Van de redactie. Gegrond besluit? Column Gert van de Pijl. Sas met Abbas Interview met Abbas Shahim. Intuïtieve oordeelsvorming Ad de Visser

Redactieraad drs. M.A. Bongers RE RA drs. H.A. Kampert RE RA drs. E. Koning RE RA CISA prof. ir. E.F. Michiels prof. dr. ir. J.A.E.E. van Nunen J.C. Vos RA H. de Zwart RE RA

Redactie M. M. Buijs RE RI drs. Th.M.J.Gerritse RE drs. W.T. Houwert RE prof. dr. G.J. van der Pijl RE drs. E.J.M Ridderbeekx RE CISA drs. R.J.Steger RE RA ir. C. L. Wauters EMEA drs. Th. Wijsman RE Eindredactie prof. dr. G.J. van der Pijl RE

Bureauredactie D. Mensink (Lensink Van Berkel Communicatie) [email protected] Uitgever Reed Business bv Postbus 152 1000 AD Amsterdam Tel.: 020-5159222 www.reedbusiness.nl

Abonnementen ‘De EDP-Auditor’ wordt kosteloos aan de leden van de NOREA verzonden. De abonnementsprijs voor niet-leden bedraagt voor 2006 € 80,50 excl. btw. De verzendtoeslag voor België bedraagt € 6,95 en voor de Nederlandse Antillen en overige landen € 21,55. De prijs van losse nummers is € 22,60 excl. btw. Per jaar verschijnen 4 nummers. Een abonnement kan worden beëindigd door schriftelijk vóór 1 november van een lopend jaar op te zeggen. Bij niet-tijdige opzegging wordt het abonnement met een jaar verlengd. Abonnementenadministratie en lezersservice Reed Business bv Postbus 4, 7000 BA Doetinchem Tel.: 0314-358358 Fax: 0314-358161 E-mail: [email protected]

Copyright Het geheel of gedeeltelijk overnemen van artikelen, schema’s of tekeningen uit deze uitgave is slechts toegestaan na voorafgaande schriftelijke toestemming van de uitgever. ISSN 0929-0583

Bijdragen De redactie nodigt lezers uit een bijdrage te leveren aan ‘de EDP-Auditor’. U kunt uw bijdrage sturen naar de bureauredactie. Advertenties Reed Business Media Amsterdam Postbus 152 1000 AD Amsterdam 020 - 515 9666 www.reedbusinessmedia.nl [email protected] Geldend advertentietarief 1-1-2007 Vormgeving Studio Putto BNO, De Rijp

4

4 Van de redactie 5 Gegrond besluit? Column Gert van de Pijl

6 Sas met Abbas Interview met Abbas Shahim

9 Intuïtieve oordeelsvorming Ad de Visser

22 Due dilligence en IT Marc Welters

28 Vrijwillig aan de slag met CobiT Leon Dirks, Daniel van Burk, Rocco Jacobs

36 De spreadsheet van het strafbankje Trudy Onland

42 Dienstenrichtlijn van de Europese Commissie verandert het e-overheidslandschap Evert-Jan Mulder en Nathan Ducastel

46 Een dag uit het leven van Edo Roos Lindgren

48 Functies in de informatiebeveiliging Boekbespreking door Jeffrey Engels

50 IT-auditors bijeen Verslag van de Rijksbrede IT-auditdag door EAP

56 Uit de opleidingen 58 Van de NOREA

jaargang 16 - 2007

de EDP-Auditor Colofon ‘De EDP-Auditor’ is een uitgave van de Nederlandse Orde van Register EDP-Auditors

Inhoud

Van de redactie Xxxxxxx

Geleerd van onze lessen?

I

n dit laatste nummer van ‘de EDPauditor’ van 2004 kunnen wij u weer een brede variëteit aan onderwerpen voorschotelen. In de column prijst Gert van der Pijl de besluitvorming rond het Elektronisch Kinddossier, maar plaatst hij vraagtekens bij de redenering achter die besluitvorming. In het Interview vertelt Abbas Shahim hoe hij in de praktijk omgaat met de SAS 70-verklaring. Hij beschrijft de SAS 70-rapportage als een rapport dat een bepaalde mate van zekerheid geeft over de beheersing van processen die weliswaar zijn uitbesteed, maar niettemin vallen onder de verantwoordelijkheid van de uitbestedende partij. Het is interessant om te zien of de NIVRA/ NOREA-werkgroep die zich momenteel met dit onderwerp bezighoudt en het nieuwe boek van Ronald Jonker ook tot een dergelijke brede interpretatie komen. In zijn artikel over intuïtieve oordeelsvorming laat Ad de Visser zien dat uit psychologisch onderzoek blijkt dat oordeelsvorming geen eenvoudige aangelegenheid is. Gelukkig geeft recent psychologisch onderzoek ook aangrijpingspunten om te werken aan de kwaliteit van die oordeelsvorming. Marc Welters beschrijft vervolgens enkele ervaringen met due dilligenceprojecten. Hij betoogt dat het belang van IT-gerelateerd onderzoek in het kader van due dilligence in de toekomst alleen maar kan toenemen. Nog niet heel lang gelden verscheen de nieuwe versie 4.1 van CobiT. Ook binnen de overheid wordt dit raamwerk toegepast. Leon Dirks, Rocco Jacobs en Daniel van Burk doen verslag van een casus bij het ministerie van VROM. Zoals altijd, blijkt ook bij toepassing van dit raamwerk gebruik van gezond verstand en toesnijden op de concrete situatie van belang. Gegeven dat uitgangspunt werd gebruik van CobiT echter als nuttig ervaren. De stelling van de auteurs dat juist

het, in de overheidsomgeving, onverplichtende karakter van het raamwerk acceptatie makkelijker maakt stemt tot nadenken. Hoewel vanuit een beheersoogpunt vaak vraagtekens worden gezet achter het gebruik van End User Computing wordt een pragmatische aanpak van audits en test in dergelijke omgevingen door Sox Audit Standard No. 5 ondersteund. Trudy Onland laat in haar bijdrage zien hoe een dergelijke pragmatische aanpak in het vat kan worden gegoten. Evert-Jan Mulder en Nathan Ducastel betogen dat Europese regelgeving grote invloed heeft op de manier waarop in Nederland E-governance kan worden vormgegeven. Zij illustreren dat aan de hand van de regelgeving rond het zogenaamde ‘één loket’. Het belang van informatiebeveiliging wordt steeds breder onderkend. Professionalisering van de informatiebeveiliging neemt daarbij ook toe. Het Platform Informatiebeveiliging probeert deze professionalisering te ondersteunen door het omschrijven van duidelijke functies in de informatiebeveiliging. Jeffrey Engels bespreekt de publicatie waarin deze functiebeschrijvingen worden gegeven. Tenslotte blikken Nathalie Timmer en Peter Doorduin terug op de zesde door de EDP Audit Pool georganiseerde Rijksbrede IT-auditdag. Waar Gert van der Pijl zich in de column afvraagt of wij wel leren van lessen uit het verleden werd deze dag georganiseerd met als motto ‘Lessons Learned’ Rest ons u allen een prettige jaarwisseling te wensen waarbij we de verwachting uitspreken dat dit nummer u ook dit jaar weer in de bij de jaarwisseling horende feestdagen nuttig en plezierig leesmateriaal zal opleveren.

4 | de EDP-Auditor nummer 4 | 2007

Column

Gegrond besluit? Gert van der Pijl

O

pmerkelijke berichtgeving vanuit ons nationale parlement. Verschillende partijen zijn niet tevreden met het door minister Rouvoet voorgestelde Elektronisch Kinddossier (EKD). Het zit de minister niet mee met dit project. Na een onheldere aanbestedingsprocedure werd het project in eerste instantie gegund aan Getronics PinkRoccade. De rechter besliste echter dat deze toewijzing onjuist was en dat het ministerie het project aan Ordina moest toewijzen. Een juridisch protest van Getronics PinkRoccade leidde er vervolgens toe dat de aanbesteding nu geheel opnieuw plaatsvindt. En daarbovenop komen dan nu de opmerkingen van verschillende partijen in de tweede kamer dat het EKD niet alleen medische informatie maar ook informatie vanuit bijvoorbeeld het maatschappelijk werk, psychiatrische diensten en het onderwijs zou moeten bevatten. Bovendien vinden zij dat deze bredere groep van instellingen ook toegang tot de informatie in het dossier zou moeten hebben. Het antwoord van de minister is opmerkelijk. Hij weigert op de wensen van deze partijen in te gaan omdat daarmee de vertrouwelijkheid van de informatie in het dossier in gevaar zou komen. Vreemd, want je zou toch denken dat in het belang van het kind al die informatie die relevant kan zijn voor het garanderen van veiligheid en gezondheid van met name jongere kinderen toegankelijk moet zijn voor allen die op basis van die informatie een bijdrage aan die veiligheid kunnen leveren. Toegang voor anderen moet toch via een goede toegangsbeveiliging zijn af te schermen. Nog opmerkelijker is dat de minister een ander argument níet gebruikt; namelijk dat van de complexiteit van het te ontwerpen systeem. Sinds jaar en dag weten we dat een te grote complexiteit leidt tot onuitvoerbare 5 | de EDP-Auditor nummer 4 | 2007

informatiseringsprojecten. Het Rotterdamse walradarproject, projecten rond studietoelagen en vele andere projecten in de sfeer van overheid en bedrijfsleven hebben ons dat al veel eerder laten zien. Complexiteit kan daarbij zitten in een veelheid van functionaliteiten, maar ook in een veelheid van betrokkenen bij het te ontwerpen systeem. In de medische sector zien we op dit moment met name dat laatste bij de ontwikkeling van het Elektronisch Patiënt Dossier. Hoewel de opzet van dit systeem – zeer verstandig – al is beperkt tot slechts een drietal deelsystemen blijkt het zelfs met die beperking al nauwelijks te doen om alle betrokkenen op een lijn te krijgen, al was het alleen maar in hun opvattingen over het nut van het systeem. Dit is op zijn minst een van de redenen dat de realisatiedatum van het EPD al enkele malen aanzienlijk is doorgeschoven. Gaan we met het EKD die geschiedenis herhalen? Ik heb het niet precies nagegaan, maar een snelle zoektocht in de archieven van de Volkskrant leert dat al in 2004 de toenmalige staatssecretaris Ross van het Ministerie van Volksgezondheid, Welzijn en Sport 3,5 miljoen euro uittrekt voor de ontwikkeling van het EKD. Een jaar later is overigens al sprake van 25 miljoen! Ik weet niet hoeveel van dat budget nu al verspijkerd is. Ik weet wel dat als we echt de weg opgaan van het verbreden van de opzet van het project de kans levensgroot aanwezig is dat niet alleen het geplande budget, maar ook de geplande leverdatum van het systeem vele malen overschreden gaat worden. En zou het belang van het kind daarmee gediend zijn? Daarom is het ook maar gelukkig dat minister voor Jeugd en Gezin Rouvoet, die het EKD nu in zijn portefeuille heeft, kennelijk niet op de wensen vanuit de Tweede Kamer wil ingaan. Al is het op verkeerde gronden.

Interview

SAS met Abbas Maarten Buijs en Ed Ridderbeekx

De redactie van de EDP Auditor sprak met Abbas Shahim, senior EDP Audit Manager bij KPMG IT Advisory, over SAS70: de Amerikaanse auditing standaard die definieert hoe een auditor de interne controle van een serviceorganisatie moet beoordelen ten behoeve van een uitbestedende organisatie. De belangstelling voor deze standaard en het gelieerde ‘SAS70 rapport’ is, zeker dankzij de toegenomen nadruk op goede en aantoonbare governance, groot. Een aantal praktijkervaringen…

Dit wordt een heel positief gesprek over SAS70, want jullie verdienen er vast veel geld mee.

‘Dat klopt. Binnen KPMG valt de dienstverlening rondom SAS70 onder de service line IT attestation. Het is een term die we gebruiken voor het aanduiden van diensten op het gebied van assurance rondom IT governance. Het is een recent verbijzonderde service line, snel groeiend, en we verwachten er ook veel van in de toekomst. Dat heeft te maken met een toenemende behoefte aan zekerheid rondom IT governance, zekerheid rondom de kwaliteit van de dienstverlening van een service provider bij outsourcing en conformiteit met afspraken in het kader van service level agreements. Naast de traditionele worteling van SAS70 in de financial audit zien we tegenwoordig een breder gebruik. Natuurlijk is het zo, dat een externe accountant van een uitbestedende organisatie zich nog steeds prettig zal voelen als hij de beschikking heeft over een SAS70 rapport, maar de doelgroep voor zo’n verklaring is inmiddels veel breder. We praten daarom ook veel meer over een conformity report.” Wij kenden al Third Party Mededelingen (TPM’s). Als je die afzet tegen SAS70, zijn we er dan op vooruit gegaan?

‘In vergelijking met TPM’s vind ik SAS70 in sommige opzichten wel een verbetering. Het geeft bijvoorbeeld de mogelijkheden van een wat strakkere uitvoering van je opdracht. Wel is het zo, dat het gemiddelde beeld op de markt is, dat SAS70 een uitermate formeel traject is, en veel minder detailinformatie geeft over beheersing dan een TPM. Dat kun je zien als je bijvoorbeeld naar een typisch Amerikaans SAS70 rapport kijkt. Het komt voor dat men daar, in sectie 3, waarin de resultaten van de uitgevoerde testwerkzaamheden staan, volstaat met de opmerking of er in een test afwijkingen of uitzonderingen geconstateerd zijn: exception noted, ja of nee. Een TPM geeft traditioneel veel meer detailinformatie over bevindingen. Binnen KPMG hebben we dat geconstateerd en omdat veel van onze klanten gewend waren aan de uitgebreide informatie in een TPM en ook veel waarde hechten aan die informatie, hebben we een onderscheid gemaakt in twee typen SAS70 rapporten, een “kale” variant, en een uitgebreidere variant, met veel meer detailinformatie, die meer aansluit op TPM’s. Qua rapportage is er een verschil wat de inhoud van sectie 3 betreft. Dit onderdeel van het SAS70-rapport bevat uitgebreidere informatie en geeft onder andere de bevindingen weer. Het achterliggende werk is echter precies hetzelfde.’ 6 | de EDP-Auditor nummer 4 | 2007

Men zegt wel dat SAS70 in feite een ‘lege doos’ is, en dat je erin kunt verpakken wat je wilt.

‘Tot op zekere hoogte klopt dat. Zoals ik al zei, de perceptie rondom SAS70 is dat het een heel formele en voorgeschreven standaard is. Maar dat is schijn. Zelfs al heb je gekozen om een SAS70 traject in te gaan, dan moet je nog steeds heel veel keuzes maken. Het is goed om te beseffen dat er drie belangrijke elementen spelen rondom SAS70: scoping, raamwerk, en rapportagestructuur. SAS70 op zichzelf geeft eigenlijk alleen ten aanzien van dat laatste veel handreikingen, alhoewel zelfs die structuur strikt genomen geen voorschrift is. Over scoping en raamwerk moet je hoe dan ook met de uitbestedende organisatie afstemmen. En ook voor de betrokken auditor geldt, dat in het team heel goede afspraken gemaakt moeten worden om uiteindelijk het auditor’s report consistent te kunnen opstellen.’ Sectie 2 van een SAS70 rapport bevat de beschrijving van de beheerdoelstellingen en beheersmaatregelen die de serviceorganisatie heeft genomen. Welk raamwerk gebruik je om deze beschrijving te maken?

‘Je moet vooropstellen dat de diepgang van die beschrijving afhankelijk is van de assurance-behoefte van de uitbestedende organisatie. De SAS70 guidance adviseert toepassing van COSO als model voor de beschrijving van beheersmaat-

In een artikel in de EDP Auditor 2006-4 discussieerden enkele materiedeskundigen over SAS70 en Third Party Mededelingen. Binnen het NiVRA/NOREA is een werkgroep actief met dezelfde materie. Eind oktober verschijnt een boek van de hand van Ronald Jonker, getiteld ‘Third Party Mededelingen en SAS 70-onderzoeken’, bij Sdu Uitgevers te Den Haag.

regelen, maar verplicht is dat niet. In principe kun je je toevlucht nemen tot bijvoorbeeld COSO in combinatie met CobIT als achterliggend model. De keuze die je maakt moet geworteld zijn in de scoping van je opdracht. Om een voorbeeld te geven: als de scope van je SAS70 met name is gericht op de domeinen van IT governance zoals die door het IT Governance Institute beschreven zijn, dan is het niet zo’n gekke keuze om naast COSO ook CobIT te gebruiken als raamwerk voor het beschrijven van je controledoelstellingen en controlemaatregelen. In de praktijk van KPMG gebruiken we vaak de general IT controls als uitgangspunt, en breiden dat uit, al naar gelang de behoeften van de klant. Het is heel belangrijk je af te vragen wie de stakeholders bij de uitbestedende organisatie zijn; denk hierbij aan de externe accountant, een audit committee, een toezichthouder. Zij zullen immers allen, vanuit hun eigen perspectief, in het SAS70 rap-


Interview port terug willen zien dat aan hun assurance-behoefte is voldaan. Het raamwerk moet geworteld zijn in bestaande standaarden, maar voldoende flexibel zijn om alle stakeholders tevreden te kunnen stellen.’ Pratend over de scoping van een SAS70: als jullie als auditor optreden voor de serviceorganisatie, neem je dan die scoping als een gegeven, of ga je ook nog na of die scoping in overeenstemming is met de assurance-behoefte van de uitbestedende organisatie?

‘Wij stellen dat wel altijd voor. In principe is het zo, dat de serviceorganisatie verantwoordelijk is voor secties 2 en 4 van het SAS70-rapport, en de auditor voor het auditor’s report in sectie 1 en voor de presentatie van de testresultaten in sectie 3. Maar de praktijk leert dat er rondom SAS70 veel onduidelijkheid bestaat. Zeker bij klanten die voor het eerst met SAS70 in aanraking komen, pleiten we voor een zogenaamde diagnostic review, omdat men de neiging heeft het traject van SAS70 te onderschatten. In die diagnostic review bereiden we de organisatie voor en geven we duidelijkheid over wat er verwacht wordt. Het is, zou je kunnen zeggen, ook een traject van bewustwording voor de service provider; we maken duidelijk dat je een aantal zaken goed op orde moet hebben om aantoonbaar te kunnen maken dat je beheersmaatregelen voldoende zijn. Ook gaan we met de service provider in dialoog over de scoping van de SAS70, over het te hanteren raamwerk, en over de structuur en invulling van de secties in het rapport. Dat is er allemaal op

gericht om niet halverwege het traject voor onaangename verrassingen komen te staan.’ En in hoeverre zou je als gebruiker van een SAS70-rapport, als uitbestedende organisatie dus, betrokken moeten zijn bij de scoping?

‘Als je het mij vraagt: uitermate intensief. Als uitbestedende organisatie gebruik je het SAS70-rapport om een bepaalde mate van zekerheid te krijgen over de beheersing van processen die onder jouw verantwoordelijkheid vallen. Dat betekent niet alleen dat de scope van de SAS70 moet aansluiten met jouw assurance-behoefte, maar ook dat je eventuele tekortkomingen die gerapporteerd worden, kunt vertalen naar een impact op jouw bedrijfsvoering. In algemene zin kan de auditor in zijn verklaring wel iets zeggen over die impact, maar echt alleen in algemene zin. Vanuit het perspectief van de serviceorganisatie is het ook van belang een dialoog te hebben met je afnemers. Vaak zijn die serviceorganisaties een beetje “auditmoe” geworden, ze worden benaderd door verschillende klanten met vragen rondom de beheersing van uitbestede processen. Een SAS70-rapport kan dan uitkomst bieden, maar de assurance-behoefte van de klanten hoeft niet gelijk te zijn. Er zijn service providers die dan, in overleg met hun belangrijkste klanten, komen tot een soort “basis-scoping” die voor elke klant noodzakelijk is. Vervolgens kan met individuele klanten een afspraak worden gemaakt over specifieke uitbreidingen daarop binnen het kader van de SAS70-verklaring.’ ■


Artikel

Intuïtieve oordeelsvorming De (IT)auditor op de automatische piloot

Ad de Visser

Oordeelsvorming vormt de kern van ons vakgebied. Toch weten auditors vaak relatief weinig van de mentale processen die aan oordeelsvorming ten grondslag liggen. Hoe komt een oordeel nu eigenlijk tot stand en hoe betrouwbaar is dit oordeel? Hoe goed zijn we in het beoordelen van de kwaliteit van beheersingsprocessen?

Auteur A.A.C. (Ad) de Visser RE werkt als Assistant Audit Manager bij Fortis. Hij is tevens als docent en onderzoeker verbonden aan de Erasmus School of Accounting & Assurance. Zijn onderzoek richt zich met name op Judgement and Decision Making in Auditing.

Vragen omtrent de mentale processen die aan oordeelvorming ten grondslag liggen, winnen aan belang naarmate de maatschappij aan diverse typen professionals meer transparantie vraagt betreffende de door haar afgegeven oordelen. In de academische wereld voeren diverse wetenschappers al jarenlang onderzoek uit naar het begrip oordeelsvorming, wat inmiddels tot een aantal opzienbarende resultaten heeft geleid. Het blijkt dat intuïtie een belangrijkere rol in de besluitvorming speelt dan we vermoeden of zelfs willen toegeven. Het is daarom belangrijk dat audit-professionals bekende valkuilen in oordeelsvorming herkennen om hiertegen maatregelen te kunnen nemen. Dit artikel bevat daarom een beknopt overzicht van de evolutie en recente ontwikkelingen in dit interessante onderzoeksgebied. Tevens zullen de diverse voorbeelden u genoeg stof tot nadenken geven. U zult wellicht nooit meer op dezelfde, vertrouwde wijze een oordeel kunnen geven. We nemen in het dagelijkse leven voortdurend beslissingen. Aan het maken van een keuze of het nemen van een beslissing gaat altijd iets vooraf. We maken namelijk eerst een inschatting van de consequenties van de keuzemogelijkheden. Dit proces van (in)schatten, ook wel oordeelsvorming genoemd, is soms gebaseerd op rationele regels afkomstig uit bijvoorbeeld de logica, al dan niet ondersteund door diverse hulpmiddelen zoals keuzetabellen. Auditors nemen in hun beroepsuitoefening voortdurend besluiten op basis van inschattingen en verwachtingen: Wat is het inherente risico van een bepaald bedrijfsproces en wat is de effectiviteit van de aangetroffen beheersingsmaatregelen? Ter ondersteuning van deze oordeelsvorming maken we veelal gebruik van richtlijnen, methoden en technieken die zijn opgesteld door diverse beroepsorganisaties of, bij de grotere audit-organisaties, door het bureau vaktechniek. De maatschappij vertrouwt op de oordelen van professionele auditors en verwacht objectiviteit en betrouwbaarheid. Wetenschappelijk onderzoek heeft echter aangetoond dat oordeelsvorming gevoelig is voor allerlei factoren die het resultaat van dit proces op een voorspelbare wijze beïnvloeden en daardoor een vertekend resultaat laten ontstaan. Het eerste deel van dit artikel bevat een historisch overzicht van diverse wetenschappelijke onderzoekprogramma’s naar


oordeels en besluitvorming. Dit deel bevat tevens een aantal voorbeelden om duidelijk te maken dat het voor professionals niet altijd eenvoudig is om tot een betrouwbare en objectieve oordeelsvorming te komen. Daarna volgt een beknopte beschrijving van de gesignaleerde toenemende maatschappelijke behoefte aan meer zekerheid over het optreden van professionals. Deze beschrijving bevat tevens enige vraagtekens betreffende de kwaliteit van de professionele oordeelsvorming. Vervolgens is er aandacht voor een recenter model uit de cognitieve psychologie die op basis van beperkte rationaliteit en intuïtie een alternatieve verklaring geeft van het totstandkomingproces. Dit model biedt bovendien enige aangrijpingspunten voor een verbetering van de kwaliteit van de oordeelsvorming. Tot slot volgen nog een aantal suggesties voor het verbeteren van oordeelsvorming van auditors in de praktijk en een aantal vragen voor nader onderzoek. Wetenschappelijk onderzoek naar oordeelsvorming bij auditors De eerst bekende onderzoeken naar oordeelsvorming dateren van halverwege de 19e eeuw. Zij werden voornamelijk binnen de psychologie uitgevoerd. Op het vakgebied auditing startte men pas veel later met wetenschappelijk onderzoek naar oordeelsvorming, namelijk zo rond 1970. In de beginjaren concentreerde dit onderzoek zich voornamelijk op de volgende twee hoofdvragen: 1) zijn de bevindingen van psychologen betreffende het uitvoeren van algemene opdrachten door studenten ook van toepassing op auditors bij het uitvoeren van audit-taken? En 2) hoe oordelen en beslissen auditors en hoe goed zijn ze daarin? Hoewel dit onderzoek naar oordeelsvorming voornamelijk was gericht

Audit Judgement Process Orientation

Oldest

op financiële auditors, werkzaam bij externe accountant firma’s, lijkt het vooralsnog plausibel de gevonden resultaten ook van toepassing te verklaren op zogenaamde interne auditors. Wetenschappers hebben de afgelopen decennia diverse theoretische modellen opgesteld om de oordeelsvorming van auditors te beschrijven (met behulp van zogenaamde descriptieve modellen) en – wellicht niet erg verrassend – hoe ze zouden moeten oordelen (met behulp van zogenaamde normatieve modellen). In Figuur 1 is een beknopt overzicht opgenomen van de verschillende onderzoeksprogramma’s (= theoretical frameworks) die zijn ontstaan tijdens het onderzoek naar de oordeelsvorming van auditors. [Solomon & Trotman, 2003] In het oudste onderzoeksprogramma ‘Policy Capturing’ maken onderzoekers beschrijvende modellen van de wijze waarop auditors oordelen vormen. In ‘Probatility Judgement’ tracht men verschillen te verklaren tussen subjectieve inschattingen en – via kansberekening verkregen – objectieve resultaten. In het meest recente onderzoeksprogramma ‘Cognitive Processes’ tracht men door onderzoek naar kennis en geheugen de prestaties van subjectieve oordeelsvorming te verklaren en onderzoekt men tevens de invloed van diverse externe factoren, zoals beloning. En in ‘Multi-person Information Processing’ ten slotte, onderkent men dat oordeelsvorming vaak niet een uitsluitend individuele aangelegenheid is en onderzoekt men daarom de oordeelsvorming van groepen. De resultaten uit dit onderzoeksprogramma zijn in de audit praktijk van grote waarde gebleken en hebben bijgedragen aan bijvoorbeeld de introductie van peer reviews.

