IT-ontwikkelingen en de IT-auditfunctie - Deel 1
D Deze reeks van drie artikelen gaat over het ont-
staan, de ontwikkeling en de toekomst van het vakgebied IT-auditing en de IT-auditfunctie gerelateerd aan ontwikkelingen in de IT. IT-auditing, ontstaan binnen de accountancy, heeft zich over de jaren
heen ontwikkeld tot een zelfstandige discipline die ten dienste staat van het maatschappelijk verkeer,
het management van organisaties en andere auditors, vooral accountants. Dit eerste deel van de
reeks is een bewerking van een artikel dat geschreven is voor het handboek Audit bij de overheid en betreft ontwikkelingen tot 2007. In een tweede artikel schetsen we de ontwikkelingen van 2007 tot
heden. In een derde artikel speelt de NOREA Visie 2020 de hoofdrol. THEA GERRITSE
In dit eerste artikel in de reeks gaan we terug naar de begintijd van de automatisering. We geven aan hoe de komst van de automatisering de accountantsfunctie en de controlewerkzaamheden van de accountant heeft beïnvloed. Vervolgens schetsen we de verbreding van het vakgebied die zich medio jaren negentig van de vorige eeuw begon af te tekenen. Deze verbreding werd nodig omdat er nieuwe processen in organisaties ontstonden onder invloed van de ontwikkelingen in de ICT. Ook de accountantsfunctie maakte een ontwikkeling door en transformeerde zich tot auditfunctie. Dit bracht met zich mee dat eind jaren negentig de IT-auditor en de accountant op steeds meer terreinen en ook intensiever gingen samenwerken. Daarna bespreken we de ontwikkeling van een technische specialisatie binnen het vakgebied van de IT-auditing, die noodzakelijk werd door de veelheid en de snelheid van de technologische ontwikkelingen.. Deze technische IT-auditor bleek goed inzetbaar te zijn in een nieuwe auditaanpak: de geïntegreerde audit. We vervolgen met enkele nieuwe uitdagingen voor auditors die voortvloeiden uit de roep om samenwerking en doelmatiger werken over de grenzen van organisaties heen – mede mogelijk gemaakt door ontwikkelingen in de IT.
Tot slot gaan we kort in op wat de toekomst ons mogelijk brengen zal. De OPkOMSt vAn De AUtOMAtISerIng: ACCOUntAnt – WAt nU? We gaan terug naar de jaren zestig van de vorige eeuw. Het is de wettelijke taak van accountants te verklaren dat ‘de jaarrekening een getrouw beeld geeft van de grootte en de samenstelling van het vermogen d.d. 31-12-19xx en resultaat over het boekjaar 19xx in overeenstemming met algemeen aanvaardbare grondslagen voor financiële verslaglegging’. De hiervoor benodigde controle gebeurt, conform de gangbare opvatting in die tijd, vooral gegevensgericht. Het is in deze periode dat geautomatiseerde administratieve systemen langzaam maar zeker hun intrede doen in organisaties. Dit heeft ingrijpende gevolgen voor de inrichting van de accountantscontrole. Dit komt doordat de automatisering tot fundamentele veranderingen in de inrichting van de administratieve organisatie leidt. Zo zien we een ontwikkeling in de richting van een geïntegreerde verwerking van bestuurlijke gegevens en verantwoordingsgegevens via één systeem dat in de plaats komt van de bestaande meervoudige administraties. Ook zijn er consequenties op de IT-Auditor nummer 4 | 2013
IT Auditor_13_04.indd 15
15 25/11/13 5:10 PM
