Van de Redactie. Wat brengt ons komend jaar? Column Rainer Steger. Continuous Auditing Willem Scheeres. Grid computing Wijnand Wellink

Redactieraad drs. M.A. Bongers RE RA drs. H.A. Kampert RE RA drs. E. Koning RE RA CISA prof. ir. E.F. Michiels prof. dr. ir. J.A.E.E. van Nunen J.C. Vos RA H. de Zwart RE RA

Redactie M. M. Buijs RE RI drs. Th.M.J.Gerritse RE drs. W.T. Houwert RE prof. dr. G.J. van der Pijl RE drs. E.J.M Ridderbeekx RE CISA drs. R.J.Steger RE RA ir. C. L. Wauters EMEA drs. Th. Wijsman RE Eindredactie prof. dr. G.J. van der Pijl RE

Bureauredactie D. Mensink (Lensink Van Berkel Communicatie) [email protected] Uitgever Reed Business bv Postbus 152 1000 AD Amsterdam Tel.: 020-5159222 www.reedbusiness.nl

4 Van de Redactie 5 Wat brengt ons komend jaar? Column Rainer Steger

7 ‘Machtsvraagstukken saboteren IT-projecten overheid’ Interview met Martijn van Dam

10 Continuous Auditing Willem Scheeres

18 Effectieve en efficiënte aanpak voor Japanse versie ‘Sox’ Laura Huininga, Paul Bosch en Daan Smulders

24 MIFID: zelfs bij ‘business as usual’ verandert veel Ivo Bolderhey en Floris IJpeij

34 Grid computing Wijnand Wellink

42 Een dag uit het leven van…

Abonnementen ‘De EDP-Auditor’ wordt kosteloos aan de leden van de NOREA verzonden. De abonnementsprijs voor niet-leden bedraagt voor 2006 € 80,50 excl. btw. De verzendtoeslag voor België bedraagt € 6,95 en voor de Nederlandse Antillen en overige landen € 21,55. De prijs van losse nummers is € 22,60 excl. btw.

44 Uitvoering IN ZICHT

Per jaar verschijnen 4 nummers. Een abonnement kan worden beëindigd door schriftelijk vóór 1 november van een lopend jaar op te zeggen. Bij niet-tijdige opzegging wordt het abonnement met een jaar verlengd.

50 Van de NOREA

Abonnementenadministratie en lezersservice Reed Business bv Postbus 4, 7000 BA Doetinchem Tel.: 0314-358358 Fax: 0314-358161 E-mail: [email protected]

Copyright Het geheel of gedeeltelijk overnemen van artikelen, schema’s of tekeningen uit deze uitgave is slechts toegestaan na voorafgaande schriftelijke toestemming van de uitgever. ISSN 0929-0583

Bijdragen De redactie nodigt lezers uit een bijdrage te leveren aan ‘de EDP-Auditor’. U kunt uw bijdrage sturen naar de bureauredactie. Advertenties Reed Business Media Amsterdam Postbus 152 1000 AD Amsterdam 020 - 515 9666 www.reedbusinessmedia.nl [email protected] Geldend advertentietarief 1-1-2007 Vormgeving Studio Putto BNO, De Rijp

3

Hans Donkers

Boekbespreking door Chantal de Vette

47 Uit de opleidingen

jaargang 16 - 2007

de EDP-Auditor Colofon ‘De EDP-Auditor’ is een uitgave van de Nederlandse Orde van Register EDP-Auditors

Inhoud

Van de redactie

Soms mag het zo wezen

N

a een typisch Hollandse zomer(vakantie) presenteren we u hierbij alweer de derde ‘EDP-Auditor’ van deze jaargang. Een groot aantal auteurs is ook dit keer weer bereid gevonden hun kennis en expertise met ons te delen. Laura Huininga, Paul Bosch en Daan Smulders maken ons wegwijs in de Japanse versie van Sox, ook wel J-Sox genoemd. Heeft u al gehoord van de nieuwe Europese wetgeving voor beleggingsondernemingen: de Markets in Financial Instruments Directive (MiFID)? Ivo Bolderhey en Floris IJpeij gaan nader op MiFID in (op welke wijze beschermt dit instrument de belegger en waardoor wordt de financiële markt meer efficiënt?) en op welke wijze de implementatie van MiFID door auditors kan worden getoetst. Maar ook de meningen van anderen, buiten onze beroepsgroep, zijn erg interessant. Zij geven altijd een andere, frisse kijk op het vakgebied. We nodigen u uit kennis te nemen van het gesprek met Martijn van Dam (Tweede Kamerlid voor de Partij van de Arbeid), die begin dit jaar werd uitgeroepen tot meest ‘digibewuste’ politicus van Nederland. Hij opent het gesprek met: ‘Wat mij altijd opvalt, is dat het voortdurend misgaat op IT gebied in de publieke sector. Dus niet enkel op een specifiek terrein.’ In het vervolg van het vraaggesprek staaft hij deze uitspraak en trekt een aantal belangrijke conclusies op het gebied van ICT en overheid. De boekbespreking ‘Uitvoering IN ZICHT’ sluit naadloos op dit vraaggesprek met Martijn van Dam aan.

Soms mag het zo wezen, de visie die Rainer Steger in de column tentoonspreidt, sluit perfect aan met het artikel van Willem Scheeres (Continuous auditing). In zijn artikel gaat hij in op dit begrip en legt uit hoe momenteel de beoordeling van de interne controlemaatregelen binnen een jaarrekeningcontrole plaatsvindt en hoe in de toekomst, middels audittools, een groot deel van de werkzaamheden gedurende de uitvoering van het bedrijfsproces, door het jaar heen, kunnen plaatsvinden. In de literatuur is de discussie over continuous audit tool verlegd van ‘kunnen we het?’ naar ‘willen we het?’. Bent u een van de eerste auditors die ook daadwerkelijk auditsoftwaretools gaan gebruiken? Na het artikel over continuous auditing is nog meer ruimte voor (toekomst)visie. GRID computing. Voor velen mogelijk nog een onbekend onderwerp. Neem kennis ervan, en bepaal zelf of het fictie of werkelijk is / wordt en welke eventuele gevolgen dit voor ons vakgebied heeft. Deze uitgave sluit af met een samenvatting van de zeer geslaagde ISACA/ NOREA IT-auditdag 2007 met als thema ‘Audit en IT-architectuur’. De redactie wenst u veel leesplezier toe!

