Artikel
Ketengovernance Ketensamenwerking binnen het publieke domein Adri de Bruijn, Anastasia van der Meer, Peter Nieuwenhuizen, Maarten Slot en Bart van Staveren
Dit artikel is het derde en (voorlopig) laatste artikel in een reeks artikelen over ketenauditing. Het eerste artikel, geschreven door Leon Dirks en Anastasia van der Meer, 1 was gebaseerd op een inventariserend onderzoek .
In dat meer algemene artikel is onder andere ingegaan op de begrippen keten en ketenaudit (zie tekstkader).
O
ok werden verschillende uitvoeringsmodellen voor ketenaudits aangegeven. Deze symboliseren de mate van onderlinge samenwerking tussen de auditdiensten in een ketenaudit en de invloed die dit heeft op de omvang van de beschouwing respectievelijk de beoordeling van de keten als geheel: consolidatiemodel, kokermodel en centrifugemodel (in dit artikel voegen we hier een vierde model aan toe: het ‘grondmodel’). Het tweede artikel ging in op keten-governance, dat wil zeggen de sturing en beheersing van, verantwoording over en het toezicht op ketens. Daarbij is een viertal ketentypes onderscheiden, te weten klassieke uitbesteding, semi-trust, semi-keten en echte keten. In dit derde artikel over ketenauditing brengen we de vier ketentypes en de vier modellen voor ketenaudits met elkaar in verband. Daarbij schetsen we voor elk van de vier ketentypes een mogelijke invulling van de audit van dat ketentype en de rol van de auditor daarin.
Het gezichtspunt van de EDP-auditor staat centraal, met vragen zoals: Hoe typeert de EDP-auditor ketens? Welke aspecten zijn per ketentype relevant? Welke vormen van samenwerking tijdens het uitvoeren van een audit kunnen per ketentype worden verwacht? Hoewel we ons in eerste instantie op de EDP-auditor richten, kan het ontwikkelde gedachtegoed natuurlijk ook voor andere auditdisciplines van belang zijn. We sluiten af met een aantal beschouwingen over onze waarnemingen in de praktijk rondom audits van ketens. In dit artikel richten we ons op ketensamenwerking binnen het publieke domein. De uitgangspunten, modellen en toepassingen in dit artikel kunnen echter ook relevant zijn voor ketensamenwerking in het bedrijfsleven. Ketensamenwerking kan in veel verschillende vormen en op verschillende bestuurlijke niveaus plaatsvinden. De samenwerking ontstaat binnen processen met volgtijdelijke of parallelle activiteiten. Daarbij heeft niet langer één, maar hebben verschillende partijen (bijvoorbeeld verschillende organisaties) de gezamenlijke eindverantwoordelijkheid. De aanwezigheid van meer dan één eindverantwoordelijke en/ of uitvoerende kan leiden tot ingewikkelde aansturings- en uitvoeringsconstructies. Deze kunnen op hun beurt weer onduidelijkheid in beheersing en toezicht opleveren. In dit artikel nemen we gegevensuitwisseling als uitgangspunt. Dat houdt in dat we ons vooral richten op processen en niet op bestuurlijke afstemming.
A.J.M. de Bruijn RE RA is partner van PricewaterhouseCoopers Advisory, docent EDP-auditing aan de Erasmus School of Accounting en Assurance en voorzitter van de NOREA.
Definities
Drs. A.J. van der Meer is onderzoeker en coordinator van de sector
Keten: ‘Een keten is een samenwerkingsverband tussen partijen die
onderzoek en marketing van de Belastingdienst (Centrum voor Proces-
zowel zelfstandig als afhankelijk van elkaar functioneren omdat ze
en Productontwikkeling).
volgtijdelijke handelingen uitvoeren gericht op een afzonderlijk doel2.