het terrein van de administratieve organisatie en interne beheersing van de organisatie. Sommige functies worden versterkt, andere verdwijnen, en nieuwe vormen van functiescheiding – bijvoorbeeld afgedwongen via logische toegangscontrole – nemen de plaats in van de functiescheidingen waar de accountant van oudsher mee bekend is. Bovendien realiseert de accountant zich dat van geen enkele methodiek van gegevensverwerking met zekerheid valt te zeggen dat de jaarrekening een getrouw beeld geeft. En dat dit ook, en zelfs juist, geldt voor geautomatiseerde verwerking. In een geautomatiseerde omgeving moet hij niet alleen alert zijn op menselijke fouten en frauduleuze handelingen, maar ook op technische onvolkomenheden en manipulatie van informatiesystemen. Het NIVRA publiceert vanaf 1970 verschillende Nivra-geschriften over deze ontwikkelingen en de gevolgen hiervan voor de accountantscontrole onder de serietitel ‘Automatisering en controle’ Er ontstaan twee stromingen binnen de wereld van de accountants. Zo zien we accountants die niets met het geautomatiseerde systeem te maken willen hebben. Zij laten het systeem liever buiten beschouwing en blijven de controle zoveel mogelijk op de hen bekende wijze doen − ze controleren ‘om de computer heen’. Maar er zijn ook accountants die het geautomatiseerde systeem niet uit de weg gaan en voor wie de nieuwe ontwikkelingen aanleiding vormen om te zoeken naar een nieuwe en doelmatiger werkwijze ‘door de computer heen’. Zo ontstaat de systeemgerichte controle. Accountants die deze weg kiezen, willen kunnen vaststellen dat een systeem de ingevoerde gegevens juist en volledig verwerkt en betrouwbare uitvoer produceert. Daarom beoordelen deze accountants de procedures in de organisatie, het geautomati-
16
seerde systeem en de verwerking van gegevens door het systeem. Vanuit hun verantwoordelijkheid voor het goedkeuren van de financiele verantwoording en hun wens de eigen controle zo doelmatig mogelijk uit te voeren, zijn zij door de automatisering min of meer ‘gedwongen’ zich ook met dat vakgebied bezig te houden. Deze benadering wint allengs terrein en steeds meer accountants gaan ertoe over om in hun controledoelstellingen ook zaken op te nemen als ‘de gegevensverwerking dient juist, volledig en tijdig te zijn en het systeem als geheel dient betrouwbaar en controleerbaar te zijn’. Een accountant die zich deskundig genoeg voelde op het terrein van automatisering om deze zaken te kunnen vaststellen, noemt zich in die tijd EDP-auditor. Hiermee is een nieuwe beroepsgroep ontstaan van auditors die controle uitvoeren op en zich een oordeel vormen over de ‘electronic data processing’, het geautomatiseerd verwerken van gegevens. De eerste generatie EDP-auditors bestaat vooral uit accountants die uit zichzelf geïnteresseerd zijn in automatisering dan wel door de ontwikkelingen worden gedwongen zich erin te verdiepen. Maar al snel wordt duidelijk dat de eis van betrouwbare informatiesystemen veel breder is dan uitsluitend de systemen die relevant zijn voor de accountantscontrole, de financiële en andere administratieve systemen (hierna kortweg: ‘administratieve systemen’), en bijvoorbeeld ook geldt voor de systemen die de primaire processen ondersteunen. Dit inzicht leidt ertoe dat het beroep van EDP-auditor zich verbreedt en de beroepsbeoefenaren niet langer per definitie accountant zijn. EDP-auditing ontwikkelt zich vervolgens zelfstandig tot een breed vakgebied dat gericht is op het beoordelen van de kwaliteit van informatievoorziening in
organisaties in al zijn facetten. De accountancywortels blijven echter zichtbaar, bijvoorbeeld in overgenomen concepten zoals ‘opzet, bestaan en werking’ en analoge gedrags- en beroepsregels. De verBreDIng − vAn eDPAUDItIng nAAr It-AUDItIng Door de snelle toename van zowel de schaal als de complexiteit van de automatisering in de jaren tachtig en negentig van de vorige eeuw, wordt EDP-auditing al snel een specialisme dat niet eenvoudig bij te houden is voor de ‘gewone accountant’. Het begint de accountants − en niet alleen de categorie voor wie het geautomatiseerde systeem een ‘black box’ is gebleven − duidelijk te worden dat zij EDP-auditors nodig hebben om zekerheid te krijgen over de betrouwbaarheid van die