In de rubriek ‘Een dag uit het leven van’ vertelt onze NOREA bestuursvoorzitter Hans Donkers hoe een dag bij hem eruit ziet. Zo te zien zitten ook bij hem meer dan 24 uur in een dag, zijn bijdrage begint namelijk de avond ervoor al. 4 | de EDP-Auditor nummer 3 | 2007

Column

Het vakantiegevoel van een IT-auditor: wat brengt ons komend jaar? Rainer Steger

I

k weet niet waar of wanneer uw vakantiegevoel de kop op steekt, maar dit jaar waren wij er vroeg bij. Ik weet het nog goed, op nieuwjaarsdag haalden we, samen met mijn schoonouders, herinneringen op aan onze zomervakantie in Zuid-Frankrijk. Zon, een mooi huis, zwembad, heerlijk eten, wijn en veel nietsdoen… Als je kinderen hebt, is dit wat ons betreft de ideale setting om van een druk bestaan bij te komen. Ik was op nieuwjaarsdag net 24 uur terug uit Houston, waar ik de internationale conferentie van The Institute of Internal Auditors had bijgewoond. Op de conferentie heb ik met veel mensen uit een groot aantal landen gesproken over de ontwikkelingen in ons vakgebied. Nog steeds put ik veel energie uit de vijf dagen die ik in Houston was. Ik heb hier met een aantal ontwikkelingen kennis mogen maken en dit heeft mijn visie op ons vak verder gevormd. Onze daarop aansluitende vakantie in Zuid-Frankrijk heb ik goed kunnen gebruiken om bij te komen van alle hectiek en veel nagedacht over waar ik met het vakgebied komend jaar naartoe wil. Ook de recentelijk in Amsterdam gehouden internationale conferentie en de ervaringen die ik het afgelopen jaar heb opgedaan, hebben mij aanvullende input gegeven, die ik vervolgens aan de rand van ons zwembad in Zuid-Frankrijk (wat moet je anders op vakantie?) nog eens op een rij heb gezet. Graag wil ik dan ook in deze column mijn visie aan de hand van een aantal trends binnen ons vakgebied met u delen. Waarom? Omdat ik van mening ben dat het voor velen van ons nog steeds moeilijk is om aan een buiten-

staander uit te leggen wat ons beroep precies inhoudt en wat we wel of niet doen. Bent u nieuwsgierig geworden? Lees dan vooral verder! Ten eerste ben ik blij te constateren dat, na alle financiële schandalen, onze beroepsgroep een duidelijk standpunt heeft ingenomen ten aanzien van auditing en advies. De scheiding is duidelijk aanwezig bij de dagelijkse uitvoering van de werkzaamheden. Onze opdrachtgevers begrijpen dat het voor ons niet mogelijk is om hen eerst van een advies te voorzien, waarna wij dit advies, in het kader van de jaarrekeningcontrole, ook nog eens beoordelen. Dit is een totaal onwenselijke situatie. De toepassing van COSO/ERM en CobiT als basis (lees normenkader/ risicoanalyse) voor elke audit is algemeen geaccepteerd. Zowel voor de opdrachtgever als de auditor geeft dit een goed inzicht in hetgeen wordt getoetst en de wijze waarop dat gebeurt. Hiermee worden wereldwijd per controleobject voor zowel cliënt als IT-auditor de te hanteren normenkaders/risicoanalyses steeds eenduidiger. Begrippen als ‘algemeen geaccepteerde normenkaders’ behoeven daardoor niet meer te worden gebruikt. In control vraagstukken: persoonlijk vind ik de vraag naar ‘in control statements’ een goede ontwikkeling. Waarom? Omdat onderzoeken, waaronder Third Party Mededelingen en SAS70 tot een aantoonbare toegevoegde waarde voor de opdrachtgever en haar cliënten leiden. De opdrachtgever krijgt zekerheid dat hij zijn bedrijfsprocessen daadwerkelijk 5 | de EDP-Auditor nummer 3 | 2007

beheerst en zijn cliënt, die een deel van zijn bedrijfsprocessen aan de opdrachtgever heeft uitbesteed, kan op een eenvoudige wijze vaststellen dat de opdrachtgever zijn bedrijfsprocessen correct uitvoert. De ontwikkeling op dit gebied is dan ook niet te stuiten, steeds meer activiteiten worden geoutsourced en ook is er sprake van een steeds grotere ketenafhankelijkheid. Hieruit is af te leiden dat IT-auditors de komende jaren met zeer complexe bedrijfsprocessen (inclusief outsourcing) te maken krijgen en ook met de vraag van het management: ‘ben ik in control’? De belangrijkste trend die ik zie, is de volgende en deze draag ik dan ook in al mijn gesprekken met collega’s en opdrachtgevers uit. De afgelopen jaren heb ik moeten constateren dat wij als IT-auditors steeds meer beleidsmatig en procedureel naar vraagstukken keken, in plaats van ook in de diepte onderzoek uit te voeren. Hiermee wil ik zeggen dat de vraagstukken steeds complexer zijn geworden en dat alleen het beoordelen van beleid en procedures (vaak) onvoldoende zekerheid geeft. Echter, complexe vraagstukken in de diepte onderzoeken vraagt om veel kennis. Gezien het feit dat wij met een groot aantal verschillende vraagstukken te maken hebben, is het verkrijgen en onderhouden van deze kennis niet eenvoudig. Door mijn gesprekken met internationale collega’s en een stuk research ben ik tot de overtuiging gekomen dat tools de uitkomst bieden. Zo is in de praktijk gebleken dat het beoordelen van General IT Controls (GITC’s) ook met tools kunnen worden beoordeeld (denk bijvoorbeeld aan serveren netwerkinstellingen). Hiermee is

Column snel inzicht in de inrichting van deze GITC’s te verkrijgen. Het is verbazingwekkend hoeveel extra informatie een dergelijk tool voor de opdrachtgever en het onderzoek verzamelt! Het vak IT-auditing wordt hiermee steeds interessanter. Wel wil ik de volgende kanttekening plaatsen: ‘a fool with a tool is still a fool!’ Mijn insteek is dat tools informatie geven, die eerst op haar waarde moeten worden beoordeeld. Ga daarom nooit alleen op de uitkomsten van een tool af! Ik pleit daarom ook sterk voor verder onderzoek op een aantal gebieden

(onder meer GITC’s en application controls) waarbij de onderzoeksmogelijkheden - inclusief aanpakken en standaarden - worden beoordeeld. Dit draagt binnen ons vakgebied tot een meer uniforme benadering bij.

over nagedacht. Graag nodig ik u dan ook uit voor een verdere discussie met mij hierover ([email protected]). Ik zie uw reacties graag tegemoet! ■

Ik heb hiervoor een aantal trends geschetst, die mijn visie op het vakgebied (verder) vormen. Ik verwacht dat we de komende tijd een aantal verdere ontwikkelingen gaan meemaken (onder meer de invoering van elektronische IT-audit dossiers). Misschien heeft u ook tijdens uw vakantie hier-

ADVERTE NTI E

NOREA Young Professionals Take your chance!

Voor meer informatie zie pagina 53 6 | de EDP-Auditor nummer 3 | 2007

Interview

Martijn van Dam: ‘Machtsvraagstukken saboteren IT-projecten overheid’ Chris Wauters en Dennis Mensink

‘Elektronische overheid? Welke elektronische overheid?’ Volgens Tweede Kamerlid Martijn van Dam (Partij van de Arbeid) functioneert de publieke sector nog niet goed genoeg, mede omdat de overheid IT onvoldoende en onjuist inzet. Een vraaggesprek met de man die begin dit jaar werd uitgeroepen tot meest ‘digibewuste’ politicus van Nederland.

Tussen het kastje en de muur De Tweede Kamerleden Martijn van Dam en Anja Timmer (beide PvdA) hebben vorig jaar een rapport uitgebracht over elektronische dienstverlening bij de overheid. Zij hebben de elektronische overheid een jaar lang onder de loep genomen en hun bevindingen gepubliceerd in het rapport ‘Tussen het kastje en de muur’. Daarin pleiten zij voor een verbod voor overheid en publieke instanties op overbodige formulieren. Bovendien willen zij verbieden dat bedrijven vragen stellen aan burgers waarvan de antwoorden al in de publieke sector bekend zijn. De bestaande ICT-mogelijkheden om informatie op te slaan moeten beter worden benut, aldus de auteurs. De media berichtten na publicatie van het rapport vooral over het vele geld dat de publieke sector over balk zou hebben gesmeten en over de constatering dat overheidslagen elkaar moedwillig tegenwerken.