P.C.J. Nieuwenhuizen RE RA is director bij PricewaterhouseCoopers
Ketenaudit: ‘Een ketenaudit is een onderzoek dat moet leiden tot
Accountants.
een gefundeerd oordeel of advies over de beheersing van een keten als geheel ten aanzien van een gekozen object van onder-
M.C.M. Slot RE is IT-auditor bij het Ministerie van Financiën.
zoek. De ketenaudit richt zich alleen op dát aspect of onderdeel van zelfstandige organisaties dat bijdraagt aan het gemeenschappelijke
Drs. B.J. van Staveren RE is hoofd IT-audit bij UWV en voorzitter van
doel en de beheersing van de gehele keten.’ (Bron: Meer)
het Platform Informatiebeveiling.
41 | de EDP-Auditor nummer 2 | 2006
Samenwerkingsmodellen voor ketenaudits
voor het gehele ketenproces. Voor de gehele keten wordt een gezamenlijke verklaring of mededeling afgegeven.
Samenwerkingsmodellen
In het eerste artikel zijn drie typen ketenaudits onderscheiden, namelijk het consolidatiemodel, het kokermodel en het centrifugemodel. Deze symboliseren de mate van onderlinge samenwerking tussen de auditdiensten in een ketenaudit en de invloed die dit heeft op de omvang van de beschouwing respectievelijk de beoordeling van de keten als geheel. Wij gebruiken dezelfde indeling maar leggen de nadruk op de samenwerkingsaspecten. We duiden ze hierna dan ook aan als samenwerkingsmodellen. We voegen één model toe, het ‘grondmodel’, waarin samenwerking in feite afwezig is. Het consolidatiemodel
Er is sprake van twee partijen: een organisatie die het proces uitvoert en een organisatie die de eindverantwoordelijkheid voor het proces draagt. De uitvoerende organisatie maakt voor de auditwerkzaamheden gebruik van de eigen auditdienst. De accountantsverklaring of mededeling die aldus wordt afgegeven, wordt gebruikt door de opdrachtgevende partij alias eindverantwoordelijke voor het ketenproces. De eindverantwoordelijke voert in dat kader reviews uit op de werkzaamheden van de auditdienst van de uitvoerende organisatie. Het kokermodel (brugmodel)
Het uitgangspunt voor dit model is dat een deel van het ketenproces gezamenlijk en een deel ervan afzonderlijk door de betrokken organisaties wordt uitgevoerd. Ook de audits worden afzonderlijk verricht en alleen voor het gemeenschappelijke deel wordt samengewerkt. Het product is een afzonderlijke verklaring of mededeling voor de eigen bijdrage en een onder gezamenlijke verantwoordelijkheid afgegeven auditoordeel voor het gemeenschappelijke aandeel. Het gezamenlijke deel vormt een brugfunctie tussen beide afzonderlijke delen.
Voor een opbouw van onze analyse van ketens bleek het zinvol om ook een basis neer te zetten van een situatie waarin geen sprake is van een of andere vorm van een keten. Dit model dient als grondmodel voor de verdere vergelijking van de verschillende ketens die we onderscheiden. Daarom hebben we ervoor gekozen nog een model toe te voegen aan de voorgaande drie: Het grondmodel
Hierbij is geen gemeenschappelijke basis aanwezig voor het uitvoeren van een audit met een meer of mindere mate van samenwerking tussen auditdiensten. Het model geeft de gebruikelijke basissituatie weer waarbij audits worden uitgevoerd door één auditdienst en betrekking hebben op één proces(stap). Voor een visualisering van vorenstaande is gebruik gemaakt van de schematechniek in het onderzoeksrapport ketenauditing (bron: Meer). Deze visualiseert de verschillende auditmodellen zoals hiervoor omschreven in de vorm van plateaus als een steeds verdergaande mate van samenwerking van auditdiensten. (Zie ook Figuur 1) De normatieve samenhang van samenwerkingsmodellen en ketentypes
De vier ketentypes hebben wij gedefinieerd aan de hand van de in de praktijk aangetroffen situaties. Kennisnemend van het onderzoeksrapport ketenauditing kwam de vraag op in hoeverre een samenhang nu aanwezig is tussen de ketentypes en de samenwerkingsmodellen voor audits uit het rapport. Daartoe hebben de auteurs een nadere analyse opgesteld van de overeenkomsten van verschillende aspecten van ketentypes enerzijds en de samenwerkingsmodellen anderzijds. Dat leidde tot de volgende normatieve opzet.