systemen. Er groeit dan ook een intensieve samenwerking tussen accountants en EDP-auditors, waarbij de EDP-auditor de taak krijgt om de accountant zekerheid te verschaffen over de betrouwbaarheid van de verwerking van de gegevens door het geautomatiseerde systeem. Dit gebeurt veelal aan de hand van normeringen die zijn vastgesteld door de accountant, dan wel in nauw overleg met de accountant tot stand gekomen zijn. De onderkende toegevoegde waarde van het beroep van EDPauditor leidt tot een geformaliseerde eigen status: aan de Vrije Univeristeit Amsterdam en de universiteiten van Rotterdam en Tilburg ontstaan in de tweede helft van de jaren tachtig postdoctorale opleidingen EDP-auditing en in 1992 wordt de beroepsorganisatie NOREA opgericht. Binnen de overheid zien auditdiensten in een vroeg stadium de noodzaak in van samenwerking tussen EDP-auditors en accountants. Dit leidt ertoe dat in 1988 EDP AUDIT POOL is ingesteld als samenwerkingsverband van
de IT-Auditor nummer 4 | 2013
IT Auditor_13_04.indd 16
25/11/13 5:10 PM
departementale auditdiensten om de deskundigheid op het gebied van controle en automatisering te bundelen. Door technologische ontwikkelingen die in die jaren in hoog tempo
doorgaan wordt automatisering steeds breder toegepast. Geheugencapaciteit wordt steeds goedkoper en processors worden sneller. Vooral deze ontwikkelingen hebben een enorm stimulerend effect en leiden tot de ontwikkeling van steeds meer
applicaties die bedrijfsprocessen kunnen ondersteunen. Vervolgens verschijnt de computerchip en zien we een vergaande miniaturisering van de componenten op die chips waardoor computers kleiner en lichter worden, wat de pc mogelijk de IT-Auditor nummer 4 | 2013
IT Auditor_13_04.indd 17
17 25/11/13 5:10 PM
maakt. De introductie van de pc leidt tot de opkomst van de kantoorautomatisering met al haar toepassingen. Een andere, gelijktijdige ontwikkeling is dat systemen steeds meer met elkaar worden geïntegreerd en dat computers in netwerken aan elkaar verbonden worden om te kunnen samenwerken, zelfs over de grenzen van individuele organisaties heen. Deze ontwikkelingen leiden tot ingrijpende wijzigingen in de inrichting van de organisatie. Het management ziet zich geconfronteerd met gewijzigde en nieuwe organisatieprocessen en komt voor nieuwe uitdagingen te staan. Zo moeten ze grip hebben op de ontwikkeling en het gebruik en beheer van informatiesystemen, op de technische infrastructuren en op de inrichting van de operationele automatiseringsondersteuning. Maar het management moet ook aandacht schenken aan voorwaardenscheppende beleidsprocessen zoals informatiestrategie en informatiemanagement. Tussen al deze processen bestaan relaties en afhankelijkheden. Voor EDP-auditors is het dan ook niet langer toereikend om alleen gespecialiseerd te zijn in het beoordelen van de ‘electronic data processing’ door geautomatiseerde systemen. Zij realiseren zich dat ze ook de hierboven genoemde domeinen en processen in al hun complexiteit tot hun vakgebied moeten rekenen. De EDP-auditor ontwikkelt zich dan ook van een auditor die in opdracht van de accountant werkt en datgene beoordeelt wat voor de accountant een black box is, tot een auditor die ten behoeve van het management een uitspraak kan doen over de kwaliteit van IT. Hierdoor ontstaat de roep om de EDP-auditor om te dopen tot IT-auditor en het vakgebied tot IT-auditing. Dit weerspiegelt de verbreding van het aandachtsgebied van electronic data
18
