceptabel. 4.3 Bepaling populatie en uitzetten enquête Bij de bepaling van de populatie waaronder de enquête uitgezet zou worden, hebben wij degenen waarvoor het Reglement Gedragscode van toepassing is als uitgangspunt gehanteerd. Conform artikel A-100.3 van het Reglement Gedragscode is deze code van toepassing op iedere in het RE-register ingeschreven IT-auditor. Derhalve bestond de 72 populatie in beginsel uit de RE’s die zijn opgenomen in het register van de NOREA . 72

NOREA, RE-gids 2010/2011, paragraaf 7.1 Register van RE’s.

30

Wij hebben er bewust voor gekozen om in beginsel geen specifieke categorieën RE’s uit te sluiten. Immers, het Reglement Gedragscode is van toepassing op alle ingeschreven RE’s en in het verlengde hiervan hebben zij ook allemaal de verplichte permanente educatie inzake het Reglement Gedragscode moeten volgen. Navraag bij de directie van de NOREA in oktober 2010 leerde ons dat op dat moment circa 90% van de RE’s deze verplichte permanente educatie ook daadwerkelijk had gevolgd, waarbij begrijpelijkerwijs aan ons niet inzichtelijk is gemaakt welke RE’s dit betreft. De overige RE’s waren inmiddels aangemaand en dienden op zeer korte termijn alsnog de verplichte permanente educatie te volgen, op straffe van mogelijke tuchtrechtelijke maatregelen. Op grond van het vorenstaande vinden wij het legitiem om er vanuit te gaan dat alle RE’s op de hoogte zouden moeten zijn van het Reglement Gedragscode en derhalve zinvol aan de enquête moeten kunnen deelnemen. Wij hebben overwogen om de enquête ook uit te zetten onder studenten die de ITauditopleiding volgen. Aangezien zij echter wellicht nog onvoldoende theoretische kennis van en praktijkervaring met het Reglement Gedragscode hebben opgedaan, hebben wij besloten om deze groep niet in de populatie op te nemen. Dit omdat anders de enquêteresultaten een vertekend beeld zouden kunnen geven. Gelet op randvoorwaarden van zowel wetenschappelijke aard (zoals statistische uitspraken kunnen doen) als van praktische aard (benodigde verwerkingstijd) hebben wij besloten om uit de populatie een steekproef te trekken teneinde te bepalen welke RE’s wij voor de enquête zouden aanschrijven. Onpraktisch hierbij was dat wij alleen de beschikking hadden over de RE-gids 2010/2011 van de NOREA in hardcopy-vorm, en niet over bijvoorbeeld een bestand met alle RE’s inclusief de e-mailadressen. Navraag bij de NOREA leerde dat zij dergelijke bestanden niet verstrekt, ook niet voor (wetenschappelijk) onderzoek binnen het vakgebied van IT-auditing. Derhalve hebben wij de voor ons onderzoek benodigde gegevens zoals inschrijvingsnummer, naam, e-mailadressen en eventuele bijzondere kenmerken (zoals niet actief, buitenland) in een Excel-document ingevoerd en in het programma Audit Command Language (ACL) ingelezen. Teneinde te waarborgen dat de enquêteresultaten niet door foutieve transformatie van hardcopy naar digitaal formaat zouden worden beïnvloed, hebben wij ten aanzien van de juistheid en volledigheid van de overgenomen data een integrale invoercontrole uitgevoerd. Daarnaast hebben wij met behulp van geprogrammeerde controles in ACL vastgesteld dat het juiste aantal leden was ingevoerd. Er bleken 1.456 RE’s te zijn ingeschreven. Dit aantal komt overeen met het hoogste inschrijvingsnummer (1.673) verminderd met het aantal ontbrekende inschrijvingsnummers (217). Analyse van het bestand met ingeschreven RE’s leerde dat er enkele potentiële complicaties waren die bij het uitzetten van de enquête problemen op zouden kunnen leveren. Om te beginnen bleek er van 50 RE’s geen e-mailadres in de RE-gids te zijn opgenomen. Aangezien wij de enquête via een website aanbieden, en dit gelet op een efficiënte en effectieve verwerking ook graag zo wilden houden, hebben wij besloten deze RE’s van de populatie uit te sluiten. Vervolgens bleek dat er 47 RE’s in het buitenland gevestigd waren. Wij schatten de kans op een hoge non-response onder deze groep relatief groot. Derhalve hebben wij besloten ook deze RE’s van de populatie uit te sluiten. Overigens bleek er onder deze groep in het buitenland gevestigde RE’s ook 1 RE begrepen te zijn die ook in de groep RE’s zonder e-mailadres was opgenomen. Tenslotte bleken er volgens de RE-gids in totaal 1.201 actieve en 255 niet actieve leden te zijn. Wij hebben overwogen om de niet actieve leden van de populatie uit te sluiten. Wij hebben echter besloten om dit niet te doen. Ten eerste omdat op basis van het eerder genoemde artikel A-100.3 van het Reglement Gedragscode de code op iedere ingeschreven RE van toepassing is, dus ook op de niet actieve leden. Ten tweede waren wij van mening dat er gelet op de omvang wel een zwaarwegende reden zou moeten zijn om een dermate grote groep uit te sluiten. Zoals gesteld was een dergelijke reden ons inziens niet aanwezig. Wel hebben wij in de enquête aan de respondenten gevraagd om aan te geven of zij actief of niet actief lid zijn.

31

In onderstaande tabel is een recapitulatie opgenomen van de wijze waarop de populatie van 1.360 RE’s is vastgesteld. Omschrijving Ingeschreven RE’s Zonder mail In buitenland Correctie dubbeltelling Totaal

Aantal 1.456 (50) (47) 1 1.360

Figuur 3. Recapitulatie opbouw populatie RE’s Wij hebben overwogen om deze ‘geschoonde’ populatie van 1.360 RE’s nader onder te verdelen naar categorieën RE’s, te weten openbare IT-auditors, interne IT-auditors, ITauditors in overheidsdienst en IT-auditors in business. Aangezien dergelijke informatie op persoonsniveau niet in de RE-gids is opgenomen, hebben wij hier van afgezien. Overigens was in de RE-gids 2009/2010 nog een tabel met categorie-indeling van RE’s in de beroepspraktijk per 1 juli 2009 opgenomen. Hieruit bleek dat de RE’s vrij evenredig over deze groepen waren verdeeld. Wel hebben wij, zoals uit bijlage 2 bij deze scriptie blijkt, in de enquête een algemene vraag opgenomen naar de hoedanigheid waarin de respondenten hoofdzakelijk werkzaam zijn. Een soortgelijke redenatie geldt voor het onderscheid tussen vrouwen en mannen en lengte van de inschrijvingsduur. Zoals hierboven reeds gesteld, hebben wij vervolgens uit de populatie met 1.360 RE’s een aselecte steekproef getrokken. Bij een dergelijke aselecte steekproef hebben al deze RE’s een even grote kans om in de steekproef terecht te komen. Teneinde dit te waarborgen en eventuele persoonlijke voorkeuren uit te sluiten, hebben wij de steekproef met het programma ACL getrokken. De grootte van de benodigde steekproef wordt bepaald door uitgangspunten zoals de omvang van de populatie, de gewenste betrouwbaarheid, de spreiding en de foutenmarge. 73 Wij hebben de volgende uitgangspunten gehanteerd . Uitgangspunt Geschoonde populatie Betrouwbaarheid Spreiding Foutenmarge

Waarde 1.360 95% 50% 5%

Figuur 4. Uitgangspunten trekking aselecte steekproef De bepaling van de omvang van de (geschoonde) populatie hebben wij hierboven reeds behandeld. De gehanteerde betrouwbaarheid van 95% blijkt bij wetenschappelijke enquêtes gebruikelijk te zijn. Dit betrouwbaarheidspercentage wordt overigens ook in auditland veelal gebruikt bij het plannen van de te verrichten werkzaamheden. Ten aanzien van de spreiding, ook wel nauwkeurigheid genoemd, is het van belang om in te schatten welke uitkomsten uit het onderzoek worden verwacht. Aangezien de diverse vragen en stellingen ons inziens een breed spectrum aan onderwerpen gerelateerd aan het Reglement Gedragscode raken, zijn wij voor het spreidingspercentage uitgegaan van 50%. Dit resulteert ook in een maximale steekproefgrootte. Tenslotte hebben wij als foutenmarge een percentage van 5% gekozen. Ook dit is gangbaar bij enquêtes. Bovenstaande uitgangspunten resulteren in een minimaal aantal benodigde respondenten 73

Hierbij hebben wij ons mede gebaseerd op informatie zoals opgenomen op de volgende websites:

- www.allesovermarktonderzoek.nl - www.consumingknowledge.nl - www.checkmarket.com

32

van 300, teneinde statistisch verantwoorde uitspraken te kunnen doen. Deze berekende steekproefgrootte wil echter niet zeggen dat ook ‘slechts’ 300 RE’s hoeven te worden uitgenodigd om aan de enquête deel te nemen. Een factor die hierin ook nog meespeelt, betreft het responsepercentage. Dit betreft in casu het percentage uitgenodigde RE’s dat ook daadwerkelijk de enquête invult. In de eerder aangehaalde bronnen zijn wij hieromtrent responsepercentages tegengekomen variërend van 10% tot 70%. Wij hebben besloten om in beginsel uit te gaan van een geschat responsepercentage van 50%. Dit is derhalve een relatief hoog responsepercentage. Dit achten wij om enkele redenen verdedigbaar. Ten eerste betreft het een vaktechnisch inhoudelijke enquête die specifiek op een beroepsgroep is gericht. Hierbij mag naar onze inschatting een hoger responsepercentage worden verwacht dan bij bijvoorbeeld een breed uitgezette enquête onder consumenten, waarbij men vooraf niet weet of de potentiële respondenten affiniteit met het onderwerp zouden moeten hebben. Ten tweede hebben wij, zoals hiervoor reeds behandeld, de oorspronkelijke populatie RE’s reeds geschoond. Wij verwachten dat RE’s uit de geschoonde populatie eerder bereid zijn om te reageren dan RE’s uit de totale populatie. Ten derde hebben wij ervoor gekozen om de enquête in een webbased omgeving op te nemen en vervolgens de uitgenodigde RE’s een link naar de betreffende website te sturen. Hierbij hebben wij veel aandacht besteed aan het gebruiksvriendelijk vormgeven van de enquête. Zo hebben wij onder andere gekozen voor een betaalde reclamevrije versie van de enquête. Ten vierde hebben wij er bewust voor gekozen om zoveel mogelijk vragen en stellingen aan de hand van meerkeuze-opties aan de respondenten voor te leggen. Wij schatten in dat respondenten eerder geneigd zijn om meerkeuze-opties in te vullen dan om allemaal open vragen te beantwoorden. Ten vijfde hebben wij, zoals reeds in § 4.2 behandeld, de enquête eerst voorgelegd aan een beperkte selectie van RE’s. Hiermee hebben wij geverifieerd dat de enquête duidelijk en goed in te vullen was. Ten zesde hebben wij het tijdsbeslag op de potentiële respondenten weten te beperken tot circa 20 minuten en hebben dit ook als zodanig vooraf aan hen gecommuniceerd. Wij schatten hierbij in dat een dergelijk tijdsbeslag toch zeker geen hoge drempel moet vormen om aan een vakinhoudelijke enquête deel te nemen. In de praktijk bleek echter dat de response tegenviel. Hierop gaan wij in § 5.2.1 nader in. Op basis van bovenstaande uitgangspunten en overwegingen hebben wij met behulp van ACL een postensteekproef van 600 RE’s getrokken. Hierbij hebben wij de volgende parameters gehanteerd. Omschrijving Wijze van trekken Size Seed

Waarde Random 600 20092011

Population

1.360

Toelichting Aselecte trekking van RE’s. Dit is de gewenste steekproefomvang. Dit is een willekeurig startgetal, opgebouwd uit het beginjaar en eindjaar van onze IT-audit opleiding. Dit is de omvang van de geschoonde populatie.

Figuur 5. Parameters steekproeftrekking in ACL De geselecteerde 600 RE’s hebben wij benaderd om aan de enquête deel te nemen. De uitnodigingsmail hebben wij in bijlage 3 bij deze scriptie opgenomen. 4.4 Selectie deskundigen Zoals reeds vermeld, zijn wij met enkele deskundigen in gesprek gegaan omtrent de in het volgende hoofdstuk te behandelen resultaten van de enquête. De hierbij centraal staande doelstelling betrof het valideren (afstemmen) van de mening van de beroepsgroep omtrent de geformuleerde stellingen ten aanzien van het Reglement Gedragscode. Wij hebben ervoor gekozen om met een tweetal deskundigen afzonderlijk in gesprek te gaan. De keuze voor dit relatief beperkte aantal deskundigen is mede vanuit praktisch oogpunt ingegeven. Verhoudingsgewijs hebben wij reeds veel tijd geïnvesteerd in een

33

kwantitatief en kwalitatief diepgaand theoretisch kader. Tevens staat wat ons betreft in het praktijkonderzoek met name de peiling onder de beroepsgroep van IT-auditors door middel van een enquête centraal. Wij hebben ons bij het selecteren van deskundigen enkele criteria opgelegd. Zo wilden wij interviews houden met hoogleraren van auditopleidingen, teneinde in ieder geval onze enquêteresultaten af te kunnen stemmen met wetenschappers binnen het vakgebied. Ook wilden wij graag, gelet op de uit deze scriptie blijkende parallellen tussen de NOREA en het NIVRA, interviews houden met deskundigen die zowel RE als RA zijn. Wij zijn van mening dat wij met de hierna beknopt te introduceren deskundigen aan deze criteria hebben voldaan. De eerste deskundige betreft prof.dr. J.P.J. Verkruijsse RE RA. Hij is onder andere hoogleraar Accounting Information Systems aan de Tilburg University. Tot aan zijn pensionering in 2010 is hij vele jaren werkzaam geweest als partner bij Ernst & Young. Binnen de NOREA is hij voorzitter van de Raad voor Beroepsethiek. Zoals reeds eerder in deze scriptie behandeld, bewaakt deze Raad de actualiteit van onder andere het Reglement Gedragscode en doet zij zonodig voorstellen voor aanpassing aan de maatschappelijke ontwikkelingen. Ook adviseert de Raad IT-auditors indien zij bij de beroepsuitoefening problemen ondervinden die gerelateerd zijn aan het Reglement Gedragscode. De tweede deskundige betreft prof.dr. R.G.A. Fijneman RE RA. Hij is onder andere hoogleraar (academic director) van de IT-auditing opleiding aan de TiasNimbas Business School. Ook is hij partner bij KPMG IT Advisory. Binnen de NOREA maakt hij onder andere deel uit van de Raad voor Beroepsethiek. Wij hadden het ook interessant gevonden om de enquêteresultaten aan een gezaghebbende persoon binnen het NIVRA voor te leggen. Dit bleek echter gevoelig te liggen. De benaderde deskundige gaf aan vanuit zijn positie binnen het NIVRA geen mening te mogen en willen uiten over de NOREA-code. En dat terwijl wij in een dergelijk interview juist de bespreking van de verschillen tussen de NOREA-code en de NIVRAcode interessant hadden gevonden. Aangezien een dergelijk interview de gewenste diepgang zou missen, hebben wij hier van afgezien. Ter voorbereiding op het gesprek hebben wij de deskundigen de vraagstelling en onderzoeksvragen, de enquête en een samenvatting van de belangrijkste enquêteresultaten toegezonden. 4.5 Samenvatting In dit hoofdstuk heeft de opzet van het praktijkonderzoek centraal gestaan. Dit praktijkonderzoek is belangrijk om antwoord te kunnen geven op de tweede onderzoeksvraag (wordt het doel van het Reglement Gedragscode bereikt?) en de derde onderzoeksvraag (is het Reglement Gedragscode toekomstvast?). Het ons inziens belangrijkste onderdeel van het praktijkonderzoek betreft de enquête onder RE’s. Wij hebben in dit hoofdstuk allereerst beschreven hoe wij de enquête hebben opgezet. Zo hebben wij bijvoorbeeld de enquête opgedeeld in vijf secties, waarbij het op hoofdlijnen gaat over de bekendheid met het Reglement Gedragscode, het draagvlak voor de code, de opzet van de code, de naleving van de code en de achtergrond van de respondenten. Binnen deze secties hebben wij een aantal stellingen c.q. vragen geformuleerd. Teneinde de enquête goed benaderbaar te maken, hebben wij de enquête in een webbased-omgeving aan de respondenten ter beschikking gesteld. Alvorens de enquête uit te zetten, hebben wij een proefsessie gehouden onder een select aantal RE’s. De opmerkingen waren overwegend positief en de gewenste aanscherpingen hebben wij doorgevoerd.

34

Vervolgens hebben wij de enquête uitgezet. Hiertoe hebben wij allereerst de populatie RE’s bepaald die voor deelname in aanmerking kwamen. De hierin gemaakte keuzes hebben wij in dit hoofdstuk nader beargumenteerd. De geschoonde populatie bestond uit 1.360 RE’s. Om op basis van de enquête statistisch verantwoorde uitspraken te kunnen doen, bleek een response van minimaal 300 RE’s nodig te zijn. Uitgaande van 50% response hebben wij 600 RE’s per mail uitgenodigd om aan de enquête deel te nemen. Deze RE’s hebben wij random geselecteerd met het programma ACL. Tenslotte hebben wij in dit hoofdstuk ook reeds beschreven dat wij naar aanleiding van de enquêteresultaten met een tweetal deskundigen in gesprek gaan. Dit teneinde de mening van de beroepsgroep omtrent de geformuleerde stellingen ten aanzien van het Reglement Gedragscode te valideren. De deskundigen betreffen twee hoogleraren op het vakgebied van auditing. De twee deskundigen maken als voorzitter respectievelijk lid deel uit van de Raad voor Beroepsethiek van de NOREA.

35

5. Resultaten van het praktijkonderzoek 5.1 Inleiding In dit hoofdstuk geven wij de resultaten van de enquête en interviews met deskundigen weer. Aangezien wij in hoofdstuk 6 een inhoudelijke beschouwing geven, sluiten wij dit hoofdstuk 5 niet af met een samenvatting. Wij beseffen dat aan de hand van 30 enquêtevragen en 110 respondenten een veelheid aan analyses mogelijk is, zowel per individuele vraag als in onderlinge relatie tot elkaar. Uiteraard geven wij de ons inziens belangrijkste resultaten en analyses weer. Degenen die eventueel geïnteresseerd zijn in nog meer analyses op de enquêteresultaten verwijzen wij naar bijlage 5 waar wij de cijfermatige resultaten van de enquête hebben weergegeven. 5.2 Resultaten van de enquête

5.2.1 Response op de enquête Zoals in § 4.3 beschreven, hebben wij de enquête onder 600 RE’s uitgezet, in de verwachting dat hierop de voor een statistische analyse benodigde response van 300 ingevulde enquêtes zou komen. Bij het mailen van de beoogde respondenten bleek dat 14 RE’s ten gevolge van een foutief of verouderd mailadres niet konden worden bereikt. Derhalve hebben wij per saldo 586 RE’s via mail kunnen bereiken. Hierbij hebben wij circa twee weken na de eerste uitnodiging nog een herinneringsmail gestuurd. De enquête is ruim zes weken voor respondenten benaderbaar geweest. Uiteindelijk bleken er 110 respondenten de enquête te hebben ingevuld, resulterend in een response van 18,8%. Er zijn ons inziens enkele mogelijke oorzaken voor deze teleurstellende response. Een eerste aanknopingspunt in deze analyse betreft de ontvangen e-mails op ons verzoek om aan te geven waarom uitgenodigde EDP-auditors eventueel geen medewerking aan de enquête willen verlenen. Helaas hebben niet veel non-respondenten hun achterliggende reden aangegeven. In totaal hebben 34 non-respondenten (7,1% van de nonrespondenten) wel per e-mail gereageerd. Hierbij bleek in 11 gevallen dat de desbetreffende EDP-auditors geen tijd hadden om de enquête in te vullen. In 10 gevallen gaven de EDP-auditors in al dan niet professionele taal aan dat ze niet aan een dergelijke enquête wilden meewerken. Wat ons betreft inhoudelijk interessanter waren de 13 e-mails waarin werd aangegeven dat de desbetreffende EDP-auditors geen affiniteit met het Reglement Gedragscode hadden, met name omdat ze niet actief als EDP-auditor werkzaam waren. Als wij naar het Reglement Gedragscode kijken, zou dit eigenlijk geen reden mogen zijn. Immers, in artikel A-100.3 wordt gesteld dat het Reglement Gedragscode op alle ingeschreven RE’s van toepassing is. Hierbij wordt geen onderscheid gemaakt tussen actieve en niet actieve leden. In het verlengde hiervan hebben wij voorafgaand aan het uitzetten van de enquête van de directie van de NOREA begrepen dat kort daaraan voorafgaand circa 10% van de leden de verplichte permanente educatie inzake het Reglement Gedragscode nog niet hadden gevolgd. Wij kunnen ons voorstellen dat deze personen ook geen behoefte hadden om onze enquête in te vullen. Een tweede mogelijke reden voor de relatief lage response zou kunnen zijn dat de enquête wellicht als te lang wordt ervaren. Zo zal later in deze paragraaf nog blijken dat enkele respondenten gedurende het invullen van de enquête zijn afgehaakt. Uit de proefsessie van de conceptenquête bleek echter dat de vraagstelling en de lengte van de enquête acceptabel waren. Een derde reden kan wat ons betreft worden gevonden in het feit dat de beroepsorganisatie NOREA naar onze mening ten aanzien van de enquête niet meewerkend is geweest. In de beginfase van ons onderzoek hebben wij een oriënterende