Theoretical Frameworks

JDM evaluation criteria

Policy capturing

Consensus

3

Probability judgment

Cue usage

Tactical planning

2

Heuristics and Biases

Stability

Plan indirect tests of assertations and evaluate test results

Cognitive processes

Self-insight

Plan direct tests of assertations and evaluate test results 1

Multi-person information processing

Youngest

Evaluate Is architecture and process

Accuracy Consistency

Evaluate aggregate results most impact

Choose report

Figuur 1 Overzicht onderzoekprogramma’s


Dit artikel bevat geen uitvoerige beschrijving van deze onderzoeksprogramma’s, met uitzondering van de ‘Heuristics and Biases’ stroming. Voor de geïnteresseerde lezer is een scala aan goede overzichtsartikelen beschikbaar zoals: [Solomon & Trotman, 2003], [McKenzie, 2004] en [Bonner, 1999]. Heuristics & Biases Eén van de bekendste onderzoeksprogramma’s is het onderzoek naar ‘Heuristics and Biases’. Dit programma heeft tevens als een soort katalysator gewerkt op het wetenschappelijk onderzoek naar oordeelsvorming en besluitvorming in diverse disciplines zoals rechten, geneeskunde en economie. Het belang van dit onderzoek blijkt wel uit het feit dat één van de grondleggers van dit onderzoeksprogramma, Daniel Kahneman in 2002 de Nobelprijs in Economie kreeg toegewezen voor: ‘Het integreren van inzichten uit psychologisch onderzoek in de economische wetenschap, in het bijzonder oordeelsvorming en besluitvorming in situaties van onzekerheid’.1 De resultaten uit het ‘Heuristics and Biases’ onderzoeksprogramma suggereren dat mensen niet zo goed zijn als ze wellicht zelf denken bij het evalueren, (in)schatten of voorspellen van onzekere situaties. Kahneman en Tversky constateerden in allerlei experimenten dat de oordelen van mensen systematisch – en daardoor voorspelbaar – afweken van de beschikbare normatieve modellen. Hieruit concludeerden de beide onderzoekers dat de psychologische oordeelsvormingprocessen afwijkend waren van datgene wat tot dan toe werd verondersteld in de diverse theoretische modellen. Kahneman en Tversky waren ervan overtuigd dat mensen in situaties van onzekerheid niet de regels van de logica en waarschijnlijkheidsleer toepassen maar wel gebruik maken van zogenaamde ‘heuristics’, ook wel simpelweg vuistregels of strategieën genoemd. Kahneman definieert een ‘heuristic’ ook wel als ‘het beantwoorden van een vraag die eenvoudiger is dan de oorspronkelijke vraag’. [Kahneman, 2006]. Deze vuistregels zijn soms efficiënt, maar kunnen ons ook vaak op een dwaalspoor zetten, doordat we ze niet op de juiste manier of bij het juiste soort probleem toepassen. [Meulemans, Verplaetse, 1998]. Kahneman en Tversky toonden bovendien aan dat mensen door het gebruik van deze vuistregels oordelen gaven die systematisch van de correcte (normatieve) antwoorden afweken. Deze systematische fouten noemden zij ‘biases’. Kahneman en Tversky identificeerden vele belangrijke vuistregels en daarmee samenhangende systematische fouten. Om de kracht van deze vuistregels in het dagelijkse leven aan te tonen, volgen een aantal voorbeelden. Het Linda-probleem

Een beroemd experiment uitgevoerd door Kahneman en Tversky staat bekend als het Linda-probleem. Dit probleem bestaat uit een persoonsbeschrijving van een jonge vrouw,

‘Onze hersenen zijn het meest ontvankelijk voor verhalen’ Linda genaamd en een lijst met mogelijke hobby’s en beroepen. De beschrijving is als volgt: ‘Linda is 31 jaar oud, alleenstaand, openhartig en bijzonder schrander. Ze is afgestudeerd in de filosofie. Als studente was ze enorm begaan met rassendiscriminatie en sociale onrechtvaardigheid en nam ze actief deel aan antinucleaire demonstraties.’ De studenten kregen vervolgens de opdracht de beroepen op de bijbehorende lijst te rangschikken van zeer waarschijnlijk naar zeer onwaarschijnlijk. Deze lijst bevat zowel samenstellingen (zoals Linda is een bankmedewerker en is actief in de feministenbeweging) als enkelvoudige beweringen (Linda is een bankmedewerker) Zoals waarschijnlijk bekend, bestaat er in de waarschijnlijkheidsleer een regel die stelt dat de waarschijnlijkheid van een samengestelde gebeurtenis kleiner is dan de waarschijnlijkheid van elk van de afzonderlijke gebeurtenissen, de zogenaamde conjunctieregel2. Opmerkelijk in het bovengenoemde experiment en soortgelijke herhalingsexperimenten, is dat studenten deze conjunctieregel geweld aandeden; ook de studenten die een opleiding in statistiek en kansberekening hadden genoten! De meeste deelnemers achtten de waarschijnlijkheid dat Linda een feministische bankmedewerker (samengestelde gebeurtenis) is, groter dan de waarschijnlijkheid dat zij een ‘gewone’ bankmedewerker zou zijn (enkelvoudige gebeurtenis). Dit fenomeen is te verklaren vanuit drie menselijke eigenschappen. Ten eerste de drang om alle aangeboden informatie te willen gebruiken bij het maken van oordelen en keuzen, ook al is deze informatie niet relevant voor het gestelde probleem. Ten tweede, de sterke voorkeur voor informatie die de huidige opvatting of overtuiging bevestigt, vooral indien deze informatie wordt aangeboden in de vorm van een coherent verhaal of scenario. En tenslotte de gevoeligheid van onze hersenen van plausibel klinkende verhalen. ‘Give us a little story, a script, something born of our own imagination and our natural tendencies, cognitive or emotional, do the rest’. [Piattelli-Palmarini, 1994]. In het geval van Linda bevatte de persoonsbeschrijving geen enkele aanwijzing die een beroepskeuze voor bankbediende zou verklaren, maar dat Linda zich zou ontwikkelen als feministe, lijkt heel plausibel. Het was daarna bijna onmogelijk om Linda nog als een ‘gewone’ bankbediende te zien. Verankering

Niet alleen onze gevoeligheid voor verhalen beïnvloedt onze


oordeelsvorming. Mensen die moeten kiezen in een voor hen onbekende situatie waarin ze niet over de juiste kennis kunnen beschikken, zoeken vaak naar een bruikbaar vertrekpunt, een soort houvast. Uit onderzoek blijkt dat zelfs een triviaal feitje, dat geen enkele relatie heeft met de probleemsituatie, hiervoor gebruikt kan worden [Hastie & Dawes, 2001]. Vervolgens zal men proberen het gekozen vertrekpunt (anker) te corrigeren naar de probleemsituatie toe, maar men blijft daarbij meestal toch te dicht bij het oorspronkelijke startpunt. Volkomen willekeurige en absurde feiten zijn geschikt om als anker te dienen. Dit blijkt bijvoorbeeld uit onderzoek gedaan met twee groepen studenten. Aan de ene groep werd eerst gevraagd of de gemiddelde kostprijs van een collegeboek meer of minder dan $7128 bedraagt. Vervolgens werd dan aan deze groep studenten gevraagd om een schatting te geven van de werkelijke gemiddelde kostprijs. De tweede groep studenten moest direct een schatting geven van de gemiddelde kostprijs. De eerste groep studenten kwam tot een aanzienlijk hogere kostprijs dan de tweede groep. Soortgelijke effecten zijn aangetoond met andere absurditeiten. Er is nog een tweede effect verbonden aan verankering. Het gekozen anker dient namelijk niet alleen als vertrekpunt vanwaar, door middel van correcties, naar een uiteindelijk oordeel of keuze wordt gezocht. Het anker blijkt ook selectief te werken en zowel het zoeken naar informatie als de opname hiervan te beïnvloeden. Recentheid en clustering

Twee andere voorbeelden van factoren die de oordeelsvorming beïnvloeden zijn: recentheid en clustering. Onderzoek heeft aangetoond dat de volgorde van het type bevinding (positief of negatief) van invloed is op het eindoordeel. [Ashton & Ashton, 1988], [Kahle, Pinsker, Pennington, 2005]. Indien de meest recente bevindingen overwegend positief zijn, dan zal het uiteindelijke oordeel positiever uitvallen dan indien de laatst opgenomen bevindingen overwegend negatief zijn (zie Figuur 2). Conclusion A Start Position Conclusion B Positive findings Negative findings Figuur 2 Recentheid

Dit wordt ook wel het ‘recency effect’ genoemd: Een overgevoeligheid voor nieuwe bevindingen. [Baron, 2000] Dit is belangrijk nieuws voor de auditor, maar ook voor de geauditeerde. Het loont wellicht om het goede nieuws tot het laatst te bewaren!

Oordeelsvorming wordt ook beïnvloed door de tijd tussen de evaluatie van afzonderlijke bevindingen. Een eenmalige evaluatie van een set positieve bevindingen zal een lagere waardering krijgen dan wanneer dezelfde bevindingen met onderlinge tussenpozen worden gewaardeerd. Dit noemt men ook wel het clusteringeffect. Voor negatieve bevindingen geldt iets soortgelijks. Dit clusteringsfenomeen is al eeuwenlang bekend. Machiavelli schreef in 1513 al het volgende: ‘Want onrechtvaardigheden moet men allemaal tegelijk begaan om te bereiken dat ze minder gevoeld worden en dus minder krenkend zijn. Maar weldaden moet men, om te maken dat ze beter gevoeld worden, één voor één bewijzen.’ [Machiavelli, 1532] Van blind vertrouwen naar een ‘show-me’ attitude Niet alleen onze beroepsgroep heeft te maken met een sterk veranderde cultuur in onze samenleving; waarin het blinde vertrouwen in het oordeel van de deskundige heeft plaatsgemaakt voor een meer assertieve ‘show me’ opvatting. Een andere groep professionals, namelijk rechters heeft ook te lijden van deze verschuiving in attitude. Gerechtelijke uitspraken kunnen soms belangrijke consequenties hebben voor zowel individuele rechtspersonen als samenleving. Rechters dienen onpartijdig te zijn en zich niet te laten beïnvloeden door externe factoren, zoals het uiterlijk van de verdachte of berichtgeving in de media. In dit opzicht zijn er veel overeenkomsten met de (IT)-auditor die eveneens onafhankelijk en objectief moet functioneren. Kritiek op de rechtelijke macht Een artikel in het dagblad Trouw berichtte in 2006 dat er in toenemende mate kritiek is op rechters vanwege het gebrek aan transparantie bij de totstandkoming van het vonnis. [Trouw, 2006] De auteur stelt dat het momenteel onmogelijk is de kwaliteit van de rechtspraak te toetsen, doordat persoonlijke afwegingen en beoordelingen van rechters niet expliciet worden gemaakt. Rechters daarentegen, zijn bezorgd dat meer duidelijkheid ertoe zal leiden dat slimme advocaten deze informatie zullen misbruiken in hoger beroep-zaken. Het verstrekken van meer duidelijkheid in de totstandkoming van het vonnis kan dus ook tot ongewenste gevolgen leiden. Hans Crombag, een emeritus professor psychologie gaat in zijn analyse van de rechtelijke macht nog een stap verder. Volgens Crombag baseren rechters hun oordeel primair op hun persoonlijke opinie van de verdachte. Bewijs is daarbij slechts van secundair belang! Rechters kunnen ook niet anders, omdat het menselijke brein nu eenmaal op deze manier werkt. Voor velen van ons is deze bewering van rechtspsycholoog Crombag wellicht moeilijk te accepteren of ongeloofwaardig. Rechters staan immers wereldwijd in hoog aanzien en behoren tot een vooraanstaande en gerespecteerde beroepsgroep die gedurende vele decennia een solide reputatie heeft opgebouwd.


Maar als we, in de vorm van een gedachte-experiment, even veronderstellen dat rechters zich bij de vorming van het vonnis inderdaad niet primair baseren op aangevoerde bewijzen maar hun persoonlijke indruk van de verdachte laten prevaleren, dan komt dit in de praktijk wellicht vaker voor dan we denken. Bijvoorbeeld ook tijdens de rechtszaak van Lucia de B, die enige tijd geleden ruime aandacht in de media heeft gekregen. Lucia de B is een verpleegster die werd beschuldigd van moord op zeven van haar patiënten en poging tot moord op drie andere patiënten. Volgens de Nijmeegse wetenschapsfilosoof Ton Derksen heeft Lucia de B tijdens haar rechtszaak geen schijn van kans op een eerlijk proces gehad, omdat ze daarvoor al door de media schuldig was bevonden en juist dat van doorslaggevende betekenis is geweest in het oordeel van de rechter. [Filosofie Magazine, 2006] Derksen heeft samen met verpleeghuisarts De Noo onderzoek gedaan naar de procesgang en concludeerde dat de rechters ontlastende verklaringen en bewijs systematisch negeerden. ‘De Noo en Derksen namen alle slachtoffers van Lucia onder de loep. In zeker acht gevallen dragen ze zaken aan die naar hun mening in de rechtszaal niet (voldoende) aan de orde zijn gekomen, of die volgens hen verkeerd zijn geïnterpreteerd. Verder stellen ze in hun boek “Lucia de B. Reconstructie van een gerechtelijke dwaling” dat de rechters van het hof uit vooringenomenheid alles zodanig hebben geconstrueerd dat Lucia wel als schuldige uit de bus moest komen.’ [BNdeStem, 2006] Volgens professor Richard Gill, een bekend statisticus, bevatten ook verscheidene berekeningen, die ten laste van Lucia de B werden aangevoerd, elementaire statistische fouten. In de oorspronkelijke berekeningen schatte men de kans dat Lucia toevallig aanwezig was ten tijde van de moorden op 1 op 342 miljoen. Na toepassing van de juiste berekeningen werd deze kans uiteindelijk verminderd tot 1 op 5. [Buchanan, 2007] Professional judgment onder druk Niet alleen de rechtelijke macht heeft te maken met een veranderde cultuur in de samenleving. Ook de beroepsgroep van Register Accountants ontkomt niet aan de roep om meer transparantie inzake oordeelsvorming. Dat inzage in de totstandkoming van oordelen voor de beroepsgroep mogelijk problematisch kan zijn, wordt duidelijk wanneer we de resultaten van een recent onderzoek bekijken dat is uitgevoerd door Verkruijsse [Verkruijsse, 2005]3. In dit onderzoek probeert Verkruijsse een aantoonbare basis te vinden voor het bekende begrip ‘professional judgment’. Bijna tweehonderd Register Accountants, werkzaam in de openbare praktijk in Nederland, gaven daartoe verscheidene oordelen over 32 varianten van dezelfde casus. Deze casus had betrekking op het personeelszakenproces, dat in nagenoeg iedere onderneming voor komt en gezien de omvang van de post Loonkosten in de jaarrekening bijna altijd materieel zal zijn. De verwachting van de onderzoeker was dat elke afzonder-

‘Rechters baseren hun oordeel primair op hun persoonlijke opinie van de verdachte’ lijke casus een min of meer consistent oordeel zou krijgen van de deelnemende Register Accountants als gevolg van de gemeenschappelijke basis aan kennis en ervaring. Hij hanteert daarbij het meest voorkomende evaluatiecriterium bij onderzoek naar oordeelsvorming namelijk, consensus: Naarmate meer auditors een eensluidend oordeel geven, neemt in deze benadering de kwaliteit van oordeelsvorming toe. Het is Verkruijsse echter niet gelukt het bestaan van professional judgment, opgevat als het geheel van oordelen gegeven door het collectief van accountants, in zijn onderzoek aan te tonen. Slechts in een zeer beperkt aantal gevallen bleek meer dan de helft van het aantal betrokken accountants een gelijke waardering te geven aan dezelfde casusstelling! Figuur 4 bevat een samenvatting van de verschillende waarderingen die aan de casusstellingen werden gegeven, waaruit bijvoorbeeld blijkt dat er aan zeven casusstellingen in totaal zes verschillende waarderingen werden gegeven (meest rechtse balk). En dat op een zevenpunts Likertschaal! Bovendien bleek dat 80 procent van de gegeven oordelen een positieve inslag had, dat wil zeggen: uitstekend, zeer goed, goed of voldoende (zie Figuur 3). Slecht 4,6 %

Zeer slecht 0,2 %

Onvoldoende 15,2 %

Uitstekend 7,4 % Zeer goed 23,5 %

Voldoende 16,7 % Goed 32,4 %

Figuur 3 Verdeling oordelen (Verkruijsse 2005)

Verkruijsse stelt overigens uitdrukkelijk dat op basis van de uitkomsten van zijn onderzoek niet mag worden geconcludeerd dat jaarrekeningen van ondernemingen ten onrechte zijn voorzien van goedkeurende accountantsverklaringen. De onderbouwing voor deze verklaring berust niet uitsluitend op de inschatting van de effectiviteit van de administra-


18 16

aantal casusstellingen

14 12 10 8 6 4 2 0

1

2

3

4

5

6

7

aantal verschillende waarderingen Figuur 4 Verdeling waarderingen (Verkruijsse 2005)

tieve organisatie maar baseert zich immers ook op andere controlemiddelen. In een reactie op de resultaten van het onderzoek van Verkruijsse meent De Koning dat het cijfermateriaal van Verkruijsse multi-interpretabel is. [Koning, 2006] De Koning stelt dat administratief organisatorische processen toereikend zijn of niet toereikend: ‘Zij kunnen niet een beetje toereikend zijn of zeer toereikend’. In plaats van de zeven keuzemogelijkheden in het oorspronkelijke onderzoek, reduceert De Koning deze dus tot twee, namelijk toereikend of niet toereikend. Door het casusmateriaal vervolgens op een andere manier te analyseren concludeert De Koning dat het met de afwijkende oordelen dan wel meevalt: ‘Het gemiddelde percentage afwijkende meningen bedraagt 19%. […] minder dan 1 op de 5 oordelen wijkt af van het meerderheidsoordeel.’ In zijn berekeningstabel geeft De Koning een overzicht van dit meerderheidsoordeel. In 30 van de 32 gevallen (94%) is dit positief (toereikend). Dit betekent dat ongeacht het aantal beheersingsmaatregelen dat is opgenomen in het personeelszakenproces, de Register Accountant in bijna alle gevallen tot een positief oordeel komt. Een dergelijke uitkomst is echter minstens zo verontrustend als de oorspronkelijke resultaten van Verkruijsse! Belang betrouwbare oordeelsvorming In de meeste literatuur op het gebied van oordeelsvorming vat men betrouwbaarheid op als de mate waarin oordeelsvorming – onder dezelfde omstandigheden – gelijke resultaten (oordelen) oplevert. In de audit-praktijk kent men aan een oordeel een grotere mate van betrouwbaarheid toe naarmate meer audit-professionals tot eenzelfde oordeel komen;

‘De Register Accountant komt in bijna alle gevallen tot een positief oordeel’ aangenomen natuurlijk dat deze professionals beschikken over gelijke kennis en ervaring. Goed beschouwd vormt oordeelsvorming de kern van auditing en de betrouwbaarheid hiervan het bestaansrecht van onze beroepsgroep. De kwaliteit van oordeelsvorming is daarom een belangrijk aandachtspunt van bijvoorbeeld beroepsorganisaties als de NOREA en het Instituut van Interne Auditors (IIA), maar ook van de Big 4 en diverse wetenschappelijke instituten. Deze organisaties voeren regelmatig onderzoek uit naar oordeelsvorming, wat vaak resulteert in diverse publicaties en richtlijnen ter verbetering van oordeelsvorming. In de Nederlandse vakliteratuur is er echter relatief weinig aandacht voor dit onderwerp. Het belang van de vaak opzienbarende resultaten van onderzoek naar oordeelsvorming van accountants en auditors, waaruit blijkt dat het moeilijk is om consensus in oordelen aantoonbaar te maken, wordt vooral duidelijk indien we dit plaatsen in het kader van de recente regelgeving op het gebied van deugdelijk ondernemingsbestuur. Een van de consequenties van Sarbanes Oxley is bijvoorbeeld dat de controlerende accountant van een onderneming vanzelfsprekend verplicht is de beoordeling niet alleen objectief te

(0&%/*&684 7003 "$$06/5"/54

laten plaatsvinden, maar tevens om het gevolgde besluitvormingsproces, dat ten grondslag ligt aan het oordeel, inzichtelijk te maken. De openlijke kritiek op uitspraken en het functioneren van professionals zoals rechters, maar bijvoorbeeld ook accountants, lijkt in frequentie en intensiteit toe te nemen. Hoewel er binnen de beroepsgroepen altijd al sprake was van een ‘gezonde’ zelfkritiek, ontstaat er momenteel een assertieve, kritische houding bij een brede groep belanghebbenden van waaruit steeds vaker vraagtekens worden gezet bij de betrouwbaarheid van onze oordelen. Beperkte rationaliteit en intuïtie Mensen presenteren zich graag als rationele besluitnemers, zowel in het privé als professionele leven. Wij willen graag geloven dat we ons gedrag volledig in de hand hebben. Mensen in organisaties – zoals managers en auditors – geloven dat ze organisatorisch gedrag kunnen beïnvloeden door het implementeren van structuren, beleid, procedures en ontwerpprincipes. In de praktijk blijkt het echter erg lastig het gedrag van individuele medewerkers of teams te beheersen. Verrassingen zijn daarom meer regel dan uitzondering. Als dit niet zo zou zijn waren er waarschijnlijk niet zoveel verschillende management control raamwerken. Wellicht dat het gebruik van modellen, zoals we dit gewend zijn in de management en organisatie literatuur, dit soort verrassingen deels in de hand werkt. In modellen simplificeren we immers de complexe werkelijkheid omdat het voor ons niet mogelijk is om de rijke schakeringen van de ‘echte wereld’ volledig te bevatten [van der Pijl en Nuyten 2001]. James March en de Nobelprijs winnaar Herbert Simon introduceerden daarom het bekende concept van ‘bounded rationality’ waarmee zij uitdrukking gaven aan het idee dat mensen slechts bij benadering optimaal gedrag vertonen. Het blijft bij een benadering, simpelweg omdat we de capaciteit ontberen die nodig is om optimale oplossingen te berekenen. Simon, tevens een pionier op het gebied van kunstmatige intelligentie, schijnt meer vertrouwen in de verwerkingscapaciteit van computers gehad te hebben. In 1965 stelde hij dat: ‘In 1985 machines in staat zouden zijn alles te doen wat een mens ook kan’. [ThinkExist.com] Er zijn sindsdien natuurlijk schitterende resultaten geboekt op het gebied van kunstmatige intelligentie. Geavanceerde

‘Wij willen graag geloven dat we ons gedrag volledig in de hand hebben’

‘Betrouwbare oordeelsvorming vormt het bestaansrecht van onze beroepsgroep’

computers, zoals Deep Blue, zijn inmiddels niet meer te verslaan door de schaakgrootmeesters van onze tijd. Toch blijken mensen in staat om met speels gemak buitengewone dingen te doen waar zelfs grote computers veel moeite mee hebben. De schrijver Malcolm Gladwell geeft in zijn boek ‘Blink’ een aantal voorbeelden van oordeelsvorming waarbij mensen opmerkelijke resultaten behalen. Zo beschrijft hij een experiment waarbij studenten een docent moesten evalueren op basis van een geluidloos videofragment van slechts twee seconden. De resultaten van dit experiment bleken nauwelijks te verschillen van de reguliere evaluaties die aan het einde van een volledig semester werden gehouden. [Gladwell, 2005] Intuïtieve oordeelsvorming We zagen als eerder dat we in onze professionele hoedanigheid een grote waarde toekennen aan rationele, beheerste besluitvorming. Dit soort besluitvorming is expliciet te maken en kunnen we onderbouwen met theorieën en modellen. Een oordeel dat op intuïtieve wijze tot stand is gekomen heeft vaak minder overredingskracht voor derden dan een oordeel dat op rationele wijze tot stand is gekomen. Toch kennen we zelf veel waarde toe aan ons vermogen om op intuïtieve wijze besluiten te nemen en oordelen te vormen. Het grote vertrouwen dat we hierin hebben is een belangrijk kenmerk van intuïtieve oordeelsvorming. Dat mensen intuïtief oordelen en beslissen is voor een deel evolutionair te verklaren. Veel van de neurale structuren die verantwoordelijk zijn voor deze autonome activiteiten zijn geërfd van onze voorouders. Van sommige structuren ligt de oorsprong misschien nog verder terug. In de ontstaansgeschiedenis van de mens is veel van dit aangeboren, geautomatiseerde gedrag ongetwijfeld van grote waarde geweest voor de overleving van de soort. Maar, hoe adequaat dergelijke processen in het verleden ook waren, de leefomstandigheden van de moderne mens zijn ingrijpend veranderd en de oude, snelle automatismen misleiden ons soms tot het nemen van verkeerde beslissingen. Het bestaan van dergelijke automatismen in onze hersenen is eenvoudig te demonstreren door gebruik te maken van het volgende aansprekende voorbeeld:


UW FISCALE VRAAGBAAK IS KLAAR VOOR 2008

Elsevier Fiscaal: Kwaliteit in de praktijk Alle professionele producten van Elsevier Fiscaal zijn up-to-date voor 2008. U kunt de software, almanakken en online producten nu alvast bestellen via 0314 358 358 of op www.elsevierfiscaal.nl. Wilt u een persoonlijk advies over onze producten? Bel dan één van onze gespecialiseerde accountmanagers: 020 515 95 55.