U maakt zich sterk voor optimaal gebruik van IT binnen de publieke sector. Wat moet er volgens u gebeuren op IT-gebied binnen de overheid? ‘Wat mij altijd opvalt, is dat het voortdurend misgaat op ITgebied in de publieke sector. Dus niet enkel op een specifiek terrein. Denk aan de C2000, ICT bij de politie, P-Direct, de recente IT-problemen bij de Belastingdienst. Allemaal voorbeelden van IT-projecten waarbij de overheid het niet goed heeft gedaan. De situatie is sinds ik in de Kamer zit niet wezenlijk veranderd. Er zijn al veel deelonderzoeken gedaan naar IT in de publieke sector, maar een totaalbeeld naar de problematiek op dit gebied komt daaruit niet naar voren. Daarom laten we nu een onderzoek uitvoeren door de Algemene Rekenkamer naar de oorzaken van het falen van diverse IT-projecten. De Algemene Rekenkamer controleert of de uitgaven die de overheid doet rechtmatig en doelmatig zijn. Oftewel: wat mankeert de publieke sector waardoor het elke keer weer mis gaat? Een interessant onderzoek, dat het debat wellicht kan losmaken. De Rekenkamer onderzoekt losse casussen en gaat op ons verzoek op zoek naar de gemene deler.’ Wat is volgens u het probleem op IT-gebied in de publieke sector? ‘Het is eigenlijk heel eenvoudig: IT moet het gewoon doen. IT op orde brengen is bovendien helemaal niet zo moeilijk. We kunnen tegenwoordig alles bouwen wat we willen. Mensen die iets van IT weten, weten ook dat de problemen bij de publieke sector nooit echte IT-problemen zijn, maar altijd een andere oorzaak kennen. Problemen binnen de organisatie dus. Vaak spelen daarbij belangen- en machtsvraagstukken een belangrijke rol. Het delen van informatie en nieuwe systemen betekent ‘inleveren van macht’. Dit is ook zo in het bedrijfsleven. In de korte tijd die ik heb gewerkt als e-business consultant bij Philips Lighting kwam ik daar al achter. De verkoop is bij dit bedrijf – zoals bij zoveel internationale organisaties – landelijk georganiseerd. Wij wilden dat centraliseren en automatiseren. Oftewel: de kennis over klanten in een IT-database verzamelen. Het bedrijf zou hier veel voordeel van kunnen hebben, maar daardoor kwamen er wel enkele banen op de tocht te staan. En kennis is macht, dus werkten veel accountmanagers niet van harte mee. In Zuid-Europa was dat erger dan in Noord-Europa. Het feit dat men informatie niet wil prijsgeven, vertraagt de boel. En dat zie je binnen de overheid ook gebeuren.’

7 | de EDP-Auditor nummer 3 | 2007

Interview Waar blijkt dat uit? ‘Neem het zorgvraagstuk zoals het elektronisch patiëntendossier, waarbij IT een zeer belangrijke rol speelt. Het ministerie heeft de zorg gedecentraliseerd. De sector moet het nu zelf doen, heeft zij besloten. Maar het elektronische patiëntendossier komt niet van de grond, omdat we ook hierbij te maken hebben met een machtsprobleem. Het elektronisch patiëntendossier moet er niet komen om kosten te besparen, maar om het aantal medicatiefouten te verminderen. Op het gebied van medicatie gaan dingen fout doordat informatie niet op orde is. Daar gaan dus echt mensen door dood in dit land! Toen wij in het kader van ons boekje Tussen het kastje en de muur (zie kader vorige pagina) met specialisten en huisartsen praatten, ontdekten wij dat de artsen allemaal op hun eigen manier werkten – geregeld nog met kaartenbakken – en dat ook graag zo wilden blijven doen. De artsen hebben er dus geen enkel belang bij hun patiëntendossiers te automatiseren en zo te verbeteren. Bovendien zijn ze over het algemeen behoorlijk eigenwijs en laten zij zich niet dwingen. Ook verzekeraars hebben er geen baat bij de kosten te drukken. Dat maakt geen verschil voor hun concurrentiepositie, omdat het om kosten van de zorg in het algemeen gaat. Niemand heeft dus belang bij deze vorm van automatisering, behalve de patiënten, de burgers. Maar omdat de patiënten niet georganiseerd zijn en dus geen machtspositie hebben, gebeurt er helemaal niets. Dat het verbeteren van de zorg met behulp van IT geld oplevert, is overigens wel een prettig bijkomend feit. De kosten gaan namelijk omlaag en de kwaliteit gaat omhoog omdat er minder fouten worden gemaakt.’ Teveel mensen en partijen werken dus tegen? ‘Ja. Het gaat zoals gezegd vaak om belangen, die niet overeenkomen met het beleid. Dit organisatorische probleem, dáár moet onze aandacht naar uit gaan. In ons land blijkt het sowieso heel moeilijk om nieuwe regelgeving goed door te voeren. Zo levert de Eerste Dag Melding in ons land veel problemen op. (In Nederland moeten werkgevers sinds 1 juli 2006 bij het aannemen van personeel vóór de datum van indiensttreding een zogenoemde Eerste Dag Melding doen, red.). In België heeft de Eerste Dag Melding met de daaraan gekoppelde hoge boetes voor bedrijven die zich niet aan de regeling houden echter miljarden euro’s opgeleverd. En het voorkomt niet alleen zwartwerken, het werkt ook nog eens preventief! Regelgeving hoeft dus niet per se verlammend te werken, je kunt er ook je voordeel uithalen.’ Waar gaat het dan mis in Nederland? ‘Soms hebben bewindslieden veel te hoge ambities, vooral als het gaat om nieuw beleid. De Kamer is bijvoorbeeld slecht omgegaan met de Belastingdienst, waar men een half jaar lang elk weekend moest werken om de toeslagen tijdig de deur uit te hebben. Maar bewindslieden zouden over het algemeen veel meer ambities moeten hebben als het gaat om uitvoering van het beleid. En dan met name op het gebied van kwaliteit- en efficiencyverbetering. De cultuur in over-