36

bespreking gevoerd met twee commissieleden van de NOREA die betrokken zijn bij de totstandkoming en het onderhoud van het Reglement Gedragscode. Deze personen waren enthousiast omtrent het onderzoek dat wij ten aanzien van het Reglement Gedragscode wilden uitvoeren. Wij zouden, zodra wij aan het praktijkonderzoek zouden beginnen, in overleg treden met de directie van de NOREA teneinde te kijken in hoeverre ten aanzien van de enquête met de NOREA kon worden opgetrokken. Dit overleg hebben wij ook gevoerd. Echter is toen vanuit de NOREA aangegeven dat een dergelijke enquête op dit moment voor haar te vroeg kwam. Derhalve hebben wij de enquête op eigen titel opgesteld en uitgezet. Wel bestond de mogelijkheid om de RE’s via de website van de NOREA uit te nodigen om de enquête in te vullen. Aangezien wij echter door middel van een steekproef een selectie RE’s wilden benaderen en hen daarbij de mogelijkheid wilden geven om via mail een eventuele reden voor non-response aan te geven, hebben wij besloten om zelf aan de hand van de RE-gids 2010/2011 RE’s via mail te benaderen. Tevens wilden wij waarborgen dat alleen ingeschreven en door ons geselecteerde RE’s werden uitgenodigd tot het invullen van de enquête. Toen wij de in bijlage 3 opgenomen mail hadden verstuurd, bleek echter dat er onder enkele leden verwarring was ontstaan omtrent de hoek waar de enquête vandaan kwam. Hierop heeft de NOREA besloten om het in bijlage 4 opgenomen bericht op haar website te plaatsen. De NOREA heeft echter na contact onzerzijds toegegeven dat deze leden waarschijnlijk de uitnodigingsmail voor de enquête niet goed hebben gelezen. Ons verzoek om het bericht enigszins te herzien heeft niet in de gewenste actie geresulteerd. Naar onze inschatting heeft dit zeker niet responseverhogend gewerkt, eerder responseverlagend. Kortom, de response is wat ons betreft teleurstellend en naar onze inschatting zijn externe factoren daar zeker debet aan geweest. Een nadere beschouwing van de ingevulde enquêtes leert dat een aantal respondenten wel is begonnen met het invullen van de enquête, maar hierbij niet tot en met vraag 30 is doorgegaan. In onderstaande tabel hebben we per vraag aangegeven hoeveel respondenten de desbetreffende vraag hebben beantwoord. Uit de gedetailleerde cijfermatige enquêteresultaten zoals opgenomen in bijlage 5 bij deze scriptie blijkt dat de respondenten die gaandeweg de enquête zijn afgehaakt, respondenten zijn die de enquête ook relatief laat hebben ingevuld. Mogelijk betreft het hier respondenten die al weinig interesse in de enquête hadden en daardoor ook eerder geneigd zijn de enquête niet geheel in te vullen. Sectie 1 Bekendheid Vraag 1 110 Vraag 2 110 Vraag 3 110

Sectie 2 Draagvlak Vraag 4 108 Vraag 5 108 Vraag 6 108 Vraag 7 108 Vraag 8 108

Sectie 3 Opzet Vraag 9 103 Vraag 10 103 Vraag 11 103 Vraag 12 103 Vraag 13 103 Vraag 14 103 Vraag 15 103 Vraag 16 103 Vraag 17 103 Vraag 18 103 Vraag 19 103 Vraag 20 103

Sectie 4 Naleving Vraag 21 102 Vraag 22 102 Vraag 23 102 Vraag 24 102 Vraag 25 102

Sectie 5 Achtergrond Vraag 26 101 Vraag 27 101 Vraag 28 101 Vraag 29 101 Vraag 30 101

Figuur 6. Aantal respondenten per vraag Ondanks het feit dat de response kwantitatief aan de lage kant is en stellige statistisch onderbouwde uitspraken niet mogelijk zijn, zijn wij van mening dat gelet op de ruim honderd respondenten in ieder geval wel trends uit de enquête kunnen worden afgeleid.

37

5.2.2 Inhoudelijke resultaten enquête Na de beschouwing op het responsepercentage gaan we in deze paragraaf nader in op de inhoudelijke resultaten van de enquête. Hierbij hebben wij in beginsel mede gebruik 74 gemaakt van het analyseprogramma SPSS . Aangezien er echter te weinig respondenten de enquête hebben ingevuld, hebben wij een diepgaande statistische analyse achterwege gelaten. In deze paragraaf zullen wij ons beperken tot de inhoudelijke resultaten. In hoofdstuk 6 zullen wij in een nadere beschouwing onze mening omtrent deze resultaten geven. Resultaten per vraag Bij de ‘resultaten per vraag’ geven we eerst per (gedeelte van) een sectie door middel van kolomdiagrammen de gekozen antwoorden op de vragen weer. Dit geeft reeds een eerste indruk omtrent de spreiding van de antwoorden. Vervolgens geven wij een tekstuele weergave hiervan. Sectie I In sectie I van de enquête hebben wij navraag gedaan naar de bekendheid met het Reglement Gedragscode en de totstandkoming ervan.

100%

0,9%

4,5%

1,8%

5,5% 29,1%

80%

27,3% d

60% c

99,1%

b

40% 62,7%

69,1% a

20%

0% Vraag 1

Vraag 2

Vraag 3

Figuur 7. Procentuele verdeling antwoorden vragen 1 t/m 3 Bijna alle (99,1%) respondenten hebben bij vraag 1 aangegeven dat zij bekend zijn met het Reglement Gedragscode. Ten aanzien van de respondent die aangeeft niet met de code bekend te zijn, valt het op dat deze respondent bij de overige vragen die hij heeft beantwoord wel laat blijken het belang van ethiek en een ethische code in te zien. Gelet op de vraagstelling is het de vraag in hoeverre de hoge positieve score bij vraag 1 moet worden opgevat als ‘ik heb er weleens van gehoord’ of bijvoorbeeld meer als ‘ik ken de code goed, mede door ermee te werken’. Nader inzicht hierin wordt verkregen door de beantwoording van de tweede vraag. Hierbij geeft het grootste gedeelte (62,7%) van de respondenten aan het Reglement Gedragscode (alleen) van de verplichte PE-cursus te kennen. Echter dient deze basiskennis, zoals ook uit het literatuuronderzoek blijkt, in de praktijk door middel van bijvoorbeeld discussies, bijscholing en praktische toepassing van de code verder te worden uitgewerkt teneinde een effectieve toepassing van de code te bereiken. Alleen het kennis nemen van opgestelde ethische regels is onvoldoende. Uit de beantwoording van vraag 2 komt tevens naar voren dat ruim een kwart (27,3%) van de respondenten de basiskennis aanvult met discussiebijeenkomsten en eventuele relevante vakliteratuur. Enkele respondenten (5,5%) geven aan al een stapje verder te gaan en elke 74

Statistical Package for the Social Sciences.

38

opdracht die zij uitvoeren expliciet te evalueren aan de hand van de code. Dit is nog slechts een gering aantal. Tenslotte valt het bij de beantwoording van vraag 2 nog op dat enkele respondenten (4,5%) aangeven nog geen kennis van het Reglement Gedragscode te hebben opgedaan. In de context van de bekendheid met het Reglement Gedragscode hebben wij in vraag 3 ook navraag gedaan naar de plaats die ethiek volgens de respondenten in auditopleidingen en permanente educatie zou moeten innemen. In het verlengde van bovenstaande opmerkingen onderkent een ruime meerderheid (69,1%) van de respondenten dat je ethiek niet leert van een code op papier, maar met name door erover te discussiëren. Sectie II In sectie II van de enquête hebben we onderzoek gedaan naar het draagvlak voor het Reglement Gedragscode. Immers, als er geen draagvlak is dan zal de code naar onze inschatting ook geen effect hebben. 100% 19,4% 29,6% 80% 54,6% 65,7%

30,6% 60%

c

95,4%

b

40% 70,4%

a 50,0%

45,4%

20%

34,3%

4,6%

0% Vraag 4

Vraag 5

Vraag 6

Vraag 7

Vraag 8

Figuur 8. Procentuele verdeling antwoorden vragen 4 t/m 8 Zoals bijvoorbeeld uit het in het literatuuronderzoek aangehaalde onderzoek van Kaptein en Wempe blijkt, dient het proces van opstellen en implementeren niet te lichtvaardig te worden opgevat. In deze context hebben we in vraag 4 de mening van de respondenten gepeild omtrent de weg die de NOREA hierbij heeft bewandeld. Een ruime meerderheid van 70,4% van de respondenten is van mening dat de NOREA hierbij zorgvuldig te werk is gegaan. Echter vindt toch nog 29,6% van de respondenten dat de gekozen handelwijze de zorgvuldigheid niet ten goede is gekomen. Kijkend naar de maatschappelijke functie van het (IT-)auditvakgebied hebben wij in vraag 5 ook navraag gedaan naar de volgens de respondenten benodigde interactie met het maatschappelijk verkeer. Hierbij blijkt dat de helft (50,0%) van de respondenten van mening is dat er een periodieke evaluatie dient plaats te vinden met een werkgroep met daarin partijen uit het maatschappelijk verkeer. Dit ondanks hetgeen in artikel A-100.1 wordt gesteld. 30,6% van de respondenten steunt op de afstemming op IFAC-niveau en 19,4% vindt de code dermate universeel dat een nadere afstemming met het maatschappelijk verkeer niet nodig is. In de context van bijvoorbeeld de discussies die in de jaren ’30 van de vorige eeuw rondom de vertrouwensleer van Limperg hebben gespeeld, zijn de antwoorden op vraag 6 interessant. Hierbij hebben we gepeild of de respondenten in een technisch vakgebied als (IT-)auditing wel of geen prominente rol zien weggelegd voor ethiek. Een zeer ruime meerderheid (95,4%) van de respondenten vindt het logisch dat auditing is gestoeld op ethische beginselen en dat in het verlengde hiervan een ethische gedragscode een belangrijke plaats inneemt. Dit vergroot ook ons vertrouwen dat deze scriptie zeker van toegevoegde waarde voor het vakgebied van IT-auditing kan zijn. In het verlengde van deze vraag hebben we in vraag 7 ook gevraagd in hoeverre de

39

respondenten nut zien in een ethische code. 65,7% van de respondenten heeft aangegeven het handig te vinden bij zakelijke ethische vraagstukken terug te kunnen grijpen op een code. Toch vindt de resterende 34,3% dat ethiek in je moet zitten en dat een ethische code geen toegevoegde waarde heeft en het ethisch handelen niet of nauwelijks zal beïnvloeden. Tenslotte hebben we in vraag 8 gevraagd of de respondenten in de praktijk weleens tegen een bedreiging van een fundamenteel beginsel zijn aangelopen die van niet te verwaarlozen betekenis was. Dit bleek bij 45,4% wel het geval te zijn, bij 54,6% niet. Of dit terecht is, kunnen wij aan de hand van de enquête uiteraard niet beantwoorden. Mogelijk zijn aanwezige bedreigingen niet adequaat geïdentificeerd en is er daarmee ook niet adequaat op gereageerd. Dit zal echter alleen uit bijvoorbeeld dossierreviews kunnen blijken. Sectie III In sectie III van de enquête hebben we relatief uitgebreid stilgestaan bij de opzet van het Reglement Gedragscode. Gelet op de vraagstelling van deze scriptie waarin centraal staat of het Reglement Gedragscode in opzet praktisch toepasbaar is, is deze sectie van onze enquête belangrijk. 100% 9,7% 22,4% 80%

43,7%

38,8%

5,8% 60%

16,5% 84,5%

85,4% 96,1%

79,6%

d c

40%

b 55,3%

56,3%

61,2% a

20%

10,7%

0% Vraag 9

Vraag 10

Vraag 11

Vraag 12

15,5%

14,6% 3,9% Vraag 13

Vraag 14

Vraag 15

Figuur 9. Procentuele verdeling antwoorden vragen 9 t/m 15 In de eerste paar vragen van deze sectie stond de vergelijking van het Reglement Gedragscode van de NOREA met de gerelateerde codes van het NIVRA en de IFAC centraal. Voor een nadere onderbouwing van deze vergelijking verwijzen wij naar het uitgevoerde literatuuronderzoek. Om te beginnen hebben we in vraag 9 van de enquête gevraagd of de respondenten vonden dat de codes van de NOREA en het NIVRA gelijk zouden moeten zijn. Dit zou vanuit de gedachte van (inter-)nationale convergentie en het principle-based karakter van de codes de verwachting kunnen zijn. Een (krappe) meerderheid van 55,3% van de respondenten vindt dat de codes van de NOREA en het NIVRA gelijk zouden moeten zijn. De overige respondenten zijn echter van mening dat er best verschillen mogen zijn. Dit in verband met verschillende werkterreinen en/of verschillen in het soort lidmaatschap van de NOREA en het NIVRA bij de IFAC. We waren ook erg benieuwd of RE’s zitten te wachten op een nadere opsplitsing van de code naar werkterreinen (openbaar, intern, overheid, in business), zoals bij de Verordening gedragscode van het NIVRA en de IFAC-code is aangebracht. 56,3% van de respondenten zou graag een nadere toespitsing op werkterrein zien, 43,7% vindt één generieke code toereikend. In het verlengde hiervan hebben we in vraag 11 gevraagd wat RE’s vonden van de relatie tussen de categorie-indeling in de ethische code en zaken als contributie en permanente educatie. 61,2% van de respondenten vond een dergelijke relatie wel handig. 38,8% van de respondenten vond dit teveel afleiden van de inhoud en strekking van het Reglement Gedragscode. Ook hierin zien we terugkomen dat een meerderheid van de respondenten voordelen ziet van een indeling van de code naar categorieën auditors.

40

Na deze vergelijking met het NIVRA en de IFAC hebben we in vraag 12 van de enquête ook een vergelijking van het huidige Reglement Gedragscode met haar voorganger de GBRE aan de RE’s voorgelegd. Hierbij zijn wij er op voorhand vanuit gegaan dat een beroepsorganisatie er bij vervanging van een code toch in ieder geval naar streeft dat haar leden met de nieuwe code beter uit de voeten kunnen dan met de oude code. 79,6% van de respondenten geeft de voorkeur aan de nieuwe code. 10,7% geeft de voorkeur aan de oude GBRE. De resterende 9,7% heeft zich niet uitgesproken omdat zij pas na inwerking treding van het Reglement Gedragscode als RE zijn ingeschreven. Een discussie die in auditland dikwijls de kop opsteekt is die tussen rule-based en principle-based, zo bleek ook uit het literatuuronderzoek. Hieraan hebben we in de enquête drie vragen gewijd, namelijk de vragen 13 tot en met 15. Bij alle drie de vragen was sprake van een duidelijke trend. 85,4% van de respondenten gaf bij vraag 13 aan dat het huidige Reglement Gedragscode een principle-based karakter heeft. De resterende 14,6% bestempelde het Reglement Gedragscode als rule-based. In deze context vinden wij het wel opvallend dat bij vraag 14 96,1% van de respondenten aangaf voorkeur te hebben voor een principle-based code. Als we deze antwoorden met elkaar vergelijken, kunnen we voorzichtig concluderen dat enkele respondenten graag een principle-based code zien, maar dat zij het huidige Reglement Gedragscode nog als rule-based bestempelen. Opvallend is ook dat nagenoeg dezelfde verhoudingen respondenten als bij de eerste vraag (vraag 13) bij vraag 15 hebben aangegeven dat een rule-based code uitnodigt tot het opzoeken van de grenzen (84,5%) respectievelijk dat een rule-based code juist helderheid schept (15,5%).

100% 9,7%

17,5%

21,4% 35,0%

80%

49,5% 60%

45,6%

d

12,6%

c

8,7%

20%

90,3%

82,5%

40%

b a

50,5%

43,7% 33,0%

0% Vraag 16

Vraag 17

Vraag 18

Vraag 19

Vraag 20

Figuur 10. Procentuele verdeling antwoorden vragen 16 t/m 20 Één van de wat ons betreft meest opvallende inhoudelijke verschillen van het Reglement Gedragscode van de NOREA ten opzichte van de codes van het NIVRA en de IFAC heeft betrekking op de specifieke aandacht voor onafhankelijkheid. Dit wordt in de NOREA-code namelijk niet expliciet behandeld. De meningen hieromtrent vertonen een relatief grote spreiding, zo blijkt uit de beantwoording van vraag 16. 33,0% van de respondenten vindt de impliciete behandeling in het fundamentele beginsel objectiviteit te summier, 45,6% vindt dit toereikend en 21,4% vindt het verschil in aandacht voor onafhankelijkheid gelet op de werkterreinen van de verschillende beroepsorganisaties logisch. Inzake de beperking van de code tot het professioneel en zakelijk handelen (vraag 17) liggen de verhoudingen tussen voor- (43,7%) en tegenstanders (56,3%) van deze beperking niet ver uit elkaar. Hoewel een dergelijke afbakening van de code tot het professioneel en zakelijk handelen verdedigbaar is, laat de meerderheid van de respondenten in hun antwoorden al blijken in te zien dat een IT-auditor zich ook in privésituaties ethisch dient te gedragen. Een ander verschil tussen de code van de NOREA enerzijds en de codes van het NIVRA

41

en de IFAC anderzijds betreft het al dan niet opnemen van voorbeelden. De code van de NOREA bevat vrijwel geen voorbeelden. Een ruime meerderheid van 82,5% van de respondenten geeft bij vraag 18 aan het opnemen van voorbeelden echter wel als iets positiefs te ervaren. Dit zou hen kunnen helpen bij het interpreteren van de fundamentele beginselen. Omtrent het eventuele nut van vetgedrukte passages in de code is het aantal voor- en tegenstanders bijna aan elkaar gelijk, zo blijkt uit de beantwoording van vraag 19. Ten aanzien van de opzet van het Reglement Gedragscode hebben we bij vraag 20 tenslotte gevraagd of deze code alle van belang zijnde fundamentele beginselen bevat. Hierbij gaf 90,3% van de respondenten aan dat zij in dit opzicht de opzet van de code toereikend vonden. De 9,7% van de respondenten die de code onvolledig vonden, gaven hierbij met name aan dat het aspect onafhankelijkheid ontbreekt. Ook werd er bijvoorbeeld op gewezen dat er ook aandacht moet zijn voor het vermijden van de schijn dat er onethisch wordt gehandeld. Sectie IV Na bovenstaande uitgebreide bevraging ten aanzien van de opzet van het Reglement Gedragscode, hebben wij ook in beperkte mate gevraagd naar de naleving ervan. Dit uiteraard voor zover dit door middel van een enquête is te peilen. 100% 21,6% 80%

60%

32,3%

32,4%

35,3%

72,6%

5,9%

c b

40%

78,4% 61,8%

67,6%

53,9% a

20%

19,6% 10,8%

7,8%

Vraag 24

Vraag 25

0% Vraag 21

Vraag 22

Vraag 23

Figuur 11. Procentuele verdeling antwoorden vragen 21 t/m 25 61,8% van de respondenten gaf bij vraag 21 volmondig aan het Reglement Gedragscode bij haar dagelijkse werkzaamheden toe te passen. Uit de gegeven toelichtingen komt het beeld naar voren dat dit soms expliciet en soms impliciet gebeurt. Bij 32,3% van de respondenten hangt het er vanaf of het Reglement Gedragscode wordt toegepast. Uit de gegeven toelichtingen komt naar voren dat dit vooral samenhangt met de aard van de werkzaamheden die worden verricht. De resterende 5,9% van de respondenten gaf aan het Reglement Gedragscode niet bij haar dagelijkse werkzaamheden toe te passen. Uit de gegeven toelichtingen bleek dat dit steeds ging om RE’s die niet actief als IT-auditor werkzaam zijn. Vanuit het literatuuronderzoek hadden wij het ontbreken van een wettelijke verankering bij register IT-auditors als potentieel obstakel voor de praktische toepassing geïdentificeerd. Dit in tegenstelling tot de situatie bij registeraccountants. Deze ‘angst’ lijkt niet door de enquêteresultaten te worden ondersteund, zo blijkt uit de beantwoording van vraag 22. Immers geeft 67,6% van de respondenten aan dat zij het ontbreken van een wettelijke verankering niet als een gemis ervaren. Ook het besteden van meer aandacht aan ethiek bij toetsingen en beoordelingen zou de meerderheid van de respondenten niet extra motiveren tot ethisch gedrag. 78,4% van de respondenten geeft bij vraag 23 aan dat je gewoon ethisch moet zijn en dat beoordelingen vooral op technische kennis en kunde moeten zijn gericht.