BEL 0314 358 358 OF KIJK OP WWW.ELSEVIERFISCAAL.NL

Systeem 1 is verantwoordelijk voor intuïtieve oordeelsvorming en Systeem 2 opereert in het domein van de beheerste, of rationele oordeelsvorming.

Een bal en een knuppel kosten samen € 1,10. Voor de knuppel betaalt u € 1 meer dan voor de bal. Wat kost de bal?

De meeste mensen hebben initieel de neiging om tien eurocent te zeggen. Veel – ook ontwikkelde – personen geven hier ook aan toe. Dit gebeurde bijvoorbeeld bij 50 procent van geteste Princeton-studenten en 56 procent van de studenten van de Michigan University. [Kahneman, 2002]. Welk antwoord men uiteindelijk geeft is eigenlijk niet zo belangrijk. De essentie van dit voorbeeld is dat onze hersenen zeer snel, en moeiteloos een (foutief) antwoord geven en dat we slechts door geconcentreerde aandacht dit initiële antwoord als onjuist herkennen.

De hoofdkenmerken van Systeem 1 zijn snelheid en het schijnbare gemak waarmee het oordelen vormt. Resultaten van Systeem 1 komen moeiteloos in ons op en veroorzaken activiteiten zonder dat we hiertoe een bewuste beslissing hebben genomen. Dit systeem is daarmee ook de bron van de meeste beoordelingsfouten (biases). De oordeelsvormingmechanismen van Systeem 1 zijn ofwel geërfd of aangeleerd. De geërfde mechanismen behoren tot de oudste delen van ons brein en hebben hun toegevoegde waarde bewezen in de overleving van onze soort. Het is niet waarschijnlijk dat we de werking van deze mechanismen kunnen verbeteren. Bovendien zijn hieraan talrijke ethische bezwaren verbonden.

Het twee systemen model Diverse wetenschappers, onder andere [Kahneman, 2002]. [Hogarth, 2003], beweren dat een deel van ons brein neurale netwerken bevat die extreem snel zijn in het herkennen en beoordelen van situaties. Zij beweren dat deze snelle netwerken een grote rol spelen in nagenoeg alle oordelen en dat deze neurale circuits acties initiëren nog voordat we ons ervan bewust zijn dat er een besluit is genomen. Behalve dit extreem snelle, intuïtieve beoordelingssysteem bevat ons brein een tweede, langzamer beoordelingssysteem.

De hoofdkenmerken van Systeem 2 vormen haast de tegenpolen van Systeem 1, namelijk traagheid en de relatief grote inspanning in het gebruik ervan. Desondanks gebeurd al het bewuste denken in dit bescheiden neurale netwerk. Systeem 2 kent twee belangrijke functies: 1. het genereren van antwoorden (oordelen/besluiten) op complexe problemen; 2. het monitoren van de resultaten van Systeem 1 (kwaliteitsbewaking).

Het concept van dit zogenoemde twee systemen model is in het volgende schema stilistisch weergegeven (Figuur 5). [Kahneman, 2002] Er bestaan in dit concept twee afzonderlijke neurale netwerken ten behoeve van oordeelsvorming, voor het gemak Systeem 1 en Systeem 2 genoemd.

Cognitieve psychologen zijn er van overtuigd dat Systeem 2 betrokken is bij alle oordeelsvorming. Foutieve oordelen zouden dan het gevolg zijn van het falen van beide systemen; Systeem 1 dat de fout genereerde en Systeem 2 dat er niet in slaagde deze fout te detecteren en te corrigeren.

PERCEPTION

INTUITITION SYSTEM 1

Slow Serial Controlled Effortfull Rule-governed Flexible

PROCESS

Fast Parallel Automatic Effortless Associative Slow-learning

CONTENT

Percepts Current stimulation Stimulus-bound

REASONING SYSTEM 2

Conceptual representations Past, Present and Future Can be evoked by language

Accessibility Figuur 5 Het twee systemen model


In hoeverre is het mogelijk het optreden van fouten in het hierboven besproken Systeem 1 te voorkomen? Dit systeem omvat mechanismen die zijn geërfd of aangeleerd en waarvan alleen deze laatste categorie te beïnvloeden is. Het is een bekend verschijnsel dat activiteiten, die bij het initiële aanleren veel concentratie en mentale inspanning vereisen, uiteindelijk – door middel van herhaling – geautomatiseerd uitgevoerd kunnen worden. Beginnende auditors beschikken over een rudimentaire, onderontwikkelde professionele oordeelsvorming die vereist dat alle afwegingen beredeneerd (bewust) plaatsvinden. Na diverse jaren ervaring opgedaan te hebben is er op deelgebieden sprake van meer intuïtieve oordeelsvorming, soms ook wel professional judgment genoemd. Beslissingen en oordelen vereisen minder mentale inspanning en lijken zich haast spontaan te openbaren aan de auditor; meer een soort voelen dan beredeneren. Deze intuïtieve oordeelsvorming is mogelijk geworden doordat de auditor zijn herhaaldelijk uitgevoerde redeneringen heeft geïnternaliseerd. Suggesties en vragen Het laatste deel van dit artikel bevat een aantal suggesties voor het verbeteren van oordeelsvorming in het algemeen en voor (IT) auditors in het bijzonder. Deze suggesties sluiten aan op hetgeen eerder in dit artikel is besproken. Feedback Beoordelingsfouten afkomstig van de aangeleerde mechanismen van Systeem 1 zijn voor een deel te voorkomen, onder andere door zorgvuldige training en – het belangrijkste van allemaal – tijdige, positieve terugkoppeling. Feedback stelt iemand in staat de kwaliteit van de gegeven oordelen tijdig te valideren en zodoende de hieraan voorafgaande ervaringen te waarderen. In een geschikte omgeving, waarin voldoende, accurate en tijdige feedback wordt gegeven, is een succesvolle ontwikkeling van intuïtieve beoordelingsmechanismen mogelijk. Een dergelijke omgeving biedt aan een beginnende auditor een optimale gelegenheid om zich professioneel te vormen. Mocht echter een aankomende auditor zich in een ongeschikte omgeving bevinden, waar hij een vervormde en weinig of geen tijdige feedback ontvangt, dan zal dit het ontwikkelen van het vermogen om snel adequate en valide oordelen te geven, bij deze auditor niet ten goede komen. [Hogarth, 2003] Feedback is zodoende randvoorwaardelijk voor het aanleren van nieuw gedrag. Zonder een goede feedback is het onwaarschijnlijk dat mensen in staat zijn effectieve intuïtieve beoordelingsmechanismen te internaliseren. Bewustwording Professionele audit-organisaties nemen doorlopend intelligente, leergierige, hoogopgeleide mensen aan en voorzien hen van voldoende kennis om hun dagelijkse activiteiten uit te kunnen voeren. De meeste auditors hebben bovendien vaak nog een speciale vakopleiding op Master / Bachelor niveau afgerond. Toch is dit onvoldoende om de kwaliteit van oordeelsvorming blijvend te verbeteren.

‘Feedback is randvoorwaardelijk voor het aanleren van nieuw gedrag’ Pas als auditors onderkennen dat intuïtieve oordeelsvorming in bepaalde omstandigheden foutieve resultaten geeft, wordt het mogelijk om deze fouten tijdig te corrigeren. Dit betekent dat de auditor er zich van bewust moet zijn dat deze situaties kunnen voorkomen en deze ook moet kunnen herkennen. Daarnaast is het belangrijk dat de auditor beschikt over de juiste hulpmiddelen om tijdig correcties aan te kunnen brengen. En, indien Systeem 2 inderdaad als een soort poortwachter functioneert om de kwaliteit van onze oordelen te bewaken, dan is het belangrijk om ervoor te zorgen dat deze poortwachter goed opgeleid is en over de juiste vaardigheden kan beschikken. Educatie Om de beoordelingsprocessen van auditors te ondersteunen stellen de beroepsorganisaties diverse methoden en technieken beschikbaar die de activiteiten van een auditor sturen tijdens het uitvoeren van onderzoeken. Zorgvuldig gedefinieerde audit-activiteiten stimuleren de auditor om tijdens het uitvoeren van een audit bedachtzaam te zijn bij de oordeelsvorming en de gemaakte keuzen en oordelen te motiveren en te documenteren. De beroepsorganisaties spelen al een belangrijke rol in het kader van de verplichte continue educatie, maar zouden ter verbetering van de oordeelsvorming ook specifieke opleidingen en trainingen kunnen (laten) ontwikkelen. Dit soort educatie is gericht op het verbeteren van de effectiviteit van Systeem 2. Hoewel educatie de kwaliteit van oordeelsvorming kan verbeteren, betekent dit natuurlijk niet dat de auditor daarna geen fouten meer maakt in de oordeelsvorming. Het is altijd mogelijk de beschikbare technieken, bijvoorbeeld statistische formules, verkeerd toe te passen wat vervolgens zal leiden tot foutieve oordelen. Dit is waarschijnlijk wat in de zaak van Lucia de B. is gebeurd bij de statistische verwerking van bewijsmateriaal. [Buchanan, 2007] Ook moeten we in gedachten houden dat methoden en technieken alleen een houvast geven ten aanzien van welke oordelen en keuzen de auditor moet maken (waar, wanneer), maar dat ze nauwelijks ondersteuning bieden betreffende het ‘hoe’. McMillan zei hierover al ‘The key professional aspect of implementing these standards relies on the


‘Wetenschappelijk onderzoek is noodzakelijk om de kwaliteit van oordeelsvorming te verbeteren’ judgment whether the result of the implementation is true and fair […]. This judgment is exacting what would be called a professional judgment. No rule can define it.’ [McMillan, 2004] Besluitvorming in teams Naast een betere bewustwording van mogelijke fouten in onze intuïtieve oordeelsvorming en het uitbreiden van de gereedschapskist met rationele methoden en technieken, bestaan er ook nog andere mogelijkheden om de oordeelsvorming van de professional te verbeteren. Tot dusver heeft de nadruk in dit artikel gelegen op de oordeelsvorming door individuen. In de audit-praktijk zijn oordelen en besluiten voornamelijk het resultaat van een groepsproces. Uit diverse onderzoeken blijkt dat groepsoordelen nauwkeuriger zijn dan individuele oordelen. Echter, het is niet zo dat deze vorm van oordeelsvorming volledig vrij is van bedreigingen. Denk bijvoorbeeld aan het fenomeen groepsdenken waarbij een individu er geen eigen mening op na durft te houden, uit angst voor sociale consequenties. Andere veelvoorkomende voorbeelden van artificiële constructies in ons vakgebied om gezamenlijke oordeelsvorming te organiseren zijn zogenaamde ‘Peer Reviews’ en ‘Reading Committee’s’.

zocht. Zo staat in sommige methoden ter ondersteuning van het audit-proces dat de auditor voorafgaande aan de opdracht relevante informatiebronnen moet raadplegen; bijvoorbeeld uit een eventueel aanwezig audit-dossier. Een dergelijk dossier bevat echter ook de vorige rapportages inclusief de bijbehorende oordelen. Welke invloed zal deze informatie hebben op toekomstige oordelen van de auditor? Zal er een verankeringeffect optreden? Is verankering daarmee in dergelijke audit-methoden geïntegreerd? Ook de volgende veelvoorkomende situatie roept vragen op bezien vanuit de problematiek van oordeelsvorming. Gedurende een opdracht zullen auditors continue interne beheersingsmaatregelen evalueren. Sommige evaluaties leiden tot een positieve bevinding, andere geven aanleiding tot een negatieve bevinding. Uiteindelijk zal de auditor een overall waardering moeten geven waarbij hij/zij rekening houdt met alle relevante bevindingen. Maar de wijze waarop deze overall waardering tot stand komt, beïnvloed mogelijk de uitkomst. Wat voor invloed heeft de recentheid van bevindingen op het oordeel van de auditor? Is het beter om tussentijdse beoordelingen te maken of te wachten tot alle bevindingen bekend zijn? Ook het clusteringeffect is wellicht belangrijk voor een auditor die op een efficiënte wijze een onderzoek wil uitvoeren. Het is mogelijk dat bij het uitvoeren van een serie interviews op één dag, geconstateerde feiten een andere beoordeling krijgen dan indien deze interviews over meerdere dagen waren gespreid. Gaat efficiency ten koste van de betrouwbaarheid van het oordeel?

De kwaliteit van oordeelsvorming verbetert waarschijnlijk ook door het inzetten van multidisciplinaire teams. Te vaak bestaan audit-teams uit professionals die eenzelfde soort opleiding hebben genoten, bijvoorbeeld economie, bedrijfskunde of informatica. Dit verhoogt de kans op het ontstaan van tunnelvisie en daarmee het verkrijgen van een enigszins gekleurde, vertekende oordeelsvorming. Een goed gebalanceerd audit-team verhoogt de kans op holistische oordeelsvorming. Gezien de veelal complexe situaties waarin de audit-professie oordeelsvorming uitvoert, is een multidisciplinair team eerder noodzaak dan luxe.

Het vinden van antwoorden op de bovenstaande vragen vereist nader wetenschappelijk onderzoek. Dergelijk onderzoek is in ons vakgebied van essentieel belang. Het is daarbij niet relevant te vragen of (IT)-auditing nu een vak of wetenschap is. Interessant is alleen of het mogelijk is om wetenschappelijk onderzoek uit te voeren naar of binnen (IT)-auditing. [De Visser, 2005] Aangezien er wereldwijd bij veel universiteiten diverse onderzoekprogramma’s op dit gebied actief zijn, is het antwoord op deze vraag feitelijk al gegeven. Om dergelijk audit onderzoek te stimuleren zou het bedrijfsleven de relatie met de wetenschap en de wetenschappelijke instituten kunnen intensiveren. Een dergelijke samenwerking kan vele vormen aannemen, zoals het aanbieden van stageplaatsen aan studenten, samenwerking met wetenschappers, ondersteunen van (post)academische opleidingen en het stimuleren van audit professionals om actieve onderzoekers te worden of gebruik te maken van reeds beschikbare onderzoeksresultaten. Toegepast wetenschappelijk onderzoek op het gebied van (IT)-auditing is noodzakelijk om de kwaliteit van oordeelsvorming structureel te verbeteren.

Nader onderzoek Bij het uitvoeren van audit-taken is het belangrijk rekening te houden met de mogelijk nadelige effecten van verankering. Vaak zijn de gevolgen hiervan nog niet goed onder-

Bewustwording Het creëren van bewustwording is dus essentieel. Dit lijkt eenvoudiger dan het is. Een klein onderzoek onder een aantal IT-auditors, uitgevoerd door een student van de Eras-


mus School of Accounting & Assurance, liet zien dat de meeste IT-auditors niet op de hoogte waren van veelkomende valkuilen in oordeelsvorming, maar bovendien niet geïnteresseerd waren hier meer over te weten te komen! [Beuze, 2005] Ik hoop dat u zich na het lezen van dit artikel niet alleen bewust(er) bent geworden van een aantal bedreigingen op het gebied van oordeelsvorming, maar bovendien gemotiveerd bent om hier actief iets mee te doen. ■

Accountancy en Bedrijfseconomie, jrg. 75 nr.11, November Solomon, I., Trotman K.T., 2003, ‘Experimental judgment and decision research in auditing: the first 25 years of AOS, Accounting Organizations and Society, 28 Trouw, 2006, ‘Crombag: Bij rechters komt het bewijs pas op de tweede plaats’, Trouw, 3 maart 2006 Verkruijsse, J.P.J., 2005, ‘Beoordeling van processen. Professional judgment of judgment van een professional’, proefschrift, ISBN 9052784906 Visser, A.A.C. de, 2005, ‘Reactie op de column van Anton Tomas’,

Referenties

EDP Auditor 2005/3

Ashton, A.H & Ashton, R.H, 1988, ‘Sequential Belief Revision in Auditing’,

Visser, A.A.C. de, 2006, ‘Boekbespreking Beoordeling van processen.

The Accounting Review, Vol 63 No 4.

Professional judgment of judgment van een professional’,

Baron, J., 2000, ‘Thinking and Deciding’, Cambridge University Press,

EDP Auditor 2006/1

ISBN 0521659728 BNdeStem, 2006, ‘Onderzoekers: nieuwe feiten in zaak Lucia de B.’, BN de

Noten

Stem, 2 juni 2006

1 Zijn collega-wetenschapper Amos Tversky heeft dit eerbetoon niet

Bonner, S.E., 1999, ‘Judgment and Decision-Making Research in

meer mee mogen maken. Hij stierf in 1996.

Accounting’, Accounting Horizons, Vol 13 No 4

2 Beide gebeurtenissen moeten dan wel onafhankelijk zijn van elkaar.

Buchanan, Mark, 2007 ‘Statistics: Conviction by numbers’

3 Een samenvatting van dit proefschrift is eerder verschenen in de EDP

Nature 445 254-255

Auditor. [De Visser, 2006]

Dijksterhuis, A., Aarts, H. Smith, P.K., 2005, ‘The Power of the Subliminal: On Subliminal Persuasion and Other Potential Applications’, in The New Unconscious, Oxford University Press, ISBN 0195307690 FD, 2006, ‘Helder verhalen over veranderen’, Het Financieele Dagblad, FD Persoonlijk, 9 december 2006-12-08 Filosofie Magazine, 2006, nr 9 ‘Pleidooi voor Lucia de B.’ Gladwell, M., 2005, ‘Blink: The Power of Thinking without Thinking’, Little, Brown and Company, ISBN 0316172324 Hastie, R., Dawes, R.M., 2001, ‘Rational Choice in an Uncertain World’, Sage Publications, ISBN 076192275-X st Hogarth, R.M., 2003, ‘Educating Intuition. A Challenge for the 21 century’,

Els Opuscles del Crei, No 13. IIA, 2006, www.theiia.org, ‘Frequently asked questions about the Internal Audit Profession’ Kahle, J, Pinsker, R., Pennington, R., 2005, ‘Belief Revision in Accounting: A Literature Review of the Belief-Adjustment Model’, Advances in Accounting Behavioral Research, Vol 8, 1 – 40 Kahneman, D., 2002, ‘Maps of Bounded Rationality. A Perspective on Intuitive Judgement and Choice’, Nobel Price Lecture. Kahneman, D., 2006, ‘Key note speech ‘Some advances in the study of th well-being’, 5 Tilburg Symposium on Psychology and Economics: Games

and Decisions. Koning, F. de, 2006, ‘Geen professional judgment maar judgment van professionals?’ MAB, mei 2006 Machiavelli, Nicollò, 1532, ‘De Heerser’, Athenaeum-Polak & Van Gennep, ISBN 9025334024 McKenzie, C.R.M., 2004, ‘Judgment and Decision Making’ in ‘Handbook of Cognition’, Lamberts, Goldstone, Sage Publications Ltd, ISBN 0761972773 McMillan, K.P., 2004, ‘Trust and the virtues: a solution to the accounting scandals?’, Critical Perspectives on Accounting, 15, 943-953 Meulemans, M., Verplaetse, J., 1998, ‘De valkuilen van ons denken’, Skepter 11(1). Piattelli-Palmarini, 1994, ‘Inevitable Illusions’, John Wiley & Sons, ISBN 047115962-X Pijl, G.J. van der en Nuijten, A.L.P.2001, ‘Het gebruik van beheersmodellen bij inrichting en beoordeling van beheerssituaties’, Maandblad voor


Artikel

Due diligence en IT

Marc Welters

In de snel veranderende omgeving van (internationale) bedrijven staan fusies en overnames regelmatig op de voorpagina van de kranten. Een due diligence-onderzoek is een belangrijk onderdeel in het overname- of fusietraject. IT-auditors zijn sinds het ontstaan van de beroepsgroep betrokken bij boekenonderzoeken. Voorheen heel vrijblijvend, maar de inzet van IT-auditors is de laatste jaren sterk toegenomen. Een kijkje in de keuken.

Het begrip due diligence is afkomstig uit de Verenigde Staten. Een goede Nederlandse vertaling is er nog niet voor. Het begrip is inmiddels ingeburgerd in de Nederlandse fusie- en overnamepraktijk. Een due diligence-onderzoek is een door de verkoper of koper zorgvuldig uitgevoerd onderzoek naar een organisatie, in het kader van een voorgenomen waardeoverdracht. Tijdens deze due diligence wil de kopende partij inzage in de boeken van de verkopende organisatie en in geval van fusies in elkaars boeken. Doel hiervan is om te bepalen of de vraagprijs realistisch is en of er geen verborgen gebreken (‘lijken in de kast’) aanwezig zijn. In dit artikel neem ik u mee in de wereld van due diligenceonderzoeken, aan de hand van twee voorbeelden. U krijgt enige achtergrondinformatie over een due diligence-onderzoek, u leest welke vraagstukken worden voorgelegd, hoe de IT-auditor dit soort vraagstukken uitvoert en wat hij moet doen om een goede gesprekspartner te zijn. Tot slot sta ik stil bij de bagage die een IT-auditor nodig heeft. Twee praktijksituaties Voorbeeld 1

Auteur drs. M.M.J.M. (Marc) Welters RE RA is partner EDP Audit binnen Ernst & Young. Hij is eindverantwoordelijk voor werkzaamheden binnen de sectorgroepen Public en Financial Services. Daarnaast is hij specialist in due diligence en outsourcing.

De eerste casus betreft de fusie tussen Interpay en het Duitse Transaktionsinstitut für Zahlungsverkehr AG (TAI). Bij de fusie tussen Interpay en het TAI is het nieuwe Equens ontstaan. TAI is, net zoals Interpay, een organisatie die betaaltransacties verwerkt tussen banken en gebruikers (winkels/ bedrijven). In Duitsland zijn meerdere partijen actief en TAI was één van de grotere spelers in deze markt. TAI is een voormalige dochteronderneming van DZ bank. Om een speler van betekenis te blijven in Europa ging het voormalige Interpay op zoek naar een fusiekandidaat. Daarnaast is de invoering van de ‘Single Euro Payment Area’ (SEPA) een drijfveer geweest om te fuseren. Deze regelgeving, die in 2001 is uitgegeven door de Europese Commissie, moet vanaf 2008 één uniforme betalingsmarkt in Europa bewerkstelligen. Voor het boekenonderzoek stelde Equens een multidisciplinair team samen uit financieel specialisten, belastingexperts, juristen, organisatiedeskundigen en IT-auditors. In een due diligence-onderzoek moeten deze specialisten, ieder op het eigen expertisegebied, gaan vaststellen welke relevante risico’s zich bij de fusiekandidaat voordoen. In dit soort opdrachten ziet men vaak dat de klant een multidisciplinair team inzet, zoals ook bij Equens is gebeurd.


Voorbeeld 2

De tweede casus die gebruikt wordt is een geanonimiseerd due diligence-onderzoek uit de retailbranche. Een van de grotere supermarktorganisaties in Europa heeft een aantal jaren geleden een fors aantal supermarkten in de verkoop gedaan. Bij deze gedeeltelijke overname waren meerdere geïnteresseerde kopers op de markt. Het verschil met Equens is dat Equens juist de IT van TAI wilde benutten. Bij de supermarktorganisatie was op voorhand al duidelijk dat de IT van de over te nemen organisatie uitgefaseerd zou worden omdat men verder wilde met de eigen IT.

In dit soort onderzoeken wordt een beoordeling van de IT nog niet standaard meegenomen. Dit komt omdat het lastig is om de waarde van IT vast te stellen. Eigenlijk zou men kunnen zeggen dat de kopende partij gaat vaststellen of de vraagprijs een realistische vraagprijs is door te kijken naar het soort en aantal goederen dat in het fusie- of overnameproces wordt betrokken. Van de vastgestelde waarde per component wordt een optelling gemaakt om tot een totaalplaatje te komen. Deze wordt vergeleken met de vraagprijs en IT werd in het verleden veelal nog niet als (positieve of negatieve) waarde gezien. Vraagstukken en de rol van de edp-auditor daarin

In de due diligence-onderzoeken leidde deze benaderingswijze van de klant tot twee verschillende aanpakken. Dit wordt hierna verder uitgewerkt.

Op welke onderwerpen focust een EDP-auditor zich in de due diligence. Per onderwerp geef ik kort aan welke aspecten in het onderzoek worden meegenomen.

Wat houdt een due diligence onderzoek in? Hardware en software

Simpel gezegd gaat een due diligence-onderzoek over het verrichten van een boekenonderzoek door een kopende partij bij een verkopende partij om vast te stellen of de vraagprijs een reële prijs is en of er geen (financiële) risico’s zijn. Na het bekend maken van de intentie tot verkoop kan het proces op twee manieren van start gaan. In het geval van Equens was er sprake van twee gelijkwaardige organisaties die met elkaar wilden fuseren (in dat geval dus een één op één relatie). Bij de supermarktcasus was echter sprake van een supermarktketen die een deel van haar winkels in de verkoop zette. In dit geval waren er, vanwege de fase waarin het proces verkeerde, juiste meerdere gegadigden. De verkopende partij voert in dat geval eerst een voorselectie uit en kiest uiteindelijk een partij die een bieding mag gaan doen. De volgende stap in het due diligence-proces bestaat uit het tekenen van een Memorandum Of Understanding (MOU) of Letter Of Intend (LOI). In de MOU/LOI wordt de intentie uitgesproken met elkaar verder te gaan en worden de vervolgstappen in het fusie/overnameproces vastgelegd om uiteindelijk tot een fusie- of overnamecontract te komen. Bij veel due diligence-onderzoeken wordt het boekenonderzoek gedaan in een fysieke dataroom waar alle noodzakelijke documenten fysiek beschikbaar zijn. In de dataroom mag vaak geen kopie gemaakt worden van de stukken en de stukken mogen de dataroom dan ook niet verlaten. De onderzoeker moet de stukken doornemen en samenvattingen maken van de relevante passages. Bij andere due diligence-onderzoeken ziet men dat er een zogenoemde e-room wordt ingericht waarbij alle documenten elektronisch beschikbaar zijn. De kopers krijgen een gebruikersnaam en wachtwoord om de documenten te bekijken. Het voordeel hiervan is dat vanaf de eigen werkplek de documenten kunnen worden ingezien en dat dat ook buiten kantooruren kan. De diverse kopende partijen zitten dan ook niet in een kamer bij elkaar. Ook hier is het vaak verboden om schermprints of printjes van de documenten te maken.