processing naar een breed terrein met een scala van domeinen die een diversiteit van objecten van informatie- en communicatietechnologie omvatten, en van een beroep dat verbonden is met de accountancy naar een beroep dat (ook) ten dienste staat van het management van een organisatie. verBreDIng vAn De ACCOUntAntSFUnCtIe Maar ook op andere fronten is er beweging. Vanaf de tweede helft van de jaren negentig maakt de accountantsfunctie een ontwikkeling door waarvan de resultaten zichtbaar worden in de eerste jaren van de 21e eeuw. De accountantsfunctie richt zich niet langer alleen op administratieve processen. In het kader van hun niet-wettelijke taak dienen de accountants, vaak op verzoek van het management, ook een oordeel uit te spreken over de beheersing van andere bedrijfsprocessen dan de boekhouding die, direct of indirect, bijdragen aan de realisatie van de doelstellingen die de organisatie nastreeft – denk aan inkoop, HRM, salarisverwerking, risicobeheersing, projectbeheersing, informatiebeveiliging en rekencentrumprocessen. Hiermee wordt de accountantsfunctie, van oorsprong specifiek gericht op de financiën, verbreed tot een veelzijdige auditfunctie die zich richt op de organisatie als geheel. Binnen de overheid bijvoorbeeld, komen rond de eeuwwisseling belangrijke impulsen hiervoor voort uit de operatie ‘Van beleidsbegroting tot 1 beleidsverantwoording (VBTB)’ en het Kwaliteitsplan auditfunctie Rijksoverheid.2 Deze ontwikkelingen blijven niet zonder gevolgen voor de accountant. Automatisering ondersteunt op dat moment bijna alle processen in de organisatie en er is dan ook een groot aantal automatiseringaspecten dat van invloed is op de uitspraak of het proces ‘in control’ is. Beveiliging
van informatie, transparantie van de communicatie, waarborgen van de privacy, systemen die gekoppeld zijn en outsourcing zijn slechts enkele voorbeelden. Voor de accountant die een uitspraak moet doen over de beheersing van deze processen is de kennis van de specialist – de EDP-auditor, dan al geëvolueerd tot IT-auditor – onmisbaar. De al ontstane samenwerking tussen deze twee disciplines wordt hierdoor dan ook geleidelijk intensiever en begint veel meer te omvatten dan alleen de administratieve systemen. Bij de rijksoverheid wordt dit bekrachtigd in het Handboek Auditing Rijksoverheid (HARO), dat in 2006 stelt: ‘ Ten behoeve van de ondersteuning van de accountant in het kader van de wettelijke controletaak zal de IT-auditor invulling geven aan de IT-aspecten in de verschillende fasen van de controleaanpak zoals binnen het HARO beschreven.’ De verDIePIng − HOe De ItAUDItOr ZICH SPeCIALISeert Hierboven is aangegeven op welke manier EDP-auditing zich heeft ontwikkeld tot IT-auditing, waarbij de aanvankelijke uitspraken over geautomatiseerde gegevensverwerking in administratieve systemen werden verbreed tot uitspraken over een grote variëteit aan uiteenlopende aspecten van de informatievoorziening bij een organisatie. Naast deze verbreding was er ook sprake van een verdieping van de IT-auditfunctie als antwoord op en in wisselwerking met de veelheid en snelheid van technologische vernieuwingen in en aanpassingen van zaken als hardware, informatiesystemen en infrastructuur. We brengen enkele van deze ontwikkelingen en hun gevolgen voor de IT-auditor in herinnering. De introductie en evolutie van de pc Aanvankelijk vindt gegevensverwerking plaats in gespecialiseerde
de IT-Auditor nummer 4 | 2013
IT Auditor_13_04.indd 18
25/11/13 5:10 PM