42

Een volgend aspect waar wij in vraag 24 naar hebben gevraagd betreft de dossiervorming. 10,8% van de respondenten geeft aan dat zij dossiervorming omtrent ethische evaluaties niet nodig vinden. Echter zijn de meningen nogal verdeeld over de vraag of uit elk dossier expliciet moet blijken dat er een evaluatie heeft plaatsgevonden (35,3%) of dat een dergelijke dossiervorming alleen bij mogelijke bedreigingen van fundamentele beginselen nodig is (53,9%). Als laatste inhoudelijke vraag (vraag 25) hebben we gevraagd naar de algemene indruk van de respondenten omtrent het Reglement Gedragscode. 72,6% van de respondenten geeft aan dat het Reglement Gedragscode zowel adequaat is opgezet als praktisch goed toepasbaar is. 19,6% kan zich wel vinden in de opzet maar heeft nog problemen met de praktische toepassing. 7,8% vindt de opzet niet adequaat. Sectie V Tenslotte hebben we in sectie V van de enquête nog een vijftal vragen gesteld naar de achtergrond van de respondenten. De antwoorden op deze vragen zullen we hierna ook meenemen bij de behandeling van de eventuele correlatie tussen een aantal vragen. 100% 16,8% 27,7% 80%

31,7%

39,6% 67,3%

d

21,8%

60%

c 77,2% 40%

41,6% 31,7%

b

68,3% 3,0%

a

20% 29,7% 18,8%

18,8%

Vraag 26

Vraag 27

6,0%

0% Vraag 28

Vraag 29

Vraag 30

Figuur 12. Procentuele verdeling antwoorden vragen 26 t/m 30 Het valt bij de beantwoording van vraag 26 op dat de respondenten met name als ITauditor zijn ingeschreven in de periode dat de GBRE nog van kracht was (81,2%). 19 respondenten (18,8%) hebben aangegeven na 14 juli 2006 als IT-auditor te zijn ingeschreven. Aangezien wij geen inzicht hebben in de inschrijfdatum van de uitgenodigde IT-auditors, kunnen wij hier geen stellige conclusies aan verbinden. Het is goed mogelijk dat het overgrote gedeelte van de IT-auditors langer dan ruim vier jaar geleden is ingeschreven. Immers bestond de NOREA ten tijde van de enquête ruim 18 jaar. Ten aanzien van de categorie-indeling zijn de meeste categorieën respondenten relatief evenwichtig verdeeld, zo blijkt uit de beantwoording van vraag 27. Alleen de openbare ITauditors zijn met 18,8% wat onderbedeeld. Wij maken hierbij de kanttekening dat wij geen inzicht hebben in de categorie-indeling van de uitgenodigde IT-auditors. Verder blijkt bij vraag 29 dat het fenomeen ‘gedragscode’ voor de meerderheid van de respondenten niet iets nieuws is. 68,3% geeft namelijk aan in hun werk ook aan andere gedragscodes gebonden te zijn. Gedeeltelijk betreffen dit bijvoorbeeld RA’s en AA’s (totaal 32,7% van de respondenten behoort hiertoe (vraag 28)). Daarnaast hebben diverse RE’s aangegeven te maken te hebben met bijvoorbeeld wettelijk vastgelegde gedragsregels. Tenslotte blijkt bij vraag 30 dat de enquête met name is ingevuld door actieve leden (83,2%). Dit ligt in lijn met het percentage actieve leden in het totale ledenbestand, zijnde 82,5%. Het ligt ook in lijn met de verhouding actieve en niet actieve leden in de steekproef, namelijk 81,8% actief en 18,2% niet actief. Daarnaast hebben wij reeds gemeld dat diverse niet actieve RE’s hebben aangegeven van mening te zijn dat het Reglement Gedragscode voor hen niet van toepassing is. Zoals reeds gesteld blijkt uit het Reglement Gedragscode echter dat de code voor alle ingeschreven RE’s van toepassing is. Hoewel wij ons kunnen voorstellen dat de impact voor niet actieve leden geringer zal zijn dan voor actieve leden.

43

Correlaties tussen de vragen Zoals reeds eerder gesteld, verwachten wij op voorhand een aantal verbanden aan te treffen tussen de antwoorden op afzonderlijke vragen. Onderstaand zullen wij van een aantal ons inziens interessante mogelijke verbanden analyseren of een dergelijke correlatie inderdaad aanwezig is. Mede gelet op het relatief geringe aantal respondenten, zullen wij deze analyse beknopt houden. Kennis van bestaan en inhoud van het Reglement Gedragscode Zoals hierboven reeds vermeld, hebben bijna alle respondenten bij vraag 1 aangegeven bekend te zijn met het Reglement Gedragscode. Uit dien hoofde zou bij vraag 2 niet worden verwacht dat er respondenten zijn die antwoord 2d invullen, hetgeen inhoudt dat zij geen kennis hebben opgedaan over het Reglement Gedragscode. Hierbij gaan wij er vanuit dat degenen die bekend zijn met (het bestaan van) het Reglement Gedragscode, ook wel enige inhoudelijke kennis van deze code hebben. Echter hebben er toch vijf respondenten aangegeven geen kennis van het Reglement Gedragscode te hebben, waaronder de enige respondent die had aangegeven niet bekend te zijn met het Reglement Gedragscode. Het valt op dat de overige vier respondenten wel de hele enquête hebben ingevuld. Zij hebben zelfs bij vraag 20 allemaal geantwoord dat het Reglement Gedragscode alle relevante facetten van ethische beroepsuitoefening raakt. Mogelijk hebben deze respondenten de verplichte PE-cursus omtrent het Reglement Gedragscode nog niet gevolgd en hebben zij nu bij het invullen van de enquête het Reglement Gedragscode alsnog doorgenomen teneinde toch de enquête in te kunnen vullen. Implementatieproces en opzet/toepasbaarheid van de code Een ons inziens interessante vraag is ook of degenen die niet tevreden zijn met het proces van opstellen en implementeren van het Reglement Gedragscode door de NOREA (vraag 4) ook van mening zijn dat de code in opzet en/of toepasbaarheid te wensen overlaat (vraag 25). Van de 8 respondenten die in totaliteit van mening zijn dat de code in opzet niet adequaat is, hebben er 5 bedenkingen bij het proces dat de NOREA heeft doorlopen. Van de 20 respondenten die de opzet wel adequaat vinden maar de praktische toepasbaarheid niet, uiten er 14 ook bedenkingen tegen het doorlopen proces om de code op te stellen en te implementeren. Er lijkt derhalve enig verband te bestaan tussen enerzijds de bedenkingen ten aanzien van de opzet en/of praktische toepasbaarheid van het Reglement Gedragscode en anderzijds het proces van opstellen en implementeren ervan. Dit toont wat ons betreft nog maar eens aan dat zorgvuldigheid hierbij geboden is. Anderzijds zijn er ook 12 respondenten die, ondanks hun bedenkingen tegen het bij het opstellen en implementeren van de code doorlopen proces, toch van mening zijn dat de code adequaat is opgezet en praktisch goed toepasbaar is. Verschillen tussen codes NOREA en NIVRA/IFAC Gelet op de historisch nauwe relatie tussen de NOREA en het NIVRA c.q. de IFAC, hebben wij ook ten aanzien van hiermee samenhangende vragen enkele correlatieanalyses uitgevoerd. Wij verwachten dat indien respondenten van mening zijn dat de codes van deze beroepsorganisaties aan elkaar gelijk zouden moeten zijn (vraag 9), zij ook vinden dat in de NOREA-code in ieder geval het onderwerp onafhankelijkheid nader moet worden uitgewerkt (vraag 16). Echter vinden slechts 20 van de 57 respondenten die pleiten voor gelijke codes dat onafhankelijkheid in het Reglement Gedragscode van de NOREA expliciet dient te worden uitgewerkt. In lijn met bovenstaande verwachten wij op voorhand ook dat voorstanders van gelijke codes vinden dat de NOREA-code afzonderlijke onderdelen dient te bevatten die zijn toegespitst op de hoedanigheid waarin een auditor optreedt (vraag 10). Dit in lijn met de codes van het NIVRA en de IFAC. Hier bleek er wel enig onderscheid tussen voor- (36) en tegenstanders (21) van afzonderlijke onderdelen te zijn. Een derde mogelijke relatie in deze context is die waarbij voorstanders van gelijke codes

44

graag zouden zien dat de NOREA-code net zoals haar equivalenten van het NIVRA en de IFAC voorbeelden bevat (vraag 18). Hierbij bleken 47 van de 57 voorstanders van gelijke codes inderdaad voor het opnemen van voorbeelden te zijn. Echter dient wel vermeld te worden dat ook 38 van de 46 tegenstanders van gelijke codes voor het opnemen van voorbeelden zijn. Je zou dus ook kunnen stellen dat de voorkeur voor het opnemen van voorbeelden niet samenhangt met de voorkeur voor gelijke codes. Kortom, hoewel ruim de helft van de respondenten pleit voor gelijke codes, zijn er toch diverse terreinen waarop die gelijkheid van hen eigenlijk niet zo hoeft. Tenslotte hebben we nog geanalyseerd of het in deze context wellicht uitmaakt of iemand RA of AA is (vraag 28). Hierbij blijken 24 van de 33 respondenten die hebben aangegeven RA of AA te zijn, graag gelijke gedragscodes te hebben. Hiermee blijkt dat respondenten die RA of AA zijn in ieder geval meer voorkeur hebben voor gelijke codes dan respondenten die geen RA of AA zijn. Volledigheid van het Reglement Gedragscode Wij zouden verwachten dat respondenten die van mening zijn dat onafhankelijkheid in het Reglement Gedragscode onderbelicht is (vraag 16) ook vinden dat het Reglement Gedragscode onvolledig is (vraag 20). Van de 34 respondenten die meer expliciete aandacht voor onafhankelijkheid wensen, vinden er echter slechts 8 dat het Reglement Gedragscode onvolledig is. Ook van de 85 respondenten (vraag 18) die het opnemen van voorbeelden in de gedragscode positief vinden, bestempelen er slechts 8 het Reglement Gedragscode als onvolledig. Tenslotte vinden van de 52 voorstanders van vetgedrukte passages (vraag 19) er slechts 2 dat het Reglement Gedragscode onvolledig is. Derhalve is er blijkbaar nogal wat nodig om de opzet van het Reglement Gedragscode als onvolledig te bestempelen. Dit heeft in totaal dan ook ‘slechts’ 9,7% van de respondenten gedaan. Relatie met vragen naar achtergrond We zouden voor alle vragen een analyse op kunnen nemen aan de hand van elke afzonderlijke achtergrondvraag. Dit voert wat ons betreft echter te ver en heeft ook het risico dat we al snel te generaliserend zijn ten opzichte van bepaalde categorieën respondenten. Daarom volstaan we met het onderstaand benoemen van een selectie met opvallende trends in relatie tot de achtergronden van de respondenten. Ten aanzien van de inschrijvingsduur valt het op dat de langst ingeschreven RE’s relatief het minst tevreden zijn over de volledigheid van het Reglement Gedragscode. Zij zijn ook degenen die het vaakst hebben aangegeven het Reglement Gedragscode niet toe te passen. Dit hangt echter waarschijnlijk ook weer gedeeltelijk samen met het feit dat een aantal van hen niet actieve leden zijn. Ten aanzien van het werkterrein van de respondenten noemen wij ook enkele opvallendheden. Zo valt het op dat openbaar IT-auditors (84,2%) en IT-auditors in overheidsdienst (90,1%) in veel hogere mate volmondig aangeven het Reglement Gedragscode bij hun dagelijkse werkzaamheden toe te passen dan intern IT-auditors (50,0%) en IT-auditors in business (39,3%). Wat betreft het, naast de RE-titel, dragen van de RA- of AA-titel vallen ook enkele zaken op. RA’s en AA’s hebben relatief meer voorkeur voor gelijke codes van de NOREA en het NIVRA. Ook zien zij liever onderscheid tussen categorieën auditors. Ook zijn zij iets minder tevreden over de opzet van het Reglement Gedragscode. Met betrekking tot het al dan niet in het werk aan andere gedragscodes gebonden zijn, hebben wij geen significante opvallende uitkomsten aangetroffen. Aangezien er slechts 6 respondenten hebben aangegeven vrouw te zijn, zijn wij van mening dat wij geen uitspraken kunnen doen omtrent de invloed van het geslacht op de gegeven antwoorden. Overigens verbaast dit geringe aantal vrouwelijke respondenten ons niet, gelet op het waarschijnlijk lage aantal vrouwelijke IT-auditors. Ten aanzien van het onderscheid tussen actieve en niet actieve leden hebben wij bij voorgaande analyses reeds enkele opmerkingen geplaatst.

45

5.3 Uitkomsten interviews met deskundigen Zoals in § 4.4 aangekondigd, hebben wij de enquêteresultaten met een tweetal deskundigen afzonderlijk besproken. De belangrijkste uitkomsten van deze besprekingen geven wij in deze paragraaf weer. Algemeen De deskundigen hebben beiden aan het begin van de bespreking in meer of mindere mate stilgestaan bij het ontstaan van de NOREA en haar plaats in het auditlandschap. De essentie hiervan is ook reeds in het literatuuronderzoek aan de orde gekomen. In beginsel maakt het niet uit of je RE of RA bent: auditing is auditing. Alleen het te auditen object is anders. Desondanks zijn er wel enkele belangrijke verschillen te onderkennen tussen de werkterreinen van respectievelijk de RE en de RA. Zo komen bij de RE’s relatief meer advieswerkzaamheden voor dan bij de RA’s. Ook is de IT-audit vrijwel niet wettelijk verankerd. Dit heeft impact op de hoeveelheid regels en resulteert al snel in een relatief beperkte set principle-based regels. Naast een dergelijke relatief beperkte set principlebased regels hebben met name de grotere kantoren waar de IT-auditors werkzaam zijn, deze regels vaak in hun methodologie meer in detail uitgewerkt. De ene deskundige trok met name de in het literatuuronderzoek reeds beschreven parallel tussen de NOREA, het NIVRA en de IFAC en bepleitte daarbij een relatief grote mate van gelijkheid aan regels. De andere deskundige richtte zich juist meer op de eigen identiteit van de NOREA. Laatstgenoemde bepleitte dat ervoor moet worden gewaakt dat de IT-audit teveel ‘risk driven’ is en verzandt in een grote hoeveelheid aan regels. Daarbij bestaat immers het risico dat je de aansluiting met het maatschappelijk verkeer kwijtraakt. Het Reglement Gedragscode moet volgens deze deskundige kaderstellend zijn en een minimale set aan regels c.q. uitgangspunten bevatten. Vervolgens is de dialoog met de klant omtrent het te leveren product van belang. Vertrouwen moet je krijgen door je optreden, niet primair door regels. Wel kan het volgens deze deskundige zinvol zijn om als IT-auditors pro-actief naar het maatschappelijk verkeer kenbaar te maken dat er een Reglement Gedragscode is en welke fundamentele beginselen daarin centraal staan. Dit geeft ook meer inzicht in de toegevoegde waarde van RE’s in een werkterrein waarin (vrijwel) geen sprake is van een wettelijke verankering van het IT-auditberoep. Enquête Overall gezien herkenden beide deskundigen de gepresenteerde enquêteresultaten. Wij zullen dan ook niet alle opmerkingen van de deskundigen hieromtrent weergeven, maar ons beperken tot enkele highlights. De bekendheid met het Reglement Gedragscode ziet er volgens de deskundigen goed uit, maar het belang van verdere scholing en discussie hieromtrent is evident. Met alleen een e-learning module ben je er niet. Hierbij pleiten de deskundigen voor meer aandacht voor ethiek, zowel tijdens de opleiding tot IT-auditor als tijdens de permanente educatie. Ook discussies omtrent ethische dilemma’s binnen de werkomgeving van de IT-auditor worden zinvol geacht. Het gaat immers niet alleen om de techniek. Ten aanzien van de interactie met het maatschappelijk verkeer wijst een deskundige er nog op dat er, in het verlengde van hetgeen reeds hiervoor onder ‘algemeen’ is opgemerkt, een wezenlijk verschil bestaat in bekendheid van het maatschappelijk verkeer met het werk van een RE ten opzichte van het werk van een RA. Zo is een RE vaak betrokken bij een jaarrekeningcontrole, maar ziet het maatschappelijk verkeer uiteindelijk alleen de verklaring van de RA. Verder treedt een RE relatief vaak in het besloten verkeer op. Ook zijn er omtrent het optreden van RE’s relatief weinig negatieve incidenten bij het maatschappelijk verkeer bekend. Omtrent het maken van onderscheid in soorten werkkringen waarin de IT-auditor werkzaam is, waren de meningen verdeeld. De ene deskundige pleitte voor de lijn die de

46

IFAC hierin heeft gevolgd, met enerzijds de openbare auditors en anderzijds de auditors in business (waaronder interne auditors en overheidsauditors). Dit mede gelet op (internationale) convergentie en het kunnen toespitsen op de specifieke werkomgeving. De andere deskundige was meer voor één uniforme gedragscode. Dit in lijn met hetgeen hiervoor onder ‘algemeen’ reeds is vermeld. Ten aanzien van het onderscheid tussen principle-based en rule-based codes bleek uit de enquêteresultaten dat de overgrote meerderheid van de respondenten de huidige code principle-based vonden en dat ook als positief bestempelden. Echter stelde een deskundige dat er derhalve nog steeds IT-auditors zijn die in dit opzicht onbegrip voor de code hebben en de code niet goed genoeg lezen. De code is immers duidelijk principlebased. Ook merkte een deskundige in deze context nogmaals op dat met name IT-auditors bij grote kantoren gebonden zijn aan een interne methodologie waarin het Reglement Gedragscode verondersteld wordt te zijn inbegrepen. Dergelijke interne regels zijn veel gedetailleerder uitgewerkt dan het Reglement Gedragscode. Het Reglement Gedragscode zelf wordt dan vaak niet meer gelezen. Ten aanzien van het aspect ‘onafhankelijkheid’ wezen de deskundigen op de bij ITauditors relatief vaker voorkomende advieswerkzaamheden. Wel onderkenden zij dat onafhankelijkheid in veel situaties relevant is, waarbij expliciete aandacht voor onafhankelijkheid en een nadere uitwerking hiervan toegevoegde waarde zouden kunnen bieden. Dit ondanks het feit dat onafhankelijkheid ook onder de grote noemer van objectiviteit valt te scharen. Ook het nut van voorbeelden werd door beide deskundigen onderkend. Casuïstiek kan volgens hen helpen bij het praktisch toepassen van de vrij algemeen geformuleerde fundamentele beginselen. Gelet op het principle-based karakter van het Reglement Gedragscode hadden zij echter wel de voorkeur voor het uitwerken hiervan in bijvoorbeeld een levendig dun boekje of een discussieforum op internet. Bij bijvoorbeeld een discussieforum moet wel worden gewaarborgd dat voorbeelden open en veilig kunnen worden gedeeld. Beide deskundigen onderkenden ook dat dossiervorming omtrent ethische evaluaties een lastig punt is. Zij zijn het er wel over eens dat er in ieder geval enige mate van dossiervorming nodig is, mede om gemaakte inschattingen en gedachtegangen later nog te kunnen onderbouwen. Hierbij is bijvoorbeeld van belang de documentatie waaruit blijkt waarom een auditor heeft gemeend een opdracht te kunnen aanvaarden. Zoals gesteld komt uit de enquêteresultaten naar voren dat bij de leden onduidelijkheid lijkt te bestaan omtrent de toepasselijkheid van het Reglement Gedragscode voor niet actieve leden. Uit de besprekingen kwam naar voren dat ook voor dergelijke leden in ieder geval een aantal belangrijke beginselen zouden moeten gelden. Dit mede gelet op de zogenoemde ‘eer van de stand’. Wellicht dat er voor dergelijke niet actieve leden een lightversie van het Reglement Gedragscode zou kunnen gaan gelden. In deze context merkte een deskundige nog op het positief te vinden dat een relatief groot gedeelte van de respondenten een strikte afbakening van het Reglement Gedragscode tot zakelijk handelen niet nodig vindt. Deze regels gelden weliswaar strikt gezien niet in privé, maar je moet je als IT-auditor ook in privé wel goed gedragen. Hier komt de ‘eer van de stand’ weer naar voren. Tenslotte hebben wij aan het einde van de besprekingen onze in § 6.3 opgenomen aanbevelingen aan de deskundigen voorgelegd. Beide deskundigen onderkenden het belang van deze aanbevelingen.