Als IT niet als belangrijk onderdeel van het onderzoek wordt gezien, wordt soms volstaan met het opdelen van IT in hardwarecomponenten en softwarecomponenten. De hardware wordt afgeschreven in bijvoorbeeld drie jaar en bij de software worden de periodieke licentiekosten vastgesteld. De financieel deskundige is dan snel klaar door met name in het grootboek te kijken, maar voor de EDP-auditor start dan pas het onderzoek. In het geval van de supermarktcasus zou bijvoorbeeld geconstateerd kunnen worden dat de verkopende partij op SAP draait. Bij de waardebepaling van de IT zal de kopende partij afhankelijk van de eigen IT-omgeving tot een waardebepaling komen. Er zijn dan twee scenario’s mogelijk die beide leiden tot een andere vaststelling van de bieding in de fusie of overname die gerelateerd is aan de aanwezige IT. Scenario 1

Als de overnemende supermarktketen zelf geen SAP heeft draaien, maar bijvoorbeeld gebruik maakt van Oracle applicaties, dan zal deze wellicht overwegen om de Oracle applicatie uit te rollen in de winkels en het distributiecentrum van de over te nemen onderdelen. Dan is de waarde van IT voor de overnemende partij nul of heel laag en moet worden vastgesteld wat de kosten zijn om SAP te vervangen door Oracle. De bestaande contracten tussen de over te nemen partij en SAP (looptijd, kosten etc.) zijn dan object van onderzoek. Bij de overnemende partij wordt dan de rekensom gemaakt door de totale waarde van het onderdeel dat wordt overgenomen te nemen en er x miljoen bij op te tellen inzake het investeren om de implementatie van Oracle uit te voeren. Hier is de IT dus een negatieve factor. Scenario 2

Als de verkopende partij en de kopende partij beide op SAP draaien dan zal duidelijk zijn dat de kosten voor het samenvoegen van IT veel lager kunnen liggen. In dat opzicht speelt de waardebepaling van IT wel degelijk een andere rol dan in het eerste scenario. Hier kan de IT duidelijk een positieve factor zijn.


Bij de casus Equens was in de investeringsplannen rekening gehouden met een forse investering in de IT om de groeidoelstelling in aantallen transacties mogelijk te maken en om SEPA-compliant te worden. Bij de fusie lag het voor de hand om in het fusieproces extra aandacht te besteden aan de aanwezige primaire applicaties bij elkaar. IT-auditors hebben daarom gekeken welke applicatie bij TAI het betaalproces ondersteunt en dat bleek een lean en mean gebouwde applicatie te zijn die heel goed op te schalen is. Het voormalige Interpay zou door de fusie in staat worden gesteld om de eigen investeringen in IT te beperken door de applicaties van TAI te implementeren binnen de nieuwe organisatie. Contracten

Wat aan hardware en software staat is goed te inventariseren. Dit wordt tevens vastgesteld aan de hand van contracten (onderhoud-, ontwikkel-, licentiecontracten). Als deze contracten zijn afgesloten met een bepaalde looptijd dan is de looptijd van deze contracten van invloed op de uiteindelijke prijs die wordt geboden. De looptijd van de contracten kan van positieve of negatieve invloed zijn. In het geval van de supermarktketen zouden langlopende contracten met boeteclausules er voor zorgen dat de overnemende partij langer zou moeten blijven draaien op SAP of de boete moeten betalen om SAP uit te faseren. In deze situatie is de supermarktketen gebaat bij een contract dat op of rondom de overname afloopt. In het geval van Equens kunnen langlopende contracten met de softwareleveranciers van de applicaties die bij het voormalige TAI draaien juist een gunstige uitwerking hebben. Voor langere tijd liggen de contracten vast en alleen het uitbreiden van het aantal licenties brengt extra kosten met zich mee. Bij de inventarisatie van IT speelt ook de vraag waar het eigendom van software ligt een belangrijke rol. In het geval van het voormalige TAI lag het eigendom van het belangrijkste platform bij TAI. Stel dat bij verkoop van de aandelen door DZ bank van TAI aan Equens het eigendom van het platform naar DZ bank zou gaan, dan ligt de waarde weer anders. Het is derhalve van belang dat een contract door minimaal drie partijen in deze due diligence beoordeeld wordt, te weten: (1) door de jurist, (2) de IT-auditor voor het IT-gedeelte, en (3) ook door financiële deskundigen om vast te stellen hoe hoog bijvoorbeeld eventuele boeteclausules zijn. Daarna hebben we gekeken naar de contracten tussen TAI en de eigen afnemers zoals contracten tussen TAI en banken om de betaaltransacties door te voeren. Bij voormalig Interpay kan de klant bijvoorbeeld tot 15:30 uur betaaltransacties aanleveren, die nog dezelfde dag worden verwerkt. In het geval van TAI was de aanlevering volgens een staffel gedurende de dag noodzakelijk. De vraag is dan wat voor een uitwerking dat heeft op de IT-omgeving. Beschikbaarheid en continuïteit

De IT-auditor beoordeelt eveneens de accountantsrappor-

ten, en dan met name de IT-auditparagraaf en IT-auditopmerkingen om te zien of daar aanwijzingen voor ‘lijken’ in de kast zijn te vinden. Denk bijvoorbeeld aan beschikbaarheid van de IT. In het geval van Equens zal duidelijk zijn dat de beschikbaarheid zeer hoog moet zijn en zal er een continue en betrouwbare werking van IT moeten zijn. Daarbij kan de IT-auditor uit het due diligenceteam niet in alle gevallen zelf vaststellen of de beschikbaarheid en betrouwbaarheid gewaarborgd zijn omdat dit vaak in de relatief korte doorlooptijd van een due diligence te veel tijd in beslag neemt. De IT-auditor steunt dan op de onderzoeken die gedaan zijn door de accountant of in separate opdrachten door de IT-auditor van de verkopende of fusiepartij zijn uitgevoerd. IT-afdeling

Vervolgens moet de IT-auditor ook naar de (leeftijds)opbouw binnen de IT-afdeling kijken. Zo is de leeftijdsopbouw voor een deel bepalend voor de continuïteit van de afdeling en heeft dus invloed op de waardebepaling. Een afdeling waar een mix van jonge medewerkers, die kunnen doorstromen, en oude medewerkers, met meer ervaring, aanwezig is, zorgt voor een andere waardebepaling dan wanneer de afdeling bestaat uit voornamelijk oudere medewerkers of voornamelijk jongere medewerkers, waardoor de continuïteit van de afdeling in gevaar kan komen. In geval van Equens is ook de situatie van de uitwijklocaties onderzocht, hetgeen van belang is voor de vraag welke strategie Equens daarvoor wil ontwikkelen. Equens had namelijk al twee datacentra in Nederland. De vraag is dan wat Equens met een derde uitwijklocatie in Duitsland zou moeten. Een mogelijkheid zou zijn om de twee locaties in Nederland samen te voegen en de locatie in Duitsland te behouden. Vragen die dan spelen is waar deze uitwijk zich bevindt, dicht bij Nederland of meer aan de Poolse grens. IT-projecten

De toekomstplannen van de over te nemen partij zijn ook belangrijk punt van onderzoek in een due diligence. Wat zijn de investeringsplannen van TAI voor de komende vijf tot tien jaar, wat is de IT-strategie? Als het management besloten heeft dat een van de platformen uitgefaseerd moet worden omdat er iets nieuws noodzakelijk is, dan wordt dat anders beoordeeld dan wanneer TAI net een platform heeft geïmplementeerd dat nog tien jaar mee kan groeien. Het investeringsplan voor het komend jaar/komende jaren zegt ook iets over de huidige state of the art van de IT. Als bijvoorbeeld blijkt dat het netwerk vervangen moet worden dan kan de EDP-auditor hier gericht vragen over stellen. Een normenkader als bagage voor de EDP-auditor? Elke due diligence is anders, zodat een algemeen geaccepteerd normenkader niet bestaat. Behalve wanneer het naar een hoger abstractieniveau wordt getrokken, dan zal er een moment komen dat het bij veel due diligence-opdrachten


Te beoordelen objecten In onderstaande tabel is een niet uitputtende lijst met objecten van onderzoek opgenomen die wordt gebruikt bij een due diligence.

Algemeen: • Organigram IT-afdeling • Notulen van IT-vergaderingen inzake reguliere werkzaamheden • Notulen van vergaderingen inzake IT-projecten • Auditrapporten van de externe accountant (o.a. Management Letter) • Auditrapporten EDP Audit (inzake beveiliging en systemen) • Overige IT-onderzoeken (Attack & Penetrationtesten, volwassenheidsonderzoeken, etc) • Auditrapporten van intern uitgevoerde audits • Changelijst afgelopen jaar • Lijst incidenten afgelopen periode (vaak wordt een half jaar gehanteerd) • Verslagen van uitwijktesten • IT jaarplan huidige jaar en komende jaar • IT beveiligingsplan • Privacyplan • Investeringsbegroting • Beveiligingsbeleid en privacybeleid • Back-upprocedures • Calamiteitenplan

Organisatie: • Lijst van medewerkers (aantal Fte) in eigen dienst, hun functie en kennis • Leeftijd van de IT-medewerkers • Aantal jaren ervaring van deze medewerkers • Product Dienstencatalogus met interne klanten IT Infrastructuur: • Lijst van hardware die in de fusie/overname zal worden ingebracht • Lijst van software die in de fusie/overname zal worden ingebracht (standaard, standaard met maatwerk, maatwerk door derden gebouwd, maatwerk in eigen huis ontwikkeld en gebouwd) • Lijst van software die in de fusie/overname zal worden gebracht maar die ook door de achterblijvende partij gebruikt zal blijven • Overige IT-componenten die verkocht gaan worden • Plan van aanpak voor de ontvlechting • Eventueel uitgevoerde risico-analyses • Documentatie van de software • Inschatting schaalbaarheid en portabiliteit IT infrastructuur • Beschikbaarheidcijfers IT-infrastructuur IT Projecten: • Lijst van geplande projecten met begroting per project • Voortgangsverslagen lopende projecten • Budgetuitputting lopende projecten Overeenkomsten leveranciers: • Contracten inzake beheer en onderhoud software • Contracten inzake beheer en onderhoud hardware • Inhuurcontracten met externen • Softwarelicenties • Escrowovereenkomsten • Uitwijkcontracten • Outsourcecontracten Overeenkomst klanten: • Afspraken met interne gebruikers • Afspraken met externe klanten (bijvoorbeeld om vast te stellen of de IT-omgeving in staat is de externe klantafspraken te helpen na te komen)


gebruikt kan worden. Alleen zal de IT-auditor er dan achterkomen dat het niveau te abstract is. Dat betekent dat hij eerst met de klant moet gaan afstemmen wat er verwacht wordt van het due diligence-team. In het geval van Equens zijn ook medewerkers van Equens zelf in het due diligenceteam opgenomen om gebruik te kunnen maken van hun expertise. Naast het feit dat er geen normenkader kan worden opgesteld, zal de IT-auditor ook moeten samenwerken met de andere disciplines in het due diligence-team. Twee voorbeelden om dit toe te lichten. Als de IT-auditor bijvoorbeeld de contracten doorneemt ten aanzien van één van de platformen om te bepalen of het eigendom van het platform aan de fuserende organisatie toebehoort, dan kan het zijn dat hij twijfels heeft over de gehanteerde juridische tekst van het contract en daarmee over de waardebepaling. De IT-auditor moet dan gaan schakelen met de jurist. Of als de IT-auditor niet kan vaststellen wat bijvoorbeeld het bedrag is dat per jaar betaald moet worden aan bijvoorbeeld licentiekosten zal de IT-auditor moeten schakelen met de financiële expert in het due diligence-team. De interactie tussen de disciplines binnen het team is dus van groot belang. In het geval van de supermarktcasus had de verkopende partij bijvoorbeeld SAP en de kopende partij Oracle. Als een organisatie dan een groot aantal winkels overneemt en vervolgens de beslissing wordt genomen om daar Oracle te implementeren, dan heeft dat een aantal consequenties waarover van te voren goed moet worden nagedacht. In een weekend de naambordjes vervangen voor meer dan 50 winkels is goed mogelijk, maar de ontvlechting van de IT gaat niet van vandaag op morgen en zal een langere periode in beslag nemen. Als een organisatie bijvoorbeeld 50 winkels overneemt moeten deze dus gefaseerd worden omgebouwd, zodat ze ingepast kunnen worden in de eigen formule maar ook in de IT-omgeving. Dat betekent dat deze organisatie nog een jaar lang gebruik zal maken van SAP. Gestart wordt met vijftig winkels die SAP gebruiken en geëindigd met nul winkels die SAP gebruiken. De vraag is dan waar het beheer van SAP wordt belegd. In het begin lopen namelijk alle IT-lijnen nog naar de verkopende partij. Over tegenvallende omzetresultaten kan bij de verkoop een clausule worden opgenomen in het contract. Het zal duidelijk zijn dat in de ombouwfase kassatransacties en dus omzetgegevens van producten en productgroepen per winkel bekend zijn bij verkopende partij. Daarom moeten partijen afspraken opnemen in het contract over informatiebeveiliging en geheimhoudingsplicht. De overnemende partij kan ook besluiten om per direct de IT weg te halen en in eigen beheer te nemen. Maar dat is in de meeste gevallen niet zo eenvoudig. Koppelt men bijvoorbeeld alle lijnen los in vijftig winkels? Dat zijn vraagstukken waar een IT-auditor bij betrokken kan zijn die met goed advies kan komen en kan vaststellen dat wat in het contract is afgesproken, ook gecontroleerd kan worden. Dit vraagstuk speelde bij Equens niet. Daar werd de IT in

Equens Equens is de eerste – en vooralsnog enige – pan-Europese full service payment processor. Als een van de grootste en meest innovatieve partijen in Europa is Equens toonaangevend op het gebied van toekomstvaste oplossingen voor de verwerking van girale en cards-gerelateerde betalingen. Dankzij een uitgebreid, concurrerend dienstenpakket en een flexibele, klantgerichte benadering voorziet de onderneming naadloos in de eisen en wensen van de Europese betaalmarkt. Met een jaarlijks volume van 7 miljard transacties en 2 miljard toonbankbetalingen en geldopnames heeft Equens binnen de eurozone een marktaandeel van meer dan 10 procent. Door voortdurend te streven naar verdere schaalvergroting en de behaalde synergie- en schaalvoordelen te vertalen in klantvoordelen, draagt de onderneming bij aan de bevordering van de efficiency van het Europese betalingsverkeer.

zijn geheel meegenomen en is tijd ingeruimd om beide platformen op een goede wijze te integreren. Als we gaan kijken naar welke andere bagage een IT-auditor moet hebben om dit soort opdrachten uit te kunnen voeren dan is dat een aantal basisvereisten. De auditor moet gevoel hebben voor de business waar de klant zich in begeeft, met andere woorden de auditor moet snappen hoe bijvoorbeeld de retailsector functioneert. Hoe een winkel gerund wordt en hoe logistiek wordt gemanaged om vervolgens iets te kunnen roepen over de IT die de businessprocessen ondersteunt. Als de IT-auditor de business niet begrijpt dan kan wel sec naar bijvoorbeeld SAP gekeken worden maar het gaat er natuurlijk om hoe SAP is ingebed in de bedrijfsprocessen. Als een IT-auditor daar geen kennis van heeft, dan moet de IT-auditor ook niet meewerken aan zo een due diligence. Het is dan niet goed mogelijk de waarde te schatten van te rapporteren risico’s. In het kader van het due diligence-onderzoek moet de auditor twee stromen onderscheiden: • ‘Zachte’ stroom: het moet eenvoudigweg wel klikken tussen de kopende en verkopende partij. • ‘Harde’ stroom: de teams die het werk moeten doen in de due diligence-onderzoeken brengen de risico’s in kaart. De twee raden van bestuur zijn in gesprek gegaan met elkaar en zij hebben een bepaalde visie op de samenwerking. Deze raden van bestuur willen, in het geval van Equens, niet achteraf geconfronteerd worden met negatieve verrassingen. De risico’s die in kaart worden gebracht worden door het due diligence-team meegegeven aan de Raad van Bestuur. Het is uiteindelijk aan de Raad van Bestuur om een afweging te maken of zij het risico willen nemen of dat zij de risico’s kwantificeren in geld en op de vraagprijs in mindering brengen. Afhankelijk van het soort overname of fusie zal de IT-auditor het werkplan anders moeten inrichten. Bij de super-


Inzet IT-auditors in due diligence-opdrachten IT-auditors worden om de volgende redenen ingezet: • Onafhankelijke expertise op gebied van IT en de risico’s die vanuit een due diligence worden waargenomen, waardoor een review kan worden uitgevoerd door vanuit een neutrale positie naar de organisatie te kijken. • Kennis en expertise van de IT-omgeving van de organisatie waar de due diligence plaatsvindt. • Eenvoudigweg het leveren van ‘handjes’. Vaak heeft de organisatie niet de capaciteit om een due diligence uit te voeren en vraagt daarbij dus externe ondersteuning.

marktcasus kijkt een IT-auditor immers anders naar objecten dan bij de fusie tussen Interpay en TAI. Bij de supermarktcasus hebben IT-auditors de IT-omgeving in het distributiecentrum en de 50 winkels beoordeeld. In het geval van TAI wordt het primaire platform gedetailleerd beoordeeld omdat die als geheel wordt overgenomen en in de nieuwe organisatie wordt gebruikt. In beide cases zijn dus andere risico’s en dat moet de IT-auditor onderkennen. Soms kan hij dan voor specifieke onderdelen toch gebruik maken van een normenkader. Bijvoorbeeld bij het beoordelen van de uitwijksituatie, dan kan vaak gebruik gemaakt worden van de best practice uitwijknormenkader dat ook bij andere beoordelingen van uitwijklocaties wordt gebruikt. Naar de toekomst kijkend, zal de mate van IT-integratie steeds belangrijker gaan worden. Als het dus mis gaat met IT dan is de impact vele male groter dan bijvoorbeeld jaren geleden. Het aantal IT-audituren in een due diligence in verhouding tot het totale aantal uren in een due diligence zal in de toekomst toenemen zo is de verwachting. In de huidige IT-auditopleiding (bijvoorbeeld van TIAS) wordt in de capita selecta aandacht besteed aan de rol van de IT-auditor (www.norea.nl/opleidingen/tias.asp). Binnen Ernst & Young hebben we ervaringen gebundeld in een aanpak die wordt aangepast afhankelijk van het type overname en de rol die de IT-auditor daar in spelen. ■


Artikel

Vrijwillig aan de slag met CobiT Ondoenlijk of nuttige exercitie?

Leon Dirks, Daniel van Burk, Rocco Jacobs

Over CobiT is sinds de introductie van CobiT 4.01 veel geschreven. Het raamwerk, van oorsprong afkomstig uit de auditorswereld, is dankzij Sarbanes-Oxley de laatste jaren flink in populariteit gegroeid. Maar hoe zit het met de toepasbaarheid van CobiT in de praktijk bij een IT-governance verbetertraject? Aan de hand van een casus van het ministerie van VROM gaan we in op de ervaringen die zijn opgedaan met betrekking tot het verbeteren van IT-governance en het gebruik van CobiT hierbij als raamwerk.

Drs. L.G. (Leon) Dirks RE EMIA, Auditor IT bij de Auditdienst van het Ministerie van VROM. Vanuit zijn functie is Dirks als projectleider verantwoordelijk voor de uitvoering van IT audits en adviesopdrachten in multidisciplinaire teams binnen het ministerie van VROM.

Drs. D.E. (Daniel) van Burk CISA, Executive Business Consultant Information Risk Management bij Atos Consulting. Vanuit zijn functie adviseert Van Burk over onderwerpen als IT governance, compliance, security, business continuity management. Drs. C.L.J.C. (Rocco) Jacobs RE, Senior auditor IT bij de Auditdienst van het Ministerie van VROM. Als senior auditor is Rocco verantwoordelijk voor de coördinatie en de aansturing van het IT audit cluster van de departementale auditdienst van het Ministerie van VROM. Daarnaast is hij als projectleider verantwoordelijk voor de uitvoering van IT audits en adviesopdrachten in multidisciplinaire teams. De drie auteurs vormden het projectmanagement van het IT-governance project bij het Ministerie van VROM. Zij hebben dit artikel op persoonlijke

Tot 2004 beschikten de Diensten2 van VROM elk over een eigen IT-afdeling. Een gezamenlijk IT-beleid ontbrak feitelijk en een CIO-rol was niet onderkend. Binnen het Ministerie van Volkshuisvesting, Ruimtelijke Ordening en Milieubeheer (VROM) was een wildgroei aan applicaties ontstaan. Het was zelfs voor de individuele gebruiker mogelijk een applicatie aan te schaffen en deze ‘stand alone’ te gebruiken. Dit leidde tot een portfolio van meer dan 1.400 applicaties, zo bleek na een inventarisatie. Het behoeft geen nadere uitleg dat deze situatie ongewenst was en een sanering werd ingezet. Na de saneringsslag in 2003 waren er nog zo’n 500 applicaties. Voorts besloot VROM in de periode 2003/2004 een groot deel van haar IT-functie uit te besteden. Het ging hierbij om de uitbesteding van de exploitatie, het technische systeembeheer en het applicatiebeheer. Het functioneel beheer bleef bij VROM. Deze ontwikkelingen gingen gepaard met het reorganisatietraject ZEUS (Zeer Excellente Uitvoering Secundaire processen) dat VROM in 2004 heeft uitgevoerd. Onderdeel van dit reorganisatietraject was een herinrichting van de IT-functie. In figuur 1 wordt het besturingsmodel van de IT-functie na de herinrichting van ZEUS schematisch weergegeven. Hierna zullen we de reorganisatie van de IT-functie kort samenvatten. Na ZEUS wordt de kaderstelling van IT voortaan centraal geformuleerd door de stafafdeling Personeel, Organisatie en Informatie (POI) en vastgesteld door de plaatsvervangend Secretaris-Generaal in zijn rol als CIO. Binnen de gestelde kaders bepalen de Diensten het informatiebeleid van hun dienst. Verder beschikken de Diensten op een enkele uitzondering na niet meer zelf over een eigen IT-afdeling en zijn de ITbeheertaken gecentraliseerd in een gemeenschappelijke dienst IT-beheer. IT-advies taken zijn ondergebracht in de VROM Advies- en Expert Dienst (VAED) als onderdeel van de Gemeenschappelijke Dienst. Een dienst kan IT-expertise inhuren van de VAED om een IT-project, bijvoorbeeld het vervangen van een applicatie, uit te voeren. Elke dienst heeft een informatiemanager die de ‘linking pin’ vormt met de IT-beheerders, de IT-kaderstellers en de IT-dienstverleners. De I-controller functie is zowel centraal binnen POI als decentraal in de Diensten belegd.

titel geschreven.


Kortom, ingrijpende veranderingen bij VROM in een periode van twee jaar. De veranderingen grepen fundamenteel in op de IT-governance van VROM. Dit vormde voor de interne Auditdienst van VROM aanleiding om een jaar later de stand van zaken op te nemen. In hoeverre functioneert nu IT-governance als onderdeel van het Management Control Systeem (MCS) uit het oogpunt van beheersing van bedrijfs- en beleidsprocessen? Waar hadden die ingrijpende veranderingen nu in geresulteerd? Was dit nog in lijn met de gedachten van het reorganisatietraject ZEUS? Waren er nog verbeteringen of veranderingen nodig om de IT goed te kunnen beheersen? De Auditdienst begon met het maken van een foto van de beheersing van de IT-functie om de stand van zaken te bepalen. Gezien de zwaarte van de nog maar recent doorgevoerde veranderingen besloot de Auditdienst niet een audit uit te voeren en een oordeel af te geven maar een onderzoek te doen waarin suggesties tot verbetering of verandering konden worden gedaan. Als referentiekader diende niet alleen het reorganisatiemodel ZEUS maar koos de Auditdienst ook voor CobiT als internationaal geaccepteerd raamwerk voor IT-governance. Indien de eerste fase van het onderzoek, het maken van een foto, daartoe aanleiding zou geven, zou de tweede fase van het onderzoek worden gestart waarin een gapanalyse wordt uitgevoerd om de verbeteringen in kaart te brengen. Het onderzoek zou dan vervolgens eindigen met een implementatievoorstel voor deze verbeteringen. Op voorhand wist de Auditdienst niet of fase twee en drie überhaupt zouden worden uitgevoerd en in welke vorm.