Het centrifugemodel
Het uitgangspunt voor dit model is dat de gehele ketenaudit gezamenlijk wordt uitgevoerd. Hierbij is sprake van een ver doorgevoerde samenwerking tussen betrokken auditdiensten
De klassieke uitbesteding (klant/leverancierrelatie)
Hierbij is sprake van uitbesteding van werkzaamheden zonder dat dit is gebaseerd op wettelijke bepalingen. Dit is een al lang bestaand type van samenwerking tussen klant en leverancier en ook binnen de overheid vaak voorkomend. In de analyse van de auteurs is het een duidelijke vorm van samenwerking, waaraan ook een duidelijk auditmodel gekoppeld is. Uit de lange ervaring die met dit ketentype is opgedaan, is in de praktijk de situatie ontstaan dat bij dit type voor de auditaanpak het consolidatiemodel wordt gebruikt. Dit lijkt de auteurs de best passende vorm. Semi-trust (uitbesteding op wettelijke basis)
Figuur 1: Samenhang auditmodellen met zicht op keten als geheel
Hier is sprake van een organisatie die werkzaamheden uitvoert ten behoeve van één of meerdere departementen die de eindverantwoordelijkheid dragen. In dit ketentype staat de aard van de relatie centraal. Het betreft een op wettelijke gronden gebaseerde verhouding. Dit is een ketentype dat veel kenmerken heeft van de klassieke uitbesteding waardoor
42 | de EDP-Auditor nummer 2 | 2006
op het eerste gezicht het consolidatiemodel van toepassing lijkt te zijn. Door de wettelijke basis waarop de ‘uitbesteding’ plaatsvindt en de gezamenlijke verantwoordelijkheid van beleidsverantwoordelijke departementen en auditdiensten ontstaat er toch een aantal kenmerken dat bij dit ketentype pleit voor een ander auditmodel. Een specifiek kenmerk is bijvoorbeeld dat door de wet- en regelgeving een gezamenlijke verantwoordelijkheid van overheidsinstanties aanwezig blijft. Daardoor is als auditmodel in die situatie het centrifugemodel beter passend. Daarin wordt de gehele keten gezamenlijk door de auditors beschouwd. Semi-keten (eenzijdige gegevensaanlevering)
Kenmerkend in dit ketentype is gegevensverstrekking met veelal vooral een belang bij de ontvanger. Bij dit ketentype is uitsluitend sprake van gegevensaanlevering, en wel op wettelijke grondslag. Een uitbesteding is niet aanwezig; het betreft immers gegevens die de leverancier voor haar eigen processen ook nodig heeft. Evenmin is er een gemeenschappelijk ketendeel aanwezig. Het (toegevoegde) grondmodel is daarom van toepassing. Echte keten (met gelijkwaardige partners)
Hierbij is sprake van een samenwerking van gelijkwaardige partners in een keten. Voor dit type is het centrifugemodel het meest passend, vooral omdat dan het geheel van de keten gezamenlijk in de audit wordt bezien. Na toevoeging van vorenstaande aan Figuur 1 ontstaat het volgende beeld van de normatieve samenhang tussen de auditmodellen en de onderscheiden ketentypes (zie Figuur 2). De praktijk van de samenhang van samenwerkingsmodellen en ketentypes
Kijkend naar de praktijk, die als basis dient voor de hiervoor weergegeven normatieve opzet, komen we een diversiteit aan koppelingen tegen. Uitgaande van de gedefinieerde ketentypes leidt dat tot de volgende praktische invullingen in de praktijk van de samenwerking binnen audits.