47

6. Inhoudelijke beschouwing en aanbevelingen 6.1 Inleiding

In dit hoofdstuk geven wij een inhoudelijke beschouwing op de hiervoor gepresenteerde feitelijke bevindingen. Aangezien de bevindingen uit het literatuuronderzoek reeds hebben gediend als basis voor de enquête, zullen wij in deze beschouwing met name ingaan op de enquêteresultaten. Wij structureren deze beschouwing dan ook aan de hand van de secties van de enquête. Daarnaast zullen wij ook enkele overige ervaringen behandelen. Op basis van onze inhoudelijke beschouwing formuleren wij aan het einde van dit hoofdstuk een aantal aanbevelingen. 6.2 Inhoudelijke beschouwing

Sectie I – Bekendheid met het Reglement Gedragscode en de totstandkoming ervan Wij vinden het positief dat bijna alle respondenten bij vraag 1 hebben aangegeven bekend te zijn met het Reglement Gedragscode. Zoals ook uit het literatuuronderzoek blijkt, zou deze code voor RE’s immers een belangrijke plaats moeten innemen. Echter is ons bij vraag 2 wel gebleken dat er ten aanzien van de verworven kennis omtrent het Reglement Gedragscode nu nog vooral sprake is van kennis op papier. Dit vinden wij in beginsel een prima vertrekpunt. Wat ons betreft is het nu echter tijd voor een verdiepingsslag. Een deel van de respondenten is hiermee reeds begonnen, hetgeen zich uit in bijvoorbeeld het deelnemen aan discussiebijeenkomsten en het kennis nemen van relevante vakliteratuur. Wij willen het houden van dergelijke bijeenkomsten en het publiceren van vakliteratuur op ethisch terrein dan ook zeker aanmoedigen. Uiteindelijk zal dat wat ons betreft moeten resulteren in een actieve toepassing van het Reglement Gedragscode in de dagelijkse praktijk. Ten aanzien van de enkele respondenten die bij vraag 2 hebben aangegeven geen kennis over het Reglement Gedragscode te hebben opgedaan, zijn wij enerzijds blij met het geringe percentage van 4,5%. Anderzijds vinden wij dat dit uitgesloten zou moeten worden. Een dergelijke code is wat ons betreft immers van elementair belang voor het ITauditvakgebied en elke ingeschreven RE dient hier kennis van te hebben. Zoals eerder vermeld doet het ons dan ook deugd dat de NOREA actief mensen aanschrijft om alsnog de verplichte PE-cursus te volgen. In lijn met bovenstaande opmerkingen zijn wij ook content met het feit dat 69,1% van de respondenten bij vraag 3 heeft aangegeven dat je ethiek niet leert van een code op papier. Hier zien wij dan ook nog een schone taak voor de NOREA en de IT-auditopleidingen. Zij dienen wat ons betreft zowel in de initiële opleiding tot IT-auditor als in de permanente educatie meer aandacht te besteden aan de ethische kanten van het vakgebied. De geïnterviewde deskundigen onderschrijven ons standpunt hieromtrent. Sectie II – Draagvlak voor het Reglement Gedragscode Ten aanzien van de analyse van het draagvlak voor het Reglement Gedragscode onderscheiden wij de totstandkoming van de code en het nut van de code. Aangaande de procesmatige kant valt het ons allereerst bij de beantwoording van vraag 4 op dat bijna 30% van de respondenten vindt dat de door de NOREA bewandelde weg bij het opstellen en implementeren van het Reglement Gedragscode de zorgvuldigheid niet ten goede is gekomen. Wij vinden dit nog een relatief hoog percentage en adviseren de NOREA dan ook om hieraan bij eventuele toekomstige wijzigingen nader aandacht te besteden. Ten aanzien van de procesmatige kant vinden wij het ook verrassend dat ‘slechts’ de helft van de respondenten volgens de beantwoording van vraag 5 een periodieke evaluatie met het maatschappelijk verkeer nodig vindt. Zoals ook uit het literatuuronderzoek is gebleken, heeft een auditor een maatschappelijke verantwoordelijkheid. Nadere afstemming met het maatschappelijk verkeer lijkt ons dan ook niet vreemd. Wellicht wordt de relatief geringe

48

animo van de respondenten, zoals een deskundige ook opmerkte, mede veroorzaakt door de relatief geringe (expliciete) interactie van IT-auditors met het maatschappelijk verkeer. Dit doet wat ons betreft geen afbreuk aan het feit dat de maatschappelijke verantwoordelijkheid van de IT-auditor een belangrijk uitgangspunt is. Gelet op de context van deze scriptie mag het vervolgens geen verwondering wekken dat wij blij zijn met het feit dat 95,4% van de respondenten bij vraag 6 de rol van ethiek en de daarbij behorende ethische code binnen het vakgebied van auditing onderschrijft. Wat in het verlengde hiervan dan wel opvalt, is dat bij vraag 7 toch nog 34,3% van de respondenten weinig nut van een ethische code lijkt in te zien. Wellicht dat verdere scholing in en discussie omtrent de ethische code RE’s kan helpen om het praktische nut van een dergelijke ethische code verder in te gaan zien. Hier ligt wat ons betreft dan ook een taak voor de NOREA. De perceptie omtrent het al dan niet nuttig zijn van een ethische code kan naar onze inschatting ook samenhangen met het feit dat 54,6% van de respondenten bij vraag 8 heeft aangegeven nog nooit tegen een bedreiging van een fundamenteel beginsel te zijn aangelopen die van niet te verwaarlozen betekenis was. Want juist in dergelijke situaties kan een ethische code haar nut bewijzen. Sectie III – Opzet van het Reglement Gedragscode Bij de analyse van de opzet van het Reglement Gedragscode hebben wij onder andere een aantal vergelijkingen uitgevoerd tussen enerzijds de code van de NOREA en anderzijds de codes van het NIVRA en de IFAC. Vanuit de gedachte van (inter-)nationale convergentie en het wat ons betreft principlebased karakter van deze codes zouden wij het toejuichen indien de respondenten zouden pleiten voor gelijke codes. Het doet ons dan ook deugd dat een (krappe) meerderheid van de respondenten hier bij vraag 9 ook voor pleit. Overigens vinden wij, mede op basis van de uitkomsten van het literatuuronderzoek, dat ook de respondenten die vanuit de verschillende werkterreinen of verschillen in soort lidmaatschap bij de IFAC van mening zijn dat afwijkende codes logisch zijn, best een punt hebben. Het viel ons op dat de meningen van de deskundigen hieromtrent ook niet geheel op één lijn lagen. Waar de ene deskundige meer neigde naar uniformiteit, pleitte de andere deskundige juist meer voor de eigen identiteit van de NOREA. Een ander afwijkend punt tussen deze codes waaromtrent de meningen van de respondenten volgens de beantwoording van vraag 10 verschillen, betreft het al dan niet opnemen van afzonderlijke onderdelen voor de verschillende categorieën auditors. Een krappe meerderheid van de respondenten pleit voor dergelijke afzonderlijke onderdelen. Een iets ruimere meerderheid van 61,2% van de respondenten gaf vervolgens bij vraag 11 aan een relatie van de categorie-indeling in de code met zaken als contributie en permanente educatie wel handig te vinden. Gelet op de meerderheid die voordelen ziet in een nadere opsplitsing naar werkterreinen, achten wij het raadzaam dat de NOREA hier bij toekomstige wijzigingen onderzoek naar doet. Hierbij kan de NOREA mogelijk ook gebruik maken van de opsplitsing zoals het NIVRA en de IFAC die kennen. In het literatuuronderzoek hebben wij onder andere een vergelijking uitgevoerd tussen de oude GBRE en het huidige Reglement Gedragscode. Vanuit de beantwoording van vraag 12 komt naar voren dat een ruime meerderheid van de respondenten beter uit de voeten zegt te kunnen met de huidige code. Dit vinden wij positief en lijkt ons ook de bedoeling van de NOREA. Een belangrijke reden hiervoor lijkt te liggen in het principle-based karakter van de huidige code. Uit het literatuuronderzoek bleek dat de huidige code primair principle-based is, waar de vorige code meer rule-based kenmerken had. Dit wordt door de meerderheid van de respondenten ook onderkend. Ook al zouden eigenlijk alle IT-auditors het principlebased karakter moeten onderkennen, zo stelde een deskundige terecht. Uit de beantwoording van de vragen 13 tot en met 15 is gebleken dat een zeer ruime meerderheid dit principle-based karakter prettig vindt. Wij onderschrijven dit van harte, temeer daar een principle-based code uitnodigt tot handelen naar de geest van de code, waar een rule-based code wellicht eerder handelen naar de letter en het opzoeken van

49

grenzen met zich meebrengt. Persoonlijk hebben wij ons bij het literatuuronderzoek enigszins verbaasd over het feit dat in het Reglement Gedragscode geen expliciete aandacht wordt besteed aan het onderwerp onafhankelijkheid. Dit terwijl het NIVRA en de IFAC hieraan uitgebreid aandacht besteden. Juist onafhankelijkheid blijkt in auditland vaak een heikel punt te zijn. Wellicht dat het verschil in aandacht voor onafhankelijkheid ook te maken heeft met het verschil in soort opdrachten tussen RE’s en RA’s, zo bleek ook uit de interviews. De antwoorden van de respondenten ten aanzien van dit onderwerp (vraag 16) liggen nogal uiteen. Gelet op deze spreiding van de uitkomsten alsmede vanwege de nadrukkelijke aandacht die het NIVRA en de IFAC aan onafhankelijkheid besteden, achten wij het raadzaam dat de NOREA in de toekomst de impliciete of expliciete plaats van onafhankelijkheid in bijvoorbeeld het Reglement Gedragscode (nogmaals) evalueert. Ten aanzien van de beperking van het Reglement Gedragscode tot het professioneel en zakelijk handelen vinden wij het positief dat de meerderheid van de respondenten bij vraag 17 aangeeft een dergelijke afbakening niet nodig te vinden. Wij vinden namelijk dat ethisch gedrag in je moet (gaan) zitten. Een punt waaromtrent wij mede op basis van de enquêteresultaten zeker vinden dat de NOREA daarmee aan de slag moet, betreft het opnemen van voorbeelden (vraag 18). Een ruime meerderheid van de respondenten pleit hier immers voor. Mede gelet op het literatuuronderzoek zijn wij van mening dat dergelijke voorbeelden kunnen bijdragen aan een goede toepassing van de code. Echter onderkennen wij ook het gevaar van een soort rule-based interpretatie en toepassing van voorbeelden. Derhalve is het wat ons betreft wel de vraag of het raadzaam is om dergelijke voorbeelden dan in de ethische code zelf op te nemen, of bijvoorbeeld in separate toelichtingen in handreikingen en/of op het internet. Voor een dergelijke verspreidingswijze van voorbeelden pleiten ook de deskundigen. Maar dat het onderwerp ‘voorbeelden’ de aandacht van de NOREA behoeft, is wat ons betreft wel duidelijk. De opzet overall beschouwend, zien wij op basis van het literatuuronderzoek en de enquêteresultaten wel een aantal verbetermogelijkheden. Wel heeft 90,3% van de respondenten bij vraag 20 aangegeven dat het Reglement Gedragscode alle fundamentele beginselen bevat. Belangrijkste hiaat in dit opzicht lijkt ‘onafhankelijkheid’ te zijn. Kortom, enerzijds pleiten diverse respondenten voor bijvoorbeeld gelijke codes tussen de NOREA en het NIVRA / de IFAC en meer aandacht voor onder andere voorbeelden en onafhankelijkheid, anderzijds zijn de meeste respondenten overall bezien redelijk positief over het huidige Reglement Gedragscode. Dit geeft wat ons betreft nog maar eens aan dat de NOREA bij eventuele toekomstige wijzigingen in het Reglement Gedragscode goed dient te balanceren tussen enerzijds convergentie met andere gedragscodes en anderzijds het zoeken naar die elementen van de gedragscode die juist door IT-auditors belangrijk worden gevonden. Sectie IV – Naleving van het Reglement Gedragscode Ten aanzien van het toepassen van het Reglement Gedragscode viel het ons bij vraag 21 op dat de respondenten (5,9%) die aangaven het Reglement Gedragscode niet bij hun dagelijkse werkzaamheden toe te passen, allemaal niet actieve leden waren. Hoewel wij onderkennen dat het toepassen van de code voor hen wellicht slechts relatief beperkt aan de orde zal zijn, wijzen wij er wel op dat uit het Reglement Gedragscode blijkt dat de code op alle ingeschreven RE’s van toepassing is en dat het in beginsel niet uitmaakt welke werkzaamheden worden verricht. Hier zien wij dan ook een taak voor de NOREA weggelegd om dit duidelijk aan haar leden kenbaar te maken. Met betrekking tot de naleving van het Reglement Gedragscode vinden wij het opvallend dat het (nagenoeg) ontbreken van een wettelijke verankering van het IT-auditberoep in deze context niet als een gemis wordt ervaren (vraag 22). Dit vinden wij positief. Blijkbaar

50

hebben deze respondenten een dergelijke ‘stok achter de deur’ niet nodig. Ten aanzien van toetsingen en beoordelingen vinden wij het aan de ene kant jammer dat 78,4% van de respondenten bij vraag 23 aangeeft hier geen grotere rol voor ethiek te zien weggelegd. Dit zou namelijk in beginsel wel extra kunnen motiveren tot ethisch gedrag. De enquêteresultaten zijn in dit opzicht ook niet in lijn met het literatuuronderzoek. Aan de andere kant vinden wij het wel positief als men stelt dat je gewoon ethisch moet zijn en dat daarvoor geen extra prikkel nodig is. Een aspect waaromtrent wat ons betreft nadere guidance nodig is, betreft de dossiervorming omtrent ethische evaluaties. Uit de spreiding van de antwoorden op vraag 24 blijkt namelijk dat de meningen nogal verdeeld zijn over de wijze waarop al dan niet dossiervorming hieromtrent dient plaats te vinden. Ook de deskundigen gaven aan dossiervorming een lastig punt te vinden, ook al staat wat hen betreft buiten kijf dat enige mate van dossiervorming omtrent ethische evaluaties nodig is. Wij zijn persoonlijk van mening dat uit elk dossier dient te blijken of er een dergelijke evaluatie heeft plaatsgevonden en wat de uitkomsten hiervan zijn. Hier ligt wat ons betreft dan ook nog wat missiewerk voor de NOREA. Tenslotte hebben we bij vraag 25 nog gevraagd naar de mening van de respondenten omtrent de opzet en toepasbaarheid van het Reglement Gedragscode. De resultaten hierbij zijn wat ons betreft ‘voorzichtig bemoedigend’, ondanks de bedenkingen van respondenten bij diverse aspecten van de code zoals het ontbreken van voorbeelden en geen expliciete aandacht voor onafhankelijkheid. Echter heeft toch nog 27,4% van de respondenten problemen met de opzet en/of praktische toepasbaarheid van de code. Wat ons betreft verdienen de problemen van deze respondenten nader onderzoek door de NOREA. Sectie V – Achtergrond Ten aanzien van de inschrijvingsduur van de respondenten is het ons opgevallen dat met name reeds langer ingeschreven IT-auditors de enquête hebben ingevuld. De oorzaak hiervan is voor ons niet helder. Wellicht dat dit samenhangt met de opbouw van het totale bestand met IT-auditors. De mogelijkheid bestaat ook dat korter ingeschreven IT-auditors nog relatief meer bezig zijn met hun (technische) carrière en minder de tijd nemen om zich bezig te houden met (een enquête ten aanzien van) ethiek. Maar dat blijft uiteraard gissen. Wellicht is het interessant om te onderzoeken in hoeverre de aandacht voor en interesse in de ethische kant van het beroep samenhangen met de fase waarin de carrière van een ITauditor zich bevindt. Ten aanzien van het werkterrein van de respondenten geven de openbaar IT-auditors en IT-auditors in overheidsdienst veel vaker aan de code toe te passen dan de intern ITauditors en IT-auditors in business. Wellicht is het Reglement Gedragscode minder toegespitst op intern IT-auditors en IT-auditors in business, opereren zij in een stabielere omgeving of wordt het toepassen van het Reglement Gedragscode in de werkomgeving van openbaar IT-auditors en IT-auditors in overheidsdienst meer afgedwongen. Wij vinden dit in ieder geval een aandachtspunt voor de NOREA bij eventuele toekomstige aanpassingen aan de code en toetsingen ten aanzien van de naleving ervan. Overige ervaringen In dit hoofdstuk met beschouwingen willen wij ook nog kort stilstaan bij enkele overige ervaringen tijdens het praktijkonderzoek. Om te beginnen bleek uit voorgaande hoofdstukken reeds dat onze ervaringen met de NOREA wisselend zijn geweest. De gesprekken die wij met enkele leden van met name de Raad voor Beroepsethiek hebben gevoerd, zijn zeker van toegevoegde waarde geweest. Dit betreft zowel het oriënterende gesprek in het voorjaar van 2010 als de interviews met deskundigen begin 2011. Dat deze personen de tijd voor ons hebben genomen, waarderen wij ten zeerste.

51

Het ontbreken van de medewerking vanuit de directie van de NOREA ten aanzien van het uitzetten van de enquête heeft ons daarentegen bevreemd. Dit zeker gelet op de positieve houding van de leden van de Raad voor Beroepsethiek die wij hebben gesproken. De berichtgeving op de website van de NOREA beschouwen wij in dit kader als de anti-climax van onze enquête. Wellicht spelen hier op de achtergrond meer zaken waarvan wij niet op de hoogte zijn. Wij hebben ons er echter niet van laten weerhouden om enthousiast met ons onderzoek verder te gaan. Zoals in paragraaf 4.4 vermeld, hadden wij ook graag een interview met een toonaangevende deskundige van het NIVRA gehouden. Wij vinden het jammer dat dit interview niet heeft kunnen plaatsvinden, hoewel wij ons wel wat bij de overwegingen kunnen voorstellen. Over het aantal respondenten hebben wij reeds in paragraaf 5.2.1 een uitgebreide analyse gegeven. Enerzijds had bijvoorbeeld medewerking van de NOREA naar onze inschatting tot een hogere response kunnen leiden, waardoor wellicht ‘hardere’ uitspraken mogelijk waren geweest. Ook zijn wij persoonlijk van mening dat je van professionele IT-auditors ook best wat meer medewerking zou mogen verwachten. Anderzijds hebben wij toch nog 110 respondenten bereid gevonden om de enquête in te vullen. Van meerdere kanten hebben wij vernomen dat dit nog niet eens zo weinig is. Wij zijn dan ook blij met de medewerking die wij van deze respondenten hebben gekregen, op basis waarvan wij ons inziens toch nog een zinvol praktijkonderzoek hebben kunnen uitvoeren. 6.3 Aanbevelingen Op basis van de feitelijke bevindingen en hiervoor behandelde beschouwingen zijn wij tot de volgende aanbevelingen gekomen:














Uit zowel het literatuur- als uit het praktijkonderzoek blijkt dat het opstellen van een ethische gedragscode een eerste stap is naar ethisch gedrag, maar dat je er daarmee als beroepsorganisatie nog niet bent. Wij bevelen de NOREA en de IT-auditopleidingen dan ook aan om periodiek discussiebijeenkomsten omtrent ethische dilemma’s uit de dagelijkse praktijk te houden, alsmede om onderzoek naar en publicaties omtrent ethiek in het IT-auditvakgebied te stimuleren. Dit kan het besef van het nut van een dergelijke code ook vergroten; In de literatuur wordt benadrukt dat het proces van opstellen en implementeren van een ethische gedragscode niet te lichtvaardig moet worden opgevat. Uit de enquête blijkt dat circa 30% van de respondenten de door de NOREA hierbij gevolgde weg niet al te zorgvuldig vindt. Wij bevelen de NOREA aan om bij eventuele toekomstige wijzigingen dergelijke signalen serieus te nemen. Dit kan bijvoorbeeld door discussiebijeenkomsten over conceptwijzigingen te houden. Uiteraard moeten de leden hierbij dan wel hun verantwoordelijkheid nemen door actief aan dergelijke bijeenkomsten deel te nemen; Uit het literatuuronderzoek bleek dat de NOREA-code geen expliciete aandacht besteedt aan onafhankelijkheid. Dit in tegenstelling tot de codes van het NIVRA en de IFAC. Gelet op de maatschappelijke verantwoordelijkheid van de IT-auditor en de aandacht in de maatschappij voor de onafhankelijkheid van accountants, bevelen wij de NOREA aan om te evalueren of explicietere aandacht voor onafhankelijkheid nodig is; Een zeer ruime meerderheid van de respondenten van de enquête heeft aangegeven het toevoegen van voorbeelden aan het Reglement Gedragscode als positief te ervaren. Uit het literatuuronderzoek blijken hier echter zowel argumenten voor als tegen te zijn. Wij bevelen de NOREA dan ook aan om te (her)overwegen of er wellicht voorbeelden inzake de toepassing van het Reglement Gedragscode opgesteld kunnen worden en op welke wijze dergelijke voorbeelden het best kunnen worden gecommuniceerd. Randvoorwaarde hierbij vinden wij wel dat het principle-based karakter van de code gehandhaafd blijft; Het Reglement Gedragscode is van toepassing op alle ingeschreven RE’s. Echter blijkt

52




zowel uit reacties van een aantal non-respondenten als uit antwoorden van respondenten van de enquête dat niet actieve leden dikwijls van mening zijn dat het Reglement Gedragscode voor hen niet geldt. Wij bevelen de NOREA aan hieromtrent duidelijkheid naar haar leden toe te verschaffen. Dit uiteraard met inachtneming van de mogelijke (wellicht geringe) impact van niet naleven van de code door niet actieve leden; Uit de antwoorden van respondenten komt naar voren dat heel divers wordt omgegaan met dossiervorming omtrent ethische evaluaties. Wij zijn persoonlijk van mening dat enige mate van dossiervorming hierbij in ieder geval nodig is. Indien de NOREA deze mening deelt, vinden wij het raadzaam dat de NOREA enige guidance naar haar leden toe verstrekt omtrent aard, omvang en diepgang van dergelijke dossiervorming.

Tenslotte hebben wij ook nog een aantal aspecten geïdentificeerd, waaromtrent ons inziens nader onderzoek interessant kan zijn:











Wij hebben in ons onderzoek alleen navraag kunnen doen naar de praktische toepassing van het Reglement Gedragscode. Hierbij gaf meer dan de helft van de respondenten aan dat zij nog nooit tegen een bedreiging van een fundamenteel beginsel waren aangelopen die van niet te verwaarlozen betekenis was. Tevens gaven diverse respondenten aan het Reglement Gedragscode bij hun dagelijkse werkzaamheden niet (structureel) toe te passen. In de context van deze enquêteresultaten, waarbij wij ons hebben gericht op de in opzet praktische toepasbaarheid van het Reglement Gedragscode, zijn wij benieuwd naar de daadwerkelijke toepassing van deze code. Wij bevelen nader onderzoek hiernaar dan ook van harte aan; Uit zowel de literatuur als uit de enquêteresultaten blijkt dat een nadere toespitsing van het Reglement Gedragscode op de specifieke werkomgeving van de IT-auditor wel eens nuttig kan zijn. Zo valt het op dat openbaar IT-auditors en IT-auditors in overheidsdienst in veel hogere mate volmondig aangeven het Reglement Gedragscode bij hun dagelijkse werkzaamheden toe te passen dan intern IT-auditors en IT-auditors in business. Wij bevelen de NOREA aan te (laten) onderzoeken wat hier de oorzaak van is en of de wens tot specifieke onderdelen breder gedragen wordt en op welke wijze hieraan praktische invulling kan worden gegeven; Het is ons opgevallen dat slechts 19 IT-auditors die na inwerkingtreding van het Reglement Gedragscode zijn ingeschreven, de enquête hebben ingevuld. Dit zou mogelijk een indicatie kunnen zijn voor een correlatie tussen de aandacht voor ethiek en de fase waarin de carrière van een IT-auditor zich bevindt. Het lijkt ons interessant om dit nader te onderzoeken; Uit de enquête komt naar voren dat ruim een kwart van de respondenten problemen heeft met de opzet en/of praktische toepasbaarheid van het Reglement Gedragscode. Gelet op deze resultaten in combinatie met de beperkingen van een enquête, bevelen wij de NOREA aan hier nader onderzoek naar te (laten) doen. Dergelijke signalen mogen wat ons betreft niet onbeantwoord blijven.

Zoals reeds eerder behandeld, hebben wij onze aanbevelingen aan twee deskundigen voorgelegd. Zij hebben aangegeven deze aanbevelingen te onderschrijven. Wij vertrouwen er dan ook op met deze aanbevelingen een zinvolle bijdrage te leveren aan de ontwikkeling van de beroepsgroep van IT-auditors.