In het onderstaande wordt het verloop van het onderzoek toegelicht en worden de belangrijkste resultaten samengevat. Verloop van het onderzoek In dit hoofdstuk worden de verschillende fasen van het onderzoek van de Auditdienst nader toegelicht. Fase 1: Foto

De foto werd gemaakt door alle direct betrokkenen in de I-kolom te interviewen. Dit betrof vertegenwoordigers van de vraagzijde (de Diensten), de aanbodzijde (IT-beheer) en de directie POI als kadersteller. Ook vertegenwoordigers van de financiële kaderstellers Financieel Economische Zaken (FEZ) werden geïnterviewd. Afbeelding 2 van het speelveld van de IT-functie bij VROM na het ZEUS-traject vormde het uitgangspunt voor het vaststellen van de te interviewen personen. In principe is van iedere actor (in het figuur een bol) minimaal één persoon geïnterviewd. Figuur 2 geeft tegelijkertijd een indicatie van de complexiteit van het samenspel van actoren in het beheer van de IT-functie bij VROM. Basis voor de vragenlijst die bij de interviews werd gehanteerd, vormden de organisatieopzet van de IT-functie na ZEUS (zoals weergegeven in figuur 2) en de vier CobiTdomeinen met de bijbehorende 34 processen. Deze vier CobiT-domeinen zijn door middel van verschillende kleuren ook zichtbaar gemaakt in figuur 2. De vragenlijst werd bij de interviews niet altijd strikt toegepast. De Auditdienst speelde in op de informatie die in het

Ondersteuning planning en verantwoording

Concernstaf/POI

Ka de Ve rs ra nt w oo rd in g

Ve ra nt w oo rd in g

Ka de rs

Bestuursraad/ pSG (CIO)

Opdrachten Gemeenschappelijke Dienst

Diensten Producten en verantwoording Figuur 1 IT-functie VROM en CobiT na ZEUS


VROM. De resultaten van het onderzoek werden als afsluiting van deze fase in een breed verband aan VROM gepresenteerd. In deze presentatie zijn tevens de belangrijkste kenmerken van het CobiT-model toegelicht.

interview werd ontvangen en paste vervolgens de vragenlijst aan. Van ieder gesprek is een verslag gemaakt en afgestemd met de geïnterviewde. Indien de geïnterviewde dat wenste, vond nog een gesprek plaats. Daarnaast werd documentatie (bijvoorbeeld de IT-visie van VROM) onderzocht. Op zich is de aanpak van deze eerste fase niet bijzonder maar in de uitvoering vergde het wel een flexibele opstelling van de onderzoekers zonder de uitgangspunten van het onderzoek geweld aan te doen. De bevindingen zijn aan het einde van de fase geclusterd naar de vier CobiT kwadranten en grafisch weergegeven in het IT-besturingsmodel van VROM na ZEUS. De aanbevelingen, verdeeld over de korte en de lange termijn, zijn tot stand gekomen door de bevindingen te evalueren ten opzichte van CobiT en het reorganisatiemodel ZEUS. Eén van de aanbevelingen is het advies geweest om CobiT als referentiemodel binnen VROM in te voeren.

Fase 2: Gap-analyse Beslispunten

De tweede fase bestond uit het in kaart brengen van de IST en de SOLL situatie van de IT-governance binnen VROM voor een beperkt en select aantal IT-processen uit CobiT. In termen van CobiT: door het huidige en gewenste volwassenheidsniveau van een proces te bepalen op een schaal van vijf, ontstaat zicht op de benodigde verbeteringen. De start van de gap-analyse leverde twee beslispunten op: • De selectie van CobiT-processen. • Het bepalen van het gewenste volwassenheidsniveau.

Ter afronding van de eerste fase van het onderzoek zijn de resultaten in de vorm van power point slides in concept gepresenteerd aan de plaatsvervangend Secretaris Generaal als CIO van VROM en vertegenwoordigers van POI, FEZ, VAED, IT beheer en de Diensten. De slides van deze presentatie vormden het definitieve rapport dat hierna werd uitgebracht.

Het is natuurlijk een utopie om alle 34 CobiT-processen tegelijkertijd erbij te betrekken. Maar hoe maak je nu een selectie uit 34 IT-processen? Dat vergt een solide afweging want een onterecht geselecteerd proces draagt niet bij aan het realiseren van de projectdoelstellingen. In een workshop met vertegenwoordigers van de Diensten, IT-beheer en POI is een gezamenlijke top-vijf van de grootste ambities en knelpunten van VROM met betrekking tot IT vastgesteld. Op basis van deze informatie deed de Auditdienst in overleg

In zijn reactie op de bevindingen, koos de plaatsvervangend Secretaris Generaal voor de invoering van CobiT binnen Externe omgeving

Bestuursraad/ pSG (CIO)

dr ac

Comité Functionele Wijzigingen

l-plan

rief

Wijz.verzoek Dienst Dienst/ IMO-overleg proceseig . Informatiemanagers Proceseigenaren

Plan&organize

Delivery &support

GD/VAED

Monitor& evaluate

Acquire &implement CobiT domeinen

Figuur 2 Actoren IT-governance VROM


Beheer

ht

GD/FID/ICT Beheer

Architectuur

Outsourcing

Functioneel

Kade rb

Toetsen aan kaders/ architecturen

beheerders

ng

o

Escalatie

deli

ede

jst m

Kaders/ architecturen

enli

ht

c ra pd

op

Gebruikersgroep

Informatie

rs kad e

ers

n l-pla VROM

kad

Cst /POI

vrag

concerncontroller

Dienstcontroller

ht

rac opd

Troika -overleg

Cst /FEZ/ C-Controller

Controllersberaad

GD/VAED

cht

opdra

Contract VROM board

ICT leverancier

met de VAED een voorstel voor negen CobiT processen die als eerste zouden moeten worden aangepakt. De deelnemers aan de workshop en de CIO bekrachtigden de selectie waaraan de CIO nog een proces toevoegde dat als doel had de communicatie op het gebied van IT te verbeteren. In figuur 3 staan de CobiT processen vermeld, waarop wij ons binnen VROM hebben gericht. AI6

Manage changes

PO10

Manage projects

PO1

Define a strategic IT plan

PO2

Define the information architecture

PO5

Manage the IT investment

PO6

Communicate management aims and direction

DS6

Identify and allocate costs

DS1

Define and manage service levels

ME1

Monitor and evaluate IT performance

AI1

Identify automated solutions

Fase 3: GRIP

Fase 3 was bedoeld om de verbeterpunten uit fase 2 te realiseren. Feitelijk was dit een separaat project met de naam GRIP: Gemeenschappelijke Realisatie I-Professionalisering. Door de realisatie van de verbeterpunten bereiken de tien geselecteerde processen het volgende volwassenheidsniveau. Figuur 5 toont de verdeling van de tien processen over vier aandachtsgebieden. De verbeteringen zouden fasegewijs worden gerealiseerd. Inmiddels had de Bestuursraad van VROM besloten om Prince2 als standaard voor projecten binnen VROM toe te passen. De idee daarbij was meteen praktijkervaring op te doen met de toepassing van Prince2. GRIP was in die zin een ervaringsproject. Daarom is voor de start van GRIP een Project Initiatie Document (PID) opgesteld en is conform Prince2 een projectorganisatie opgezet met een stuurgroep waarin zowel de vraagkant (klant) als de aanbodzijde (leverancier) was vertegenwoordigd.

Figuur 3: Selectie IT-processen

Het tweede beslispunt was het gewenste volwassenheidsniveau van de geselecteerde processen. De CIO besloot dat het volwassenheidsniveau van de geselecteerde processen binnen anderhalf jaar één niveau hoger moest zijn, ongeacht het huidige volwassenheidsniveau. Het lijkt een kleine stap, ‘slechts’ één stap hoger, maar het kan een forse inspanning betekenen. Veelal betekent het dat bestaande processen moeten worden aangepast en dat vergt de nodige moeite. Het invoeren van een standaard projectenmethodiek zoals Prince2 betekent dat medewerkers een cursus moeten volgen, een andere werkwijze moeten aanleren, dat een projectenbureau moet worden geïnstalleerd, et cetera. Figuur 4 geeft een impressie van de volwassenheidsniveaus.

Het voornemen de I-kolom binnen VROM te reorganiseren, deed de CIO besluiten halverwege het eerste deelgebied pas op de plaats te maken met GRIP. Proceseigenaren zijn aangesteld die de resterende activiteiten van het eerste aandachtsgebied moeten realiseren. De acties voor de overige processen werden belegd in de lijn of geparkeerd totdat de ontwikkelingen in de I-kolom zijn afgerond. POI is verantwoordelijk gesteld voor de monitoring van de opvolging van de acties. Begin september 2007 heeft POI voor de eerste keer de verantwoordelijke proceseigenaren aangeschreven om de voortgang inzake de verbeteringen van het eerste aandachtsgebied te melden. Daarnaast heeft POI voor de overige zeven CobiT-processen een voorstel gedaan hoe daarmee moet worden omgegaan in het reorganisatieproces van de Ikolom.

Uitvoeren gap-analyse

Workshops waarvoor de al eerder in dit artikel genoemde betrokkenen werden uitgenodigd, speelden een belangrijke rol bij de vaststelling van de gaps. Om de workshops goed voor te bereiden, is telkens aan de hand van een zelf ontwikkelde MS Acces tool het CobiT proces aan elke individuele deelnemer toegelicht. Ook heeft iedere deelnemer door het ‘scoren’ van volwassenheidskenmerken met behulp van de genoemde MS-Acces tool individueel een volwassenheidsniveau voor het onderhavige CobiT proces vastgesteld.

Leerervaringen

Vervolgens is in een workshop waarin alle betrokkenen werden uitgenodigd het individuele volwassenheidsniveau veralgemeend zodat een VROM volwassenheidsniveau voor een proces ontstond. In dezelfde workshop is, na de vaststelling van het huidige volwassenheidsniveau, gezamenlijk bepaald welke maatregelen additioneel zouden moeten worden getroffen, danwel zouden moeten worden aangepast om aan de gewenste mate van volwassenheid te kunnen voldoen. De CIO heeft de resultaten van deze tweede fase bekrachtigd.

Hoe pak je het aan?

Elk van de drie fasen heeft leerervaringen opgeleverd. Deze leerervaringen kunnen we verdelen in ervaringen over het IT-governance traject en het toepassen van CobiT. Deze paragraaf bevat de leerervaringen uit het IT-governance traject. De leerervaringen met CobiT worden uitgewerkt in de paragraaf ‘Meerwaarde en valkuilen bij het gebruik van CobiT’.

IT-governance traject

Het traject begon als een IT-governance onderzoek dat werd geïnitieerd door de interne Auditdienst in samenwerking met de stafdirectie POI. Voor de Auditdienst was dit een niet alledaags onderzoek omdat de werkzaamheden normaliter vooral bestaan uit het uitvoeren van audits in het kader van de wettelijke controletaak en op verzoek van het


Maturity level for process XXX IT process

Understanding & Awareness

Training & Communication

Process & Practices

Techniques & Automation

Compliance

1. Initial/ad hoc

Recognition

Sporadic communication on issues

Ad hoc approach to process& practice

2. Repeatable but intuitive

Awareness

Communication on the overall issues and needs

3. Defined process

Understanding of need to act

4. Managed and measurable

5. Optimised

Expertise

Similar/common but intuitive process emerges

Common tools are appearing

Inconsistent monitoring on isolated issues

Informal training supports individual initiatives

Practices are defined, standardized and documented, sharing of better practice begins

Tool set is standardized, currently available practices are used and enforced

Inconsistent monitoring, measurement emerges, balanced scorecard adopted occasionally; root cause analysis is intuitive

Involvement of IT specialists in business processes

Understand full requirements

Formal training supports a managed programme

Process ownership and responsibilities are set, process is sound and complete, internal best practices are applied

Mature techniques are used, standard tools are enforced, limited tactical use of technology

Balanced score cards are used in some areas, exceptions are noted, root cause analysis is standardised

Involvement of all internal domain experts

Advanced, forwardlooking understanding

Training and communications support external best practices and use leading edge concepts

Best external practices are applied

Sophisticated techniques are deployed, extensive optimised use of technology

Balanced scorecard is globally applied, exceptions are consistently noted and acted upon, root cause analysis is always applied

Use of external experts and industry leaders for guidance

Figuur 4 Impressie van CobiT volwassenheidsniveaus

management. Nu was er sprake van een onderzoek waarin geen oordeel ‘goed’ of ‘slecht’ werd afgegeven maar waarin een ‘foto’ werd gemaakt van de stand van zaken op basis van CobiT en het reorganisatiemodel dat in 2004 werd gerealiseerd. Op deze wijze werd de CobiT-kennis van de Auditdienst in een adviesrol aangewend ten gunste van de organisatie. Dit bood de Auditdienst de mogelijkheid om zich nog meer als adviseur van het management te profileren en de organisatie maakte kennis met een ongebruikelijke rol van de Auditdienst. Gewoon beginnen

In de eerste fase van het project zijn we gewoonweg begonnen. We kozen een algemeen bekende IT-beheersingsmethodiek en namen het reorganisatiemodel als tweede referentiekader. Door niet te kiezen voor een selectietraject naar een model boekten we tijdwinst en voorkwamen we een discussie over de geschiktheid van allerlei modellen. Tijdens het onderzoek stonden we wel open voor eventuele andere modellen die door betrokkenen bij IT-governance konden worden voorgesteld. Dat kon omdat we CobiT niet op een strikte wijze als normenkader hanteerden. Breed onderzoek

Om een scherpe foto te maken zijn een groot aantal interviews uitgevoerd met VROM functionarissen van zowel de vraagzijde als de aanbodzijde van IT. Op deze wijze ontstaat meer draagvlak voor het onderwerp IT-governance en de methode die in het onderzoek werd toegepast. Nut en noodzaak worden helder voor zover dat nog niet het geval was bij controllers, (informatie-) managers, IT-cluster coördinatoren en projectleiders.

Routebepaling Selectie van processen

Ook de selectie van IT (CobiT-) processen deden we in samenspraak met een brede VROM-vertegenwoordiging. Door de VROM-medewerkers leading te maken in de processelectie ontstond een breed draagvlak in de organisatie om deze processen te verbeteren. Complexe materie

Het vaststellen van volwassenheidsniveaus is niet eenvoudig. Enerzijds is het scoren van de volwassenheid op basis van stellingen een kwalitatieve beoordeling, anderzijds streefden we wel naar onderlinge vergelijkbaarheid. We hebben gebruik gemaakt van de wegingen van stellingen die door de vakorganisatie ISACA zijn opgesteld om de resultaten van de interviews onderling vergelijkbaar te maken, terwijl we ervoor waakten om niet te vervallen in mathematische gemiddelden, dit zou enkel schijnzekerheid opgeleverd hebben. Scores werden dus ‘slechts’ als een indicatie van het volwassenheidsniveau gezien. De echte vaststelling van het volwassenheidsniveau vond plaats door de VROM vertegenwoordigers in de eerdergenoemde workshop over een proces. Samenwerking tussen vraagzijde en aanbodzijde IT

Zowel de vraagzijde als de aanbodzijde van IT waren in de workshops vertegenwoordigd. Dit had een positieve impact op de samenwerking en de communicatie tussen deze twee zijden van IT. De gebruikers kwamen in gesprek met de IT-ers.


Doelstelling(en) ICT Governance

Deelgebied 4 Verantwoording Deelgebied 4 processen • ME1 Monitor and evaluate IT performance • DS6 Identify and allocate costs

Deelgebied 3 Architectuur Deelgebied 2 Kaderstelling

Deelgebied 1 Huis op orde Processen

Deelgebied 3 processen • PO2 Define the information architecture • AI1 Identify automated solutions

Management & Organisatie

Performance

Mensen & Cultuur

Infrastructuur

Deelgebied 2 processen • PO1 Define a strategic IT plan • PO5 Manage the IT investment • PO6 Communicate management aims and direction

Deelgebied 1 processen • AI6 Manage changes • PO10 Manage projects • DS1 Define and manage service levels

Figuur 5 Vier aandachtsgebieden

De organisatie staat niet stil Open oog voor veranderingen

In de derde fase moesten de acties worden uitgevoerd om een volgend volwassenheidsniveau te bereiken. Al vrij snel bleek echter dat ontwikkelingen in de I-kolom binnen VROM ertoe leidden dat het nodig was om de acties uit het GRIP project anders te beleggen. Een reorganisatie binnen de I-kolom van VROM was namelijk op komst. Voor een deel van de acties was het mogelijk of nodig deze alsnog uit te voeren dan wel te beleggen bij andere projecten. Een ander deel van de acties kon pas worden uitgevoerd nadat het stof in de I-kolom was neergedaald. Het is van belang dergelijke ontwikkelingen tijdig te onderkennen en de impact hiervan op een IT governance project vast te stellen. Prince2

VROM besloot de methodiek Prince2 als standaard in te voeren voor de organisatie en aansturing van haar projecten. Daarom diende het GRIP project in lijn met de Prince2 standaard opgezet te worden. Dat betekende ook dat de Stuurgroep niet alleen kennis diende te hebben van CobiT maar ook van Prince2. En dat bleek in de praktijk een lastige combinatie. Het onderwerp IT governance was beter behapbaar geweest voor de Stuurgroep als we niet voor deze combinatie hadden gekozen. Samenstelling stuurgroep

De stuurgroep bestond uit twee vertegenwoordigers van de IT-organisatie en twee vertegenwoordigers uit de Diensten, naast een voorzitter en een secretaris. De twee vertegenwoordigers uit de Diensten gaven aan IT-governance en CobiT vooral te zien als onderwerpen die behoorden bij de

IT-organisatie. Dat betekent dat de gebruikers een andere rol wilden vervullen dan als lid van de stuurgroep. De vertegenwoordigers van de Diensten voelden zich meer thuis in een klankbordgroep. Meerwaarde en valkuilen bij het gebruik van CobiT Bij het doen van het onderzoek naar IT-governance binnen VROM is zoals aangegeven gebruik gemaakt van CobiT 4.0. Tijdens dit traject hebben we in de praktijk een aantal meerwaarden en valkuilen van CobiT onderkend. Meerwaarde van CobiT Paraplufunctie

CobiT kent als een van de weinige modellen een scope waarbinnen elementen als strategie, ontwikkeling, beheer en beveiliging opgenomen zijn, zij het op een redelijk hoog (abstractie)niveau. Dit in tegenstelling tot modellen als ITIL, ASL en BiSL die zich meer op beheer richten, CMM dat zich meer op ontwikkeling richt en de Code voor Informatiebeveiliging die, zoals de naam al aangeeft, primair gericht is op beveiliging. Door deze brede scope en het hoge abstractieniveau leent CobiT zich uitstekend om als een soort paraplu te dienen waarmee de samenhang gezocht kan worden en het totaalbeeld gevormd kan worden ten aanzien van modellen die reeds bij een organisatie in gebruik zijn. Daarbij moet soms wel een vertaling worden gemaakt van bijvoorbeeld ITIL-processen naar processen binnen CobiT. Bij VROM werd al gebruik gemaakt van modellen als ITIL, ISPL, BiSL en Prince2. Het gebruik van CobiT voor het in kaart brengen van de IST en SOLL situatie voor verschillende processen gaf het voordeel dat de diverse processen op


een uniforme manier benaderd konden worden in de workshops. Gemeenschappelijk begrippenkader

Door de steeds bredere acceptatie van CobiT (zowel binnen als buiten de audit-wereld) heeft CobiT de potentie om als gemeenschappelijk begrippenkader te dienen dat de organisatie kan gebruiken in de communicatie over IT gerelateerde processen in een organisatie. Dit voorkomt veel begripsverwarring. Binnen het project bij VROM hebben we gemerkt dat het consequent vasthouden aan het CobiT begrippenkader goed werkte om snel tot inzicht en resultaten te komen. Ook het feit dat betrokkenen bij de vraag- en aanbodzijde van de informatievoorziening binnen hetzelfde begrippenkader met elkaar praten was directe winst. Volwassenheidsniveaus

Om een goed beeld te krijgen van de huidige situatie ten aanzien van processen en een groeipad te kunnen definiëren is het prettig dat CobiT 4.0 per proces volwassenheidsniveaus heeft gedefinieerd met stellingen die ieder volwassenheidsniveau beschrijven. Hierbij moeten meteen wel een paar kanttekeningen worden geplaatst. Bij methodieken, waarmee je kunt scoren, ligt altijd het risico van een al te mathematische benadering op de loer. De scores moeten geen eigen leven gaan leiden, zeker niet als er gemiddelden berekend gaan worden van de scores die verschillende stakeholders aan het proces hebben toegekend. Het blijft een kwalitatieve benadering. Ook is het onze ervaring dat de eisen die aan processen worden gesteld voor bepaalde volwassenheidsniveaus nog al eens uit elkaar lijken te lopen. Voor het ene proces haal je veel makkelijker volwassenheidsniveau 3 dan voor een ander proces. Het is weliswaar appels met peren vergelijken, maar het geeft wel aan dat de volwassenheidsniveaus niet al te absoluut kunnen worden beschouwd.

nisatie. We hebben daarom vooral gekeken naar de Key Performance Indicators / Key Goal Indicators en detailed control objectives die gericht waren op het verhogen van bewustzijn van en draagvlak voor IT-governance, en niet zozeer naar de detailed control objectives die betrekking hebben op de beheersing van de communicatie. Hoogste volwassenheidsniveau is niet zaligmakend

Volwassenheidsniveaus en groeimodellen kunnen impliciet leiden tot een houding waarbij automatisch naar het hoogste volwassenheidsniveau wordt gestreefd. De vraag is echter of dit altijd gewenst en bedrijfseconomisch verantwoord is. Er moet vooral gekeken worden naar de eisen die aan het proces worden gesteld vanuit de omgeving en het daarbij behorende volwassenheidsniveau. Tevens moet goed rekening worden gehouden met wat de organisatie aankan qua veranderingen en in relatie tot de volwassenheid op andere onderdelen. In ons project is ervoor gekozen om te streven naar een verhoging van de volwassenheid met 1 niveau en om daarna, gegeven de situatie op dat moment, te evalueren of verder groei in volwassenheid noodzakelijk is. Dit heeft geholpen om de ambities tot een realistisch niveau te beperken. Gebruik van CobiT is niet geïntegreerd in organisatie

De meerwaarde van CobiT zoals eerder beschreven kan alleen ten volle worden uitgebaat als de hele organisatie ermee gaat werken. Wanneer het binnen het domein van bijvoorbeeld de Auditdienst blijft zal er geen gemeenschappelijk begrippenkader ontstaan en kan er niet over meer processen op een eenduidige wijze een verbeterplan worden opgesteld. Het intensief betrekken van zowel de aanbodzijde, de beleidsmakers als de vraagzijde van IT heeft ertoe geleid dat er op het juiste niveau en met de juiste gezichtspunten naar de professionalisering kon worden gekeken en heeft bijgedragen aan het creëren van draagvlak voor het realiseren van verbeteringen.

Valkuilen bij het gebruik van CobiT

Conclusies

Het is slechts een model

In de VROM casus is CobiT als hulpmiddel toegepast in een IT governance traject. Hierbij is gebleken dat CobiT door zijn brede scope goed hanteerbaar is om de IT-governance in kaart te brengen. De relatief beperkte diepgang van CobiT (er wordt vooral aangegeven wat er geregeld moet zijn, niet zozeer hoe dit geregeld moet worden) biedt tevens de mogelijkheid om aan te sluiten op (reeds in gebruik zijnde) modellen als ITIL en Prince2. Het feit dat CobiT niet van buitenaf of van bovenaf is opgelegd (dit traject is niet geïnitieerd omdat weten regelgeving het departement hiertoe verplichtte) heeft in dit project positief uitgewerkt. VROM wenste zelf meer zicht te krijgen op de stand van zaken betreffende de beheersing van IT. Dit vormde de startpositie om vast te stellen of verbeteringen nodig waren gelet op ontwikkelingen in de nabije toekomst en geconstateerde knelpunten.

Modellen zijn vereenvoudigde weergaven van de werkelijkheid en zijn geldig onder bepaalde condities. Daarom moet je uitkijken voor het dogmatisch toepassen van een model en dit geldt ook voor CobiT. Dit lijkt een open deur, maar het gebeurt nog steeds dat een model gebruikt wordt als argument om iets wel of niet te doen. In het project hebben we scherp gekeken naar de achterliggende doelstellingen van het professionaliseren van de informatievoorziening op basis van de belangrijkste ambities en issues die er waren. Dit heeft erg geholpen om met de juiste focus naar processen te kijken en ook bewust elementen eruit weg te laten die niet dienstbaar waren aan de doelstellingen van het project. Het proces PO6 Communicate Management Aims and Direction bijvoorbeeld was in de scope geplaatst om te borgen dat de communicatie ten aanzien van IT governance voldoende aandacht kreeg in het project en daarna in de staande orga-


Om meer redenen is het gebruik van CobiT een nuttige exercitie geweest. Het is een alom geaccepteerd raamwerk dat houvast bood aan de deelnemers aan het project. Wel vergt het toepassen van CobiT een kritische houding. Niet alle stellingen en control objectives bijvoorbeeld zijn van toepassing op VROM. Ook zijn niet alle CobiT processen even goed uitgekristalliseerd. CobiT wordt door veel organisaties gebruikt. Dat heeft als voordeel dat veel kennis en ervaring in het toepassen van het raamwerk in het bedrijfsleven beschikbaar is. ISACA heeft een actieve CobiT community. Deze kennis en ervaring zijn ook nuttig gebleken voor de Rijksoverheid. Toch kan het toepassen van CobiT ook zomaar ondoenlijk worden. Indien alle CobiT-processen tegelijkertijd worden aangepakt is het risico groot dat de organisatie het overzicht verliest. Ook het te strikt hanteren van het raamwerk en het niet voldoende vertalen van de methode naar de situatie van een organisatie kan leiden tot een mislukking van een IT governance traject. Pas daarom CobiT toe met de nodige voorzichtigheid en benader de methode voldoende kritisch. Het is slechts een methode, die je als hulpmiddel kan gebruiken om je ICT op een hoger plan te brengen. CobiT moet niet als een doel op zich worden gehanteerd. ■ Noten 1 Inmiddels is CobiT 4.1 verschenen 2 Een dienst is een zelfstandige organisatorische eenheid binnen het ministerie, te vergelijken met een divisie binnen een grote onderneming


Artikel

De spreadsheet van het strafbankje Een pragmatische aanpak voor End User Computing

Trudy Onland

Sinds de introductie van Sarbanes Oxley wet (SOx) ontbreken duidelijke en eenduidige richtlijnen voor End User Computing (EUC). Uit de praktijk blijkt dat bedrijven die aan SOx moeten voldoen veel tijd besteden aan EUC, zonder daar een goed gevoel bij te hebben.