Het beter functioneren van de publieke sector moet een van de belangrijkste ambities van het kabinet zijn

heidsland is echter uitvoeringsvraagstukken uit de weg gaan. Een bewindspersoon scoort op beleid, niet op uitvoering. Sterker nog: op uitvoering kan hij juist onderuitgaan. Ook op ambtelijk niveau is men risicomijdend. Er staat geen belang op als je met minder medewerkers en een kleiner budget werkt. Het leidt zelfs tot minder aanzien.’ De overheid moet slanker. Kan IT dat oplossen? ‘IT kan hiervoor zeker een belangrijk middel zijn. Ons doel moet te allen tijde zijn: een betere kwaliteit van de dienstverlening. De uitkomst kan dan ook zijn dat je met minder mensen af kunt. Maar we schieten tekort op de uitvoering. We schaven er nu overal vijf procent af, terwijl je juist gericht op beleidsambtenaren moet bezuinigen. En dan vragen beleidsdirecties zich ook nog af: wat moeten we nu niet meer doen, nu we met iets minder mensen afmoeten? Alsof je met minder beleidsambtenaren niet hetzelfde werk zou kunnen doen. In de uitvoering ligt dat duidelijk anders. Minister Brinkhorst slikte bijvoorbeeld bezuinigingen op zijn eigen ministerie met opgeheven hoofd. Daar heb ik respect voor. Als minister moet je kunnen zeggen: op mijn ministerie kan ik het met minder mensen af.’ In hoeverre bent u tevreden over de elektronische overheid? ‘Welke elektronische overheid? De PKI-dicussie (Public Key Infrastructure, red.) speelde al in de regio Eindhoven rond de millenniumwisseling, maar is er nu nog steeds niet. Alle facetten waren aanwezig en technisch was het niet moeilijk om de infrastructuur te bouwen. Via mijn werk was ik zijdelings bij de eerste proeven betrokken. We zouden eerst experimenteren en dan opschalen. Er zou een pilot plaatsvinden, maar het is er nooit van gekomen. Bij de overheid ontdekt men altijd weer een complexiteit die nodig is om een project te doen stranden. Het lef ontbreekt om echt iets op te pakken. En wat betreft DigiD? Het is een goede les geweest voor de hele publieke sector. Technisch is het nog niet volwassen – de beveiliging is niet zwaar genoeg – maar organisatorisch mogen we het wel een succes noemen. De burger kan het nu gebruiken. Beter dit dan iets groots dat niet werkt. Ik zou wel een echt elektronisch identiteitsbewijs willen hebben, zodat je geen paspoort meer nodig hebt.

8 | de EDP-Auditor nummer 3 | 2007

Martijn van Dam Ir. M.H.P. van Dam (Martijn) is lid van de Tweede Kamer sinds 30 januari 2003. Van Dam, die de Tweede Kamer binnenkwam als jongste Kamerlid, is onder meer ICT-woordvoerder van de Partij van de Arbeid. De DigiRaad riep Van Dam begin dit jaar uit tot meest digibewuste politicus van Nederland. Voor Van Dam in de Kamer kwam, was hij gemeenteraadslid (en fractievoorzitter) in Eindhoven en lid van het partijbestuur van de PvdA. Dit combineerde hij met zijn studie Technische Bedrijfskunde aan de TU Eindhoven. Tijdens zijn studie was hij onder meer werkzaam bij CEBRA (Centre for Electronic Business Research and Application), het toenmalige kenniscentrum van de TU Eindhoven op het gebied van e-commerce. Na zijn studie is Van Dam kort werkzaam geweest bij Philips Lighting als e-business consultant.

Iets anders: we hebben bij de overheid niet één klantenservice, waar mensen terecht kunnen met klachten en problemen. Als het gaat om het elektronische loket wordt er gesteggeld over het design van het loket: de logo’s, de aankleding. Dat is kenmerkend voor wat er gaande is. Iedereen ziet zijn eigen dienst als het grootste goed. Eén overheidsgevoel bestaat niet. Het zijn allemaal eilanden, ook de Rijksoverheid. Om het op te lossen zou je bijvoorbeeld de éénop-één verbinding tussen ministers en ministeries los moeten koppelen. Helaas zie ik dat nog niet snel gebeuren.’ Aan welke ICT-gerelateerde beleidsdossiers moet de overheid de komende jaren hard trekken? ‘Hoe moeilijk het ook zal zijn, ik vind dat wij ons er als Kamer sterk voor moeten maken dat we bedrijven verbieden informatie op te vragen over burgers die al ergens bekend is in de publieke sector. Dat betekent dat de overheid de informatie perfect op orde moet hebben. Er ligt op dit moment een wetsvoorstel bij de Eerste Kamer dat de situatie kan verbeteren. Wordt het voorstel aangenomen, dan kunnen we overheidsinstanties die te laat reageren op verzoeken van burgers een boete opleggen. Sanctie is een instrument dat we te weinig gebruiken bij de overheid. Het wetsvoorstel leidt tot veel kritiek vanuit gemeenten, maar als we willen dat de overheid echt zijn dienstverlening verbetert

door informatie aan elkaar te koppelen, dan zou het sanctieinstrument als breekijzer kunnen dienen. Kamerleden hoeven niets te weten van IT, ze moeten organisatievraagstukken begrijpen. De Kamer moet zich zeker níet mengen in de vraag welke IT-standaard de publieke sector moet gebruiken. Wij moeten niet praten over technische oplossingen, maar over doelstellingen en resultaten. Politici moeten een instrument zien te vinden waarmee zij problemen kunnen oplossen. Vervolgens zeggen zij: dit is het probleem, dit zijn de lijnen en jij moet dit oplossen. De Ministerraad moet op dit gebied als team functioneren. Maar dan moeten de ministers het wel met elkaar eens zijn dat dáár de ambitie ligt. Het beter functioneren van de publieke sector moet een van de belangrijkste ambities van het kabinet zijn.’ Boekt de overheid wel vooruitgang? ‘Elke keer hoop ik weer dat er vooruitgang wordt geboekt, maar het gaat mij veel te langzaam. Ministers moeten eerst leiderschap tonen en door blokkades heen willen en durven breken. Er is in de publieke sector overigens sowieso een gebrek aan leiderschap, ook op het gebied van IT. Wat ik in de komende vier jaar voor elkaar hoop te krijgen met de Kamer? Ik zou het een grote mislukking vinden als het elektronische patiëntendossier er aan het einde van deze kabinetsperiode nog steeds niet is.’ ■

9 | de EDP-Auditor nummer 3 | 2007

Artikel Naar een verbeterde audit van de interne controle:

Continuous auditing Willem Scheeres

Een belangrijk deel van de accountantscontrole is gericht op het beoordelen van de opzet, het bestaan en de werking van de interne controlemaatregelen bij

In dit artikel wordt een samenvatting gegeven van een onderzoek naar de perspectieven van een tool voor het beoordelen van de interne controle omgeving die geïmplementeerd is in een ERP systeem [Scheeres, 2005].

organisaties. Dit is nog overwegend een handmatige activiteit. Doordat meer en meer bedrijfsprocessen wor-

Ontwikkelingen

den ondersteund door informatiesystemen is een

Als gevolg van de Amerikaanse Sarbanes-Oxley-wetgeving en de Nederlandse Tabaksblat-regelgeving heeft het beheer van het interne controleraamwerk de afgelopen jaren veel aandacht gekregen. Terugkijkend op deze ontwikkeling zien we dat het management van deze bedrijven – als eindverantwoordelijke voor het interne controleraamwerk – veel energie heeft gestoken in het documenteren en testen van de interne controlemaatregelen. Het management heeft expliciet moeten aangegeven wat de significante interne controlemaatregelen voor zijn organisatie zijn. Daarmee worden die maatregelen bedoeld die van essentieel belang zijn voor de audit van de jaarrekeningcontrole. Door deze nadrukkelijke keuze van het aantal controlemaatregelen is het nu mogelijk om gerichter dan voorheen een audit tool in te zetten voor het beoordelen van de interne controlemaatregelen. Als gevolg van een verschuiving van de interne controlemaatregelen naar ERP-systemen én de gevolgen van SOX en Tabaksblat mag verwacht worden dat een ‘continuous audit’ beter mogelijk is dan een aantal jaren geleden.

steeds groter deel van de interne controlemaatregelen ondergebracht in die informatiesystemen. Dit biedt de mogelijkheid om – een gedeelte van – de interne controle geautomatiseerd te testen. Hierdoor wordt het bovendien mogelijk om de interne controle (vrijwel) continu te toetsen voor een grotere zekerheid over de werking van het stelsel van interne controle.