53

7. Conclusies 7.1 Inleiding De in voorgaande hoofdstukken bewandelde wegen hebben als uiteindelijk doel de beantwoording van de vraagstelling. In dit hoofdstuk komen deze wegen samen. Wij beantwoorden allereerst de afzonderlijke in § 1.2 geformuleerde onderzoeksvragen. Dit mondt uit in de beantwoording van de aldaar geformuleerde vraagstelling: “Is het Reglement Gedragscode van de NOREA in opzet praktisch toepasbaar en welke lessen kunnen hieruit worden geleerd?” 7.2 Beantwoording onderzoeksvragen en vraagstelling In deze paragraaf geven wij een recapitulatie van de in de diverse hoofdstukken behandelde onderzoeksvragen. Voor een uitgebreidere behandeling verwijzen wij naar de voorgaande hoofdstukken. Met welk doel en op welke wijze is het Reglement Gedragscode tot stand gekomen? En welke belangrijke overeenkomsten en verschillen zijn er in deze context te onderkennen tussen de codes van de NOREA, het NIVRA en de IFAC? Om het doel van het opstellen van het Reglement Gedragscode te kunnen begrijpen, zijn wij eerst nagegaan wat onder beroepsethiek wordt verstaan. Hierbij bleek dat beroepsbeoefenaren in beroepsethiek hun verantwoordelijkheid tot uitdrukking brengen door een systematische bezinning op de morele regels waaraan zij zich wensen te houden, de morele waarden die zij nastreven en de deugden die ten grondslag liggen aan hun werkhouding. Het Reglement Gedragscode zal dit derhalve dienen te ondersteunen. Na deze algemene definiëring van beroepsethiek hebben we de historische ontwikkeling van het Reglement Gedragscode en haar voorgangers geanalyseerd. Dit teneinde de huidige code in het juiste perspectief te kunnen plaatsen. Hierbij zijn we, gelet op het feit dat de NOREA uit het NIVRA is voortgekomen, teruggegaan naar ontwikkelingen uit de beginperiode van het accountantsberoep in Nederland. We hebben geconstateerd dat door de loop der jaren heen de maatschappelijke verantwoordelijkheid van de auditor een steeds centralere rol inneemt. Dit was al zo in de vertrouwensleer van Limperg en dit wordt mede naar aanleiding van financiële debacles in recente jaren ook heden ten dage weer expliciet benadrukt. Ten aanzien van de GBR en GBRE, de laatste gedrags- en beroepsregels voor de huidige codes, was ook als een van de hoofddoelstellingen aangegeven het naar het maatschappelijk verkeer verduidelijken wat van een auditor mag worden verwacht. Het huidige Reglement Gedragscode verwijst zelfs in het begin van de code naar deze verantwoordelijkheid en de rol van de code hierbij. Het inhoud geven aan deze verantwoordelijkheid is derhalve een belangrijk doel van het Reglement Gedragscode. Bij de analyse van de historische ontwikkeling viel verder op dat in de beginjaren bij het opstellen van de regels met name aandacht bestond voor de vaktechnische inhoud van het beroep (de beroepsregels). Dit is ook niet zo vreemd, aangezien het beroep toen nog op de kaart moest worden gezet. De regels waren toen ook nog met name rule-based. In de recentere jaren zien we steeds meer aandacht ontstaan voor regels ten aanzien van het gedrag, uitmondend in het huidige Reglement Gedragscode waarin alleen gedragsregels en geen beroepsregels zijn opgenomen. Het besef is duidelijk gegroeit dat je er niet bent met alleen het opstellen van stringente beroepsregels, maar dat het gedrag ook aandacht behoeft. De huidige regels zijn primair principle-based te noemen, hetgeen ons inziens ook veel beter past bij regels ten aanzien van het gedrag dan bij regels ten aanzien van de vakinhoudelijke beroepsuitoefening.

54

Zoals is gebleken zijn er door de loop der jaren heen in auditland al diverse gedrags- en beroepsregels opgesteld, alvorens het huidige Reglement Gedragscode er is gekomen. In de beginjaren van het accountantsberoep waren er nog allerlei afzonderlijke Nederlandse accountantsgroeperingen die elk hun eigen regels opstelden, waarbij er toen nog relatief weinig aandacht was voor gedragsregels. Medio vorige eeuw heeft er, mede gestimuleerd door de wetgevende macht, op nationaal niveau convergentie plaatsgevonden van deze gedrags- en beroepsregels. In dit opzicht heeft de wetgevende macht wat ons betreft toen een positieve rol gespeeld. Begin jaren ’90 waren er echter plannen om de toendertijd geldende regels drastisch te moderniseren en een specifiekere plaats in te ruimen voor ethiek. Door eisen vanuit de wetgever is het daar toen nooit van gekomen. Waar door de loop der jaren heen wel met een schuin oog naar internationale gedrags- en beroepsregels is gekeken, zien we tenslotte dat het huidige Reglement Gedragscode is afgeleid van de Code of Ethics van de internationale accountantsorganisatie IFAC. Deze ethische code is mede opgesteld naar aanleiding van financiële debacles zoals de Enronaffaire. Heden ten dage wordt er derhalve gestreefd naar internationale convergentie. We hebben ook geëvalueerd in hoeverre er nu eigenlijk daadwerkelijk sprake is van convergentie, zowel op nationaal niveau met de NIVRA-code als op internationaal niveau met de IFAC-code. We hebben geconstateerd dat de eerste NOREA-code, de GBRE, was afgeleid van de GBR van het NIVRA. Het huidige Reglement Gedragscode is gestoeld op de Code of Ethics van de IFAC, waarop ook de huidige Verordening gedragscode van het NIVRA is gebaseerd. Derhalve zouden op voorhand geen verschillen tussen deze codes worden verwacht. De basis van de huidige codes bestaat in elke code uit de fundamentele beginselen, de potentiële bedreigingen, de waarborgen en het conceptueel raamwerk. De huidige codes zijn allemaal primair principle-based. Echter blijken er ook een aantal verschillen tussen deze huidige codes aanwezig te zijn. Hierbij gaat het bijvoorbeeld om het al dan niet opnemen van voorbeelden, het al dan niet opnemen van afzonderlijke onderdelen voor diverse categorieën accountants, het al dan niet expliciet aandacht besteden aan onafhankelijkheid en de plaats van de definities. Tenslotte is het opgevallen dat het acceptatieproces van de code bij het NIVRA veel meer hobbels heeft vertoond dan bij de NOREA. Kortom, het Reglement Gedragscode lijkt een duidelijk doel te dienen. Het is echter de vraag in hoeverre bijvoorbeeld de beroepsgroep van IT-auditors deze plaats voor ethiek en de rol van de code hierbij onderschrijft. Ook is het de vraag in hoeverre zij bijvoorbeeld tevreden zijn met de wijze waarop deze code tot stand is gekomen en hoe zij aankijken tegen de verschillen ten opzichte van de codes van andere accountantsgroeperingen. Oftewel, wordt het beoogde doel ook daadwerkelijk bereikt? Wordt dit doel volgens andere onderzoekers, deskundigen en de beroepsgroep van ITauditors daadwerkelijk bereikt? In het literatuuronderzoek hebben wij een aantal schrijvers aangehaald die, al dan niet op basis van een uitgebreid onderzoek, hun mening omtrent de huidige of vorige gedragscodes hebben geuit. Hieruit kwamen verschillende interessante visies naar voren, waaruit blijkt dat niet eenduidig kan worden gesteld dat het doel van de gedragscode volgens deze schrijvers (optimaal) wordt bereikt. Er zijn schrijvers die als duidelijke rode draad in hun betoog pleiten voor meer aandacht voor de ethische kant van het auditberoep. Hieraan draagt een gedragscode zeker bij. Echter benadrukken deze schrijvers ook dat je er niet bent met alleen het opstellen van een gedragscode. Discussies omtrent en scholing inzake ethiek zijn zeker zo belangrijk. Zoals uit het praktijkonderzoek ook naar voren komt, zijn op dit gebied nog wel wat stappen te zetten. Niet onbelangrijk vinden wij ook dat er onderzoekers specifiek hebben gewezen op dilemma’s die moeten worden opgelost bij het ontwikkelen en implementeren van een ethische code. Of de NOREA hieraan voldoende aandacht heeft besteed, is een punt

55

waarover verschil van mening kan bestaan. Een deel van de respondenten op de enquête plaatst hier zijn vraagtekens bij. Tenslotte gaan diverse schrijvers in op inhoudelijke aspecten van de gedragscodes. Met name beschouwingen over het al dan niet opnemen van voorbeelden, rule-based versus principle-based regelgeving en het streven naar internationale convergentie laten zien dat aan het opstellen en implementeren van een gedragscode nogal wat haken en ogen zitten. Kortom, uitgaande van de beschouwingen van diverse andere schrijvers kan worden geconcludeerd dat het Reglement Gedragscode zeker kan bijdragen aan een gedegen ethische beroepsuitoefening door IT-auditors. Echter dient er weloverwogen met diverse dilemma’s te worden omgegaan. Belangrijk is echter ook hoe de beroepsgroep van IT-auditors tegen het Reglement Gedragscode aankijkt. Om dit te peilen hebben wij met behulp van een steekproef een enquête gehouden onder IT-auditors. Gelet op de, mede ten gevolge van externe factoren, enigszins teleurstellende response van 110 ingevulde enquêtes kunnen we hier geen harde conclusies uit trekken. Wel kunnen we uit de trends afleiden of het doel van het Reglement Gedragscode lijkt te worden bereikt. Een belangrijke randvoorwaarde om het doel te kunnen bereiken, is natuurlijk dat de ITauditors bekend moeten zijn met het Reglement Gedragscode. Dit lijkt op basis van de enquête wel het geval te zijn. Nuancering hierbij is wel dat deze kennis met name ‘van papier’ lijkt te zijn opgebouwd. Een volgende stap die wat ons betreft gezet dient te worden, is het in scholing en discussies verder aandacht besteden aan ethiek. Positief is ook dat de respondenten ethiek in het auditberoep belangrijk vinden. De meerderheid van hen ziet hierbij ook een rol weggelegd voor een gedragscode. Wij vinden het ook positief dat de meeste respondenten de voorkeur geven aan de huidige code boven de oude code. Mede gelet op de uitkomsten van het literatuuronderzoek vinden wij het ook positief dat de respondenten overwegend de voorkeur geven aan een principle-based benadering. Kortom, over het nut van een gedragscode en de primaire invalshoek ervan lijkt relatief weinig discussie te bestaan. Dit lijkt derhalve bij te dragen aan het bereiken van de doelstelling van de code. Als we verder kijken naar de inhoudelijke aspecten van het Reglement Gedragscode, dan geeft de meerderheid van de respondenten aan dat zij op totaalniveau de opzet met fundamentele beginselen toereikend vinden. De algemene indruk is dan ook overwegend positief. Echter zijn uit de enquêteresultaten wel een aantal mogelijke discussie- en verbeterpunten af te leiden. Zo blijken de meeste respondenten behoefte te hebben aan voorbeelden. Deze ontbreken in het huidige Reglement Gedragscode echter nagenoeg. Ook zijn er respondenten die graag meer expliciete aandacht zien voor onafhankelijkheid, ook al zijn de meningen hierover verdeeld. Hetzelfde geldt voor het eventueel opnemen van afzonderlijke secties in het Reglement Gedragscode die zijn toegespitst op de diverse werkterreinen van de ITauditor. Ook ten aanzien van de toepassing van de code zijn uit de enquête enkele trends af te leiden, uiteraard voor zover dit met behulp van een enquête mogelijk is. Circa de helft van de respondenten heeft aangegeven weleens tegen een bedreiging van een fundamenteel beginsel te zijn aangelopen, de helft dus ook niet. Ook geeft weliswaar de meerderheid van de respondenten aan de code in het dagelijkse werk toe te passen, maar dit aantal moet ons inziens nog wel hoger. Ook de wijze van dossiervorming omtrent ethische evaluaties lijkt op basis van de enquête een punt van aandacht te zijn. De gehele enquête overziend concluderen wij dat het doel van het Reglement Gedragscode volgens de IT-auditors gedeeltelijk wordt bereikt. Er dienen echter nog wel stappen te worden gezet om het Reglement Gedragscode verder in te bedden in de dagelijkse beroepsuitoefening. Ook zijn er nog diverse inhoudelijke punten waarover verder dient te worden nagedacht en gediscussieerd. Hiertoe hebben wij in § 6.3 een aantal aanbevelingen opgenomen.

56

Tenslotte hebben we de resultaten van de enquête en onze aanbevelingen voorgelegd aan een tweetal deskundigen. Dit betrof een tweetal hoogleraren die ook deel uitmaken van de Raad voor Beroepsethiek van de NOREA. Beide deskundigen herkenden de enquêteresultaten en onderschreven de door ons geformuleerde aanbevelingen. Uit deze resultaten en aanbevelingen blijkt dat er nog een aantal stappen gezet dienen te worden om het doel van het Reglement Gedragscode te bereiken. In hoeverre is het huidige Reglement Gedragscode van de NOREA toekomstvast en wat zou er eventueel moeten veranderen? Overall gezien zijn wij op basis van de onderzoeksresultaten van mening dat het fundament van het Reglement Gedragscode met de fundamentele beginselen en het conceptueel raamwerk een goede basis biedt en zeker toekomstperspectief heeft. Echter blijkt uit het onderzoek ook dat je er met deze basis alleen nog niet bent. Om het Reglement Gedragscode voldoende toekomstvast te maken, dienen er op grond van de onderzoeksresultaten in ieder geval een aantal veranderingen te worden overwogen. Enkele mogelijke veranderingen, die hiervoor reeds in meer of mindere mate aan de orde zijn gekomen, sommen wij hieronder kort op:
meer aandacht voor ethiek in publicaties en discussies. Alleen het opstellen van een ethische code is ontoereikend;
herevalueren aandacht voor onafhankelijkheid;
herevalueren opname van voorbeelden inzake toepassing van de code;
herevalueren opname afzonderlijke secties voor categorieën IT-auditors;
(nogmaals) duidelijk maken voor wie en wanneer de code van toepassing is;
nadere guidance opstellen omtrent dossiervorming inzake ethische evaluaties. In § 6.3 hebben wij een nadere uiteenzetting van onze aanbevelingen gegeven. Zoals uit bovenstaande blijkt, zien enkele punten op veranderingen in de code zelf. Er zijn echter ook enkele punten die betrekking hebben op de communicatie omtrent toepassing van de code en de wijze van doorvoeren van wijzigingen in de code. Aandacht van de NOREA en de IT-auditors voor deze beide aspecten is ons inziens nodig om te komen tot een toekomstvast Reglement Gedragscode. Bij het doorvoeren van eventuele wijzigingen in het Reglement Gedragscode zelf plaatsen wij wel direct enkele randvoorwaardelijke kanttekeningen. Enerzijds moet worden gekeken naar de mate waarin convergentie met de IFAC (waarbij de NOREA is aangesloten) wordt bereikt. Anderzijds moet ook voldoende aandacht bestaan voor de eigen identiteit van de NOREA en de specifieke werkzaamheden die door haar leden worden verricht. Vraagstelling Is het Reglement Gedragscode van de NOREA in opzet praktisch toepasbaar en welke lessen kunnen hieruit worden geleerd? Uit ons onderzoek is gebleken dat het Reglement Gedragscode van de NOREA in opzet overwegend praktisch toepasbaar lijkt te zijn. Blijkens de enquêteresultaten wordt de code positief opgepakt. Ook vinden vrijwel alle respondenten het positief dat er sprake is van een principle-based code. Ondanks bovenstaande totaalconclusie volgt uit zowel het literatuur- als praktijkonderzoek dat er nog wel verbeteringen mogelijk zijn. Hierbij denken wij bijvoorbeeld aan explicietere aandacht voor onafhankelijkheid, het opstellen van voorbeelden voor de toepassing van het Reglement Gedragscode in specifieke situaties en het aanbrengen van onderscheid in categorieën IT-auditors. Ook het door de NOREA te bewandelen traject bij het doorvoeren van eventuele toekomstige wijzigingen dient zorgvuldig te worden overwogen. Hierbij dienen zowel vooraf bij het opstellen leden te worden geconsulteerd als bij de implementatie van wijzigingen

57

regelmatig discussiebijeenkomsten en scholing omtrent ethiek in de praktijk plaats te vinden. Hierbij dient ook benadrukt te worden dat het Reglement Gedragscode voor alle ingeschreven RE’s van toepassing is. Ook de daadwerkelijke toepassing in de praktijk en de wat ons betreft daarbij horende dossiervorming verdienen aandacht.

58

8. Persoonlijke reflectie Terugkijkend op het doorlopen scriptietraject zijn wij van mening dat het zeker een leerzame periode is geweest. Hierbij onderscheiden wij enerzijds de inhoudelijke kant, anderzijds de menselijke kant. Ten aanzien van de inhoudelijke kant hebben wij onze kennis omtrent de ethische aspecten van het vakgebied van (IT-)auditing zeker verbreed en verdiept. Wij vonden het interessant om nu eens niet met de technische kant van het beroep bezig te zien, maar met een ‘softer’ onderwerp als ethiek en gedrag. Hoewel wij ons (hopelijk) al wel ethisch gedragen, is dit vaak nog relatief onbewust en op de automatische piloot. Wij zijn er nu echter nog meer dan voorheen van doordrongen dat zeker bij beroepsmatige dilemma’s en casuïstiek explicietere afwegingen nodig zijn. Aangezien wij beiden ook de opleiding tot registeraccountant hebben gevolgd, was het voor ons extra interessant om de code van de NOREA te vergelijken met de codes van het NIVRA en de IFAC. Zowel de historische ontwikkeling van de codes als de inhoudelijke vergelijking van de huidige codes hebben ons inzicht in deze specifieke materie vergroot. Wij verwachten hiervan in onze toekomstige beroepsuitoefening zeker gebruik te kunnen maken. Ook vonden wij het leuk om ons te begeven op een gebied waaromtrent nog niet heel veel is geschreven, zeker niet vanuit het perspectief van de IT-auditor. Hierbij hadden wij het gevoel echt iets aan het vakgebied van IT-auditing te kunnen toevoegen, hetgeen zeker stimulerend heeft gewerkt. Aangezien het schrijven van een scriptie eigenlijk kan worden beschouwd als een soort project, vinden wij het ook belangrijk om in deze reflectie enige aandacht te besteden aan de menselijke kanten van dit project. Wij kunnen hieromtrent op deze plaats niet alles benoemen, maar enkele bespiegelingen willen wij de lezer toch niet onthouden. Wij vonden het, zoals ook reeds in het voorwoord vermeld, prettig om deze scriptie samen te kunnen schrijven. Ten aanzien van het praktijkonderzoek, en dan met name de enquête, waren met name de contacten met de (toekomstige) collega IT-auditors wisselend. Waar de ene IT-auditor enthousiast en meewerkend reageerde, liet de andere IT-auditor zich ronduit onbeschoft uit. Teneinde het scriptieproces niet te frustreren, hebben wij in de laatste gevallen maar een paar keer tot tien geteld. Blijkbaar hanteert niet iedereen dezelfde maatstaven ten aanzien van professioneel gedrag. Kortom, het onderzoeken en schrijven van deze scriptie was een interessant proces. Dat er daardoor wat meer uurtjes in deze scriptie zijn gaan zitten dan vereist, zij zo. Amersfoort, maart 2011

Zafer Gültekin

Jan Woudenberg

59

Literatuurlijst Accountantskamer, Inschrijving AA voor tien jaar doorgehaald, Accountancynieuws, 7 mei 2010. Algera, M., A. Jansen, W. Meykamp en P. Westerhuis, Ethiek in bedrijf. Belle, L.H., Accountancy en Beroepsethiek, met Naschrift van Th. Limperg jr., Maandblad voor Accountancy en Bedrijfshuishoudkunde, januari 1940. Bindenga, A., Code commotie, MAB, maart 2007. Bindenga, A.J., Het openbaar accountantsberoep als professioneel beroep, MAB, december 2000. Blass, T., The Milgram paradigm after 35 years: Some things we now know about obedience to authority, Journal of Applied Social Psychologie, 1999 nr. 29. Blokdijk, J.H., Alternatief voor gedragscode bijgepunt, Accountancynieuws, 24 november 2006. Bollom, J.W., Ethics and Self-Regulation for CPAs in the U.S.A., Journal of Business Ethics, 1988. Borne, J. van den, en J. de Vries, RA RE kan dat wel???, de EDP-auditor, oktober 1994. Bruijn, A.J.M. de, De externe IT-auditor en de beroepsorganisatie in 2015, de EDP-Auditor, nummer 2 2005. Conroy, S.J., T.L.N. Emerson and F. Pons, Ethical Attitudes of Accounting Practitioners: Are Rank and Ethical Attitudes Related?, Journal of Business Ethics, 2010. Dassen, R.J.M., De Leer van het Gewekte Vertrouwen: Agency avant la lettre?, Maandblad voor Accountancy en Bedrijfseconomie, september 1989. Deckers, F.B.M. en J.C.E. van Kollenburg, Elementaire theorie accountantscontrole. Dellaportas, S., Making a Difference with a Discrete Course on Accounting Ethics, Journal of Business Ethics, 2006. Dieleman, De VGC in de praktijk (II), Accountant Adviseur, november 2007. Directoraat-Generaal voor Handel en Nijverheid/DO, Regelen Beroepsuitoefening Registeraccountants, 9 juli 1963, Nr. 263/4755. Emerson, T.L.N., S.J. Conroy and C.W. Stanley, Ethical Attitudes of Accountants: Recent Evidence from a Practitioners’ Survey, Journal of Business Ethics, 2007. Felton, S., T. Dimnik and D. Bay, Perceptions of Accountants’ Ethics: Evidence from Their Portrayal in Cinema, Journal of Business Ethics, 2008. Fijneman, R., IT-auditor: adviseur of controleur?, Automatisering Gids, 18, 2005. Fijneman, R., E. Roos Lindgreen en P. Veltman, Grondslagen IT-auditing. Finn, D.W., L.B. Chonko and S.D. Hunt, Ethical Problems in Public Accounting: The View from the Top, Journal of Business Ethics, 1988.