strekt, die vervolgens een reviewmogelijkheid hebben. Daarom is op dit type keten in eerste instantie het consolidatiemodel van toepassing. Een voorbeeld is de uitvoering door de gemeentes van sociale uitkeringswetten ten behoeve van het Ministerie van Sociale Zaken. Zoals aangegeven, hoeft het in dit ketentype niet persé te gaan om bilateraal contact. Er kunnen immers meerdere eindverantwoordelijken aanwezig zijn. Daarom kan ook het centrifugemodel van toepassing zijn. In de situatie van meerdere eindverantwoordelijken kan ook gekozen worden voor een onder gezamenlijke verantwoordelijkheid van de auditdiensten van de betrokken departementen uitgevoerd onderzoek naar de gehele keten. Een voorbeeld is de uitvoering door de Belastingdienst van de inkomensafhankelijke toeslagen voor een aantal beleidsdepartementen. Semi-keten (eenzijdige gegevensaanlevering)
In deze keten zijn de te leveren gegevens voor de ontvanger essentieel voor haar primaire processen. Daarom is de kwaliteit van die gegevens voor de ontvanger belangrijk. De verstrekker kan een belang hebben bij de zorgvuldige omgang door de ontvanger met de verstrekte gegevens. De ontvanger zou de behoefte aan zekerheid kunnen hebben over de mate van betrouwbaarheid van de ontvangen gegevens. De auditor van de verstrekkende partij kan daarnaar een onderzoek instellen en daarover een mededeling afgeven. Anderzijds kan de verstrekker van de gegevens behoefte hebben aan zekerheid over de zorgvuldige omgang door de ontvanger met de gegevens. Denk bijvoorbeeld aan privacyaspecten. De auditor van de ontvangende partij kan daarnaar een onderzoek instellen en daarover een mededeling afgeven. Een voorbeeld is het gebruik van gegevens van de Rijksdienst voor het Wegverkeer door derden. In beide gevallen is het grondmodel het meest van toepassing. Een gemeenschappelijk deel is niet aanwezig. Echte keten (met gelijkwaardige partners)
Bij gelijkwaardige partners in een keten ligt het voor de hand om volgens het centrifugemodel gezamenlijk een audit uit te voeren. De verklaring of mededeling uit deze audit is
De klassieke uitbesteding (klant/leverancierrelatie)
De opdrachtgevende partij zal in de situatie van een klassieke uitbesteding de zekerheid willen hebben dat de contractbepalingen worden nageleefd. In die informatiebehoefte kan een audit bij de uitvoerende partij voorzien. Deze zal veelal worden uitgevoerd door de auditor van die uitvoerende partij die over de uitkomsten een mededeling afgeeft. Het consolidatiemodel past daarom goed bij dit ketentype; dit komt overeen met de normatieve opzet. Een voorbeeld is de uitbesteding van de salarisverwerking door een aantal departementen aan de Belastingdienst. Semi-trust (uitbesteding op wettelijke basis)
Een gangbaar model is dat de uitvoerder door de eigen auditdienst een audit laat uitvoeren. De daarop gebaseerde TPM-mededeling wordt aan de eindverantwoordelijken ver-
Figuur 2: Normatieve samenhang auditmodellen met ketentypes
43 | de EDP-Auditor nummer 2 | 2006
een gezamenlijke verantwoordelijkheid van de auditors van beide partners in de keten en is van toepassing op het gehele ketenproces. Een voorbeeld is de Suwi-keten (Structuur Uitvoeringsorganisatie Werk en Inkomen; de keten van CWI, gemeentes en UWV die zorgdraagt voor het verlenen van hulp aan werkzoekenden en het verzorgen van (tijdelijke) uitkeringen) waarbij een gemeenschappelijk oordeel wordt geformuleerd op basis van de audits bij de verschillende ketenpartners. Een andere optie is een audit door een derde auditpartij op de gehele keten. In de praktijk wordt in de ontwikkelfase van een project wel het centrifugemodel gebruikt. In de uitvoeringsfase komt veelal het kokermodel (brugmodel) naar voren. Het centrifugemodel kan door keuzes vanuit de politiek groeien naar een brugmodel. Voor een beeld van de gehele keten heeft men dan de uitkomsten uit de gemeenschappelijke audit over het beperkte, gemeenschappelijke deel plus de twee afzonderlijke audits op de schakels van de keten die als onderdeel van twee partners zijn gedefinieerd. Een voorbeeld is de samenwerking tussen UWV en Belastingdienst bij de premieheffing