Ing. W.G. (Willem) Scheeres RE MBA is Senior Business Developer bij Ernst & Young. In die rol bedient hij bedrijven in de sectoren transport & logistiek en de industrie. Zijn fascinatie voor continuous audit komt voort uit de mogelijkheden van de inzet van IT voor het nog efficiënter en effectiever uitvoeren van bedrijfsprocessen: ‘de partij met de laagste kosten en een goede kwaliteit heeft de meeste keuze’.

Wanneer een organisatie gebruikmaakt van een ERPsysteem, betekent dat in de meeste gevallen dat besloten is de bedrijfsprocessen beter met elkaar te integreren en te ondersteunen met IT. ERP-systemen worden cliëntspecifiek gemaakt door parameters in configuratiedatabases in te stellen. Ook de interne controlemaatregelen in een ERP-systeem worden op een overeenkomstige wijze geparametriseerd. Wanneer bijvoorbeeld voor een functionaris een inkooporderlimiet gesteld is op 400.000 euro, zal deze waarde in een bepaalde tabel worden vastgelegd. Deze parameter is daarna door een eenvoudige audittool uit te lezen en te toetsen aan een norm. Door de parameters van de significante interne controlemaatregelen gedurende het jaar stelselmatig uit te lezen en te toetsen aan een ingestelde norm, ontstaat een ‘continue’ beeld over het bestaan van de interne controlemaatregelen. Door de intervallen tussen het uitlezen te verkleinen – zodat bijvoorbeeld een paar maal per uur getoetst wordt – ontstaat er ‘in continuïteit’ een beeld over de werking van de interne controlemaatregelen. We spreken dan van ‘continuous audit’ van de interne controlemaatregelen. 10 | de EDP-Auditor nummer 3 | 2007

Continuous auditing

Het begrip ‘continuous auditing’ wordt in de literatuur te pas en te onpas gebruikt. De AICPA heeft in 1999 een rapport geschreven over de mogelijkheden van continuous auditing en een inventarisatie gemaakt van de verschillende financial audittoepassingen met de wens om daar onderzoek naar te doen. Het AICPA rapport wordt gezien als één van de standaardwerken over continuous auditing en bevat een duidelijke definitie: ‘Een methodologie waarmee (onafhankelijke) auditors een schriftelijke verklaring over een bedrijfsactiviteit kunnen afgeven op basis van een reeks controlerapporten die (bijna) gelijktijdig met het plaatsvinden van de bedrijfsactiviteit beschikbaar zijn.’ Deze definitie wordt hier overgenomen. Monitoring of auditing?

Over de begrippen continuous auditing en continuous monitoring bestaat bij collega auditors enige verwarring [Warren,2003]. De Global Technology Audit Guide (GTAG) [2005] van de IIA brengt klaarheid in de discussie door uit te gaan van de onafhankelijkheid en het eigenaarschap van de gebruiker van een evaluatietool. GTAG stelt dat continuous auditing wordt uitgevoerd door (internal/ external) auditors en continuous monitoring wordt uitgevoerd door het management. De keuze voor de benaming van continuous audit of continuous monitoring is dan ook afhankelijk vanuit welke functie een evaluatietool wordt ingezet. De auteur werkt voor een accountantsorganisatie en spreekt dan ook over continuous auditing. Full-scope continuous audit?

Voor het auditen van een onderneming moeten vele activiteiten worden uitgevoerd. Vanuit de financial audit zijn deze activiteiten ten behoeve van het financial statement onder te verdelen in het auditen van ‘top management transactions’ en het auditen van ‘business transactions’ (zie figuur 1). Top management transactions betreffen niet-routinematige activiteiten die door het top management zelf worden uitgevoerd. Een voorbeeld is de aan- of verkoop van bedrijven. Door hun niet-routinematige karakter vallen deze transactions buiten de reikwijdte van het geautomatiseerde deel van het interne controle raamwerk. Om een volledige continuous audit uit te voeren zullen in principe alle activiteiten die de financial auditor uitvoert geautomatiseerd moeten worden. Omdat de niet-routine-

matige activiteiten niet zijn ondergebracht in een informatie systeem, is het niet mogelijk om deze geautomatiseerd te testen. Een full-scope continuous audit is vooralsnog niet realistisch. Een minder complexe toepassing voor een continuous auditing tool is het monitoren van het interne controleraamwerk. Het interne controleraamwerk van een organisatie is relatief statisch van aard, omdat de interne controlemaatregelen vaak gerelateerd zijn aan de processen en procedures van de organisatie en als gevolg daarvan niet vaak veranderen. Een toepassing voor het beoordelen van de interne controlemaatregelen lijkt dus een prima eerste stap in het verkennen van de mogelijkheden van een continuous audit. Economische realiteit continuous audit tool In de laatste 15 jaar zijn verschillende onderzoeken uitgevoerd om na te gaan of continuous auditing technisch en theoretisch haalbaar is [Vasarhelyi,1991 Daigle,2000 Rezaee,2002 Searcy,2003 Warren,2003]. Deze onderzoeken hebben geleid tot het inzicht dat de technische en theoretische haalbaarheid van continuous auditing geen onderwerp van discussie meer is; ‘we kunnen het’. De discussie is verlegd van ‘kunnen we het?’ naar ‘willen we het?’. De vraag is dan ook of het economisch haalbaar is om een continuous auditing toepassing te gebruiken voor de evaluatie van het interne controleraamwerk ten behoeve van de jaarrekeningcontrole. Economisch haalbaar wil zeggen dat de besparingen die gerealiseerd kunnen worden door een deel van de interne controlemaatregelen geautomatiseerd te testen opwegen tegen de investeringen die nodig zijn om een continuous tool te bouwen en te gebruiken. De ervaring met continuous auditing in de praktijk is nog marginaal. Dit komt onder meer door de hoge implementatiekosten die mede een gevolg zijn van de multidisciplinaire kennis die nodig is om een continuous auditing project op te starten. De specialisten moeten gedetailleerde kennis hebben op het gebied van financial auditing, interne controle, audit software en verschillende modules van ERPsystemen. Naast deze kennis moeten de specialisten ook over voldoende overtuigingskracht beschikken om resources los te krijgen om de audit tool van de grond te tillen. Het ontwikkelen van een continuous auditing toepassing is immers alleen zinvol als het economisch haalbaar is.

0LAATSVANHETINTERNECONTROLERAAMWERK 4OPMANAGEMENT TRANSACTIONS &INANCIAL 3TATEMENT "USINESSTRANSACTIONS )NTERNECONTROLERAAMWERK

Figuur 1

De kosten die nodig zijn om een continuous audit toepassing bij een organisatie in te richten en te beheren worden vooral bepaald door de (tijds)inspanning die de financial en IT-auditor moeten leveren ten behoeve van de audit. Vooral voor het operationele gebruik geldt dan: ‘Hoe meer IT-controls significant zijn in een proces, des te kostbaarder wordt de toepassing’. Elke extra IT-control vereist extra aandacht en dus geld, zowel in de analysefase als in de implementatiefase.