60

Frielink, A.B. en A. Schilder, De GBA verklaard. Horn, H.A.L.M. van, Voor professional accountants in business: gedragscode, of code of ethics?, MCA, april 2007. International Federation of Accountants, Statements of Membership Obligations, Revised as of November 10, 2006. Kaptein, M. and J. Wempe, Twelve Gordian Knots When Developing an Organizational Code of Ethics, Journal of Business Ethics, 1998. Kersten, F., IT-auditor, wordt wakker?!, de EDP-auditor 2009/1. Kloosterman, T.G. en M.A. de Kiewit, NOREA Code of Ethics globaal toepasbaar?, Compact 2006/3. Kocks, C., De EDP-auditor: rechts-, normhandhaver of deskundig burger, de EDP-auditor, 2e jaargang, nr. 2 1993. Kollenburg, J.C.E. van, De deugd in het midden; Een beschouwing over kwaliteit in het accountantsberoep, de Accountant, november 1991. Koninklijk Nederlands Instituut van Registeraccountants, Verordening gedrags- en beroepsregels registeraccountants, 1994. Langen, R. van, en B. Majoor, GBR herzien, de Accountant, november 2003. Limperg jr., Th., De functie van de accountant en de leer van het gewekte vertrouwen, 1932/33, Maandblad voor de Accountancy en Bedrijfshuishoudkunde. Majoor, B., Aanscherpingen in gedrags- en onafhankelijkheidsregels accountants op komst, Accountancynieuws, 11 september 2009. Majoor, B., Een robuust stelsel, de Accountant, juni 2004. Majoor, B., Minder ‘precies’, maar wel voor iedereen, de Accountant, juli/augustus 2006. Majoor, B., Nieuwe Gedrags- en beroepscode is aanstaande, Internationaler, specifieker en dwingender, de Accountant, maart 2005. Marinus, D., Verordening Gedragscode, NIVRA/Nyenrode, 2007. Melé, D., Ethical Education in Accounting: Integrating Rules, Values and Virtues, Journal of Business Ethics, 2005. Moleveld, W. en B. Majoor, NIVRA’s Verordening Gedragscode versus IFAC’s Code of Ethics, MAB, september 2008. Mollema, K., NOREA en NivRA, een LAT relatie!, de EDP-auditor, januari 1995. Molnar, K.K., M.G. Kletke and J. Chongwatpol, Ethics vs. IT Ethics: Do Undergraduate Students Perceive a Difference?, Journal of Business Ethics, 2008. Nederlands Instituut van Accountants, Ereregelen, 1946. Nederlands Instituut van Accountants, Reglement van Arbeid, 1946.

61

Nederlands Instituut van Registeraccountants, Gedrags- en Beroepsregels Registeraccountants, 1973. Nederlands Instituut van Registeraccountants, Gedrags- en Beroepsregels Registeraccountants 1994, en de totstandkoming daarvan. Nederlands Instituut van Registeraccountants, Rapport van de Commissie Inventarisatie GBR, Ontwerp ter discussie 25, 1990. Nederlands Instituut van Registeraccountants, Van R.B.R. tot GBR, 1972/1973. Nederlandsch Instituut van Accountants, Herziening Reglement van Arbeid, 1946. Nederlandsch Instituut van Accountants, Voorstellen tot herziening der statuten, het huishoudelijk reglement en het reglement op de tuchtrechtspraak en tot vaststelling van eere-regelen en een algemeen kring-reglement, 1946. Nederlandse Orde van Register EDP-Auditors, Reglement Gedragscode (‘Code of Ethics’), opgenomen in de RE-gids 2010/2011. Nederlandse Orde van Register EDP-Auditors, Reglement Gedrags- en Beroepsregels Register EDP-auditors, opgenomen in het jaarboek 2005/2006. Nierop, T., Nieuwe gedragscode na tumultueuze Ledenvergadering, de Accountant, januari 2007. NOREA, E-studie voor NOREA, Leereenheid 1: Reglement Gedragscode, 2009. NOREA, Herziening Beroepsregels en Richtlijnen voor IT-auditors, de EDP-auditor, nummer 2 | 2007. Satava, D., C. Caldwell and L. Richards, Ethics and the Auditing Culture: Rethinking the Foundation of Accounting and Auditing, Journal of Business Ethics, 2006. Schilder, A., Kernbegrippen van accountantsethiek, 1989. Schlachter, P.J., Organizational Influences on Individual Ethical Behavior in Public Accounting, Journal of Business Ethics, 1990. Sijbring, H.E., De EDP-auditor: vertrouwensman, agent of …?, de EDP-auditor/Compact 1996/3. Storm, J.R., Wet op de registeraccountants. Vergoossen, R.G.A., Code-Blokdijk geen alternatief voor VGC, Accountancynieuws, 24 november 2006. Verkruijsse, J.P.J., Van de Raad voor Beroepsethiek, de EDP-Auditor, april 1993. Veth, E., Externe assurance-regels voor het interne IT-audit beroep, de EDP-Auditor, nummer 3|2009. Vlugt, J. van der, Controleur, ontwaakt als I-Auditor!, de EDP-auditor 2009/2. Westra, B.A.J. en M.J.Th. Mooijekind, Compendium van de Accountantscontrole. Wietsma, J., VGC: definitie openbaar accountant flink opgerekt, Accountancynieuws, 12 januari 2007.

62

Wijnen, J.F. van, De beulen zijn hier onder ons, het Financieele Dagblad, 15 december 2006. Wijnen, J.F. van, Gedragscode accountant, het Financieele Dagblad, 18 december 2006.

63

Bijlage 1: Reglement Gedragscode ('Code of Ethics') Tijdens de Algemene Vergadering van de NOREA op 13 juli 2006 is ingestemd met de 'Code of Ethics voor IT-auditors' ter vervanging van het Reglement Gedrags- en Beroepsregels Register EDP-Auditors (GBRE). Deze Code of Ethics is gebaseerd op de Code of Ethics van de International Federation of Accountants (IFAC) en geldt met ingang van 14 juli 2006. Gedragscode geldend voor iedere IT-auditor Hoofdstukindeling: A-100 Inleiding en fundamentele beginselen A-110 Integriteit A-120 Objectiviteit A-130 Deskundigheid en zorgvuldigheid A-140 Geheimhouding A-150 Professioneel gedrag Hoofdstuk A-100 Inleiding en fundamentele beginselen Artikel A-100.1 De IT-auditor aanvaardt te allen tijde de verantwoordelijkheid op te treden in het algemeen belang en behartigt dientengevolge niet uitsluitend de belangen van een individuele opdrachtgever. Daartoe neemt de IT-auditor bij zijn optreden deze Code in acht en handelt in overeenstemming daarmee. Artikel A-100.2 De IT-auditor maakt van het in deze Code beschreven conceptueel raamwerk gebruik bij het signaleren van een bedreiging. Hij evalueert een bedreiging naar aard en belang. Indien blijkt dat een bedreiging van niet te verwaarlozen betekenis is, treft de IT-auditor waarborgen die de bedreiging wegnemen of terugbrengen tot een aanvaardbaar niveau, zodat de naleving van de fundamentele beginselen geen geweld wordt aangedaan. De ITauditor legt de bedreiging van niet te verwaarlozen betekenis, de naar aanleiding daarvan getroffen waarborgen en zijn conclusie vast. Artikel A-100.3 Deze Code bevat de fundamentele beginselen van de beroepsethiek voor de IT-auditor, alsmede het conceptueel raamwerk voor de toepassing van deze fundamentele beginselen. Het conceptueel raamwerk geeft richting aan de toepassing van deze fundamentele beginselen. Het NOREA-bestuur kan nadere regels uitvaardigen over de toepassing van het conceptueel raamwerk in specifieke situaties opdat waarborgen worden opgenomen die in aanmerking komen om een bedreiging weg te nemen of terug te brengen tot een aanvaardbaar niveau. Ook kunnen voorbeelden worden opgenomen van situaties waarin geen waarborgen beschikbaar zijn en van activiteiten of relaties die moeten worden vermeden. Deze Code is van toepassing op iedere in het RE-register ingeschreven IT-auditor. Fundamentele beginselen Artikel A-100.4 De IT-auditor neemt de volgende fundamentele beginselen in acht: a) Integriteit De IT-auditor treedt in zijn beroepsmatige en zakelijke betrekkingen eerlijk en oprecht op.

64

b) Objectiviteit De IT-auditor accepteert niet dat zijn professioneel of zakelijk oordeel wordt aangetast door een vooroordeel, belangentegenstelling of ongepaste beïnvloeding door een derde. c) Deskundigheid en zorgvuldigheid De IT-auditor houdt zijn deskundigheid en vaardigheid op het niveau dat is vereist om aan een opdrachtgever professionele diensten te kunnen verlenen in overeenstemming met actuele ontwikkelingen in de praktijk, wetgeving en vaktechniek. De IT-auditor handelt bij het verlenen van professionele diensten zorgvuldig en in overeenstemming met de van toepassing zijnde vaktechnische en overige beroepsvoorschriften. d) Geheimhouding De IT-auditor eerbiedigt het vertrouwelijke karakter van informatie die hij in het kader van zijn beroepsmatig en zakelijk handelen heeft verkregen. Hij maakt deze informatie zonder specifieke machtiging daartoe niet aan een derde bekend, tenzij wettelijk of beroepshalve een recht of plicht daartoe bestaat. Het is de IT-auditor niet toegestaan vertrouwelijke informatie die hij bij zijn beroepsmatig of zakelijk handelen heeft verkregen, te gebruiken om zichzelf of een derde te bevoordelen. e) Professioneel gedrag De IT-auditor houdt zich aan de voor hem relevante wet- en regelgeving en onthoudt zich van handelen dat het auditberoep in diskrediet brengt. Bij samenloop van functies dient een zodanige zorgvuldigheid in acht genomen te worden dat de relatie tussen het optreden c.q. het uiting geven als Register EDP-auditor en de andere functie ondubbelzinnig bepaald is. Deze fundamentele beginselen zijn gedetailleerd besproken in de artikelen A-110 tot en met artikel A-150. Conceptueel raamwerk Artikel A-100.5 De IT-auditor handelt in overeenstemming met het conceptueel raamwerk bij iedere door hem gesignaleerde bedreiging die niet van te verwaarlozen betekenis is en bij de naar aanleiding daarvan getroffen waarborgen die deze bedreiging wegnemen of terugbrengen tot een aanvaardbaar niveau. De omstandigheid waaronder de IT-auditor zijn werkzaamheden verricht kan leiden tot een bedreiging. Het is niet mogelijk iedere situatie te beschrijven waarin een bedreiging ontstaat en aan te geven welke waarborgen daartegen kunnen worden getroffen. Bovendien kunnen de aard van de opdrachten en van de uit te voeren werkzaamheden verschillen. Als gevolg daarvan kunnen ook verschillende en meerdere bedreigingen optreden waardoor het treffen van verschillende en meerdere waarborgen noodzakelijk is. Een conceptueel raamwerk dat van de IT-auditor vraagt iedere bedreiging te signaleren, te evalueren en aan de orde te stellen, in plaats van de eis te voldoen aan een aantal min of meer arbitraire specifieke regels, is in het algemeen belang. Deze Code biedt een raamwerk ter ondersteuning van de IT-auditor bij het signaleren en evalueren van iedere bedreiging en bij het in reactie daarop treffen van de juiste waarborgen. Artikel A-100.6 De IT-auditor evalueert omstandigheden of relaties waarmee hij bekend is of in redelijkheid bekend behoort te zijn, die de naleving van de fundamentele beginselen in gevaar kan brengen. Artikel A-100.7 De IT-auditor betrekt bij het beoordelen van de aard, het belang en de ernst van een bedreiging zowel kwalitatieve als kwantitatieve factoren. Indien de IT-auditor niet in staat is adequate waarborgen te treffen weigert of beëindigt hij een opdracht tot het verlenen van

65

een professionele dienst of beëindigt hij de opdrachtrelatie met de cliënt, dan wel zijn relatie met de organisatie waarbij of ten behoeve waarvan hij werkzaam is. Artikel A-100.8 De IT-auditor kan onopzettelijk een bepaling uit deze Code schenden. Indien dit het geval is, dan is er mogelijk, afhankelijk van de aard en de betekenis ervan, geen sprake van schending van de basisbeginselen mits de gevolgen onmiddellijk na ontdekking van de schending worden geëvalueerd, voorzover mogelijk gecorrigeerd en eventuele waarborgen worden getroffen. Artikel A-100.9 De IT-auditor beperkt zich bij het toepassen van het conceptueel raamwerk niet tot de in deze Code opgenomen voorbeelden. Bedreigingen en waarborgen Artikel A-100.10 Het scala aan bedreigingen is groot. Een bedreiging valt doorgaans in één of meerdere van de volgende categorieën: a. bedreiging als gevolg van eigenbelang: Dit is de bedreiging die ontstaat uit een financieel of ander belang van de IT-auditor dan wel van een gezins- of naast familielid van hem; b. bedreiging als gevolg van zelftoetsing: Dit is de bedreiging die ontstaat indien de ITauditor zijn eigen werkzaamheden of het resultaat daarvan beoordeelt; c. bedreiging als gevolg van belangenbehartiging: Dit is de bedreiging die ontstaat indien de IT-auditor op een zodanige wijze een standpunt verdedigt dat objectiviteit in het gedrang komt; d. bedreiging als gevolg van vertrouwdheid: Dit is de bedreiging die ontstaat indien er een nauwe band bestaat tussen de IT-auditor en zijn opdrachtgever of indien de IT-auditor te veel sympathie koestert voor de belangen van een ander; e. bedreiging als gevolg van intimidatie: Dit is de bedreiging die ontstaat indien de ITauditor door feitelijke of vermeende dreigementen wordt afgehouden van objectief handelen. Artikel A-100.11 Waarborgen die een bedreiging wegnemen of tot een aanvaardbaar niveau terugbrengen zijn globaal in twee categorieën te verdelen: a) waarborgen tot stand gebracht door de wetgever, de NOREA of andere regelgevers; en b) waarborgen in de werkomgeving. Artikel A-100.12 De waarborgen tot stand gebracht door de wetgever, de NOREA of andere regelgevers omvatten onder meer: a. regelgeving ten aanzien van Corporate- en/of IT-Governance; b. eisen voor inschrijving in het RE-register ter zake van opleiding, ervaring en goed gedrag; c. eisen ten aanzien van de permanente educatie; d. vaktechnische en overige beroepsvoorschriften; e. stelsel van kwaliteitsbeheersing; f. externe beoordeling van de door de IT-auditor uitgevoerde assurance en daaraan verwante opdrachten; g. klacht- en tuchtrecht. Artikel A100.13 P.M. Artikel A-100.14 Bepaalde waarborgen kunnen de kans vergroten dat onethisch gedrag wordt voorkomen of

66

wordt ontdekt. Dergelijke waarborgen die kunnen zijn getroffen door de wetgever, de NOREA, andere regelgevers of de huishouding waaraan de IT-auditor is verbonden of waarbij hij werkzaam is, omvatten onder meer een effectieve en in ruime kring bekend gemaakte procedure, uitgevoerd door de werkgever, de NOREA of een regelgever, die het mogelijk maakt dat collega's, werkgevers of andere personen onprofessioneel of onethisch gedrag kunnen melden. Artikel A-100.15 In zijn professionele oordeelsvorming neemt de IT-auditor in aanmerking hetgeen een redelijk en goed geïnformeerde derde die over alle relevante informatie beschikt, waaronder de aard en het belang van de bedreiging en de getroffen waarborgen, als aanvaardbaar zal aanmerken. De aard en het belang van de te treffen waarborgen zijn afhankelijk van de specifieke omstandigheden. Oplossen van beroepsethische conflicten Artikel A-100.16 Bij het beoordelen van het al dan niet naleven van de fundamentele beginselen is het mogelijk dat van de IT-auditor wordt verlangd dat hij een oplossing vindt voor een conflict over de toepassing van de fundamentele beginselen. Artikel A-100.17 Indien de IT-auditor formeel dan wel informeel het initiatief neemt een conflict over de toepassing van de fundamentele beginselen op te lossen neemt hij de volgende aspecten, hetzij afzonderlijk, dan wel in hun onderlinge samenhang, in aanmerking: a. de relevante feiten; b. de relevante beroepsethische aspecten; c. de fundamentele beginselen die van toepassing zijn op het conflict; d. de geldende interne procedures; en e. de mogelijke alternatieve handelwijzen. Nadat de IT-auditor deze aspecten in aanmerking heeft genomen, kiest hij een adequate handelwijze overeenkomend met de in het geding zijnde fundamentele beginselen. Daarbij weegt de IT-auditor de gevolgen van de alternatieve handelwijzen tegen elkaar af. Indien voor het conflict geen oplossing wordt gevonden vraagt de IT-auditor advies aan de daartoe aangewezen personen van de auditorganisatie waarbij hij werkzaam is of waaraan hij is verbonden of van de organisatie waarbij of ten behoeve waarvan hij werkzaam is. Artikel A-100.18 Als de kwestie bestaat uit een conflict met of binnen een organisatie overweegt de ITauditor daarnaast om degenen die zijn belast met het bestuur van of met het toezicht op die organisatie te raadplegen. Hierbij kan gedacht worden aan de directie, Raad van Commissarissen of de audit commissie. Artikel A-100.19 Het is in het belang van de IT-auditor de meest belangrijke aspecten van het conflict, de details van de gevoerde besprekingen en de daaromtrent genomen besluiten te documenteren. Artikel A-100.20 Indien de IT-auditor een ernstig conflict niet kan oplossen, verdient het aanbeveling dat hij, zonder de vertrouwelijkheid geweld aan te doen, advies vraagt aan de NOREA (Raad voor Beroepsethiek) of aan een juridische adviseur. Indien de IT-auditor bijvoorbeeld wordt geconfronteerd met een fraude waarvan bekendmaking kan leiden tot een bedreiging voor de naleving van de

67

geheimhoudingsplicht, overweegt hij of het noodzakelijk is juridisch advies in te winnen om te bepalen of hij al dan niet verplicht is de fraude bij de daarvoor aangewezen instanties te melden. Artikel A-100.21 Indien, nadat alle denkbare oplossingen in de beoordeling zijn betrokken, het niet mogelijk blijkt het beroepsethische conflict op te lossen, maakt de IT-auditor, indien mogelijk, een einde aan zijn betrokkenheid bij de aangelegenheid die heeft geleid tot het conflict. Dit kan betekenen dat de IT-auditor, gezien de omstandigheden, moet besluiten zich uit het opdrachtteam terug te trekken, zijn medewerking aan een deelopdracht te beëindigen, zijn functie bij de opdracht neer te leggen of zijn relatie met de auditorganisatie of de organisatie waarbij of ten behoeve waarvan hij werkzaam is te verbreken of ontslag te nemen. Hoofdstuk A-110 Integriteit Artikel A-110.1 De IT-auditor treedt in zijn beroepsmatige en zakelijke betrekkingen eerlijk en oprecht op, doet eerlijk zaken en doet de waarheid geen geweld aan. Artikel A-110.2 De IT-auditor vermijdt dat hij in verband wordt gebracht met informatie die naar zijn oordeel een bewering bevat die: a. materieel onjuist of misleidend is; b. op ongefundeerde gronden is gedaan; c. niet volledig is of een verkeerde indruk wekt als gevolg waarvan de bewering als misleidend kan worden ervaren. Artikel A-110.3 De IT-auditor handelt niet in strijd met het bepaalde in artikel A-110.2 indien hij aan bedoelde informatie een mededeling toevoegt waarin hij zijn bezwaren tegen deze informatie tot uitdrukking brengt. Hoofdstuk A-120 Objectiviteit Artikel A-120.1 De IT-auditor accepteert niet dat zijn professioneel of zakelijk oordeel wordt aangetast door een vooroordeel, belangentegenstelling of ongepaste beïnvloeding door een derde. Artikel A-120.2 De IT-auditor vermijdt iedere situatie die zijn professionele oordeelsvorming op een ongepaste wijze beïnvloedt. De IT-auditor kan in een situatie komen te verkeren waarin zijn objectiviteit in het gedrang komt. Het is onmogelijk al deze situaties te beschrijven. Hoofdstuk A-130 Deskundigheid en zorgvuldigheid Artikel A-130.1 De IT-auditor houdt zijn deskundigheid en vaardigheid op het niveau dat is vereist om aan een opdrachtgever professionele diensten te kunnen verlenen in overeenstemming met actuele ontwikkelingen in de praktijk, wetgeving en vaktechniek. De IT-auditor handelt bij het verlenen van professionele diensten zorgvuldig en in overeenstemming met de van toepassing zijnde vaktechnische en overige beroepsvoorschriften. Artikel A-130.2 Deskundige dienstverlening vereist van de IT-auditor een deugdelijke oordeelsvorming bij de toepassing van zijn professionele kennis en vaardigheid. Professionele deskundigheid

68

kan worden verdeeld in twee verschillende fasen: a. het verwerven van professionele deskundigheid; en b. het in stand houden van professionele deskundigheid. Artikel A-130.3 Voor het in stand houden van de professionele deskundigheid van de IT-auditor is kennis van en inzicht in de relevante vaktechnische en beroepsmatige ontwikkelingen vereist, alsmede van ontwikkelingen in het bedrijfsleven. Permanente educatie stelt de IT-auditor in staat in de omgeving waarin hij beroepsmatig werkzaam is in continuïteit deskundig op te treden. Artikel A-130.4 Zorgvuldigheid omvat de verantwoordelijkheid van de IT-auditor op te treden in overeenstemming met de eisen die gelden voor de uitvoering van een opdracht, te weten toewijding, voldoende diepgang en tijdigheid. Artikel A-130.5 De IT-auditor treft maatregelen die ervoor zorgen dat degenen die onder zijn verantwoordelijkheid werken de juiste opleiding hebben en onder adequaat toezicht staan. Artikel A-130.6 De IT-auditor maakt indien daartoe aanleiding bestaat zijn opdrachtgevers of andere gebruikers van zijn professionele diensten attent op de inherente beperkingen die zijn verbonden aan zijn diensten. Aldus voorkomt hij dat een door hem gegeven oordeel wordt geïnterpreteerd als een feitelijke bewering. Artikel A-130.7 Het bestuur kan nadere voorschriften geven aangaande het bepaalde in artikel A-130.1 t/m A-130.6 ten aanzien van permanente educatie, audit- en overige standaarden. Hoofdstuk A-140 Geheimhouding Artikel A-140.1 De IT-auditor onthoudt zich van: a. het buiten de auditpraktijk waarbij hij werkzaam is of waaraan hij is verbonden of buiten de organisatie waarbij of ten behoeve waarvan hij werkzaam is, bekend maken van vertrouwelijke informatie, die hij in het kader van zijn beroepsmatig en zakelijk optreden heeft verkregen, tenzij hij is gemachtigd tot bekendmaking over te gaan of wettelijk dan wel beroepshalve daartoe een recht of plicht bestaat; en b. het gebruikmaken van vertrouwelijke informatie die hij in het kader van zijn beroepsmatig en zakelijk handelen heeft verkregen om zichzelf of een derde te bevoordelen. Artikel A-140.2 De IT-auditor houdt zich in zijn sociale omgang ook aan zijn geheimhoudingsplicht. De IT-auditor is erop bedacht dat bij een langdurige omgang met een zakenrelatie, een gezinslid of een naast familielid de mogelijkheid bestaat onopzettelijk te handelen in strijd met zijn geheimhoudingsplicht. Artikel A-140.3 De IT-auditor neemt zijn geheimhoudingsplicht ook in acht ter zake van informatie die hem ter beschikking is gesteld door een potentiële opdrachtgever. Artikel A-140.4 De IT-auditor overweegt de noodzaak de geheimhoudingsplicht in acht te nemen binnen de auditorganisatie waaraan hij is verbonden of waarbij hij werkzaam is of binnen de organisatie waarbij of ten behoeve waarvan hij werkzaam is.