en het beheer van basisgegevens. Na toevoeging van vorenstaande aan Figuur 2 ontstaat het volgende beeld van de praktijksituaties van de samenhang tussen de auditmodellen en de onderscheiden ketentypes (zie Figuur 3). Opzet ketenaudits in relatie tot de levenscyclus van ketens In de levenscyclus van een keten verschilt ook de aard van de mogelijke ketenaudits. De in het voorgaande hoofdstuk geschetste samenhang tussen samenwerkingsmodellen en ketentypes kunnen we bij de invulling van de opzet van een audit nuanceren, afhankelijk van de fase van ketenontwikkeling: de ontwerpfase, de realisatiefase en de operationele fase. De fasen kennen elk hun eigen onderzoeksvragen voor
de auditor. De meest effectieve samenwerking tussen de auditors van de betrokken organisaties kan daarom voor een aantal van de onderscheiden ketenvormen per fase verschillen. Het artikel heeft zich vooral gericht op de operationele fase, maar kan daarnaast ook gebruikt worden voor het bezien van de auditsamenwerking tijdens de ontwerp- en realisatiefase. Ketenaudits in de ontwerpfase
Tijdens de ontwerpfase vindt de strategische besluitvorming plaats en worden de grove contouren van de keten ontworpen. In deze fase is het onderzoek gericht op de realiseerbaarheid van een beheersbare keten binnen de gemaakte of te maken afspraken (het bezien van de voorgenomen opzet van de keten). In het ideale geval betrekt het management van de ketenpartijen de auditdiscipline al bij de start van het inrichten van de keten. Dit geeft de auditor de mogelijkheid om al in deze fase te beoordelen of de inrichting van de verantwoording over de beheersing van de keten en het verstrekken van zekerheid hierover aan de betrokken stakeholders in opzet voldoende is geborgd. In deze fase zal er veelal nog geen of weinig contact zijn tussen de auditdiensten van de organisaties. Het grondmodel is dan het meest toepasselijk. Voor de slagingskans van de keten is een risicoanalyse op de realiseerbaarheid van de keten van belang. De auditor kan de volledigheid van die risicoanalyse beoordelen. Bij de klassieke uitbesteding, uitbesteding op wettelijke basis en eenzijdige gegevenslevering zal de beoordeling van de risicoanalyse geen probleem zijn en kan die vraag vanuit het grondmodel beantwoord worden. Voor het ketentype met gelijkwaardige partners is deze vraag veel moeilijker te beantwoorden. Er zijn ons geen normenkaders bekend voor het uitvoeren van een dergelijk onder-
Figuur 3: Samenhang auditmodellen met zicht op keten als geheel
44 | de EDP-Auditor nummer 2 | 2006
zoek. Daarom kan voor het opstellen van het referentiekader naar onze mening het best gebruik gemaakt worden van de door Grijpink3 ontwikkelde toetsingsinstrumenten. Hij onderscheidt een drietal meetgebieden: • Infrastructuur: hoe sluiten systemen op elkaar aan? • Maatschappelijk: hoe waarborg je zaken als veiligheid en privacy? • Bestuurlijk: hoe borg je een voldoende mate van bestuurlijke afstemming? Als eis kan onder meer gesteld worden dat het keteninformatiseringsproject bij de risico-inventarisatie de risico’s in kaart heeft gebracht die gerelateerd zijn aan het niet optimaal voldoen aan (één van) de vier profielen van ketens. Er dienen toereikende maatregelen te zijn voorzien om de effecten te mitigeren. De benodigde kennis over de betrokken organisaties om een dergelijke opdracht uit te kunnen voeren is niet aanwezig binnen een afzonderlijke interne (departementale) auditdienst. Door een combinatie van de kennis bij de verschillende betrokken organisaties te maken, ontstaat wel voldoende expertise. Een dergelijke audit kan daarom alleen binnen het centrifugemodel worden uitgevoerd. Ketenaudits in de realisatiefase
In de realisatiefase zal de onderzoeksvraag tweeledig zijn: (1) heeft de projectorganisatie zodanige maatregelen getroffen dat de doelstelling van het project, namelijk een werkende keten gerealiseerd zal worden binnen tijd en budget? En (2) voldoen de door het project opgeleverde (deel)producten aan de vanuit de optiek van de kwaliteit van de keten gestelde eisen wat betreft opzet en toekomstig bestaan. In deze fase van een keten kan de auditor in verschillende rollen betrokken zijn. De in te vullen rollen verschillen per type keten. Tijdens deze fase zijn er diverse mogelijke audits. Hierbij is er allereerst de mogelijkheid van audits op verzoek, gericht op de implementatie van processen. In dit geval bestaat er een veelheid aan mogelijkheden wat scope en auditobjecten betreft. De klassieke uitbesteding (klant/leverancierrelatie)