11 | de EDP-Auditor nummer 3 | 2007

Voor het terugverdienen van de investeringen in een continuous audit beheertool kan bij accountantskantoren gebruik gemaakt worden van de economische praktijk om investeringen te verdelen over meerdere jaarrekeningcontroles. Investeringen in tools voor gebruik bij meerdere cliënten zijn dus eerder economisch haalbaar. Vanwege de benodigde kennis én de economische haalbaarheid zou mogen worden verwacht dat accountantskantoren de lead nemen om te investeren in de evaluatie van de interne controlemaatregelen met behulp van continuous audit tools. Naast het economische motief is ook de kwaliteit van de audit van belang. Doordat de interne controlemaatregelen met kortere intervallen worden getoetst aan een norm, kan ook met meer zekerheid een uitspraak worden gedaan over het bestaan en de werking van de interne controlemaatregelen. Een continuous audit toepassing heeft hierdoor een positieve invloed op de kwaliteit van de audit. De investeringen zijn dan ook gedeeltelijk te verantwoorden met een verbetering van de kwaliteit van de audit. Het onderzoek In het onderzoek is gekeken of auditors behoefte hebben aan een effectievere en efficiëntere methode voor het geautomatiseerd auditen van het interne controle raamwerk en of er belemmeringen zijn om over te gaan op een geautomatiseerde aanpak. In het onderzoek stonden daarom de volgende twee vragen centraal: • Is er vanuit de audit business behoefte om op een effectievere en efficiëntere manier het interne controle framework geautomatiseerd te testen? • Wat zijn de hindernissen die genomen moeten worden voordat een continuous auditing toepassing voor de evaluatie van het interne controle framework kan worden geïmplementeerd?

/NDERZOEKSGROEPENRESPONDENTEN !ANTAL )NTERNAL)4 AUDITOR

)4AUDITOR

 





 

 &INANCIAL AUDITOR



2ESPONDENTEN

Continuous auditing in de praktijk

Begrijpen auditors continuous auditing? Van de 154 auditors die hebben meegedaan aan het onderzoek geeft 40 procent (62) aan (figuur 3) dat ze redelijk tot volledig bekend zijn met het concept continuous auditing. 60 Procent (91 auditors) van de respondenten heeft nog onvoldoende zicht op de betekenis van continuous auditing. Onder de respondenten die praktijkervaring hebben opgedaan bevinden zich drie financial auditors. We kunnen hieruit concluderen dat, terwijl continuous auditing wel enige bekendheid heeft, er nog maar weinig financial auditors zijn die er in de praktijk ervaring mee hebben. Verwacht mag daarom worden dat het voor auditors lastig is om continuous audittoepassingen op hun waarde te beoordelen en organisaties te overtuigen van nut en noodzaak ervan. Continuous audittoepassingen moeten zich kennelijk eerst nog bewijzen voordat brede acceptatie haalbaar is. #ONTINUOUSAUDITINGBEKENDHEIDENERVARING !ANTAL

0ERCENTAGE!ANTAL 

6OLLEDIG

&INANCIAL  AUDITOR



2EDELIJK

 'EEN



%NIGSZINS







)4AUDITOR



)NTERNAL )4 AUDITOR

 .IET



"EKENDHEID 6RAAG



*A



%RVARING



&UNCTIE 

"ENTUBEKENDMETHETCONCEPTCONTINUOUS AUDITING 

6RAAG

(EEFTUPRAKTIJKERVARINGMETCONTINUOUS AUDITING 

!NALYSE

2ESPONDENTENMETERVARINGGECATEGORISEERDPERFUNCTIE I

Figuur 3

Beperkt gebruik auditsoftware

Een tool voor een continuous audit is een vorm van auditsoftware: het gaat om een specifieke functionaliteit ten behoeve van de audit. Ook voor auditsoftware geldt dat auditors er in hun praktijk betrekkelijk weinig gebruik van maken. Informatie hierover is te vinden in figuur 4. Het blijkt dat slechts 50 procent van de respondenten bij de jaarrekeningcontrole gebruik maakt van audit software en slechts 37 procent dat doet bij de beoordeling van de interne controle. In dit licht bezien is de beperkte ervaring die auditors met continuous audit hebben misschien niet eens zo bijzonder.

 



0OPULATIE

Figuur 2

Het onderzoek is uitgevoerd in het voorjaar van 2005 door middel van een on-line survey die is uitgezet onder 370 personen met een auditfunctie: financial auditors, IT-Auditors en internal auditors. In totaal hebben 154 auditors de survey ingevuld, hetgeen een response geeft van 42 procent.

De auditor is bij de aanwezigheid van een ERP systeem in principe in de gelegenheid om met behulp van audittools analyses te maken van processen of transacties. Vanuit accountancy-organisaties wordt veel inspanning gedaan om het analyseren van data te stimuleren om zo concrete evidence te verkrijgen. De percentages uit figuur 4 van auditors die audittools gebruiken bij de jaarverslagcontrole (50 procent), respectievelijk bij de beoordeling van de interne controle (37 procent) zijn beduidend lager dan het percentage

12 | de EDP-Auditor nummer 3 | 2007

'EBRUIKVANAUDITSOFTWARE

van 71 procent (zie figuur 5) dat in z’n werk te maken heeft met een ERP-systeem. Het lijkt er dus op dat de mogelijkheden om audittools in te zetten als de organisatie met een ERP-systeem werkt, onvoldoende benut worden.



0ERCENTAGE 6RIJWELALTIJD 

*AARVERSLAG

)NTERNE#ONTROLE

'EREGELD



!FENTOE



.EE 7EETNIET



















 6RAAG

-AAKTUWORGANISATIEGEBRUIKVANAUDITSOFTWAREZOALS!#, )$%!OFEIGENPROGRAMMATUUR TIJDENSDECONTROLE WERKZAAMHEDENTBVHETJAARVERSLAG

6RAAG

-AAKTUWORGANISATIEGEBRUIKVANAUDITSOFTWAREZOALS!#, )$%!OFEIGENPROGRAMMATUUR BIJDEBEOORDELINGVANDE )NTERNE#ONTROLEMAATREGELEN

Figuur 4

'EBRUIKTE%20SYSTEEMENAUDITERVARING !ANTAL

0ERCENTAGE

3!02



0EOPLESOFT



/RACLE&INANCIALS



%XACT'LOBE

  RESPONDENTEN

NVT



#ODA .AVISION

JAAR



*$%DWARDS

JAAR











"AAN



!XAPTA



!NDERS



  JAAR



'EEN 7EET NIET



 JAAR

 

%20GEBRUIK



!UDITERVARING



-AAKTUWORGANISATIEOFDEORGANISATIEWAARUUW VOORNAAMSTEWERKZAAMHEDENVERRICHT GEBRUIKVANmmN VANDEVOLGENDE%NTERPRISE2ESOURCE0LANNING%20 SOFTWAREPAKETTEN

6RAAG

6RAAG

(OEVEELJARENERVARINGHEEFTUINAUDITFUNCTIES

Figuur 5

)NZETVANAUDITSOFTWARE 'EENMENING

0ERCENTAGE

'EDEELTELIJK 6OLLEDIGMEE MEEEENS EENS 

0ROCESEIGENAAR





'EDEELTELIJK 6OLLEDIGMEE MEEONEENS ONEENS 









 $ATA

 