69

Artikel A-140.5 De IT-auditor treft de redelijkerwijs te nemen maatregelen om te waarborgen dat de voor hem geldende geheimhoudingsplicht tevens in acht wordt genomen door personeelsleden die hiërarchisch aan hem ondergeschikt zijn en door personen aan wie hij om advies of ondersteuning vraagt. Artikel A-140.6 De IT-auditor houdt zich aan zijn geheimhoudingsplicht ook na het beëindigen van de verbintenis met een cliënt of met een organisatie waarbij of ten behoeve waarvan hij werkzaam is. Wanneer een IT-auditor van werkgever verandert of nieuwe opdrachten verwerft, is het hem toegestaan gebruik te maken van de bij zijn eerdere werkzaamheden verkregen kennis en opgedane ervaring. De vertrouwelijke informatie die de IT-auditor tijdens deze eerdere werkzaamheden heeft verkregen mag hij niet gebruiken of bekendmaken. Artikel A-140.7 De IT-auditor kan in een situatie komen te verkeren waarin hij verplicht is of waarin het maatschappelijk juist is vertrouwelijke informatie bekend te maken. Voorbeelden hiervan zijn: (a) bekendmaking is wettelijk toegestaan en door de opdrachtgever goedgekeurd; (b) bekendmaking is wettelijk verplicht, bijvoorbeeld in geval van: i) de oplevering van documenten of levering van bewijs in het kader van een rechtsgeding; ii) de melding aan de geëigende overheidsinstanties van aan het licht gekomen schendingen van de wet; en (c) de IT-auditor heeft een beroepsplicht, of is gerechtigd, tot bekendmaking, wanneer zulks niet bij wet verboden is: i) ter naleving van vaktechnische standaarden en ethische vereisten; ii) ter bescherming van de beroepsbelangen van een IT-auditor bij een rechtsgeding; iii) teneinde medewerking te verlenen aan de kwaliteitsbeoordeling door de beroepsorganisatie; of iv) om te beantwoorden aan een verzoek om inlichtingen of een onderzoek door de beroepsorganisatie of een toezichthoudend lichaam. Artikel A-140.8 Alvorens de IT-auditor besluit tot bekendmaking van vertrouwelijke informatie over te gaan betrekt hij in zijn besluitvorming: a. in hoeverre de belangen van alle partijen, inclusief een derde waarvan de belangen in het spel zijn, kunnen worden geschaad in de situatie waarin een opdrachtgever de ITauditor toestemming geeft tot het bekendmaken van de vertrouwelijke informatie; b. in hoeverre alle relevante informatie bij hem bekend en voor zover uitvoerbaar, onderbouwd is. Indien het betreft het bekendmaken van onbewezen gegevens, onvolledige informatie of ongefundeerde conclusies, is professionele oordeelsvorming noodzakelijk om de wijze van bekendmaking vast te stellen; en c. de wijze van communicatie die wordt verwacht en degene aan wie deze wordt gericht. In het bijzonder overtuigt de IT-auditor zich ervan dat degene met wie wordt gecommuniceerd de juiste ontvanger is. Hoofdstuk A-150 Professioneel gedrag Artikel A-150.1 De IT-auditor houdt zich aan de voor hem relevante wet- en regelgeving en onthoudt zich van handelen dat het auditberoep in diskrediet brengt. Tot dit handelen behoren die handelingen die door een redelijke en goed geïnformeerde derde die over alle relevante informatie beschikt, zullen worden opgevat als schadelijk voor de goede naam van het auditberoep.

70

Artikel A-150.2 De IT-auditor brengt bij het zichzelf of zijn werk aanprijzen het auditberoep niet in diskrediet. De IT-auditor is eerlijk en oprecht in zijn promotionele activiteiten en onthoudt zich van: a) het wekken van overdreven verwachtingen ter zake van de diensten die hij kan verlenen, de kwaliteiten die hij bezit en de ervaring waarover hij beschikt; b) het maken van afkeurende verwijzingen naar of niet onderbouwde vergelijkingen met het werk van een derde. Definities a. IT-auditor: de Register EDP-auditor (RE), ingeschreven in het register van de NOREA; b. NOREA, de Orde, de beroepsorganisatie: De Nederlandse Orde van Register EDPauditors; c. auditorganisatie: de organisatorische eenheid waarbinnen één of meer IT-auditors professionele diensten verrichten; d. bedreiging: het risico van het niet volledig naleven door de IT-auditor van één of meer van de fundamentele beginselen; e. bestuur: het bestuur van de Nederlandse Orde van Register EDP-Auditors; f. fundamentele beginselen: de beginselen integriteit, objectiviteit, deskundigheid en zorgvuldigheid, geheimhouding en professioneel gedrag; g. opdracht: de tussen een opdrachtgever en auditorganisatie overeengekomen professionele dienst; h. opdrachtgever: een cliënt waarmee de IT-auditor een zakelijke relatie heeft, dan wel de organisatie waarmee de IT-auditor een dienstverband heeft; i. professionele dienst: de werkzaamheden van de IT-auditor waarvoor ITauditdeskundigheid en deskundigheid op aanverwante terreinen is vereist.

71

Bijlage 2: Enquête onder RE’s inzake het Reglement Gedragscode Enquête onder RE's inzake het Reglement Gedragscode In het kader van onze afstudeerscriptie tot Register IT-auditor aan de Vrije Universiteit van Amsterdam voeren wij momenteel een onderzoek uit naar het Reglement Gedragscode van de NOREA. Het Reglement Gedragscode is ook wel bekend als de Code of Ethics voor IT-auditors. In ons onderzoek richten wij ons op de praktische toepasbaarheid van het Reglement Gedragscode. Met dit onderzoek trachten wij met concrete aanbevelingen te komen die de NOREA als (eventuele) handreiking kan gebruiken bij toekomstige (door haar leden als wenselijk geachte) wijzigingen in het Reglement Gedragscode. Wij willen benadrukken dat de enquête anoniem wordt ingevuld en de data vertrouwelijk zullen worden behandeld. De enquête bestaat in totaal uit een 30-tal vragen c.q. stellingen. Dit omvat zowel een aantal specifieke stellingen als enkele algemene vragen over uw achtergrond. Een aantal stellingen zijn zwart-wit geformuleerd. Wij verzoeken u de stelling te kiezen die uw mening het beste benadert. Bij een aantal stellingen refereren wij ook naar de Verordening gedragscode van het NIVRA en/of de Code of Ethics van de IFAC. Dit wordt ingegeven doordat wij in onze afstudeerscriptie de codes van de NOREA, het NIVRA en de IFAC met elkaar vergelijken. De vragen over uw achtergrond helpen ons uw antwoorden beter in perspectief te plaatsen. Het Reglement Gedragscode is te raadplegen via de NOREA-site en is opgenomen in de RE-gids. Alvast hartelijk dank voor uw medewerking! Zafer Gültekin en Jan Woudenberg Sectie I - Bekendheid met het Reglement Gedragscode en de totstandkoming ervan 1. Bekendheid met het Reglement Gedragscode Bent u bekend met het Reglement Gedragscode van de NOREA, zoals die op 14 juli 2006 van kracht is geworden en voor haar leden van toepassing is?* a. Ja. b. Nee. 2. Kennis over het Reglement Gedragscode Welk van de volgende omschrijvingen past het beste bij uw kennis van het Reglement Gedragscode?* a. Ik ken het Reglement Gedragscode van de verplichte PE-cursus. b. Mijn kennis van het Reglement Gedragscode is opgebouwd uit de verplichte PE-cursus aangevuld met discussiebijeenkomsten en eventuele relevante vakliteratuur. c. Mijn kennis van het Reglement Gedragscode schaaf ik continu bij doordat ik elke opdracht die ik uitvoer expliciet evalueer aan de hand van deze code. d. Ik heb geen kennis opgedaan over het Reglement Gedragscode. 3. Plaats van ethiek in opleidingen en permanente educatie In auditopleidingen (waaronder IT-audit) en permanente educatie wordt van oudsher met name aandacht besteed aan 'technische' onderwerpen en slechts in beperkte mate aan ethiek. Welke van onderstaande stellingen kan het meeste op uw instemming rekenen?* a. Ethiek leer je niet van een code op papier. Morele oordeelsvorming leer je met name

72

door over ethische dilemma’s te discussiëren. Ethiek zou dan ook consequent op de agenda van auditopleidingen en permanente educatie dienen te staan. b. Het Reglement Gedragscode is voor mij duidelijk genoeg. Er hoeft wat mij betreft niet meer tijd aan ethiek te worden besteed in auditopleidingen en permanente educatie. c. Ik vind dat er in opleidingen teveel aandacht aan ethiek wordt besteed. Sectie II - Draagvlak voor het Reglement Gedragscode 4. Proces van opstellen en implementatie van het Reglement Gedragscode Welke stelling omschrijft uw mening over het proces van opstellen en implementeren van het Reglement Gedragscode door de NOREA het beste?* a. Ik vind dat de NOREA bij het opstellen en implementeren van het Reglement Gedragscode zorgvuldig te werk is gegaan. b. Ik vind dat het opstellen van het Reglement Gedragscode voornamelijk een kopieeractie van de IFAC-code is geweest. Hierbij is de code in een relatief kort tijdsbestek opgesteld en geïmplementeerd. Deze aanpak is de zorgvuldigheid niet ten goede gekomen. 5. Interactie met het maatschappelijk verkeer Enerzijds zou je kunnen stellen dat het opstellen en onderhouden van een ethische code een aangelegenheid van een beroepsgroep zelf is. Anderzijds zou je kunnen stellen dat bij een dergelijk proces nauwe interactie met het maatschappelijk verkeer dient plaats te vinden. Welke stelling onderschrijft u het meest?* a. Ik vind dat het Reglement Gedragscode periodiek dient te worden geëvalueerd met een werkgroep waarin diverse partijen uit het maatschappelijk verkeer zitting hebben. b. Ik ga er vanuit dat er op internationaal IFAC-niveau wel voldoende afstemming met maatschappelijke partijen plaatsvindt omtrent de Code of Ethics. Een verdere afstemming in de Nederlandse context vind ik niet zinvol. c. De fundamentele beginselen en het conceptueel raamwerk van het Reglement Gedragscode zijn dermate universeel, dat een nadere afstemming door IFAC/NOREA met het maatschappelijk verkeer niet zinvol is. 6. Ethiek versus techniek Welke stelling spreekt u het meeste aan?* a. Auditing heeft met name met technische en/of economische vraagstukken te maken. Ethiek doet hierbij niet of nauwelijks ter zake. b. Auditing is gestoeld op ethische beginselen als integriteit, objectiviteit e.d. Het is dan ook logisch dat een ethische gedragscode een belangrijke plaats inneemt. Dit helpt een auditor om te functioneren als vertrouwensman van het maatschappelijk verkeer. 7. Nut van een ethische code (1) Waarin herkent u zich het meest?* a. Ethiek (waarden en normen) moet in je zitten. Het opstellen en implementeren van een ethische code heeft geen toegevoegde waarde en zal het ethisch handelen niet of nauwelijks beïnvloeden. b. Ethische regels voor de uitoefening van de IT-auditors functie kunnen verschillen van maatschappelijk aanvaarde waarden en normen. Ik vind het handig als ik bij zakelijke ethische vraagstukken terug kan grijpen op een code. 8. Nut van een ethische code (2) Welke van onderstaande opties is op u van toepassing?* a. Ik ben in de praktijk één of meerdere malen tegen een bedreiging van een fundamenteel beginsel aangelopen die van niet te verwaarlozen betekenis was. b. Ik ben in de praktijk nog nooit tegen een bedreiging van een fundamenteel beginsel aangelopen die van niet te verwaarlozen betekenis was.

73

Sectie III - Opzet van het Reglement Gedragscode 9. Codes NOREA en NIVRA Zowel het Reglement Gedragscode van de NOREA als de Verordening gedragscode van het NIVRA zijn gebaseerd op de Code of Ethics van de IFAC. Toch vertonen deze codes diverse onderlinge verschillen. Welke van onderstaande stellingen spreekt u het meeste aan?* a. De codes van de NOREA en het NIVRA zouden gelijk moeten zijn. Afwijkende codes zijn naar het maatschappelijk verkeer niet goed uit te leggen. b. Het is logisch dat de NOREA en het NIVRA afwijkende codes hebben. De Register ITauditor en de registeraccountant acteren op verschillende werkterreinen. c. Het is logisch dat de NOREA en het NIVRA afwijkende codes hebben. De NOREA is affiliate member van de IFAC en dient de IFAC-regelgeving zoveel mogelijk te volgen. Het NIVRA dient als full member in principe alle IFAC-regelgeving over te nemen. d. Het is logisch dat de NOREA en het NIVRA afwijkende codes hebben. Enerzijds acteren de Register IT-auditor en de registeraccountant op verschillende werkterreinen. Anderzijds is de NOREA affiliate member van de IFAC en het NIVRA full member. 10. Verschillende categorieën auditors Het Reglement Gedragscode van de NOREA bevat alleen een onderdeel A, geldend voor alle register IT-auditors. De Verordening gedragscode van het NIVRA bevat daarnaast nog een aantal aanvullende onderdelen voor de verschillende hoedanigheden waarin een auditor kan optreden (openbaar, intern, overheid, in business). In welke stelling kunt u zich het meeste vinden?* a. Afzonderlijke onderdelen die zijn toegespitst op de hoedanigheid waarin een auditor optreedt, helpen bij het situatiespecifiek toepassen van de code. b. Één generiek geldende code (onderdeel A) is toereikend. Hierin staan de fundamentele beginselen en het conceptueel raamwerk en dat biedt voldoende houvast voor een situatiespecifieke toepassing. 11. Categorie-indeling Zie de toelichting bij de voorgaande vraag. In vervolg hierop heeft de categorie-indeling bij het NIVRA ook gevolgen voor zaken als contributie en permanente educatie. Een dergelijke relatie is bij het Reglement Gedragscode van de NOREA niet aanwezig. Welke stelling spreekt u in deze context het meeste aan?* a. Ik vind het handig als ik bij zowel de toepassing van het Reglement Gedragscode als bij zaken zoals contributie en permanente educatie te maken heb met dezelfde categorieindeling. Dat houdt het voor mij overzichtelijk en herkenbaar. b. Ik vind dat de geschetste relatie (zoals bij het NIVRA) teveel afleidt van de inhoud en strekking van het Reglement Gedragscode. 12. Reglement Gedragscode versus GBRE In welke stelling herkent u zich het meeste?* a. Geef mij maar de oude Gedrags- en Beroepsregels Register EDP-auditors (GBRE), die bevatten tenminste concrete regels. b. Ik kan beter uit de voeten met het huidige Reglement Gedragscode. Die bevat algemeen toepasbare fundamentele beginselen en een praktisch conceptueel raamwerk. c. Gelet op mijn inschrijving na inwerking treding van het Reglement Gedragscode, heb ik niet te maken gehad met de GBRE. 13. Rule-based versus principle-based (1) Wat vindt u?* a. Het Reglement Gedragscode heeft primair een rule-based karakter. b. Het Reglement Gedragscode heeft primair een principle-based karakter. 14. Rule-based versus principle-based (2) In welke stelling herkent u zich het meeste?* a. Een principle-based code met algemeen geformuleerde fundamentele beginselen leidt

74

tot onduidelijkheid. b. Een principle-based code biedt voldoende kaders en ruimte om elke specifieke praktijksituatie te kunnen evalueren. 15. Rule-based versus principle-based (3) Wat vindt u?* a. Een rule-based code bakent de grenzen duidelijk af en schept hiermee helderheid. b. Een rule-based code nodigt uit om de grenzen van regels op te zoeken. Iets wat volgens de regels is toegestaan, kan ethisch best heel discutabel zijn. 16. Onafhankelijkheid In zowel de Verordening gedragscode van het NIVRA als in de Code of Ethics van de IFAC worden uitgebreide artikelen gewijd aan het onderwerp onafhankelijkheid. Dit onderwerp wordt in het Reglement Gedragscode van de NOREA echter niet expliciet behandeld. Wat vindt u hiervan?* a. Gelet op de toegevoegde waarde van een onafhankelijk oordeel bevreemdt het mij dat onafhankelijkheid in het Reglement Gedragscode van de NOREA niet expliciet is uitgewerkt. Een impliciete behandeling in het fundamentele beginsel 'objectiviteit' vind ik te summier. b. Ik vind onafhankelijkheid voldoende tot uiting komen in het fundamentele beginsel 'objectiviteit'. Een nadere uitwerking van onafhankelijkheid vind ik voor de gehele beroepsgroep van auditors niet nodig. c. Gelet op met name de specifieke werkzaamheden van een openbare accountant die een jaarrekeningcontrole verricht, vind ik het logisch dat het NIVRA en de IFAC uitgebreid aandacht besteden aan onafhankelijkheid. Gelet op het specifieke werkveld van een register IT-auditor vind ik een dergelijke nadere uitwerking niet nodig. 17. Beperking tot professioneel en zakelijk handelen Bij de formulering van de fundamentele beginselen heeft in de meeste gevallen een afbakening plaatsgevonden tot het professioneel en zakelijk handelen. Wat vindt u hiervan?* a. Ik vind deze afbakening terecht. Het Reglement Gedragscode is een code van beroepsorganisatie NOREA en dient derhalve alleen te zien op mijn handelen als register IT-auditor. b. Wat mij betreft was een dergelijke afbakening niet nodig geweest. Fundamentele beginselen zijn dermate universeel dat ik ze ook in privésituaties toe wil passen. c. Wat mij betreft was een dergelijke afbakening niet nodig geweest. Onethisch gedrag in privésituaties kan in negatieve zin uitstralen op de beroepsgroep van register IT-auditors. d. Wat mij betreft was een dergelijke afbakening niet nodig geweest. Enerzijds zijn de fundamentele beginselen dermate universeel dat ik ze ook in privésituaties toe wil passen. Anderzijds kan onethisch gedrag in privésituaties in negatieve zin uitstralen op de beroepsgroep van register IT-auditors. 18. Voorbeelden Welke stelling spreekt u het meeste aan?* a. Het opnemen van voorbeelden in een gedragscode is positief. Voorbeelden zijn behulpzaam bij het interpreteren van fundamentele beginselen. b. Het opnemen van voorbeelden in een gedragscode is niet positief. Voorbeelden kunnen leiden tot een te beperkte interpretatie van de fundamentele beginselen. 19. Vetgedrukte passages Welke stelling geniet uw voorkeur?* a. Door middel van het al dan niet vetgedrukt weergeven van artikelen c.q. woorden dient de relevantie benadrukt te worden. Dit helpt mij bij het op effectieve en efficiënte wijze toepassen van het Reglement Gedragscode. b. Op basis van mijn professioneel kritische oordeelsvorming kan ik zelf een afweging maken wat in een specifieke situatie wel en niet relevant is.