Voor de klassieke uitbesteding is het van belang aandacht te besteden aan het afsluiten van de benodigde contracten en onderliggende documenten zoals serviceniveau-overeenkomsten. Bij de inrichting van de klassieke keten hebben de auditor van de uitbestedende partij en die van de uitvoerende partij elk een andere rol. Het grondmodel is daarom de toepasselijke vorm. De auditor van de uitbestedende partij zal in ieder geval na moeten gaan of wet- en regelgeving conform de Europese aanbestedingsrichtlijn wordt nageleefd. Daarnaast zal hij een oordeel moeten geven over de beheersing van de keten vanuit de optiek van de klantorganisatie. De (veelal externe) auditor van de leverancier zal zich in deze fase een oordeel moeten vormen over de toetsbaarheid van het door de klant aangereikte normenkader. De ervaring leert dat een goed (informeel) contact tussen beide auditors in deze fase veel discussie achteraf kan voorkomen.
Semi-trust (uitbesteding op wettelijke basis)
Bij de uitbesteding op wettelijke basis is het uitgangspunt dat audits door de betrokken auditdiensten onder gezamenlijke verantwoordelijkheid worden uitgevoerd. Het consolidatiemodel is dus van toepassing. Van belang is dat de verschillende betrokken auditdiensten daarbij de nodige kennis over de auditee opdoen om de gezamenlijke audit gestalte te geven. De genoemde audits op verzoek geven tevens een belangrijke basis voor het gezamenlijk voorbereiden van de audits die gericht zijn op het vaststellen van de betrouwbaarheid van de financiële verantwoording. Ook hierbij zal de samenwerking tussen auditdiensten verder gestalte moeten krijgen. Daarbij kan het centrifugemodel als uitgangspunt dienen. Semi-keten (eenzijdige gegevenslevering)
Voor de realisatiefase bij het ketentype eenzijdige gegevenslevering bestaat relatief veel ervaring. Met de inzet van nieuwe technologie zoals webservices worden de auditors wel voor andere uitdagingen gesteld. Zeker in die gevallen waar de gegevenslevering ‘real time’ is, vormen aspecten als logische toegangsbeveiliging en beschikbaarheid speciale aandachtspunten met name aan de zijde van de leverende partij. Het grondmodel is in eerste instantie het meest van toepassing, omdat de nadruk op één partij ligt. Toekomstige ontwikkelingen kunnen mogelijk aanleiding geven tot een behoefte aan een andere invulling van assurance. Dan is afstemming tussen de betrokken auditdiensten wenselijk, hetgeen mogelijk leidt tot het consolidatiemodel. Echte keten (keten met gelijkwaardige partners)
Bij de keten van gelijkwaardige partners hebben de auditors van de ketenpartijen contact over de uit te voeren audits gedurende de ontwikkeling van de keten. Het samenwerkingsmodel zal van het koker- of centrifugetype zijn, afhankelijk van de specifieke situatie. In de eerste fases van het ontwikkelingsproject is het object van de audits vooral de projectorganisatie. De belangrijkste onderzoeksvraag is of de projectorganisatie in voldoende mate beheerst wordt. In de latere fases van het project zijn mogelijke auditwerkzaamheden de beoordeling van opgeleverde (tussen)producten van het project zoals het ontwerp van het ondersteunende ictsysteem, de specificatie van de koppelvlakken (in het bijzonder het aspect beveiliging), de toekomstige beheerorganisatie, het testproces, het kostenbeheer, et cetera. Ketenaudits in de operationele fase
In de operationele fase is de auditfunctie vooral gericht op het geven van zekerheid over de werking van de keten. De klassieke uitbesteding (klant/leverancierrelatie)
In de operationele fase ligt het belang van assurance bij de werking van de keten volgens de in het contract vastgelegde afspraken. Het consolidatiemodel voor samenwerking tussen de auditpartijen is toereikend.