rekencentra, maar begin jaren tachtig verschijnt de personal computer (PC − vanwege de nieuwigheid dan nog met hoofdletters geschreven). Vervolgens komt de portable pc op de markt. Er bestond in 1975 weliswaar al een computer met het predicaat ‘portable’, maar dit betekende niet meer dan ‘verplaatsbaar’, want het apparaat, geproduceerd door IBM, woog 25 kilo. In het algemeen geldt als eerste echte portable computer de Osborne 1, geproduceerd door nieuwkomer Osborne. Het is tegenwoordig nauwelijks meer voor te stellen maar deze ‘portable’, die in 1981 op de markt komt, heeft 64kB intern geheugen, is uitgerust met een 5 inch tekst-beelscherm met 25 kolommen en 24 rijen en weegt 11 kg. Eind jaren tachtig doet de pc massaal zijn intrede op de werkplek. Een aantal jaren later volgt de laptop en vervolgens worden vele, ook kleinere, ‘devices’ geïntroduceerd, waardoor het steeds makkelijker wordt om dit soort apparaten, al dan niet compleet met bedrijfsdata overal mee naar toe te nemen – van binnen de organisatie naar buiten en omgekeerd. Dit brengt nieuwe bedreigingen met zich mee voor de organisatie, en dus voor de IT-auditor: kleine apparaten worden gemakkelijker gestolen of kwijtgeraakt en zijn vaak minder goed beveiligd. Er doet zich een aantal incidenten voor waarbij waardevolle gegevens ‘op straat komen te liggen’. De IT-auditor moet zich daarom ook gaan verdiepen in de mogelijkheden om deze apparaten te beveiligen − procedureel, fysiek en met de inzet van beveiligingstools. De introductie van wifi maakt de beveiliging extra complex. Van geautomatiseerd systeem naar webapplicatie Op het gebied van de systeemontwikkeling zien we in de jaren negentig een verschuiving van
maatwerk naar een steeds grotere inzet van standaardpakketten, zoals ERP-systemen. Deze systemen vragen om een eigen, aangepaste aanpak voor de implementatie. Ook dit kennisgebied moet de IT-auditor dus beheersen. Door de komst van internet ontstaat er een nieuwe loot aan de stam van de geautomatiseerde systemen: interactieve webapplicaties. Sinds begin 2005 neemt de interactiviteit van webapplicaties toe. De verscheidenheid aan technologieën en het aantal verschillende componenten dat aanwezig is in een webapplicatie en de vele kwetsbaarheden maken dat voor het uitvoeren van webapplicatieonderzoeken flink wat technische kennis nodig is. Voor de ITauditor blijven deze ontwikkelingen niet zonder gevolgen. Er wordt van ze verwacht dat zij de risico’s van geautomatiseerde omgevingen kennen en dat ze uitspraken kunnen doen over de beheersing van die risico’s. De geautomatiseerde omgevingen zijn dan inmiddels zowel organisatorisch als technisch zo complex geworden dat één individu niet meer alle vereiste kennis in huis kan hebben. Sommige IT-auditors beginnen zich specifiek te richten op technische aspecten ontwikkelingen, waarmee het specialisme ‘technical audit’ is geboren. Ontwikkelingen binnen de auditfunctie Ongeveer in dezelfde periode wordt binnen de auditfunctie steeds duidelijker dat ICT niet op zich zelf staat en moet worden bekeken in de context van de organisatieprocessen, gericht op de doelen van de organisatie. De overtuiging dat bedrijfsprocessen bekeken moeten worden in het licht van de organisatiedoelstellingen en dat de informatiesystemen die deze processen ondersteunen gebruik maken van een onderliggende infrastructuur leidt haast vanzelfsprekend tot de ontwikkeling van het auditconcept ‘integrated
auditing’– de integratie van operational, financial en IT-audit. Geleidelijk aan zijn er ook andere spelers dan accountants die beginnen in te zien dat de IT-auditor, breed of gespecialiseerd, toegevoegde waarde kan hebben voor hun eigen werkzaamheden. Dit zijn bijvoorbeeld de lijnmanagers in diverse lagen van de organisatie, directeuren Organisatie en Informatie, en financieel directeuren. Zij zetten vooral adviesopdrachten uit. Voor de leiding van de organisatie is de IT-auditor niet zelden de enige specialist die voldoende kennis heeft van de technische aspecten van IT-voorzieningen en de risico’s om hem hierin van het juiste advies te voorzien. SAMENWERKING IN KETENS EN ICT ALS STRATEGISCH INSTRUMENT Al in de jaren zestig van de vorige eeuw ontplooien bedrijven initiatieven om de samenwerking met hun ketenpartners te ondersteunen met