)NFORMATIE 

)NTERNET





















Uit vorenstaande kan voorzichtig worden geconcludeerd dat auditors weinig gebruik maken van auditsoftware tools voor de beoordeling van de interne controle terwijl de mogelijkheden er wel zijn. Wanneer men zelf geen praktische ervaring heeft met auditsoftwaretoepassingen, is het niet eenvoudig om anderen van het nut en de noodzaak te overtuigen. Indien auditsoftware de audits efficiënter en effectiever kan maken zal er naast de technische aspecten speciale aandacht moeten worden besteed aan het stimuleren van financial auditors om continuous auditing tools toe te passen in de praktijk. De wens tot verandering

Het management is verantwoordelijk voor het opstellen van een ‘in-control statement’. Sarbanes-Oxley en Tabaksblat verlangen dat de financial auditor hierover een verklaring afgeeft. Dit impliceert dat de financial auditor voldoende evidence in handen wil krijgen om deze verklaring met overtuiging te kunnen afgeven. Het is dus geen vreemde gedachte dat de financial auditor, al dan niet samen met de internal auditor, behoefte zal hebben aan auditsoftware waarmee opzet, bestaan en werking van de interne controlemaatregelen op een onafhankelijke wijze én in continuïteit kan worden vastgesteld. Het moet efficiënter





 6RAAG"IJHETGEBRUIKVANAUDITSOFTWAREISHETGEMAKKELIJKOM  DEPROCESEIGENAARTEOVERTUIGENTOEGANGTEVERLENENTOTDEBENODIGDE DATA  DEBENODIGDEDATAUITHET)4SYSTEEMTEKRIJGEN  DEGEWENSTEINFORMATIEUITDEONTVANGENDATATEVERKRIJGEN  DEPROCESEIGENAARTEOVERTUIGENTOEGANGTEGEVENTOTDEDATAVIAEEN BEVEILIGDEINTERNETVERBINDING

Figuur 6

Behalve de aanwezigheid van een ERP-systeem en het bieden van de mogelijkheid tot het uitvoeren van een continuous audit is het ook belangrijk om vast te stellen of de auditor problemen verwacht bij de toegang tot de data. Dit levert in de praktijk nogal eens een probleem op omdat bedrijfsgegevens vaak als zeer vertrouwelijk worden gezien. In figuur 6 is te zien dat 55 procent van de respondenten denkt de proceseigenaar te kunnen overtuigen toegang tot de vereiste data te verlenen. Wordt gevraagd om dit te doen via een beveiligde internet verbinding, dan is dit nog maar 27 procent.

Uit figuur 7 is af te leiden dat de beoordeling van de interne controle bij organisaties nog valt te verbeteren. 87 procent van de respondenten is van mening dat de efficiency in de beoordeling van de interne controle moet worden verbeterd en 77 procent vindt dat dit ook voor de effectiviteit geldt. Bij auditors bestaat dus de wens om de evaluatie van het interne controle raamwerk te verbeteren. Dit is niet verbazingwekkend, omdat grote delen van het beoordelingsproces nog (vrijwel) handmatig zijn. Naar aanleiding van Sarbanes-Oxley is veel energie gestoken in het vastleggen van het interne controleraamwerk. Automatisering kan de evaluatie van dit raamwerk efficiënter maken.

13 | de EDP-Auditor nummer 3 | 2007

)NTERNECONTROLEEVALUATIEACTIVITEITEN 0ERCENTAGE



   

  

6OLLEDIGONEENS 'EDEELTELIJKONEENS





'EENMENING





'EDEELTELIJKEENS





6OLLEDIGEENS 



%FFICIENCY

%FFECTIVITEIT

6RAAG (ETISNOODZAKELIJKOMDEEFFICIENCYVANDEBEOORDELINGVANDE INTERNECONTROLETEVERBETEREN 6RAAG (ETISNOODZAKELIJKOMDEEFFECTIVITEITVANDEBEOORDELINGVANDE INTERNECONTROLETEVERBETEREN

Figuur 7

interne controlemaatregelen gevraagd wordt (figuur 8, vraag 3). 93 Procent van de respondenten wil in antwoord op deze vraag elk kwartaal de interne controlemaatregelen testen. Belangrijk bij de interpretatie van deze gegevens is dat de vraagstelling expliciet spreekt van geautomatiseerd testen. De respondent zal door de vraagstelling veronderstellen dat het geautomatiseerd testen daadwerkelijk ook mogelijk is. De stijging van 43% (vraag 1, n=152) naar 92 procent (vraag 3, n=66) geeft aan dat het voor de auditor ook een kwestie is van de mogelijkheden zien en begrijpen. Kennelijk willen auditors wel met een hogere frequentie testen wanneer hun duidelijk wordt gemaakt dat geautomatiseerd testen inderdaad mogelijk is. Blijkt het geautomatiseerd testen van de interne controlemaatregelen mogelijk te zijn dan wil het overgrote deel van de auditors daar gebruik van maken. Versnelling accountantsverklaring

Bovenal bevordert het echter de effectiviteit van de controle door bijvoorbeeld zes keer per uur geautomatiseerd een interne controlemaatregel aan een norm te toetsen, in plaats van handmatig éénmaal per jaar. Ander gedrag

De wens tot verandering is aanwezig, maar slechts 43 procent van de ondervraagden (figuur 8, vraag 1) geeft aan de interne controlemaatregelen vaker dan één keer per jaar te willen testen. De andere 57 procent voelt hier weinig voor. Dit betekent dat de noodzaak niet wordt onderkend, of dat men denkt dat het geautomatiseerd testen van de interne controlemaatregelen niet mogelijk is of te veel tijd en geld zal gaan kosten. Van de respondenten die wel vaker dan een keer per jaar de interne controlemaatregelen willen testen geeft nog steeds 48% aan dat het voldoende is om slechts eenmaal per kwartaal te testen (figuur 8, vraag 2). Het is interessant om te zien dat slechts 8 procent van mening is dat de interne controlemaatregelen op dagbasis getest moeten worden, terwijl dat percentage opeens omhoog gaat naar 26 procent wanneer expliciet naar de werking van de

Door het geautomatiseerd testen van de interne-controlemaatregelen kan een deel van de controlewerkzaamheden efficiënter verlopen en is de mogelijkheid aanwezig om het tijdsinterval tussen einde boekjaar en het publiceren van het jaarverslag te verkorten. Van de ondervraagden vindt 72 procent dat het tijdsinterval tussen einde boekjaar en de publicatie van het jaarverslag korter moet (zie figuur 9). De productietijd van het jaarverslag zou volgens 86 procent van de ondervraagden idealiter korter dan één maand moeten zijn en 22 procent vindt dat deze productietijd korter dan één dag zou moeten zijn. 8 procent van de ondervraagden vindt minder dan één uur noodzakelijk. 62 procent van de respondenten ziet in de nabije toekomst de noodzaak van een on-line jaarverslag in dat de actuele financiële situatie van de organisatie weerspiegelt.