Auteur Ing. G.M. Onland RE MSc is Senior Manager bij KPMG en werkt als IT-auditor bij IT Advisory. De afgelopen jaren is zij betrokken geweest bij SOX-audits, zowel in de audit-rol als in de rol van adviseur. Zij heeft dit artikel op persoonlijke titel geschreven.

Niet alleen bedrijven zijn hier druk mee geweest, maar ook de accountant en IT auditors hebben de afgelopen jaren een uitdaging gehad aan het beoordelen van de managementactiviteiten rondom EUC en het testen van EUC. Dit artikel beschrijft een pragmatische aanpak hoe om te gaan met EUC, zeker in relatie tot Audit Standaard No 5, die ook een pragmatische aanpak ondersteunt. De onduidelijkheid over de aanpak van EUC in combinatie met SOx begint al bij de definitie van EUC en de bepaling van welke EUC in scope is voor SOx. Maar allereerst: wat is EUC nu eigenlijk? EUC heeft betrekking op applicaties en tools die door eindgebruikers zijn ontwikkeld en door eindgebruikers worden beheerd. Dit in tegenstelling tot applicaties en systemen waarvan de ontwikkeling en het beheer ligt bij professionele IT organisaties of IT afdelingen. Spreadsheets (bijvoorbeeld in MS Excel), databases (bijvoorbeeld in MS Access) maar ook reporting tools (zoals Business Objects en ACL) vallen binnen EUC. Maar veel van de EUC die binnen organisaties wordt gebruikt in de bedrijfsvoering valt niet binnen de scope van SOx. Met andere woorden, niet alle EUC is relevant voor SOx. Dit kan komen door de significantie van het proces waarbinnen de EUC wordt gebruikt of de impact die het onbetrouwbaar functioneren van een EUC kan hebben op de financiële verslaglegging. Dit betekent dat kritisch mag worden gekeken naar welke EUC er toe doet binnen de financiële verslaglegging. Dit moet voorkomen dat een lange lijst met spreadsheets, rapporten en databases aan de strenge SOx eisen moet voldoen zonder dat deze EUC invloed heeft op de financiële verslaglegging. In dit artikel wordt met ‘binnen de scope van SOx’ bedoeld dat beheersmaatregelen om de betrouwbaarheid van de EUC te garanderen moeten worden geïmplementeerd en worden getest. Binnen de scope van SOx Welke EUC valt binnen de scope van SOx? Om vast te stellen welke EUC binnen de scope valt van SOx kan het stroomdiagram (figuur 1) ter ondersteuning worden gebruikt. Het diagram is gebaseerd op de praktijkervaring van de auteur uit zowel audit- als advieswerkzaamheden op EUC. Hoewel dit diagram als een hulpmiddel kan dienen


Artikel

1. proces binnen de scope van Sox?

1. Maakt de EUC onderdeel uit van een voor SOx in-scope proces of is de EUC onderdeel van een control behorende tot een in-scope proces? Alleen die, door eindgebruikers beheerde, spreadsheets, rapporten en databases die tijdens de walkthrough zijn geïdentificeerd vallen binnen de scope van EUC (mits de walktrough juist en volledig is uitgevoerd).

ja 2. kans op een material misstatement?

nee

nee ja 3. Wordt het EUC resultaat gevalideerd met brongegevens?

2. Kan een fout in de EUC leiden tot een material misstatement in de finaciële verslaglegging?

nee

3. Steunt management op een control elders in het proces die de betrouwbare werking van de EUC aantoont? In zulke gevallen zijn aanvullende EUC maatregelen niet nodig.

4. Bevat de EUC logica?

nee

4. Wordt de EUC ingezet als tekstverwerker en worden verder geen bewerkingen op de inhoud uitgevoerd? In zulke gevallen zijn aanvullende EUC-maatregelen niet nodig.

ja 5. wordt de EUC voor gebruik opnieuw opgebouwd?

ja

EUC valt niet binnen de scope van SOx

5. Als de EUC voorafgaand aan het gebruik volledig moet worden opgebouwd, dan zijn manual controls noodzakelijk om de juistheid en volledigheid van de uitkomst vast te stellen. IT general controls zijn op deze sheets niet van toepassing.

nee

EUC valt binnen de scope van SOx

Figuur 1 Stroomdiagram om vast te stellen welke EUC binnen de scope van SOx valt

blijft het altijd noodzakelijk om op basis van ‘professional judgement’ de selectie uit te voeren. Voorbeelden

• Een ouderdomsrapport dat wordt gegenereerd door een EUC maar altijd wordt aangesloten met uitstaande facturen wordt buiten de scope gelaten. De aansluiting moet dan wel binnen de scope van SOX vallen.

Binnen de scope:

• Een spreadsheet berekent maandelijks de afschrijvingen van vaste activa op basis van rekenregels. De uitkomsten worden geladen in het financiële systeem. • Een spreadsheet berekent voorzieningen op basis van gegevens uit een factureringssysteem. De uitkomsten worden geladen in het financiële systeem. Buiten de scope:

• Een spreadsheet valideert de afschrijvingen die door een financieel systeem zijn berekend door dezelfde berekeningen uit te voeren. Dit systeem valt niet binnen de scope van SOx omdat de uitkomst wordt vergeleken met de bron en daardoor worden eventuele onjuistheden of onvolledigheden zichtbaar.

In 2004 heeft PriceWaterhouseCoopers een whitepaper opgesteld over het gebruik van spreadsheets in combinatie met SOx. In de praktijk blijkt dat veel organisaties hun EUC-richtlijnen hierop hebben gebaseerd. Kenmerkend voor de methode die wordt beschreven is de classificatie van spreadsheets op basis van toepassingsgebied, complexiteit en hoeveelheid gebruikers. Variatie hierin kan volgens het whitepaper leiden tot verschillende sets van maatregelen om toch de betrouwbare werking te garanderen. Om tot een toereikende set van maatregelen te komen is het niet persé noodzakelijk een dergelijke classificatie aan te brengen. Vanuit een SOx perspectief is dit ook niet verplicht (de classificatie die het PwC whitepaper adviseert zal overigens niet leiden tot onjuiste conclusies). Zodra is vastgesteld dat een


EUC binnen de scope van SOx valt, dan gelden eisen ten aanzien van beheersmaatregelen rondom de EUC om de betrouwbare werking te garanderen. Voor een complexe EUC met veel gebruikers zal het vaststellen van de juiste werking complexer zijn dan bij een eenvoudige EUC. Daarnaast zullen maatregelen voor logische toegangsbeveiliging uitgebreider zijn bij veel gebruikers dan bij een beperkte groep. Het vaststellen van de potentiële invloed op de ‘financial statement’ en de mogelijkheid op een ‘material misstatement’ is wel noodzakelijk, omdat alleen die controls bij een niet toereikende werking kunnen leiden tot een ‘material misstatement’. En dit is met de komst van Audit Standaard no. 5 een belangrijk criterium geworden. Maatregelen Welke maatregelen moeten minimaal zijn ingericht? Als een organisatie gebruikt maakt van EUC dat binnen de scope van SOx valt, dan moet de organisatie beheersmaatregelen implementeren die zorgdragen voor een betrouwbare (juist en volledige) verwerking van gegevens. Hierbij zijn twee soorten te onderscheiden: • maatregelen om de betrouwbare werking van de EUC vast te stellen; • maatregelen die ervoor zorgen dat de werking van de EUC betrouwbaar blijft: IT General Controls. De betrouwbare werking van de EUC

De eerste stap is vaststellen dat de EUC werkt zoals het is bedoeld. Hiervoor moeten alle scenario’s worden doorlopen, waarbij de uitkomsten van deze reperformance moeten worden vergeleken met de uitkomst van de spreadsheet. Een voorbeeld hiervan is dat bij het afschrijven van vaste activa per mogelijke afschrijvingsmethode moet worden gevalideerd of datgene wat de EUC heeft berekend klopt. Een andere mogelijkheid om de betrouwbare werking van de EUC vast te stellen is een inspectie van de logica gebruikt in de EUC om na te gaan of onder alle omstandigheden de juiste uitkomst kan worden gegenereerd. Hierbij worden bijvoorbeeld de berekeningen in Excel nagekeken. Deze beoordeling moet alle mogelijke bewerkingen bevatten dus ook de mogelijkheid om te sorteren, samen te vatten en te rapporteren alsmede de input- en outputfunctie. Het vaststellen van de juiste werking valt onder baselining. Iedere keer dat de EUC wordt gewijzigd dient het vaststellen van de betrouwbare werking tot de testprocedure te behoren. Als de IT general controls rondom de EUC effectief zijn, dan zijn gedurende het jaar geen aanvullende testwerkzaamheden op de betrouwbare werking van de EUC noodzakelijk. Maar als de IT general controls niet effectief zijn, dan is het noodzakelijk om voorafgaand aan het gebruik van de EUC vast te stellen dat de EUC ongewijzigd is en dus nog steeds doet wat het moet doen. Omdat dit als het handmatig moet gebeuren een tijdrovende en foutgevoelige bezigheid is, is een geautomatiseerde controle aan te bevelen, bijvoorbeeld met behulp

van een tool die de EUC vergelijkt met de laatste keer dat het is gebruikt en de afwijkingen rapporteert. IT General Controls Om ervoor te zorgen dat de werking van de EUC betrouwbaar blijft is het noodzakelijk de IT general controls in te richten. Dit artikel beschrijft een aantal logische maatregelen die verwacht mogen worden bij EUC en die voldoende borging zouden moeten geven voor een betrouwbare werking van de EUC. • Toegangsbeveiliging

EUC-beleid en -richtlijnen voor logische toegangsbeveiliging zijn opgesteld, geïmplementeerd en effectief: - toegang tot de EUC is ingericht op basis van een need to know en need to use-basis. Dit is formeel gedocumenteerd; - de EUC is beveiligd met een sterk wachtwoord (conform de binnen de organisatie geldende wachtwoordinstellingen); - cellen die logica bevatten worden bevroren voor de gebruikers. • Change management

Beleid en richtlijnen over change management zijn opgesteld, geïmplementeerd en effectief voor EUC: - wijzigingen worden gedocumenteerd en afgetekend door een andere persoon dan de persoon die de wijzigingen doorvoert; - wijzigingen worden formeel getest om de betrouwbare werking van de EUC te garanderen; - de mogelijkheid om wijzigingen door te voeren in de EUC is beperkt tot een gelimiteerde groep gebruikers. Testen Hoe moeten EUC en de controls rondom EUC voor SOx worden getest? De organisatie dient de betrouwbare werking van de EUC aan te tonen. Voor SOx moet het management van de organisatie, maar ook de externe accountant, vaststellen dat de organisatie hiervoor adequate maatregelen heeft ingericht en dat deze maatregelen over een bepaalde periode effectief zijn gebleken. Dit kan door de accountant op twee manieren worden vastgesteld door reperformance van de betrouwbaarheidscheck (zoals eerder beschreven) of inspectie van de betrouwbaarheidscheck. De keuze hangt af van professional judgement en zal afhankelijk zijn van de risico’s die samenhangen met het gebruik van de desbetreffende EUC. IT General Controls

De organisatie dient een stelsel van maatregelen te hebben geïmplementeerd dat zorg draagt voor een IT-omgeving waarin ongeautoriseerde wijzigen op de logica en de inhoud niet kunnen worden doorgevoerd. Om vast te stellen dat deze maatregelen hebben gewerkt moeten de IT general controls worden getest. Dit testen wijkt niet af van het testen van IT general controls voor applicaties en systemen die door een professionele IT afdeling worden beheerd.


SPEEL HET SPEL OP WWW.BELEGGERSBELANGEN.NL

powered by

Audit Standaard nummer 5 en EUC

Referenties [PWC04]

Met de invoering van Audit Standaard nummer 5 (AS5) [AS507] is SOx pragmatischer geworden. Dit geldt ook voor EUC, en wel op twee onderdelen: ‘risk based approach’ en ‘using the work of others’.

The Use of Spreadsheets: Considerations for Section 404 of the Sarbanes-Oxley Act*, juli 2004

[AS507]

Auditing Standard No. 5 – An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements, juni 2007

Risk based approach

Het toepassen van een ‘risk based approach’ bij het selecteren van wat in scope is voor SOx is behandeld in de paragraaf ‘Binnen de scope van SOx’, waar wordt gekeken naar de financiële impact die een fout in de EUC kan hebben op de jaarrekening. Als een fout niet kan leiden tot een material misstatement dan vereist AS5 geen testwerk. Als voorbeeld dient back-up en recovery dat voorheen standaard onderdeel uit maakte van de IT general controls. Met de komst van AS5 is de keuze om back up en recovery maatregelen rondom de spreadheet binnen de scope van SOx mee te nemen minder voor de hand liggend omdat een probleem hiermee niet meteen zal leiden tot een materiele fout in de jaarrekening. Using the work of others

De mate waarin de auditor kan steunen op het testwerk dat onder verantwoordelijkheid van management is uitgevoerd is enerzijds afhankelijk van de risico-inschatting van de control (bijvoorbeeld het inherente risico en de ‘risk of failure’) en anderzijds van de bekwaamheid en objectiviteit van degene die namens het management het testwerk heeft uitgevoerd. Het is de auditor toegestaan gebruik te maken van het testwerk van het management en daarop te steunen voor het eigen oordeel. De strikte regels die hiervoor voorheen golden zijn versoepeld en de auditor mag meer varen op professional judgement zolang de onderbouwing voor de wijze waarop de assurance wordt verkregen maar formeel word gedocumenteerd. Conclusie Een kritische blik op alle EUC en vervolgens bepalen welke EUC voor SOx in scope is, leidt tot minder lange lijsten met EUC. Het implementeren van een beperkt aantal adequate maatregelen zorgt voor een betrouwbare werking van de EUC, zonder dat het doel voorbij wordt geschoten. De mogelijkheden om bij het testen van EUC als auditor meer te steunen op de werkzaamheden van het management moeten er voor zorgen dat de werkzaamheden rondom EUC voor SOx minder arbeidsintensief wordt. Zo valt End User Computing toch best wel mee. ■


Compleet werkt beter

Elsevier FiscaalTotaal. Alle fiscale antwoorden op een rij. Soms is het overduidelijk dat iets niet compleet is. Maar zo eenvoudig is het niet altijd voor fiscaal professionals. Kies daarom voor Elsevier FiscaalTotaal. Dan heeft u altijd alle fiscale informatie en actualiteiten snel, eenvoudig en gesorteerd op uw scherm. Vanuit één bron, één handige site. Met uw eigen aantekeningen. Dat bespaart u kostbare zoektijd. Bovendien weet u zeker dat u kwalitatief en compleet advies geeft. Ontdek het zelf op www.fiscaaltotaal.nl.

Elsevier Fiscale Media

Artikel

Dienstenrichtlijn van de Europese Commissie verandert het e-overheidslandschap Evert-Jan Mulder en Nathan Ducastel

De in december 2006 aangenomen dienstenrichtlijn1 heeft serieuze gevolgen voor de manier waarop Nederland en andere Europese lidstaten omgaan met hun inspanningen op het gebied van ‘e-overheid’. De richtlijn schrijft één elektronisch overheidsloket voor – het zogenaamde ‘één-loket’ – waar ondernemers alle procedures en formaliteiten kunnen afhandelen rondom het verlenen van een dienst.

Auteurs drs. E.J. (Evert-Jan) Mulder is hoofd van de Europa Unit van Het Expertise Centrum (HEC); drs. N. (Nathan) Ducastel is adviseur van de Europa Unit van HEC.

De dienstenrichtlijn legt een realisatieverplichting neer die ingrijpt in de kern van de e-overheid. Voor (IT-)auditors is het van belang deze uit Europa afkomstige ontwikkeling te kennen en te kunnen interpreteren in hun dagelijkse werk bij overheden en uitvoeringsorganisaties. De implementatietermijn van de richtlijn is drie jaar, dit betekent dat eind december 2009 alle vereisten gerealiseerd moeten zijn. De Europese Unie heeft op het gebied van de elektronische overheid geen direct mandaat en bedient zich tot nu toe van ‘soft regulation’: De Europese benchmarks voor elektronische dienstverlening en de recent verleende ‘eGovernment Awards’2 zijn hiervan goede voorbeelden. Eind 2006 kenmerkt een trendbreuk. Twee Europese richtlijnen zijn aangenomen die verstrekkende gevolgen hebben voor de e-overheid: de dienstenrichtlijn en Inspire. Beide richtlijnen geven blijk van de toenemende impact van Europese beleidsdossiers op nationaal ICT-beleid. In het geval van Infrastructure for Spatial Information in Europe (Inspire), van het Directoraat Generaal (DG) Milieu, gaat het om een vér strekkende standaardisatie van geo-informatie, waardoor gegevens makkelijker uitgewisseld kunnen worden. Inspire levert een bijdrage aan milieudoelstellingen, maar ook aan doelen op het gebied van economie, veiligheid en dienstverlening. In het geval van de dienstenrichtlijn, afkomstig van DG Interne Markt van de Europese Unie, gaat het om een bedrijvenloket voor buitenlandse ondernemers waar gemakshalve naast informatievoorziening ook alle procedures en formaliteiten rondom het verlenen van een dienst geregeld kunnen worden. Dit teneinde de Interne Markt te stimuleren door grensoverschrijdende dienstverlening te vergemakkelijken. Dit artikel richt zich verder op de dienstenrichtlijn. Deze moet vóór eind 2009 zijn geïmplementeerd en heeft gevolgen voor een groot aantal overheidsorganisaties verspreid over verschillende bestuurslagen. De dienstenrichtlijn Zelden was er zoveel discussie over en protest tegen een Europese richtlijn. De dienstenrichtlijn, ook wel de Bolkensteinrichtlijn genoemd, kreeg vooral veel kritiek op het principe van het ‘land van oorsprong’. Dit hield in dat regelgeving van het land van oorsprong zou gelden voor de diensten


van grensoverschrijdende dienstverleners. Diverse Europese landen, zoals Frankrijk en Duitsland, vreesden voor hun nationale werkgelegenheid. In zeker opzicht was deze discussie curieus, omdat reeds in het verdrag van Rome (1957) het vrije verkeer van personen, goederen, diensten en kapitaal was vastgelegd. In de praktijk van alledag is echter een groot aantal barrières gegroeid tussen lidstaten die het diensverleners lastig maakt over grenzen heen te opereren.

De dienstenrichtlijn bevat drie artikelen die eisen stellen aan het digitale één-loket voor buitenlandse ondernemers: Één-loket (artikel 6) Het één-loket moet een dienstverrichter de mogelijkheid geven procedures en formaliteiten af te wikkelen. Het gaat daarbij om: • alle procedures en formaliteiten die nodig zijn voor de toegang tot de dienstenactiviteit waaronder verklaringen, kennisgevingen

De Dienstenrichtlijn is uiteindelijk aangenomen zonder het land van oorsprongbeginsel en met uitsluiting van een aantal domeinen, zoals de zorg. Hiermee lijkt voor nationale overheden de politieke angel eruit, maar in de praktijk blijkt dat de invoering van de richtlijn een enorme tour de force gaat worden.

en aanvragen bij de bevoegde instanties alsmede vereiste inschrijvingen in registers e.d. • alle vergunningaanvragen die nodig zijn voor de uitoefening van de dienst Recht op informatie (artikel 7) Lidstaten moeten er op toezien dat via het één-loket informatie

Nationale invoering betekent in hoofdlijnen twee activiteiten:

voor dienstverrichters beschikbaar is. Deze informatie omvat:

De dienstenrichtlijn schrijft een herijking van de wetgeving en de vergunningenstelsels in Nederland (en in het buitenland) voor om de Europese interne markt verder te realiseren. Het verrichten van diensten in een andere lidstaat moet makkelijker worden en daarvoor worden onder meer administratieve vereenvoudiging en antidiscriminatie-principes voorgeschreven. Dit laatste betekent dat wetgeving moet worden gescreend en het principe van ‘Lex silencio’ wordt voorgeschreven, hetgeen inhoudt dat stilzwijgend een vergunning wordt verleend wanneer binnen de gestelde termijn geen vergunning is afgegeven door de betreffende instantie De juridische gevolgen van de richtlijn blijven hier verder buiten beschouwing.

• adresgegevens van bevoegde instanties op het gebied van de

• eisen inzake procedures en formaliteiten om diensten te verrichten (op het grondgebied van de lidstaat;) te verrichten dienst zodat rechtstreeks contact kan worden opgenomen; • middelen en voorwaarden om toegang te krijgen tot openbare registers en databanken met gegevens over dienstverrichters en diensten; • de rechtsmiddelen die algemeen voorhanden zijn bij geschillen; • adresgegevens van derden waarvan dienstverrichters of afnemers praktische bijstand kunnen verkrijgen. Procedures via elektronische middelen (artikel 8) Dit artikel bepaalt dat alle formaliteiten en procedures betreffende de toegang tot en de uitoefening van een dienstenactiviteit elektronisch moeten kunnen worden afgehandeld via het betref-

Implementatie van de dienstenrichtlijn brengt ook de invoering van het één-loket voor buitenlandse en binnenlandse dienstverleners met zich mee. Dit één-loket wordt vorm gegeven per lidstaat en kan ook uit verschillende één-loketten bestaan. Hiermee wordt bedoeld dat de ondernemer één aanspreekpunt heeft naar de gehele ‘backoffice’ van de overheid voor het kunnen gaan verlenen van een dienst. Wel kan dit eventueel per branche of per regio worden vormgegeven, vandaar dat de richtlijn spreekt over één-loket of één-loketten. Het digitale één-loket heeft forse gevolgen voor de architectuur en programma’s van de Nederlandse e-overheid. Het vereist de integratie van een groot aantal diensten en verplichtingen langs elektronische weg. Bovendien heeft het gevolgen voor identificatie en autorisatie van bedrijven. De invoering van dit één-loket is een complexe operatie die raakt aan alle bestuurslagen en zowel publieke, semi-publieke en zelfs private partijen. In artikel 6, 7 en 8 van de richtlijn wordt het één-loket beschreven. Omzetting naar Nederland Wat betekent het één-loket voor de e-overheid in Nederland? Allereerst is er een afbakeningsvraagstuk. Is het wenselijk een één-loket te creëren voor diensverleners met functi-

fende één loket en met de relevante bevoegde instanties. Verder bevat de richtlijn ook een aantal eisen ten aanzien van de wederzijdse controles en onderzoeken die overheden moeten kunnen uitoefenen ten aanzien van bedrijven. Ook schrijft de richtlijn voor dat de overheid verantwoordelijk is voor informatieverstrekking in het kader van consumentenbescherming. Dit hoeft echter niet via het één-loket te verlopen.