ICT. Zo zien we bijvoorbeeld elektronische douanemanifesten verschijnen − eerst geïntroduceerd in de scheepvaartindustrie en vervolgens overgenomen in de gehele transportsector. Later gaan bedrijven in de automobielindustrie en de supermarktsector over tot elektronische bestelprocedures bij hun toeleveranciers. Midden jaren zeventig ontstaan initiatieven om deze berichten te standaardiseren en in 1987 stellen de Verenigde Naties de EDIFACT-standaard vast. Ook in de financiële sector ontstaan samenwerkingsinitiatieven. In 1973 monden deze uit in de wereldwijd 3 opererende organisatie SWIFT , die werd opgericht om informatie over transacties uit te wisselen tussen financiële instellingen. In de Nederlandse overheidssector worden ICT en de informatievoorziening bij de overheid vanaf eind jaren tachtig van de vorige eeuw belangrijk thema’s.4 In 1990 treedt de IT-Auditor nummer 4 | 2013
IT Auditor_13_04.indd 19
19 25/11/13 5:10 PM
het besluit ‘Informatievoorziening in de Rijksdienst’ in werking. De aandacht gaat hierbij primair uit naar de eigen bedrijfsvoering van de overheid en de nadruk is vooral gericht op een doelmatiger inzet van ICT. Vanaf eind jaren negentig begint het overheidsbeleid zich vooral ook op de relatie met burgers en bedrijven te richten.5 Rode draad door deze beleidsontwikkelingen over de jaren heen is de wens tot samenwerking tussen departementen en uitvoeringsorganisaties om de bureaucratie te verminderen, burgers en bedrijven beter te bedienen en de ICT efficiënter in te zetten. Een voorbeeld is de invoering van de elektronische loonaangifte in 2005 in het kader van het terugdringen van administratieve lastenvermindering. Ook hebben burgers in veel gemeenten tegen het einde van het eerste decennium van deze eeuw de mogelijkheid om thuis via internet verbouwingsvergunningen of een nieuw paspoort aan te vragen en elektronisch afspraken te maken op het gemeentehuis. Een voorbeeld van samenwerking tussen organisaties is de jeugdstrafrechtketen, waarin het OM, de politie, de Raad voor de Kinderbescherming, Halt en de Raad voor de Rechtspraak samenwerken in het project ‘verkorting doorlooptijden Jeugdstrafrechtketen’. Een van de doelen van deze samenwerking is om de informatie-uitwisseling in de keten beter te beheersen en daardoor betrouwbaarder te maken. Een ander voorbeeld is de wet uit 2006 waarbij de Belastingdienst verantwoordelijk wordt voor de uitvoering van de huur-, zorg- en kinderopvangtoeslag. Kenmerkend voor al deze ontwikkelingen is dat processen over de organisatiegrenzen heen met elkaar verweven raken en dat organisaties gebruikmaken van gegevens die berusten bij partnerorganisaties in de keten. Het principe van eenmalige invoer en meervoudig gebruik van gegevens kan efficiëntievoordelen voor de overheid opleveren en de gegevensaanlevering
20
vergemakkelijken voor burgers en bedrijven. In sommige gevallen gaan organisaties er toe over hele systemen en infrastructuren gezamenlijk te gebruiken. Deze ontwikkelingen roepen nieuwe beheersingsvraagstukken op. Keerzijde van gegevensdeling in een keten is bijvoorbeeld dat gegevensvervuiling zich snel over de gehele keten verspreidt en de databases bij alle ketenpartners ‘besmet’. Ook voor het onderwerp informatiebeveiliging geldt dat de keten zo sterk is als de zwakste schakel. Een volgende stap in de samenwerking tussen organisaties is de integratie van voorheen afzonderlijke bedrijfsprocessen van de samenwerkende organisaties. Een vroeg voorbeeld is de oprichting van een Shared Service Center HRM voor Personeelsregistratie en Salarisadministratie: P-Direkt, waartoe het ministerie van BZK in 2003 de eerste stappen zet. Deze eenheid verzorgt onder de verantwoordelijkheid van de minister van BZK de personeels- en