45 | de EDP-Auditor nummer 2 | 2006
Semi-trust (uitbesteding op wettelijke basis)
Het betreft hierbij de uitvoering van de controlewerkzaamheden gericht onder meer op het vaststellen van de mate van betrouwbaarheid van de financiële verantwoording, de werking van de informatiebeveiliging van de keten en dergelijke. Hierbij zal de samenwerking tussen de auditdiensten verder invulling krijgen door onder meer nadere afspraken over de auditaanpak en de afstemming over de verdeling van de auditwerkzaamheden over de auditdiensten. Door middel van het centrifugemodel kan de samenwerking tussen de auditdiensten vorm worden gegeven. Daaronder vallen dan gezamenlijke verantwoordelijkheid voor de auditaanpak en het controleplan. Uitvoering van de werkzaamheden geschiedt in nauw overleg met elkaar. De auditdiensten nemen gezamenlijk verantwoordelijkheid voor het vaststellen van de bevindingen, conclusies en aanbevelingen en het eindoordeel. Semi-keten (eenzijdige gegevenslevering)
De verantwoordelijkheid voor het correct gebruik van de ontvangen gegevens ligt bij de ontvangende partij. Indien de verstrekte gegevens van groot belang zijn voor het primaire proces van de ontvangende partij kan deze steunen op een mededeling over de kwaliteit van die gegevens afgegeven door de auditor van de verstrekkende partij. Over het referentiekader als basis voor deze mededeling zijn bij voorkeur contractuele afspraken gemaakt. Als het eigenaarschap van de gegevens (bijvoorbeeld in de zin van de WBP) berust bij de verstrekkende partij zal deze zich in de lijn van de eigen organisatie moeten verantwoorden over het naleven van de daarbij geldende (wettelijk vastgelegde) regels. Een mededeling van de auditor van de ontvangende partij kan dan worden geëist om zekerheid van naleving van de contractuele afspraken te verkrijgen. Het grondmodel is hierbij het meest passend. Echte keten (keten met gelijkwaardige partners)
Bij gelijkwaardige partners vormen de tijdens de realisatiefase gemaakte afspraken de basis voor het te hanteren referentiekader. Deze afspraken zijn verankerd in een hiertoe ontwikkelde verantwoordingsrichtlijn of in een tussen de partijen overeengekomen convenant. Omdat de keten is samengesteld uit een complex geheel van processen is een auditaanpak op basis van een aantal deelaudits noodzakelijk om de planning beheersbaar te houden. Voor de uitvoering is het centrifugemodel daarom het meest voor de hand liggend. In de praktijk blijkt dat dit politiek gezien nog niet altijd haalbaar is en vallen de auditors terug op een verantwoordelijkheidsverdeling volgens het brugmodel (kokermodel).