onaliteiten die (nog) niet beschikbaar zijn voor anderssoortige ondernemers (bijvoorbeeld productiebedrijven)? Vanuit een perspectief van haalbaarheid en beheersbaarheid van de implementatie van de richtlijn is dit misschien wenselijk, de uitdaging is immers groot genoeg. Echter voor het draagvlak binnen de Nederlandse medeoverheden en andere betrokken organisaties lijkt dit een heilloze weg. Een tweede vraag betreft het niveau van dienstverlening binnen het digitale loket. Een keuze voor de op basis van de juridische tekst van de richtlijn te benoemen functionaliteit van het digitale loket is aanzienlijk minder vérstrekkend dan een keuze voor functionaliteit die tegemoet komt aan de


wensen en behoeften van de ondernemers. Zo heeft het weinig zin om alle regelgeving en procedures voor ondernemers op het Internet te zetten, als daar geen intelligente zoekmechanismen aan gekoppeld zijn waardoor een specifieke ondernemer het specifieke antwoord op zijn specifieke vraag kan krijgen. Vaak zullen vragen niet eenvoudig digitaal te beantwoorden zijn en zal menselijke intelligentie en tussenkomst noodzakelijk zijn. Ook bestaat er een keuze in het aantal talen waarin de dienstverlening wordt aangeboden. Een digitaal loket zonder deze op dienstverlening gerichte functionaliteit zal zijn doel voorbij schieten. De reikwijdte van het digitale loket van de dienstenrichtlijn is dus aanzienlijk. Implementatie van het digitale loket in de Nederlandse context binnen de gestelde termijn is een grote uitdaging. De landelijke implementatie wordt getrokken door het Ministerie van Economische Zaken in nauwe samenwerking met de Ministeries van Binnenlandse Zaken en Koninkrijksrelaties en Justitie, in de vorm van een stuurgroep van de respectievelijke Secretarissen-Generaal. De implementatie zal in ieder geval twee elementen in zich hebben: • Een centraal spoor. Dit richt zich op het definiëren van het ontwerpen van het concept van het digitale loket. Dit bestaat uit een visie op het dienstverleningsconcept voor de ondernemer, de processen, de informatiearchitectuur, met de daarbij behorende standaarden en te (her)gebruiken bouwstenen van de e-overheid, zoals het bedrijvenloket. • Een decentraal spoor. Dit bestaat uit het aansluiten van processen en systemen binnen decentrale organisaties op het landelijke loket, zodat gestroomlijnde dienstverlening aan bedrijven mogelijk is. De decentrale organisaties hebben hierbij hun eigen verantwoordelijkheid. Dat betekent dus dat iedere organisatie, binnen zijn eigen programma’s en projecten voor de e-overheid, plaats en prioriteit moet inruimen voor de invoering van de dienstenrichtlijn3. Om de dienstenrichtlijn te implementeren zal een forse samenwerking- en afstemmingsinspanning moeten worden geleverd. Nationale e-oveheisprogramma’s zoals het Advies. Overheid.nl, Bedrijvenloket, het Contact Centrum Overheid, EGEM, eProvincies4 enz. zullen in samenhang moeten opereren om aan de vereisten van de richtlijn te voldoen. Daarnaast moet over de bestuurslagen en met private partijen worden samengewerkt. Centrale vragen die daarbij spelen zijn identificatie en autorisatie5, afhandelingstermijnen, statusinformatie, en de verdeling van caseverantwoordelijkheden. Tot slot, maar waarschijnlijk het meest ingrijpend, zullen organisaties als de gemeenten, de provincies, de belastingdienst, de kamer van koophandel e.d. aanpassingen binnen hun organisaties moeten plegen en investeringen moeten doen om hun bestaande dienstverlening te digitaliseren. In

een aantal gevallen kan dit in samenloop met andere operaties opleveren, zoals de invoering van de Wet Algemene Bepalingen Omgevingsrecht. Er zullen echter ook aanpassingen en investeringen moeten worden gedaan specifiek gericht op (buitenlandse) ondernemers. Een programma van eisen moet hiervoor binnen iedere organisatie de basis vormen. Het perspectief van de auditor Op basis van de beschreven gevolgen van de dienstenrichtlijn zijn drie domeinen te benoemen waar een IT-auditor rekening mee moet houden. • In de eerste plaats zal hij zich ervan moeten vergewissen dat binnen de organisatie de specificaties van het digitale loket zijn ontwikkeld en dat deze voldoen aan de eisen van de richtlijn. Volgens de huidige planning zal er begin 2008 een ontwerp van een nieuwe dienstenwet door het ministerie van EZ naar de Tweede Kamer worden gezonden. Deze ontwerpwet is een eerste houvast voor de specificaties die ook op decentraal niveau gehanteerd moeten worden. • Ten tweede zal moeten worden nagegaan of de concretisering van de geformuleerde eisen, in termen van (aanpassing van) systemen en processen, juist en tijdig verloopt. Bijzondere aandachtspunten daarbij zijn: 1) het vraagstuk van de authenticatie van bedrijven, 2) de toedeling van verantwoordelijkheden voor het afhandelingsproces van transacties en 3) de verantwoordelijkheid voor de juistheid en kwaliteit van de verstrekte informatie aan bedrijven. • Tot slot zal de auditor zich ervan moeten vergewissen dat, met het oog op de toekomst, binnen de organisatie een systematiek aanwezig is die er voor zorgt dat vereisten voortvloeiend uit Europese weten regelgeving integraal onderdeel worden van programma’s en projecten. Waar een auditor in zijn huidge werkwijze meestal al kijkt naar de aansluiting van een systeem op de directe (nationale) beleidsomgeving, zal hij in de toekomst meer en meer worden geconfronteerd met Europese beleidsontwikkelingen. Deze vierde bestuurslaag wordt daarmee integraal onderdeel van elke audit. Met dit artikel is aandacht gevraagd voor Europese ontwikkelingen die raken aan de manier waarop in Nederland wordt gekeken naar de implementatie en sturing van de e-overheid. Concreet is de actuele invoering van de dienstenrichtlijn als case behandeld om aan te geven hoe verstrekkend de gevolgen van een EU-richtlijn kunnen zijn voor de processen en systemen van de Nederlandse e-overheid. Deze case is slechts één van velen. Andere voorbeelden zijn Inspire dat zich richt op harmonisatie van geo-informatie, het verdrag van Prüm dat zich richt op uitwisseling van politiegegevens, de invoering van het nieuwe Europese rijbewijs dat koppeling van alle nationale rijbewijsregisters met zich meebrengt et cetera. Al deze ontwikkelingen hebben een direct effect op de scope die de auditor bij zijn onderzoek betrekt: Europa is niet langer de ‘ver-van-mijn-bed-show’ , maar raakt direct aan de


dagelijkse realiteit van organisaties en daarmee aan de praktijk van de auditor. ■ Noten 1 Richtlijn Diensten 2006/123/EG van het Europees Parlement en de Raad van 12 december 2006 betreffende diensten op de interne markt; 27 december 2006; Publicatieblad van de Europese Unie. 2 Afgelopen maand heeft de gemeente Amsterdam een eGovernment Award in ontvangst mogen nemen op de ministeriële eGovernment Conferentie in Lissabon met het project Horeca 1, dat de vergunningaanvragen voor horecaondernemers sterk vereenvoudigd. 3 Recent is een rapport van de ministeries van EZ en BZK naar de Tweede Kamer gestuurd, met daarin een raming van de implementatiekosten voor de decentrale overheden. Deze zijn geschat op een totaal van 1 miljoen euro. Hierbij is uitgegaan van de aanname dat de meeste functionaliteit voor het digitale loket van de dienstenrichtlijn reeds wordt ontwikkeld binnen lopende programma’s van de e-overheid. Het is zeer de vraag of deze schatting juist is, gegeven de organisatorische en technische aanpassingen die moeten worden gepleegd binnen de decentrale organisaties. 4 Zie bijvoorbeeld: www.bedrijvenloket.nl ; www.egem.nl ; www.e-provincies.nl ; zie voor meer e-overheidsprogramma’s: www.ictu.nl 5 De richtlijn schrijft een systeem voor van identificatie en authenticatie van bedrijven dat op Europese schaal moet functioneren. Op dit moment kent Nederland nog geen elektronische identiteit en machtigingsvoorziening voor bedrijven, laat staan dat een dergelijk systeem op pan-Europese schaal operationeel is. Hier ligt dus een uitdaging, zowel voor Nederland als voor de andere lidstaten alsmede de Europese Commissie.


Een dag uit het leven van

Edo Roos Lindgren Donderdag 20 september 17:00

M

et collega Abbas Shahim naar Schiphol. We vliegen naar Budapest om met een groep studenten van de EMITA-opleiding aan de Universiteit van Amsterdam een bedrijfsbezoek te brengen aan het European Delivery Center van Tata Consultancy Services (TCS), een van de grootste Indiase IT-providers. Het bezoek is georganiseerd door Abbas die goede contacten heeft met Tata. Abbas houdt van reizen en legt gemakkelijk contact met iedereen die hij ontmoet, zoals de Indiase onderwijzer uit Noorwegen die in het vliegtuig naast ons zit. Na de landing krijg ik een SMS van Sybren die ’s middags al aangekomen is. We treffen de halve groep rond half twaalf in de bar van het hotel. Toch de beste manier om elkaar een beetje te leren kennen. Zo kom je er snel achter dat je op dezelfde middelbare school hebt gezeten of op hetzelfde eiland hebt gewoond. Nog een glas bier en dan slapen.

Ravi houdt een lezing over Tata. De onderneming is opgericht in het midden van de negentiende eeuw en wordt sinds 1991 geleid door de zeventigjarige Ratan Tata, een van de erfgenamen van de oprichter. Tata is een van de grote conglomeraten in India en is wereldwijd actief in, eh, eigenlijk alles. Informatietechnologie, communicatie, staal, energie, auto’s, thee, mobiele telefonie, kunstmest, juwelen, boeken, vliegtuigen en verzekeringen. Jaaromzet 22 miljard dollar, 246.000 werknemers. In Nederland werd Tata bekend door de overname van Corus. De missie van Tata is het verbeteren van de kwaliteit van leven in de gemeenschappen waarin de onderneming actief is, onder meer door een substantieel deel van de winst in de samenleving terug te investeren. Ravi spreekt zacht en bescheiden, zijn Powerpoint-presentatie is sober en zakelijk. Een groot contrast met Amerikaanse collega-ondernemingen die vaak veel meer aandacht besteden aan de factor marketing.

Vrijdag 21 september 07:00

prof. dr. E.E.O. (Edo) Roos Lindgreen RE is hoogleraar IT & Auditing, Universiteit van Amsterdam. Hij is tevens programmadirecteur Executive Master of IT-Auditing (EMITA) aan de Amsterdam Business School en partner van KPMG IT Advisory.

Ontwaken met uitzicht over de Donau en het paleis aan de overkant van de rivier. Douchen en taiso-oefeningen om de stramheid te verdrijven. Ontbijt. Het bekende dilemma: roerei, bacon, worstjes of toch yoghurt, fruit, muesli. We bespreken de dag. Het thema vandaag is nearshoring. TCS heeft een mooi programma opgesteld. We nemen de taxi naar TCS. Nieuwe bedrijvencentra tussen oude Oostblokflats. De security is streng maar vriendelijk. Inschrijven, legitimeren, mobiele telefoons inleveren. De algemeen directeur van het Delivery Center is Ravikumar Krishnamoorti (‘please call me Ravi’). Hij brengt ons naar de boardroom, waar de koffie klaar staat. 46 | de EDP-Auditor nummer 4 | 2007

Dan zoomt Ravi in op Tata Consultancy Services. Daar werken ongeveer 75.000 professionals, verspreid over 50 centra aan applicatieontwikkeling, systeemintegratie, business process outsourcing en consultancy. Waarom een nearshoring-center in Budapest? Ravi legt uit dat offshoring van bijvoorbeeld softwareontwikkeling naar India weliswaar zeer efficiënt kan zijn, maar voor veel Europese klanten ook nadelen heeft. De fysieke afstand en het tijdverschil maken direct contact moeilijk. Daarnaast zijn er klanten met specifieke taalwensen die in India niet vervuld kunnen worden. Reden genoeg om een extra laag in de dienstverlening aan te brengen en lokale centra op te zetten. Daar werken inmiddels duizenden consultants, pro-

Vlnr: Edo Roos Lindgreen, Michel Sijben, Dennis Buchinhoren, Abbas Shahim, Matthieu Paques, Misha Kuys, Sybren Brouwer, Karen van Gessel, Jelle van Etten, Daniël Neeteson, Ravi Krishnamoorti, de heer Singh. grammeurs, supportspecialisten en helpdeskmedewerkers. Budapest is voor TCS een zeer gunstige locatie. De stad ligt op korte afstand van zowel West- als Oost-Europa. De voorzieningen zijn er goed, de prijzen nog relatief laag, en er is geen gebrek aan gekwalificeerd personeel. Jonge Hongaren zijn hoog opgeleid en op zoek naar een goedbetaalde baan. TCS zit vlakbij de technische universiteit. Een groot voordeel uit het oogpunt van recruiting. Tijdens Ravi’s presentatie stellen de studenten kritische vragen. Dat gaat op zijn Nederlands, dus lekker direct. Ravi kan er goed mee omgaan. We hadden hem vooraf gewaarschuwd. Na de koffiepauze is het woord aan de heer Singh, de rechterhand van Ravi. Hij werkt al lang bij TCS, komt uit de Verenigde Staten en is sinds drie maanden in Budapest. Zijn presentatie bestaat uit één slide van een managementcyclus die elke IT-auditor bekend zal voorkomen. Deze slide biedt genoeg stof voor een pittige discussie over management en het omgaan met cultuurverschillen. Dit blijkt een van de belangrijkste obsta-

kels te zijn bij het inrichten van wereldwijde centra. Als specifieke uitdaging in Budapest noemt Singh de houding van sommige Hongaarse collega’s. Zeer intelligent, maar kritisch en wat aan de sombere kant. Men ziet eerder bezwaren dan oplossingen. Een groot verschil met de enthousiaste en hardwerkende Indiase professionals, aldus Singh. De lunch is een natte pannenkoek met groente en vlees die we buiten handmatig verorberen. Smakelijk en voedzaam maar a bit of a mess, actually. Daarna een korte wandeling naar de rivier. Het middagprogramma bestaat uit een lezing door twee Hongaarse projectleiders die een degelijke en open indruk maken maar feitelijk weinig nieuws vertellen. Het programma wordt afgesloten met een korte rondleiding door het meertalige callcenter dat door een grote printerfabrikant bij TCS is genearshored. Niets op aan te merken. We danken Ravi voor de gastvrijheid en nemen afscheid. Abbas en ik zetten koers naar het vliegveld. Een deel van 47 | de EDP-Auditor nummer 4 | 2007

de groep blijft nog een dag in Budapest. Op het vliegveld evalueren we de dag. We zijn tevreden maar hadden allebei toch iets meer van deze reis verwacht. Zeker, onze gastheren hebben hun belofte meer dan waargemaakt. We hebben alle informatie gekregen die we wilden hebben. Maar waar waren de special effects? Waar was het vuurwerk? Waar was het stateof-the-art commandocentrum met de wandvullende dashboards? En dan dringt het tot ons door. Tata verspilt de kostbare euro’s, dollars en forinten van zijn klanten niet aan imposant high-tech marketinggeweld. Zo simpel is het. Wij hebben een lesje gehad in soberheid. In het vliegtuig speel ik Bubble Breaker. De passagier achter mij vraagt of we spelletjes kunnen uitwisselen. Ook een Palm, maar helaas een ander besturingssysteem. We raken in gesprek. Hij komt uit Iran, is de voorzitter van de Europese divisie van een groot Amerikaans electronicabedrijf en blijkt om de hoek te wonen. Onze kinderen voetballen op hetzelfde pleintje. Hoezo globalisering? Half tien thuis. De T-shirts vallen in de smaak. ■

Boekbespreking

Functies in de informatiebeveiliging

Titel: Functies in de informatiebeveiliging Auteur(s): Diversen

• Normen en maatregelen (ISO, NEN, NIST, etc).

Uitgever: Genootschap van Informatie Beveiligers Beschikbaar op: www.gvib.nl (http://www.gvib.nl/Download/SU/1012/ Functies_in_de_Informatiebeveiliging_ dec_2006.pdf)

I

Functies in de informatiebeveiliging geeft een visie op de standaardisering van de functies in de informatiebeveiliging. De afgelopen jaren is er een wildgroei ontstaan aan functiebenamingen waarbij er verschillende functiebenamingen bestaan voor dezelfde functie, alsook identieke functiebenamingen voor inhoudelijk afwijkende taken en verantwoordelijkheden. Voordat deze publicatie tot stand kwam, is er een evaluatie van functiebeschrijvingen gedaan. Hieruit is een concept voor deze publicatie gekomen welke is voorgelegd aan diverse belanghebbenden (opleidingen, GvIB, PI, etc). Op basis hiervan is deze definitieve versie gemaakt.

Jeffrey Engels is Projectmanager EDP Audit binnen de SAP specialistengroep van Ernst & Young in Utrecht en heeft deze boekbespreking op persoonlijke titel geschreven.

n hoofdstuk 1 plaatsen de auteurs de ontwikkeling van informatiebeveiliging in een historisch perspectief. • De ontwikkeling van de IT gaat van ‘nice-to-have’ naar ‘must-have’. • IT-beveiliging wordt steeds meer integraal aangepakt in plaats van primair door het rekencentrum, dat zich voornamelijk concentreerde op back-up en logische en fysieke toegangsbeveiliging. • IT wordt servicegericht, klantgericht en/of organisatiegericht. • Compliance wordt steeds belangrijker gestuurd door allerlei wetgeving en regels. Hoofdstuk 2 beschrijft de begrippen en kaders waarbinnen de term informatiebeveiliging wordt geplaatst voor het visiedocument. Informatiebeveiliging betreft het definiëren, implementeren en onderhouden, handhaven en evalueren van een samenhangend stelsel van maatregelen die de beschikbaarheid, de integriteit, de vertrouwelijkheid en de controleerbaarheid van de (handmatige en geautomatiseerde) informatievoorziening waarborgen. De belangrijkste kaders voor de informatiebeveiliging zijn: • Wet- en regelgeving (VIR, WBP, SOx, Basel II, etc). • Governance raamwerken (COSO. Tabaksblat). • Beheersdoelstellingen (CoBiT, ITIL, ISO). 48 | de EDP-Auditor nummer 4 | 2007

In hoofdstuk 3 worden de uitgangspunten bepaald aan de hand van de volgende onderwerpen: • Verantwoordelijkheden Informatiebeveiliging is primair de verantwoordelijkheid van het lijnmanagement. De Informatie Beveiligingsfunctie (IB) heeft een adviserende rol. Het management dient af te wegen in hoeverre IB maatregelen beperkingen mogen geven aan het gebruik van de IT-faciliteiten. Dit kunnen soms lastige beslissingen zijn in het licht van deadlines en investeringsbudgetten. • Scheiding van taken Taken dienen op zodanige wijze gescheiden te worden dat deze passen bij de organisatie, dat deze zo efficiënt en effectief mogelijk zijn ingericht en zodanig zijn ingericht dat voldoende tegengestelde belangen worden gecreëerd in de organisatie. Voor IB is voornamelijk scheiding van (beleids-)voorbereiding en uitvoering van maatregelen van belang. Bij voldoende grootte kunnen functionele en technische taken ook nog worden gescheiden. • Uitbesteding van ICT Uitbesteding kan betekenen dat sommige IB-taken volledig worden overgenomen door de overnemende partij, anderzijds worden sommige functies ook inhoudelijk anders indien er sprake is van uitbesteding. Dit visie document werkt dit deel niet verder uit, maar beperkt zich tot een opsomming van aandachtsgebieden. • Functieafbakening Hier wordt het begrip functie (versus rol) gedefinieerd en men geeft een aantal voorbeelden van functies met beveiliging in de naam.

Hoofdstuk 4 geeft een overzicht/ tabel van hoofdstukken/paragrafen uit de code voor de informatiebeveiliging en algemene functienamen. Hierbij zijn sommige paragrafen eenduidig aan één functie toegewezen, terwijl anderen niet eenduidig toewijsbaar zijn. Al het voorgaande leidt in hoofdstuk 5 tot een voorstel voor functies, taken en bevoegdheden in de IB. Er is gekozen voor een zestal functies: • Chief information security officer (CISO) De CISO acteert op het hoogste managementniveau. • Information security officer (ISO De ISO werkt vanuit kaders die op concernniveau worden vastgesteld. • Business information security architect (BISA) De BISA heeft als beveiligingsspecialist de business en processen als werkveld. • Information security manager (ISM) De ISM heeft binnen ICT soortgelijke taken als de ISA. • Information security architect (ISA) De ISA heeft in tegenstelling tot de BISA een meer technische oriëntatie. • Technical information security specialist )(TISS) De TISS vervult in beginsel operationele taken binnen de ICT organisatie. Het onderscheid is met name gebaseerd op het niveau van het organisatiedeel (strategisch, tactisch, operationeel) en het werkveld (business en/of ICT) waarin de beveiligingsfunctionaris zich beweegt. Er is in het visiedocument niet gekozen om normatieve modellen te ontwikkelen met daarin een optimale verdeling van IB-functies binnen diverse soorten organisaties. Er wordt verwezen naar een recent uitgebrachte expertbrief ‘Het inrichten van een beveiligingsorganisatie’.

Naast een uitgebreide beschrijving van de zes IB-functies, worden er ook een aantal verwante functies genoemd (zoals Risk manager, Business continuitiy manager, compliance officer, IT- auditor, etc.) en een aantal specialistische functies (beleidsmedewerker informatiebeveiliging en de functionaris voor de gegevensbescherming). In hoofdstuk 6 wordt per functie een functieprofiel gegeven, waarbij aan de volgende aspecten inhoud wordt gegeven: • Aan wie de functie rapporteert • Doel van de functie • Functiecontext • Resultaatgebieden • Beleid • Leidinggeven • Implementeren • Evalueren • Onderhouden • Contacten • Competenties • Vaardigheden Voor de diverse functies worden de groeipaden voor de diverse functies weergegeven, alsmede de oriëntatierichting. Tot slotte wordt er een kort overzicht gegeven van de opleidingseisen voor de zes functies. Conclusie Het boekje kan voor het opzetten/ ontwikkelen van een IB-organisatie een leidraad zijn. Bestaande IB-organisaties kunnen deze spiegelen aan het model om de eigen organisatie te beoordelen en eventueel te mappen naar de benoemde functies in dit document. Het feitelijk hernoemen van functiebenamingen in organisaties zal dit boekje mijns inziens niet tot gevolg hebben, ook gezien de verwevenheid van functienamen in organisaties. 49 | de EDP-Auditor nummer 4 | 2007

IT-auditors bijeen

‘Lessons learned’ Verslag van de zesde Rijksbrede IT-auditdag door EAP EDP Audit Pool (EAP) organiseerde op 3 oktober in Den Haag de zesde Rijksbrede IT-auditdag. Het grootste deel van de IT-auditors werkzaam bij de rijksoverheid was aanwezig op deze dag.

Leren is een belangrijk thema, zowel in de maatschappij als in het IT-audit vak. Vanouds hebben wij als beroepsgroep de verplichting om de ontwikkelingen te volgen en onszelf bij te scholen. Maar niet alleen op het terrein van de eigen kennisontwikkeling kunnen lessen geleerd worden. De audits die wij uitvoeren, zorgen ook voor lessen voor de organisatie. Hoe gaat zij met deze lessen om? Jeanot de Boer, directeur van EDP AUDIT POOL, opende de dag en heette de aanwezige IT-auditors welkom. Vervolgens gaf hij het woord aan de dagvoorzitter Ron Tolido die opende met het schetsen van het beeld dat hij van een ITauditor heeft. Tolido ziet de IT-auditor als een serieus persoon, een beetje een zorgelijk type dat grote behoefte heeft aan structuur en analyse. Goede eigenschappen die hij zelf helaas minder bezit. Daarna gaf Ron een inleiding in het thema van de dag ‘Lessons Learned’. Geleerde lessen een lekker breed thema waar veel onder kan vallen. Daarbij onderstreepte hij het belang van blijven leren. Het blijven leren sluit goed aan op een van de doelstellingen van de Rijksbrede IT-auditdag, het delen van kennis. Na de opening van de dag en de introductie in het thema volgden er twee plenaire lezingen. Risico’s in theorie, lessen voor de praktijk Gert van der Pijl (Erasmus School of Accounting & Assurance)

Mw. drs. ing. N.D. Timmer en drs. P.A. Doorduin RE zijn als IT-auditor werkzaam bij EDP Audit Pool in Den Haag en maakten deel uit van de organisatie van dit symposium.

Gert van der Pijl begon zijn lezing met een korte introductie in het onderwerp Enterprise Risk Management. Maar wat is een risico, hoe schatten we het risico in en hoe waarderen we risico’s? Er bestaan standaard formules om het risico te bepalen, maar de mens kent beper50 | de EDP-Auditor nummer 4 | 2007

kingen in het verwerken van variabelen. Ook speelt het persoonlijke risicoprofiel een grote rol in het bepalen van risico’s. Er zijn onderzoeken gedaan naar het inschatten van risico’s door accountants, hieruit blijkt dat binnen deze beroepsgroep verschillende risico-inschattingen gemaakt worden. Binnen het IT-audit vak is er nog geen onderzoek naar risico-inschatting gedaan. De vraag is hoe we op een goede manier met deze vragen kunnen omgaan. De conclusie van deze lezing was dat er een nadere explicitering binnen het vakgebied zal moeten plaatsvinden. Daarnaast moet er veel overleg plaatsvinden en, niet in de laatste plaats, moet er gerelativeerd worden. Stemcomputers Bart Jacobs (Radboud Universiteit te Nijmegen en Technische Universiteit van Eindhoven)

In juli 2006 is een actiegroep de discussie over de betrouwbaarheid van stemcomputers gestart. De actiegroep heeft een ‘oude’ stemmachine gekocht en omgebouwd tot schaakcomputer om te bewijzen dat deze machines niet alleen gebruikt kunnen worden voor de opslag van stemmen, maar ‘echte’ computers zijn met alle beveiligingsrisico’s van dien. Naar aanleiding van de discussie over de betrouwbaarheid van de stemmachines die gebruikt worden bij de Nederlandse verkiezingen is de ‘adviescommissie inrichting verkiezingsproces’ ingesteld. Bart Jacobs is lid van deze commissie. De grootste problemen bij het gebruik van stemcomputers zijn dat het voor de stemmer niet controleerbaar is of zijn stem juist is uitgebracht en dat een hertelling niet mogelijk is. Bart heeft een tipje van de sluier opgelicht over het uitgebrachte advies. In het advies wordt de stemmer centraal gesteld.

De stemmer geeft zijn stem via de stemcomputer, deze slaat de stem niet op maar print de stem uit. De stemmer kan dan zijn stem controleren en de stemmen kunnen automatisch geteld (en herteld) worden door het gebruik van Optical Character Recognition (OCR). Tot de implementatie van de stemprinter zal er gestemd worden via het vertrouwde papieren stemmen. Na de plenaire sessies volgde een parallelle sessie van een viertal workshops. In deze workshops stonden ervaringen uit de praktijk centraal. De workshops werden begeleid door medewerkers van EDP AUDIT POOL en diverse gastsprekers. Oracle Application Server als leerdoel Ton Stevenhagen en John Zuidweg (beide EAP)

Oracle Application Server (OAS) is volop in ontwikkeling. Het is een verzamelnaam voor een architectuur die meer dekt dan de naam doet vermoeden. Tijdens deze workshop hebben Ton en John verteld over de geleerde lessen uit onderzoeken naar het Oracle Database Management Systeem en de relatie naar OAS gelegd. Zij hebben tevens voor de deelnemers een tipje van de sluier van OAS opgelicht, waarin de nieuwe architectuur van OAS is uitgelegd en aan de hand van eigen ervaring aangegeven welke risico’s te onderkennen zijn. Tot slot hebben zij verteld op welke wijze een IT-audit uitgevoerd kan worden en wat de aan-

dachtspunten hierbij zijn. Centraal in de workshop stonden de componenten identity management en webinterfaces, deze spelen een belangrijke rol bij het gebruik van OAS. Succesvol een mijnenveld oversteken Loubna Zarrou (EAP) en Roger Gerardts (OT2006)

Overheidsorganisaties zijn vanaf een bepaalde drempelwaarde verplicht een inkooptraject te laten verlopen via een Europese Aanbesteding. Europese Aanbestedingen kennen een eigen dynamiek door de vaak grote belangen die er spelen en de complexe omstandigheden en randvoorwaarden die de regelgeving met zich meebrengt. Roger is ingegaan op de uitdagingen die hij is tegengekomen bij Europese Aanbestedingen binnen de rijksoverheid. Daarnaast heeft hij toelichting gegeven welke rol de ITauditor kan vervullen in de Europese aanbestedingstrajecten. Aan de hand van stellingen zijn de deelnemers uitgedaagd mee te denken over de mogelijke problemen, oplossingen en invulling van de rol van de IT-auditor bij een Europese Aanbesteding. Het organisatiegeheugen van de overheid blijvend digitaal beschikbaar Paul Scholte (V&W), Hugo Butter (ICTU) en Boudien Glashouwer (HEC)

Waar loop je tegenaan bij het digitaliseren van een archief? De sprekers zijn aan de hand van eigen ervaringen ingegaan op de geleerde lessen bij de ontmanteling van een ZBO. 51 | de EDP-Auditor nummer 4 | 2007

De belangrijkste leerpunten waren het van te voren vaststellen van de bewaarvraag en het de schoning. In dit project is men van 13 kilometer gestapelde A4 naar 350 meter gegaan en is de 15 terabyte aan gegevens 115 gigabyte geworden. Daarna hebben de sprekers ook een blik op de toekomst geworpen door een korte introductie op de baseline informatiehuishouding en de rol van de IT-auditor in de kwaliteit van de informatiehuishouding. De workshop is afgesloten met een lijst aandachtspunten voor de IT-auditor. FileNet Ron van ’t Boveneind en Marcel de Bruijn (beide EAP)

Voor de digitalisering van de documentenhuishouding heeft een aantal departementen de krachten gebundeld en na een Europese Aanbesteding gekozen voor FileNet voor het beheren van digitale documenten. Maar wat is nu FileNet en wat kun je ermee? Ron en Marcel hebben een korte introductie gegeven in de 8 componenten van FileNet en hun mogelijkheden. Daarna hebben ze aan de hand van een succesvolle FileNet implementatie bij een departement, de geleerde lessen met het uitvoeren van een FileNet-audit gedeeld. Er zijn binnen FileNet veel mogelijkheden tot geprogrammeerde controles, logging en overzichten, maar de beschikbare kennis is schaars. De belangrijkste geleerde les is dat het inrichten van de workflow specialistenwerk is, waarbij een nauwe samenwerking tussen IT en organisatie van belang is. Nieuwe technologie in spelen, spelen met nieuwe technologie Tinus Jongert (TNO)

Aan het begin van de middag verzorgde Tinus Jongert een plenaire lezing. Omdat niet alleen IT-auditors continu leren, heeft Tinus verteld over de lessen die TNO heeft geleerd tijdens het uitvoeren van hun onderzoeken. Kennis ontwikkelen, integreren én toepassen: die combinatie onderscheidt TNO van andere kennisinstel-

Groei mee met de vernieuwing Dé onafhankelijke specialisten in Business Continuity Planning introduceren nieuwe integrale softwareondersteuning voor Business Continuity Planning en Business Continuity Management.