75

20. Volledigheid Reglement Gedragscode Vindt u dat het Reglement Gedragscode alle elementen (fundamentele beginselen) bevat, waarvan u vindt dat deze voor de uitoefening van het beroep van belang zijn?* a. Ik vind dat het Reglement Gedragscode alle relevante facetten van ethische beroepsuitoefening raakt. b. Ik vind dat het Reglement Gedragscode onvolledig is. U kunt eventuele ontbrekende elementen in het volgende tekstblok opnemen: … Sectie IV - Naleving van het Reglement Gedragscode 21. Toepassing Reglement Gedragscode Past u het Reglement Gedragscode toe bij uw dagelijkse werkzaamheden?* a. Ja. U kunt eventueel een nadere toelichting in het volgende tekstblok opnemen: … b. Nee. U kunt eventueel een nadere toelichting in het volgende tekstblok opnemen: … c. Hangt er vanaf. U kunt eventueel een nadere toelichting in het volgende tekstblok opnemen: … 22. Wettelijke verankering in relatie tot ethische code De positie van registeraccountants is wettelijk verankerd. Alle registeraccountants dienen zich derhalve aan dezelfde ethische code te houden. Een dergelijke wettelijke verankering ontbreekt bij de register IT-auditors. Welke stelling spreekt u in deze context het meeste aan?* a. Ik vind het toepassen van ethische fundamentele beginselen bij mijn beroepsmatig en zakelijk handelen niet meer dan normaal. Het ontbreken van een wettelijke verankering van register IT-auditors ervaar ik hierbij niet als een gemis. b. Anderen die werkzaam zijn op het gebied van IT-audit, maar zelf geen register ITauditor zijn, hoeven zich niet aan het Reglement Gedragscode te houden. Het Reglement Gedragscode kan voor mij in dit opzicht een last betekenen. Een wettelijke verankering is dan ook gewenst. 23. Rol van ethiek bij toetsingen en beoordelingen Uit diverse onderzoeken blijkt dat bij toetsingen en beoordelingen met name wordt gefocust op de technische kennis en kunde van auditors, alhoewel bij overtredingen van gedragscodes sancties kunnen worden opgelegd. Het is moeilijk om je positief te profileren met ethisch handelen. Welke van onderstaande stellingen beschrijft uw mening hieromtrent het beste?* a. Auditors moeten gewoon ethisch zijn. Op dit terrein zou je je niet eens moeten kunnen onderscheiden. Ik vind het daarom terecht dat je vooral wordt beloond voor je technische kennis en kunde. b. Ethiek zou een prominentere rol moeten krijgen bij toetsingen en beoordelingen. Naast het bestraffen van onethisch gedrag moet ethisch gedrag worden beloond. 24. Dossiervorming In het Reglement Gedragscode zijn ook voorschriften opgenomen inzake dossiervorming omtrent evaluaties van ethische kwesties. Welke stelling onderschrijft u het meest?* a. Dossiervorming omtrent ethische evaluaties vind ik niet nodig. Dossiervorming leidt in dergelijke situaties tot onnodige administratieve handelingen. b. Alleen bij mogelijke bedreigingen van fundamentele beginselen behoeft er in het dossier een expliciete evaluatie te worden opgenomen. c. Uit elk dossier dient expliciet te blijken of er een evaluatie van mogelijke bedreigingen van fundamentele beginselen heeft plaatsgevonden en welke waarborgen er in voorkomende gevallen zijn getroffen. 25. Algemene indruk van het Reglement Gedragscode In welke stelling kunt u zich het meeste vinden?* a. Het Reglement Gedragscode is in opzet niet adequaat. b. Het Reglement Gedragscode is in opzet adequaat. In de praktijk heb ik ervaren dat de code echter niet toepasbaar is, wat de naleving niet ten goede komt.

76

c. Het Reglement Gedragscode is adequaat opgezet en praktisch goed toepasbaar. Sectie V - Achtergrond 26. Inschrijvingsduur Sinds wanneer bent u ingeschreven als Register IT-auditor?* a. Na 14 juli 2006 (datum waarop het Reglement Gedragscode van kracht werd). b. Tussen 1 januari 2000 en 14 juli 2006. c. Voor 1 januari 2000. 27. Categorie-indeling In welke hoedanigheid bent u hoofdzakelijk werkzaam?* a. Openbaar IT-auditor. b. Intern IT-auditor. c. IT-auditor in overheidsdienst. d. IT-auditor in business. 28. Accountancy-achtergrond Bent u ingeschreven in het accountantsregister van het NIVRA danwel de NOvAA?* a. Ja, als RA. b. Ja, als AA. c. Ja, als RA en AA. d. Nee. 29. Bent u in uw werk gebonden aan andere gedragscodes?* a. Ja, namelijk: b. Nee. 30. Graag vernemen wij uw geslacht en of u als actief lid (zie artikel 10 Statuten) bij de NOREA bent geregistreerd.* a. Vrouw en actief lid. b. Vrouw en niet actief lid. c. Man en actief lid. d. Man en niet actief lid. Wij bedanken u voor uw medewerking.

77

Bijlage 3: Uitnodigingsmail enquête

78

Bijlage 4: Berichtgeving website NOREA

79

30

29

aa g

aa g

28

27

Vr

Vr

Vr

Vr

Vr

Vr

Vr

Vr

Vr

Vr

Vr

Vr

Vr

Vr

Vr

Vr

aa g

26

Vr

aa g

aa g

25

24

Vr

aa g

23

aa g

aa g

22

21

Vr

aa g

Vr

aa g

20

19

aa g

18

aa g

17

aa g

Vr

aa g

aa g

16

15

14

aa g

13

Vr

aa g

12

aa g

11

aa g

10

Vr

aa g

Vr

aa g

9

8

aa g

7

Vr

aa g

6

aa g

aa g

5

4 Vr

aa g Vr

aa g

3

2

aa g Vr

aa g Vr

espondent espondent 1 espondent 2 espondent 3 espondent 4 espondent 5 espondent 6 espondent 7 espondent 8 espondent 9 espondent 10 espondent 11 espondent 12 espondent 13 espondent 14 espondent 15 espondent 16 espondent 17 espondent 18 espondent 19 espondent 20 espondent 21 espondent 22 espondent 23 espondent 24 espondent 25 espondent 26 espondent 27 espondent 28 espondent 29 espondent 30 espondent 31 espondent 32 espondent 33 espondent 34 espondent 35 espondent 36 espondent 37 espondent 38 espondent 39 espondent 40 espondent 41 espondent 42 espondent 43 espondent 44 espondent 45 espondent 46 espondent 47 espondent 48 espondent 49 espondent 50 espondent 51 espondent 52 espondent 53 espondent 54 espondent 55

Vr

R R R R R R R R R R R R R R R R R R R R R R R R R R R R R R R R R R R R R R R R R R R R R R R R R R R R R R R R

aa g

1

Bijlage 5: Cijfermatige resultaten enquête

1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1

2 1 1 2 3 2 2 1 4 1 1 1 1 1 1 2 1 3 2 1 1 1 1 1 1 3 2 1 2 2 1 1 2 1 2 2 2 1 1 1 2 2 1 1 1 1 4 1 2 1 2 1 1 1 1

1 1 1 2 1 2 2 1 1 1 1 2 1 1 1 1 2 2 1 2 1 2 1 1 1 1 2 1 1 2 1 1 1 2 1 1 2 1 2 1 1 1 1 1 2 1 3 1 1 1 1 2 3 1 1

2 1 1 1 2 1 1 2 1 2 2 1 1 1 2 2 2 1 1 1 1 1 1 2 1 2 1 1 1 1 2 2 2 1 2 2 1 2 1 1 1 2 1 1 1 1 2 1 2 1 1 1 2 1 1

1 1 2 2 3 3 3 2 1 3 2 3 1 1 1 1 3 2 2 1 1 1 3 3 2 1 1 3 2 1 3 1 3 2 1 1 1 3 1 2 1 2 2 1 3 1 3 3 1 2 1 2 2 1 1

2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 1 2 2 2 2 1 2 2 1 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2

2 2 2 2 1 2 1 1 2 1 2 1 2 2 1 2 1 2 2 1 1 2 1 1 2 1 1 2 2 2 1 2 2 1 2 2 2 2 2 2 2 2 2 2 1 2 1 2 1 1 2 1 1 2 2

2 1 1 2 2 2 1 2 1 2 2 2 2 2 1 1 2 1 2 1 2 2 2 2 2 1 2 2 1 2 1 2 2 2 1 1 1 1 1 1 1 1 1 2 2 2 2 2 2 1 1 1 1 2 1

3 3 1 4 1 1 1 1 1 1 1 1 1 1 1 4 2 2 4 1 4 3 4 1 1 4 1 1 1 1 4 4 2 4 1 1 1 1 1 2 4 1 1 1 1 1 1 4 2 1 3 1 1 1 1

1 2 1 1 1 2 2 1 1 1 2 1 2 1 2 2 2 2 1 2 2 2 1 1 2 2 1 1 2 1 2 2 2 1 1 1 1 2 2 1 2 2 2 1 1 1 2 2 1 2 2 1 1 1 1

2 1 1 1 2 2 2 1 1 2 2 1 2 1 1 1 2 2 1 1 2 2 1 2 2 1 1 1 1 1 2 2 1 2 1 1 1 2 1 1 2 1 2 1 1 1 1 1 1 2 1 1 1 1 2

3 2 2 2 2 2 1 2 3 2 2 3 2 2 1 2 1 2 2 2 2 2 3 2 2 3 3 1 2 2 1 2 2 2 2 2 2 1 1 2 2 2 2 2 2 2 1 1 2 2 2 2 2 2 2

2 2 2 2 2 2 2 2 2 2 1 2 1 1 1 2 2 2 2 2 2 2 2 2 2 2 1 1 2 2 1 2 2 1 2 2 2 1 2 2 2 2 2 1 2 2 1 2 2 1 2 2 2 2 2

2 2 2 2 2 2 2 2 2 2 2 2 1 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 1 2 2 2 2 2 2 2

2 2 2 2 2 2 2 1 2 2 2 1 2 2 2 2 2 2 2 2 2 2 2 2 1 2 2 2 2 2 2 2 1 2 2 2 2 2 1 1 2 2 1 2 2 2 2 1 2 2 1 2 2 2 2

1 1 1 1 1 2 2 1 2 3 3 2 3 2 2 1 2 3 1 2 2 2 2 3 3 2 2 1 2 1 2 2 2 2 1 1 3 2 2 3 3 3 1 2 1 1 2 1 2 1 1 2 1 1 1

4 4 1 1 4 4 3 3 1 1 1 1 1 4 3 4 3 1 1 1 1 4 1 1 1 1 2 1 1 4 4 2 4 3 3 3 1 4 1 1 1 4 2 4 1 1 4 1 1 2 4 1 4 1 1

1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 2 1 1 1 1 1 1 1 1 1 2 1 1 1 2 2 1 1 1 1 1 1 2 2 1 1 2 2 1 2 1 2 1 1 2 1 1 1 1 1

1 1 2 1 2 2 1 2 1 1 1 2 1 1 2 2 2 2 2 2 1 1 1 1 1 2 2 1 1 1 2 2 1 2 2 2 2 1 1 1 1 2 1 1 1 1 2 2 2 2 1 2 2 1 2

2 1 1 2 1 1 1 1 1 1 1 1 1 1 2 2 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 2 2 1 1 1 1 1 1 1 1 1 1 1 1 2 2 1 1 2 1 1

1 3 1 1 1 1 3 1 3 3 3 1 1 3 3 1 3 1 3 1 1 1 3 3 2 1 1 3 1 1 1 1 1 1 1 1 3 1 2 1 1 3 1 3 1 1 2 1 3 1 1 1 3 1 3

2 1 1 2 1 1 1 1 2 1 1 1 2 1 1 2 1 1 1 1 1 1 2 1 1 1 2 1 1 2 1 1 1 1 1 1 1 1 2 1 1 1 1 1 2 2 1 1 1 2 2 2 2 2 2

2 1 1 1 1 1 1 1 1 1 1 1 2 2 1 2 1 1 1 1 1 1 1 1 1 1 2 1 1 2 1 1 1 1 1 1 1 1 2 1 2 1 1 2 1 1 1 1 2 2 2 1 2 1 2

3 3 2 3 3 2 2 2 3 2 2 2 2 3 2 3 1 3 3 2 2 2 1 2 2 2 3 3 2 3 2 3 2 2 2 2 2 3 3 2 2 1 3 3 2 2 2 2 2 3 3 1 2 2 2

1 3 3 1 3 3 2 3 3 2 3 3 1 3 1 2 2 3 2 2 3 3 3 2 3 2 3 3 3 3 1 3 3 3 3 3 3 2 3 3 3 2 3 3 3 3 1 3 1 2 3 3 2 3 3

1 3 3 2 2 2 2 1 1 2 3 3 1 2 3 3 3 2 2 2 1 2 1 2 3 1 3 3 2 3 3 2 1 2 3 3 2 2 3 3 2 2 3 2 2 2 2 2 1 3 2 3 3 2 1

3 2 3 1 1 2 4 1 2 1 4 2 2 1 4 4 1 1 2 1 3 2 4 4 2 4 1 3 3 4 1 2 2 3 1 3 3 3 4 3 1 2 4 4 3 1 4 2 2 4 2 3 4 4 2

1 4 1 4 1 4 4 4 2 4 1 4 4 1 1 4 4 4 4 4 4 4 4 4 4 4 1 1 1 1 1 4 4 1 1 1 1 4 4 4 1 4 1 1 2 4 1 4 4 1 4 4 4 4 4

1 1 2 2 1 1 1 2 2 2 2 1 1 1 1 1 2 1 1 1 2 1 1 2 1 2 1 2 1 1 2 1 1 2 1 1 2 1 1 1 1 1 1 1 1 2 1 1 1 1 1 1 1 2 1

3 4 3 3 3 3 3 3 4 3 4 3 3 4 3 4 3 3 3 3 3 3 3 3 4 3 3 4 1 3 3 3 3 3 3 3 3 3 4 3 3 4 3 4 3 3 3 3 3 3 3 3 3 3 4

80

30

29

aa g

aa g

28

27

Vr

Vr

Vr

Vr

Vr

Vr

Vr

Vr

Vr

Vr

Vr

Vr

Vr

Vr

Vr

aa g

26

Vr

aa g

aa g

25

24

Vr

aa g

23

aa g

aa g

22

21

Vr

aa g

Vr

aa g

20

19

aa g

18

aa g

17

aa g

Vr

aa g

aa g

16

15

14

aa g

13

Vr

aa g

12

aa g

11

aa g

10

Vr

aa g

Vr

aa g

9

8

aa g

7 Vr

aa g

6

aa g

aa g

5

4 aa g

Vr

1 1 2 2 1 1 1 1 1 1 2 2 1 2 1 1 2 2 1 2 1 2 1 1 1 2 2 1 1 1 2 2 1 1 1 1 1 1 2 1 1 1 1 1 1 2 1 2 1 1 1 2 1 1 1 110

Vr

1 1 1 1 2 1 1 1 4 2 1 1 4 1 1 1 3 1 1 2 2 1 1 1 1 2 1 1 3 2 1 1 2 1 3 1 1 4 2 1 1 1 1 2 1 2 2 1 1 1 1 1 1 2 2 110

Vr

1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 2 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 110

aa g

3

2 Vr

aa g

1

aa g Vr

aa g Vr

R espondent R espondent 56 R espondent 57 R espondent 58 R espondent 59 R espondent 60 R espondent 61 R espondent 62 R espondent 63 R espondent 64 R espondent 65 R espondent 66 R espondent 67 R espondent 68 R espondent 69 R espondent 70 R espondent 71 R espondent 72 R espondent 73 R espondent 74 R espondent 75 R espondent 76 R espondent 77 R espondent 78 R espondent 79 R espondent 80 R espondent 81 R espondent 82 R espondent 83 R espondent 84 R espondent 85 R espondent 86 R espondent 87 R espondent 88 R espondent 89 R espondent 90 R espondent 91 R espondent 92 R espondent 93 R espondent 94 R espondent 95 R espondent 96 R espondent 97 R espondent 98 R espondent 99 R espondent 100 R espondent 101 R espondent 102 R espondent 103 R espondent 104 R espondent 105 R espondent 106 R espondent 107 R espondent 108 R espondent 109 R espondent 110 A a n ta l

2 1 2 1 1 1 2 2 2 1 1 1 1 1 1 2 1 1 1 1 1 1 1 2 1 1

2 2 2 2 1 2 1 3 1 1 2 2 1 1 1 1 1 2 1 2 1 2 2 2 1 2

2 2 2 2 2 2 2 2 2 2 2 2 2 1 2 2 2 2 2 2 2 2 2 2 2 2

2 2 2 1 2 2 1 2 1 2 1 2 1 1 2 2 2 1 2 2 2 1 2 1 2 2

1 1 2 1 1 2 2 2 2 1 2 1 2 2 1 2 1 1 1 1 2 1 2 2 1 2

1 1 1 1 3 1 1 1 1 4 1 4 1 1 2 4 4 1 1 2 1 1 1 4 2 4

1 2 2 1 2 1 2 2 2 2 1 1 1 1 1 2 2 1 1 2 2 1 1 1 1 2

1 2 1 1 1 2 1 2 2 2 1 1 1 1 2 2 2 1 2 2 2 1 1 1 1 1

2 2 3 2 2 2 2 2 3 2 2 2 3 2 2 2 2 2 2 2 2 2 2 2 2 1

2 2 1 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2

2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2

2 2 1 2 1 2 2 2 2 2 2 2 2 1 2 2 2 2 2 1 2 2 2 2 2 1

1 2 3 2 1 3 1 3 3 3 2 1 2 3 2 2 2 2 1 3 2 2 2 1 1 2

4 4 1 1 4 1 4 4 4 4 1 3 1 1 4 2 4 1 1 1 2 1 1 2 4 4

1 1 1 1 1 2 1 1 2 1 1 1 1 1 1 1 2 1 1 2 1 1 1 1 1 1

2 2 1 2 1 1 2 2 1 1 2 2 1 1 2 2 2 2 2 1 1 2 1 2 1 1

2 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1

3 3 3 1 1 1 3 1 1 1 1 2 3 1 2 1 1 1 3 1 1 1 3 3 1 1

2 1 2 2 2 1 1 1 1 1 2 1 2 1 1 1 1 2 2 2 1 2 2 1 1 1

2 1 1 1 2 1 1 2 1 1 1 1 1 1 1 1 2 1 2 1 1 1 1 1 1 1

2 2 3 1 3 3 3 2 2 3 1 2 3 2 2 3 2 1 2 3 3 1 2 2 2 1

2 3 3 3 3 3 3 3 2 3 3 3 3 3 3 3 3 3 3 3 3 3 3 2 3 1

3 3 3 3 2 3 2 1 1 3 3 3 1 2 3 2 2 3 1 2 3 3 3 2 3 2

4 4 4 1 2 3 2 3 2 4 3 4 2 3 4 2 1 1 2 4 4 3 4 2 1 3

4 4 1 4 4 1 4 4 4 1 4 4 2 4 1 4 4 4 4 4 1 4 1 4 1 4

1 2 2 1 1 1 2 1 1 1 1 2 2 1 1 1 2 1 1 1 2 1 1 2 1 2

3 3 3 3 3 3 3 3 3 3 3 4 4 3 3 3 3 3 4 3 3 3 4 3 3 3

1 1

1 1

2 2

1 2

1 2

2 2

1 1

1 1

1 2

2 2

2 2

2 1

2 2

3 1

1 1

2 1

1 1

3 1

1 2

1 1

2 2

2 3

2 1

2 4

4 4

1 1

3 3

1 2 1 1 1 1 1 2 1 2 1 2 1 1 1 1 1 1 2 1 1 1 1 1 1 108

2 2 3 1 1 1 3 1 3 1 1 1 1 3 1 3 1 2 1 1 1 2 2 1 1 108

2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 1 2 2 2 108

1 2 2 2 2 2 1 2 2 2 2 2 2 1 2 2 2 1 2 2 2 1 2 1 2 108

2 2 2 2 1 2 2 1 1 2 1 2 1 1 2 2 2 1 2 1 2 2 1 1 2 108

2 4 4 3 1

2 1 1 1 2

1 1 2 1 1

2 2 2 2 2

2 2 2 2 2

2 2 2 2 2

2 2 2 2 2

2 1 3 2 2

3 4 1 3 2

1 2 1 1 1

2 2 1 1 2

1 1 1 1 1

2 1 3 1 1

2 1 2 1 1

1 1 1 1 1

2 2 3 2 3

2 3 3 3 3

3 2 3 2 2

4 1 4 2 4

4 4 4 4 4

2 1 2 1 2

3 3 3 3 4

2 4 2 1 4 1 4 4 2

1 1 1 1 2 1 2 2 1

1 1 1 2 2 1 1 2 2

2 2 2 2 2 2 2 2 2

2 2 1 2 2 2 2 2 2

2 2 1 2 2 2 2 2 2

2 2 1 2 2 2 2 2 2

2 3 1 1 3 1 3 2 2

4 4 3 4 1 1 4 2 4

1 2 1 1 1 1 1 1 1

1 2 1 1 1 2 1 1 2

1 1 1 1 1 1 1 1 1

1 1 1 3 1

1 1 1 1 1

1 1 1 1 2

3 3 3 1 2

3 3 2 2 3

3 3 2 1 3

2 3 3 2 2

4 1 4 4 4

1 1 1 1 2

4 3 3 1 1

1 1 1

1 1 2

1 1 1

3 2 2

3 3 3

2 2 2

3 3 2

4 4 4

2 2 1

3 3 3

1 1 2 1 2

1 1 1 1 2

2 2 1 2 1

2 2 2 3 2

2 2 1 2 2

2 2 2 2 1

2 2 2 2 2

1 3 1 2 2

4 4 4 1 3

1 1 2 1 1

1 2 2 1 2

1 1 1 1 1

3 1 1 3 3

1 1 1 1 1

1 2 1 1 1

1 2 3 2 2

2 3 3 3 3

1 1 3 1 2

2 2 1 2 2

4 1 1 4 4

1 1 1 2 1

1 1 3 3 1

2 103

1 103

1 103

2 103

2 103

2 103

2 103

2 103

1 103

1 103

1 103

1 103

3 102

2 102

2 102

3 102

3 102

101

101

101

101

101

1 = a, 2 = b, 3 = c, 4 = d

81