toegepast kunnen worden. Naar onze mening hebben we daarbij een beeld kunnen neerzetten van de verschillende soorten ketens die binnen het publieke domein aanwezig zijn. Daarnaast is een verdere uitbouw opgesteld van de mogelijke samenwerkingsvormen voor de auditors die bij de keten betrokken zijn. Daarbij is een normatief model bereikt waarmee de verschillende vormen van ketensamenwerking vanuit de audit bediend kunnen worden. Belangrijk uitgangspunt voor de samenwerking tussen auditors is de mate van samenwerking en bestuurlijke afstemming tussen de opdrachtgevers voor audits. Geconcludeerd kan worden dat een normatieve opzet een belangrijke leidraad is voor het opzetten van de wijze van samenwerking tussen auditors om een goede invulling van ketenaudits te kunnen geven. De aangetroffen praktijksituaties leveren het beeld op dat daarin nog stappen voorwaarts te maken zijn. Om de normatieve opzet toe te kunnen passen, is het van belang duidelijk te krijgen welke partijen betrokken zijn om een audit uit te voeren op een keten. Daarbij past dat afspraken zijn gemaakt over de wijze waarop binnen de keten verantwoording wordt afgelegd. Allemaal elementen die bepalend zijn voor het opzetten van een wijze van uitvoeren van audits. In het artikel hebben we een verkenning opgenomen over de wijze waarop dergelijke audits vervolgens inhoud kunnen krijgen. Uit die verkenning concluderen we dat er nog een verdere verdieping mogelijk is van de toolkit waarmee de auditors op pad zouden moeten om op een efficiënte en effectieve wijze de klantvragen te kunnen bedienen. Met het schrijven van dit artikel hebben we vooral de ketenaudits gericht op de betrouwbaarheid van ingerichte ketens voor ogen gehad. De (EDP-)auditor kan ook in de fasen ontwerp en realisatie het nodige bijdragen. Ook hiervan zijn diverse voorbeelden uit de (overheids)praktijk bezien door de auteurs. Voor het opzetten van een toolkit per fase is het van belang eerst de soort van auditvraag te bezien in het licht van de fase waarin een keten zich bevindt. Daarna kan de auditor pas een toegespitste invulling aan de te gebruiken toolkit geven. Genoeg input voor een verdere verkenning van de governance en daarmee de audits op ketens! 1. Meer, drs. A.J. van der Meer e.a.; Ketenauditing, nieuw en daarom spannend; Auditdienst Ministerie van Financiën; 2004. 2 Ministerie van Binnenlandse Zaken en Koninkrijkrelaties, Ruimte voor regie, 2004. 3 Grijpink, J.; Keteninformatisering en privacy.
Tenslotte Met onze verkenning van het gebied van de ketens en de audits die daarbij dienen te worden uitgevoerd, hebben wij beoogd een ordening en structurering aan te brengen in de audits die op verschillende verschijningsvormen van ketens 46 | de EDP-Auditor nummer 2 | 2006
Vooruit denken
Erasmus Universiteit Rotterdam. Vooruit denken.
Strategie voor uw eigen toekomst EDP-Auditing (RE) (EMITA) EDP-Auditing, ook wel IT-Auditing genoemd, houdt zich bezig met het beoordelen van en adviseren over kwaliteitsaspecten op het terrein van geautomatiseerde informatievoorziening. De opleiding EDP-Auditing aan de Erasmus Universiteit onderscheidt zich door haar positionering tussen topmanagement en technologie met een accent op het eerste. Daarbij wordt een accent gelegd op risk management en audittheorie. Voor Accountants (RA) of Internal/Operational Auditors (RO) duurt de opleiding ruim een jaar. De opleidingsduur voor studenten met een universitair of HBO-diploma bedraagt twee jaar.
Internal/Operational Auditing (RO) (EMIA) Voor degenen die al de opleiding EDP, RA of RC hebben gevolgd is er de mogelijkheid om de opleiding Internal/ Operational Auditing in een jaar te voltooien.
Denk vooruit en kijk voor meer informatie op www.esaa.nl
Elsevier FiscaalTotaal. Gereedschap voor de fiscaal professional. Om vakwerk te leveren is goed gereedschap een voorwaarde. Ook in uw vak. Want mogelijkheden, regelingen en jurisprudentie veranderen continu. En met Elsevier FiscaalTotaal heeft u ze snel, eenvoudig en gesorteerd op uw scherm. Vanuit één bron,
Alles voor een optimaal advies. Nu twee weken gratis.
één site, met uw eigen aantekeningen. Heeft u ook aangiftesoftware van Elsevier, dan kunt u daarin overal doorklikken naar de relevante achtergrondinformatie op FiscaalTotaal.
Gratis proefabonnement. U kunt nu gratis kennismaken met Elsevier FiscaalTotaal. Met een proefabonnement heeft u twee weken lang toegang tot FiscaalTotaal. Zo heeft u alle tools in handen om uw klanten optimaal te adviseren. Vraag nu een (proef)abonnement aan. Ga naar www.fiscaaltotaal.nl of bel (020) 515 91 64.
Elsevier Fiscale Media