Wij zoeken:

IT auditors die zich willen specialiseren in Business Continuity Planning Wij bieden: Unieke, multidisciplinaire projecten bij toporganisaties binnen bedrijfsleven en overheid Ruimte voor ontwikkeling binnen deze groeimarkt en in dit jonge vakgebied Een vrije werkomgeving in een jonge organisatie Uitstekende arbeidsvoorwaarden / winstdeling Stuur een brief met motivatie en CV naar Business Continuity Planners, J.F.M.Roest RE RA, Spyridon Louisweg 93, 1034 WR, Amsterdam / [email protected]

“Operational Risk? Your way!” Euroclear is the world’s largest provider of domestic and cross-border settlement and related services for bond, equity and fund transactions. Market owned and market governed, the Euroclear group comprises Euroclear Bank, based in Brussels, as well as Euroclear France, Euroclear Nederland, Euroclear UK & Ireland and Euroclear Belgium, the central securities depositories of France, the Netherlands, the UK and Ireland and Belgium, respectively. Employing more than 2000 highly skilled professionals of 47 nationalities, Euroclear offers an international work environment. Offices are located in 9 different cities, with headquarters in Brussels. For the Euroclear S.A. Risk Management Division we are looking for a

Risk Manager (Amsterdam) Description: This position offers an excellent overview of the businesses of Euroclear. You will have the opportunity to improve Operational Risk Management, Security, and Business Continuity and drive real value into the company. Tasks and responsibilities: • Advice Local Management on risk matters • Provide daily support to Business Managers like Self-Assessment process delivery, guardianship of Operational Risk databases for collection of incidents and issues, and support in crisis resolution and response to incident • Responsible for Operational Risk Management oversight and control • Perform impact analyses on Basel II • Maintain an overview of all issues relating to Security and Business Continuity • Prepare and maintain the company’s Business Continuity Plans • Liaise between the Netherlands & Euroclear Group with regards to Operational Risk Management, Security and Business Continuity • Actively participate in various projects. Profile: • A recognized degree in Business Economics or Accountancy, ideally complemented with a postgraduate degree in accounting or auditing (RA/RE/RO/CPA/CIA or equivalent) • Around 3 years relevant working experience • Good general knowledge of financial industry and risk or control-related issues • Good communication and social skills • Analytical skills, critical mind • General Risk Management experience • Experience with Basel II, Security Management and Business Continuity planning • Fluent in English en Dutch. Contact: For questions regarding the application procedure please contact drs. L. Becka on 020-530 15 72 or [email protected]. For questions regarding the details of the position please contact drs. O.V. Nijland RE CISA on 06-5115 18 72 or [email protected]

www.euroclear.com AMSTERDAM • BRUSSELS • FRANKFURT • HONG KONG • LONDON • NEW YORK • PARIS • SÃO PAULO • SINGAPORE • TOKYO

The other face of finance

IT-auditors bijeen Na deze lezing volgde weer een parallelle sessie van vier workshops. Basisregistraties: eens gegeven, altijd één gegeven Ender Atalay, David Campbell en Jan Roodnat (allen EAP)

lingen. Doordat TNO kennisgebieden effectief met elkaar laat samenwerken, komen zij tot creatieve en praktijkgerichte innovaties: nieuwe producten, diensten en processen, op maat gesneden voor klanten bij bedrijfsleven en overheid. Tinus legt uit dat het werk van TNO daarom niet veel verschilt van IT-audit. Voor beide zijn kennis en een goede onderzoeksaanpak belangrijk om tot juiste conclusies te komen. Tinus legt aan de hand van een casus uit hoe TNO kennis gebruikt voor het continu verbeteren van oplossingen voor maatschappelijke problemen. Obesitas (overgewicht) is een steeds groter probleem bij Nederlandse kinderen. Volgens TNO komt dit vooral doordat kinderen steeds minder bewegen. De oorzaak hiervan is te vinden in de omgevingsdeterminanten (bijvoorbeeld computergebruik en de steeds onveiliger wordende woon- en speelomgeving). Hiervoor heeft TNO nieuwe speelconcepten ontwikkeld door gebruik te maken van innovatieve technologie. Dit speelgoed is getest door kinderen, zodat TNO hiervan kon leren en aanpassingen kon doen om de functionaliteit van het speelgoed te optimaliseren. Het resultaat zou volgens Tinus zijn dat kinderen meer zullen gaan bewegen. Hij merkt echter wel op dat een goede innovatie niet automatisch (blijvend) wordt gebruikt. Ook hier ligt weer een parallel met de IT-auditor, die ervoor moet zorgen dat de geleerde lessen uit een onderzoek blijvend gebruikt worden.

Om haar werk te doen, heeft de overheid gegevens nodig. Véél gegevens, vastgelegd in maar liefst 30.000 verschillende systemen. Dat moet anders. Minder versnipperd, eenvoudiger. Basisregistraties zijn hierop het antwoord van de elektronische overheid in de zoektocht naar een efficiëntere en betrouwbaardere informatievoorziening voor de diverse overheidsorganisaties. David en Ender gingen tijdens de workshop kort in op de betekenis en de impact van basisregistraties voor de IT-auditor. Daarna werd op er aan de hand van een quiz gediscussieerd over basisregistraties. Uit deze discussie werd duidelijk dat er nog veel werk ligt voor de IT-auditor. Basisregistraties voor de overheid worden in de toekomst weliswaar verplicht gesteld, maar strakke richtlijnen over basisregistraties, zoals afspraken over de kosten eigendom en verantwoordelijkheid, ontbreken nog. VIR2007 Marcel Spruit (HEC en HHS), Kees van der Maarel en Chantal de Vette (beide EAP)

Het Voorschrift Informatiebeveiliging Rijksoverheid (VIR) stamt alweer uit 1994. Door de ontwikkeling werd het hoog tijd voor een nieuwe versie, het VIR 2007. Kees en Chantal


gingen tijdens de workshop kort in op de verschillen tussen het oude en nieuwe VIR. Zij gaven aan dat in het nieuwe VIR gesproken wordt over het uitvoeren van een risicoanalyse (voorheen de A&K analyse) door het lijnmanagement. Aan de risicoafweging (lees: risicoanalyse) worden echter geen eisen gesteld, behalve dat deze expliciet is. Marcel Spruit nam de deelnemers vervolgens mee op reis naar de verschillende soorten tools voor risicomanagement die gangbaar zijn binnen de overheden in Europa. Hij gaf aan dat een A&K analyse nog steeds mag worden uitgevoerd, maar dat risicomanagement meer inhoud dan slechts het uitvoeren van deze analyse. Risicomanagement is naast risicoanalyse ook: ‘maatregelen treffen’, ‘restrisico’s accepteren’ en ‘communiceren en afstemmen’ van deze keuzes in de informatiebeveiliging binnen de organisatie. De conclusie van zijn betoog was dat risicomanagement dus meer inhoudt dan risicoanalyse.

Governance en informatievoorziening Rob Kramer en Paula Velthuys (beide Archiefinspectie)

Wanneer iemand aan een archief denkt, krijg je toch al snel associatie met oude papieren. Dat deze associatie niet juist is, maakten Rob en Paula tijdens deze workshop duidelijk. Overheidsinformatie zoals vastgelegd in archieven is in toenemende mate digitaal. Dat betekent dat de Erfgoedinspectie, die belast is met

EG:H:CI::GI>CH6B:CL:G@>C< B:I@:CC>HE6GIC:G EH9>7H:
8DC
M;HAA7F?J77B C7D7=;C;DJ '%%,

:ED:;H:7='):;9;C8;H(&&-4D>9ED<;H;D9;9;DJH;B;;KM;D>EHIJ4DEEH:M?@A;H>EKJ 96II:GE:I:GK6CO69:A=D;;EG:H:CI6IDG7CGC>:JLHG69>D

FHE=H7CC7 L:G@@6E>I66A7:A>8=IK6CJ>I9>K:GH:E:GHE:8I>:K:C!B:ID#6#/

3Hjeean8]V^c;^cVcX^c\

39ZXZcigVValZg``VeîVVabVcV\ZbZci

36jidbVi^hX]ZgZXdcXâ^Vi^Z

3:"Wâa^c\

3IgZcYh^clZg``VeîVVaÒcVcX^Zg^c\

3HZXjgî^hVi^Z

3A:6Ceg^cXêZh

3DjihdjgX^c\Hjeean8]V^cbVcV\ZbZci 38gZYîbVcV\ZbZci

3EjgX]VhZidEVnVjidbVi^hZg^c\

3>ckadZY^cXZci^kZhnhiZbZc

FH7AJ?@A97I;I

3Dg\Vc^hVi^ZHjeean8]V^c

A;ODEJ;IF;7A;HI

3OVgV

3?VcEZiZg@ZghiZch!

3;ddiAdX`Zg

8;D:cYZbda

3:ZaXdHeVVch! 8DD@dc^cà^_`Z
3;g^ZhaVcY;ddYh 3(B

3>CHE>G:G:C9::CA::GO6B:7:HIEG68I>8:H

39ZBZZjl7djlhnhiZbZc

3DCIBD:IK6@<:CDI:C

3AZVhZeaVc

3;>A:KG>?:I>?9:C

3I7>=daY^c\h

3*E:EJCI:C

3HeVgX`=nedi]Z`Zc

3KGD:<7D:@@DGI>C<

C;;H?D<EHC7J?;;D77DC;B:;DL?7

MMM$M;HAA7F?J77BC7D7=;C;DJ$DB

>ee\Zifedieh

Ifedieh

9e#ifediehi

raising revenue reducing risk

IT-auditors bijeen het toezicht op de archieven van de centrale overheid, meer kennis moet hebben van digitalisering en substitutie (het vervangen van originele bescheiden door reproducties). De archiefinspecteur voert dan op het gebied van de informatiehuishouding werk uit dat vergelijkbaar is met dat van de IT-auditor, maar vanuit een andere doelstelling. Daarom werd in de workshop stilgestaan bij het toenemende belang van de I(nformatie) functie ten opzichte van de F(inanciële) functie. In de financiële wereld is een goed systeem van verantwoording de normaalste zaak van de wereld. Dit is nog niet altijd zo in de wereld van de informatievoorziening. Gezien de ontwikkelingen in het informatielandschap is het bijna vanzelfsprekend dat overheidsinformatie ondergebracht moet worden in het systeem van verantwoording, audit en control. IT-auditors zullen steeds meer te maken krijgen met informatievoorziening, digitaliseringprojecten en substitutie. Ontwikkeling IT-audits Jeanot de Boer en Xander Bordeaux (beide EAP)

Op 1 januari 2008 bestaat EDP AUDIT POOL 20 jaar. Dat betekent 20 jaar ervaring met het uitvoeren van IT-audits. Sinds de oprichting van EAP in 1988 hebben verschillende discussies plaatsgevonden over de positie en het werkgebied van EAP binnen de Rijksoverheid. Parallel aan deze ontwikkelingen vinden ook veranderingen plaats binnen het auditgebied. Jeanot en Xander nemen de deelnemers van de workshop mee terug in de tijd aan de hand van de ‘road to happyland’ (Kor Mollema) toen IT-audit (EDP Audit) nog in de kinderschoenen stond. De discipline IT-auditing is ontstaan vanuit de financiële audit en had toen een ‘in control’ focus. IT-auditing is uitgegroeid van specialisatie van een accountant tot een vakgebied met eigen beroepsorganisatie waarbij het een volwaardige gesprekspartner met het management is geworden op strategisch niveau. Tijdens de work-

shop werd uitvoerig gediscussieerd over de huidige werkzaamheden waarbij duidelijk werd dat toch nog steeds veel audits ingestoken zijn vanuit de financiële hoek. Ook passeren nieuwe ontwikkelingen als integrated en strategy based auditing de revue waarbij de in het publiek aanwezige Ronald Paans en Gert van der Pijl ook hun visie gaven. Via stellingen nodigden Jeanot en Xander de deelnemers uit om te reageren op de toegevoegde waarde van de IT-auditor. Allen waren het er natuurlijk over eens dat de IT-auditor toegevoegde waarde heeft voor het management, maar wel vanuit verschillende visies en met verschillende argumenten. Forumdiscussie Ronald Paans en Gert van der Pijl blikten terug op de Rijksbrede ITauditdag. Zij hebben veel gehoord, maar konden vanwege de tijd niet alles behandelen. Eerst stonden zij stil bij de risico-inschatting van ITauditors. Gert heeft aan het begin van de dag verteld dat risico’s erg moeilijk in te schatten zijn. Ronald bevestigt dit en illustreert dit met voorbeeld: hij heeft eens de kerstdagen doorgebracht met een matrix van 5600 velden voor een SOX-audit. Hierin stonden de deelrisico’s vermeld, maar het totaalrisico was niet de optelsom van alle deelrisico’s. De vraag is dan ook hoe een IT-auditor dan het totaalrisico bepaalt? Dit is niet slechts het toepassen van de formule R = P * I (het risico is de kans dat iets optreedt maal de impact die 55 | de EDP-Auditor nummer 4 | 2007

het heeft als het optreedt). Door de veelheid aan beheersmaatregelen en risico’s en de complexiteit, is het voor de IT-auditor zeer moeilijk om een totaalrisico in te schatten. Ook digitalisering kreeg de aandacht. Een belangrijk aandachtspunt bij digitalisering is de (digitale) duurzaamheid. Volledige archieven worden opgeslagen op één of meerdere dvd’s, maar wat is de uiterste houdbaarheidsdatum van een dvd? Een dvd kan na vijf jaar niet meer leesbaar zijn. Leg de dvd in de zon en de levensduur wordt aanzienlijk verkort. En waarom zou men dvd’s gebruiken als een microfiche een levensduur van 150 jaar heeft? De conclusie hierbij was dat nadenken over de duurzaamheid van opslag erg belangrijk is en dat nieuwe technologieën niet altijd beter zijn. Tot slot Na de forumdiscussie rondde dagvoorzitter Ron Tolido de dag af met een korte samenvatting. Hij gaf aan dat het voor hem ook een leerzame dag is geweest. Hij kon met een nieuwe woordenschat weer terug naar huis, alwaar hij indruk kon maken met woorden als obesotene sfeer (van obesitas) en omgevingsdeterminanten. Ook het inschatten van risico’s blijft een moeilijk punt. De IT-auditor moet dus blijven leren en de geleerde lessen daarna in praktijk brengen. Voor meer informatie en alle presentaties, zie www.eap.nl

Uit de opleidingen

Nieuws van Erasmus School of Accounting & Assurance (ESAA) Gezamenlijk buluitreiking De eerste gezamenlijke buluitreiking voor afgestudeerden van de postintitiele masteropleidingen Internal/Operational Auditing en IT-Auditing vond op 10 oktober plaats in Hotel New York te Rotterdam. EESA Symposium ‘IT als de X-factor’ Op de Erasmus Universiteit Rotterdam vindt op vrijdag 18 januari het jaarlijkse ESAA-symposium plaats met dit jaar als onderwerp ‘IT als de X-factor’. Aansluitend zal prof.dr. Kor Mollema RE RA zijn afscheidscollege geven met als titel ‘Akoepedie voor Auditors’. Voor meer informatie zie www.esaa.nl.

Promotie ‘Stakeholders concern towards an economic theory on stakeholder governance’. Dat is de titel van het proefschrift van oud student I/OA Maarten Hage dat hij vrijdag 21 december 2007 verdedigt op de Erasmus Universiteit. Promotoren zijn prof.dr. Gert van der Pijl RE en prof. Hans Gortemaker RA. Nominaties Joop Bautz security prijs Tijdens het jaarlijkse security congres op 10 oktober 2007 is de Joop Bautz Information Security Award 2007 uitgereikt. In totaal waren vijf werken genomineerd: waaronder twee studenten van de Eramus Universiteit.

Hans Buijtelaar ‘Het Computer Forensisch Framework’ (student IT-Auditing) en Robbin van den Dobbelsteen met ‘Security in Service-Oriented Architectures’ (student I&E). De juryrapporten staan op www.gvib.nl. Conferentie Internal Audit and Corporate Governance De eerste wereldwijde academische conferentie ‘Internal Audit and Corporate Governance’ vindt op 21 en 22 april plaats op de Erasmus Universiteit te Rotterdam. Op www.esaa.nl is de ‘call for papers’ beschikbaar. Op 22 april wordt tevens aandacht besteed aan het 15-jarig bestaan van de opleiding I/OA.

Nieuws van de EMITA-opleiding aan de Universiteit van Amsterdam Afgestudeerden en nieuwe studenten De opleiding feliciteert de volgende studenten met het succesvol afleggen van het slotexamen: Mona Mashaie, Bert Sax van der Weiden en Aryan van Driel. Het nieuwe studiejaar is begonnen met 24 nieuwe eerstejaarsstudenten en 6 nieuwe tweedejaarsstudenten.

Nieuwe medewerkers Endymion Struijs (KPMG) is aangetrokken als nieuwe coördinator voor het vak Uitvoeren van Operational Audits. Mona Mashaie (PWC) is als gastdocente verbonden aan het vak Algemene Auditing.


Studiebezoek Boedapest Op 21 september heeft een delegatie van de EMITA-opleiding aan de Universiteit van Amsterdam een studiebezoek gebracht aan Tata Consultancy Services in Boedapest. Meer hierover vindt u elders in dit nummer.

Nieuws van de Postgraduate IT Audit Opleiding van de Vrije Universiteit (PGO IT Audit) Nieuwe medewerkers voor onderzoeksprogramma De Postgraduate IT Audit Opleiding van de Vrije Universiteit heeft de afgelopen jaren door middel van promotieonderzoeken bijgedragen aan het wetenschappelijk onderzoek op het gebied van IT-auditing. Om dergelijk onderzoek meer struc-

tuur en inhoud te geven, zal de PGO IT Audit komend jaar een onderzoeksprogramma opstellen voor de middellange termijn. Ter realisatie van het wetenschappelijk onderzoek heeft de opleiding drie medewerkers aangesteld die naast onderwijskundige taken ook een belangrijk deel van hun tijd zullen besteden aan het

schrijven van publicaties, het vinden en stimuleren van mensen om te promoveren en het begeleiden van promovendi op het brede vakgebied van IT-auditing. Het betreft de heren dr. J.R.H.J. (Bob) van Kuijck RA RC, dr. R.P.H.M. (René) Matthijsse en dr. J. (Joris) Hulstijn.

Van de Norea Pieter Siekerman en Maurits van der Schee winnaars Joop Bautz Award 2007 Pieter Siekerman en Maurits van der Schee hebben de Joop Bautz Information Security Award 2007 gewonnen voor hun afstudeerproject ‘Security Evaluation of the disposable OV chipkaart’ aan de Universiteit van Amsterdam. Juryvoorzitter mr. Pieter van Dijken reikte de prijs uit tijdens het congres Informatiebeveiliging van ISACA, PvIB en de NOREA op 10 oktober 2007 in Spant! te Bussum.


Van de Norea Bestuurstweedaagse Het NOREA-bestuur heeft tijdens een tweedaagse beleidsconferentie op 4 en 5 oktober 2007 in Zwolle enkele actuele thema’s besproken en beslissingen genomen over speerpunten van beleid voor de komende periode. Eén van de voornemens is om op korte termijn een publicatie uit te geven over assurance-opdrachten en de rol van de IT-auditor in dat verband. Enerzijds bedoeld als toelichting op het Raamwerk en Richtlijn Assurance-opdrachten, waarover in de ledenvergadering van december definitieve besluitvorming plaatsvindt. Met de voorgenomen aansluiting van de NOREA bij de IFAC als ‘affiliatemember’ wordt dit ‘Assurance Framework’ ook voor RE’s relevant. Anderzijds zal de rol van de IT-auditor bij verschillende Assurance-services worden toegelicht ten behoeve van potentiële klanten en opdrachtgevers. Daarnaast bestaat het voornemen om de Richtlijn Permanente Educatie

met ingang van 2008 enigszins te herzien. De voorgestelde wijziging gaat uit van het besteden van tenminste 120 uren aan gestructureerde Permanente Educatie per drie aaneengesloten kalenderjaren met een minimum van 20 uren per jaar. De NOREA gaat dit ondersteunen door middel van een scholingsaanbod, zoals een cursus over de nieuwe beroepsregels en richtlijnen. Met de ledenvergadering zal nog overleg plaatsvinden over een eventueel verplicht karakter daarvan. Op hoofdlijnen is ingestemd met enkele voorgenomen activiteiten inzake de PR en profilering van de beroepstitel onder andere middels vernieuwing van de website, het via de website verder ontsluiten van het IT-audit vakgebied door middel van relevante documentatie en informatie en de ontwikkeling van een ‘PR-toolkit’ voor RE’s). Daarnaast is ingestemd met het jaarplan van de initiatiefgroep Young Professionals.

Nieuwe leden Met ingang van 5 december 2007 ingeschreven in het register van gekwalificeerde IT-auditors (RE’s): A. van den Berg mw. ir. R.M.L. Degens EMITA E.M. van Doorn drs. R.H.J. van Hoof H.J. Huizer Rijndijk ing. J. Jacobs P. Koning EMITA ir. A. Mastwijk ing. D.A. Michels CISA EMITA drs. M.C. Oude Roelink RA drs. A.F. Reinderink H.P. van Riemsdijk drs. I.R. Rutten ing. P.J. Schneider mw. R.J. Steenkamp drs. F. De Vries H. Westbroek mw. ir. C.M.J. Wullems-Beister mw. ir. E. Zaaiman

Korenbloem 49 Jan Pieter Heijestraat 172-I Raaimoeren 57 Hageheldlaan 48 Van Beethovenlaan 33

Culemborg Amsterdam Breda Eindhoven Hazerswoude

Steelvlietstraat 7 -3 Sprookjesbosch 4 St, Apt. 44B 125 W 31st Neptunusstraat 12 k Goudvinklaan 56 Fazantstraat 16 Kreupelstraat 6 A Westerkade 12 Fazantlaan 40 Meander 949 Durgerdamhaven 30 Lekdijk 325 Vleetkamp 11 Laan van Vollenhove 446

Amsterdam Eindhoven New York USA Spijkenisse ‘s-Gravenhage Haaksbergen Amersfoort Utrecht Rijswijk Amstelveen Hoogland Nieuw Lekkerland Landgraaf Zeist


Eindejaarsbijeenkomst en ledenvergadering NOREA De eindejaarsbijeenkomst – tevens Algemene Vergadering – vindt plaats op woensdag 12 december in Kasteel Vanenburg te Putten. Voorafgaand aan de ledenvergadering wordt het normenkader voor de beheersing van uitbestede ICT-beheerprocessen gepresenteerd en toegelicht. Dit normenkader is ontwikkeld door een gezamenlijke werkgroep van de NOREA en het Platform voor Informatiebeveiliging. Tijdens de ledenvergadering staan onder meer de begroting 2008, de benoeming van een nieuw bestuurslid en het Raamwerk en de Richtlijnen Assurance-opdrachten en Oordelen op de agenda. Ontvangst van de deelnemers staat gepland vanaf 15.00 uur, de vaktechnische presentatie van het normenkader om 15.30 uur en de aanvang van de ledenvergadering vindt plaats omstreeks 17.00 uur. De bijeenkomst wordt afgesloten met een borrel en een buffet. Deelname is gratis maar aanmelding noodzakelijk via het NOREA-bureau: [email protected] of telefonische via 020-3010 380. De vergaderstukken worden na aanmelding toegezonden en zijn vanaf 1 december ook via de NOREA-website te raadplegen.

Van de redactie. Gegrond besluit? Column Gert van de Pijl. Sas met Abbas Interview met Abbas Shahim. Intuïtieve oordeelsvorming Ad de Visser

Recommend Documents