salarisadministratie voor alle ministeries. PDirekt vervult hierbij een facilitaire rol en een externe partner is verantwoordelijk voor de serviceverlening conform een prestatiecontract met PDirekt. De departementen blijven bij dit alles verantwoordelijk voor de rechtmatigheid en betrouwbaarheid van de gehele bedrijfsvoering van de departementen. Deze departementale verantwoordelijkheid strekt zich ook uit tot de personeels- en salarisprocessen, met inbegrip van die processen die P-Direkt op contractuele basis voor het departement uitvoert. Hier is sprake van een behoorlijk complexe verdeling van taken en verantwoordelijkheden. Bovendien zien we dat de ministeries een deel van hun soevereiniteit inleveren. Dit heeft nogal wat consequenties voor de bedrijfsvoering bij de departementen: rollen veranderen, verantwoordelijkheden verschuiven, de departementale processen moeten opnieuw worden ingericht en contracten met externe partijen
nemen de plaats in van procedurele afspraken tussen dienstonderdelen. Consequentie voor de IT-auditor, die voorheen voor elke audit kon opereren vanuit het relatief overzichtelijke perspectief van één afzonderlijke organisatie, is dat hem of haar nu ook gevraagd wordt uitspraken te doen over organisatieoverstijgende beheersingskwesties en over strategische vraagstukken. De auditor moet zijn werk steeds meer in een bestuurlijk complexe werkomgeving doen en moet nieuwe competenties verwerven. De tOekOMSt AnnO 2007? Het laatste hoofdstuk van het artikel zoals we dat in 2007 publiceerden was een blik in de toekomst. We vroegen ons af welke nieuwe uitdagingen er nog in het verschiet zouden liggen. We introduceerden het begrip ‘versnelling’ voor het fenomeen dat technologische ontwikkelingen elkaar in steeds hoger tempo opvolgen waardoor de hoeveelheid veranderingen waaraan een organisatie blootstaat enorm toeneemt. Het gevolg daarvan is dat verandering een risicofactor wordt voor de manager en daarmee een object van auditing voor de auditor. Binnen het vakgebied introduceerde Kor Mollema de termen ‘change-oriented auditing’ waarbinnen de auditor zou moeten functioneren als ‘change-agent voor de manager. Wij voorspelden dan ook dat er in de toekomst een rol zou zijn weggelegd voor de ‘change IT-auditor’, een professional die omgevingsbewustzijn koppelt aan het vermogen om inventief, snel en proactief te kunnen adviseren zodanig dat veranderingstrajecten op een beheerste manier verlopen. Of die voorspellingen werkelijkheid zijn geworden zullen we zien in een volgend artikel van deze reeks. ■ Literatuur Houwert, Tobias, Rainer Steger en Jacques Haarsma (2006). Overheid moet leren met behulp van ICT de goede dingen ook goed te doen : Interview met Saskia
de IT-Auditor nummer 4 | 2013
IT Auditor_13_04.indd 20
25/11/13 5:10 PM
J. Stuiveling. De EDP-Auditor, jaargang 15 nr. 3, 11-14. IODAD: Handboek Auditing Rijksoverheid; vastgesteld op 28 maart 2006. Ministerie van Binnenlandse Zaken en Koninkrijksrelaties: Persbericht ministerraad 8 december 2006: Nieuwe aanpak voor P-Direkt. Ministerie van Financiën: Rapport ‘Ketenauditing, nieuw en daarom spannend’; juni 2004. NIVRA: Automatisering en controle • Deel I: De invloed van de administratieve automatisering op de interne controle; 1970. Nivra geschrift; nr.1. • Deel III: De invloed van de geautomatiseerde gege-
vensverwerking op de accountantscontrole; 1975. Nivra geschrift; nr.13. • Deel V: Organisatorische maatregelen en controletechnieken voor de ontwikkeling van geautomatiseerde informatiesystemen; 1988. Nivra geschrift; nr.43. NOREA (1998). IT-auditing aangeduid. Schuyl, Johan en Ad Buckens (2006). Webapplicatieonderzoek bij de rijksoverheid : Kwetsbaarheden in beeld? De EDP-Auditor, jaargang 15 nr. 3, 23-30.
2
Noten 1 Dit is een in 1999 in gang gezette operatie gericht 3
Drs. Th.M.J. (Thea) Gerritse RE begon haar loopbaan als IT-auditor in 1988 bij EDP AUDIT POOL en is op dit moment auditmanager bij de Auditdienst Rijk. Daar houdt zij zich vooral bezig met vraaggestuurde opdrachten van ‘grote projecten’ bij de Belastingdienst. Zij maakte in 2006/2007 deel uit van de redactie van het boek Audit bij de overheid. Daarin verscheen ook de publicatie waar dit artikel een bewerking van is.
4
5
op het aanbrengen van een duidelijke koppeling tussen beleid, prestaties en geld, met als belangrijkste doel vergroting van de informatiewaarde en toegankelijkheid van de begroting en het jaarverslag. Bewindslieden werden verplicht om heldere en concrete beleidsdoelstellingen te formuleren aan de hand van drie vragen: Wat willen we bereiken, wat gaan we daarvoor doen en wat mag het kosten. Het plan beoogt het verantwoordelijke (hoogste) management de nodige ondersteuning te geven bij de implementatie van de door de ministerraad vastgestelde actiepunten. Society for Worldwide Interbank Financial Telecommunication. In 1998 verschijnt de beleidsnota ‘Informatievoorziening in de openbare sector’, gevolgd door twee vervolgnota’s in 1991 respectievelijk 1995 (de nota’s Bios-1, 2 en 3). Voorbeelden zijn de beleidsprogramma’s ‘Elektronische Overheid’ (1998), ‘Contract met de Toekomst’ (2000), ‘Beter Bestuur voor Burger en Bedrijf’ (2002) en ‘Andere Overheid’ (2003) en het ‘Nationaal Uitvoeringsprogramma Dienstverlening en E-Overheid’(NUP, 2008).
/ Masterclass
Reorganiseren
Routekaart voor een geslaagde reorganisatie Donderdag 30 januari 2014 | Slot Zeist Elke organisatie krijgt er een keer mee te maken: de organisatie moet aangepast worden aan de gewijzigde omstandigheden. Maar hoe doet u dat? Reorganiseren is immers niet uw dagelijkse werk, maar wel belangrijk. Maakt u fouten, dan zijn de risico's groot. Het is daarom van het allergrootste belang om de reorganisatie goed te laten verlopen.
Wilt u snel en concreet weten hoe u dit proces vol valkuilen goed doorloopt met een geslaagde reorganisatie als resultaat? Schrijf dan nu in voor de Masterclass Reorganiseren.
Meer informatie en direct online inschrijven via:
www.reedbusinessevents.nl/reorganiseren
Een initiatief van
de IT-Auditor nummer 4 | 2013
IT Auditor_13_04.indd 21
21 25/11/13 5:10 PM