'EWENSTEVERSNELLINGACCOUNTANTSVERKLARING 0ERCENTAGE 6OLLEDIGEENS

6ERKORTEN INTERVAL

'EDEELTELIJK EENS 

'EDEELTELIJK ONEENS 6OLLEDIGONEENS

'EEN MENING 

  



  

'EDRAGSVERANDERINGBIJTESTENINTERNECONTROLE 0ERCENTAGE 7EETNIET .EE

N 

N  



 *A



 

4ESTENVAKER DANXPERJAAR 6RAAG

 



+WARTAAL



-AAND



7EEK

&REQUENTIE

0RODUCTIETIJD









MINUUT UUR DAG WEEK 

$AG

 



N  *AAR



JR

/NLINEVERSLAG 

 JR





MAAND

 



MAAND 7EETNIET

'EEN  JR JR BEHOEFTE 











&REQUENTIE

"ESTAATERBEHOEFTEOMDEWERKINGVANDEINTERNECONTROLEMAATREGELEN INGEBEDINDE)4SYSTEMEN VAKERDANmmNMAALPERJAARTETESTEN

6RAAG  -ETWELKEFREQUENTIEZOUUEENEFFECTIEVECONTROLEMAATREGEL BIJVOORKEUROPERATIONEELWILLENTESTEN"IJVRAAG*A

6RAAG  7ANNEERUEXPLICIETEENUITSPRAAKOVER³DEWERKING´VANEFFECTIEVE CONTROLEMAATREGELENINEEN)4SYSTEEMZOUWILLENDOEN METWELKE FREQUENTIEZOUUDEMAATREGELENDANGEAUTOMATISEERDWILLENTESTEN

6RAAG $EORGANISATIEHEEFTBEHOEFTEAANHETVERKORTENVANDEPERIODE TUSSENHETEINDEVANHETBOEKJAARENHETPUBLICERENVANHET JAARVERSLAG 6RAAG (ETFINANCIpLEJAARVERSLAGMOETEENPRODUCTIETIJDHEBBENVAN 6RAAG "INNENHOEVEELJAARDENKTUDATERBEHOEFTEISAANEENON LINE FINANCIEELJAARVERSLAGDATDEACTUELEFINANCIpLESITUATIEVANDE ORGANISATIEWEERSPIEGELT &IGUUR 

Figuur 8

Figuur 9

14 | de EDP-Auditor nummer 3 | 2007

Mogelijkheid tot verandering

!CTIVITEITENINTERNECONTROLEEVALUATIE

Economische haalbaarheid

0ERCENTAGE

Voor een efficiëntere en effectievere evaluatie van de interne controle wil de auditor de geboden technologische mogelijkheden wel inzetten, mits hij ze ook begrijpt. Combineren we dit met de ontwikkelingen als gevolg van Sarbanes-Oxley en Tabaksblat, dan kunnen we concluderen dat het geautomatiseerd testen van het interne controleraamwerk een interessante mogelijkheid is voor auditors. Technisch en functioneel is de inzet van auditsoftware voor het geautomatiseerd testen van de interne controlemaatregelen haalbaar, maar kan het in de praktijk ook economisch? Huidig inzicht

Het is interessant om vast te stellen op welke wijze auditors in de praktijk met het interne controleraamwerk omgaan. Als wordt gekeken naar de activiteiten die de meeste tijd in beslag nemen, noemt 29 procent van de ondervraagden het testen van de interne controlemaatregelen (zie figuur 10, vraag 1). Maar ook het verzamelen van informatie (21 procent) en analyseren/documenteren (19 procent) neemt veel tijd in beslag. Wanneer we vragen welke activiteiten het beste geautomatiseerd kunnen worden (vraag 2) geeft 33 procent aan dat dit het testen van de interne controlemaatregelen betreft. Ook analyseren en documenteren komen in aanmerking (26 procent). Wanneer we de audit procesmatig bekijken kan besloten worden om een maximale tijd beschikbaar te stellen voor de evaluatie van de interne controlemaatregelen. 66 Procent van de auditors (vraag 3) vindt dat per proces, per maand, minder dan een dag mag worden besteed, en 14 procent vindt dat het minder dan een uur moet zijn. (figuur 10, vraag 3). Bij een maximum van een dag per maand zou de auditor dan per jaar maximaal twaalf uur mogen besteden aan de analyse van en rapportage over de werking van de maatregelen van interne controle van één bedrijfsproces. Dit vereist een zeer efficiënte methode van werken, zodat de vraag zich opdringt: ‘Hoe ga ik dit realiseren?’. Samenwerking

Wanneer de interne controlemaatregelen zijn ingebed in ITsystemen en geautomatiseerd kunnen worden getest, wordt het verzamelen van informatie minder arbeidsintensief omdat het voor de auditor niet meer nodig is handmatig gegevens op te vragen bij de organisatie. Wel zal de complexiteit van de beoordeling toenemen omdat de auditor nu met meer detailgegevens inzicht krijgt in de werking van de interne controlemaatregelen. Want, stel dat blijkt dat enkele interne controlemaatregelen maar tijdens 95 procent van de tijd hebben gewerkt – bijvoorbeeld door bijvoorbeeld software updates of systeem downtime. Welke gevolgen heeft dit dan voor de beoordeling van de audit? Wat voor aanvullende werkzaamheden moeten worden gedaan? De gevolgen van deze extra informatie voor het beoordelen van de interne controlemaatregelen moeten nog nader worden onderzocht.

7EETNIET 

3ET UPACTIVITEITEN



6ERZAMELENVANINFORMATIE



4ESTENVANINTERNECONTROLES



!NALYSEENDOCUMENTATIE 2APPORTEREN 7EETNIET

 

DAGEN



DAGEN



DAG





DAG

 



UUR

     

!UDITTOOL SUPPORT

-EEST  TIJDROVEND

!UDITTIJD

6RAAG 7ELKEACTIVITEITENNEMENTIJDENSDEBEOORDELINGVANDEINTERNE CONTROLEWERKZAAMHEDENDEMEESTETIJDINBESLAG-AXIMAAL ANTWOORDEN 6RAAG 7ELKEACTIVITEITENHEBBENBIJDEBEOORDELINGVANDEINTERNE CONTROLEVOLGENSUDEMEESTEKANSOMSUCCESVOLTEWORDEN GEAUTOMATISEERD-AXIMAALANTWOORDEN 6RAAG (OEVEELTIJDMAGUWTEAM PERMAAND BESTEDENAANHET ANALYSERENVANDEAUDITTRAILINCLUSIEFRAPPORTAGEOVERmmN SIGNIFICANTPROCES

Figuur 10

4OEPASSINGVANCONTINUOUSAUDITS 

!ANTAL

)NTERNECONTROLE 

&INANCIpLEINFORMATIE  *AARREKENINGCONTROLE 

+EYPERFORMANCE INDICATOREN  

!NDERS  7EETNIET







 

%FFICIENCY %FFECTIVITEIT

6RAAG 3TELDATUMETEENCONTINUOUSAUDITTOEPASSINGDEEFFECTIVITEIT VANDEAUDITKANVERBETEREN/PWELKEGEBIEDENISDATHET MEESTWENSELIJK-AXANTWOORDEN 6RAAG 3TELDATUMETEENCONTINUOUSAUDITTOEPASSINGDEEFFICIENCYVAN DE AUDIT KANVERBETEREN/PWELKEGEBIEDENISDATHETMEEST WENSELIJK-AXANTWOORDEN

Figuur 11

Als continuous auditing software het audit proces efficiënter en effectiever kan laten verlopen, op welke gebieden vindt de auditor dit dan het meest wenselijk? Het grootste deel van de respondenten (figuur 11, vraag 1) denkt dat het meeste voordeel te halen is bij de evaluatie van de interne controle. Maar ook het verwerken van financiële informatie zou een goede kans maken om in continuïteit geaudit te worden. Dit is geen vreemde gedachte, omdat door de automatisering van bedrijfsprocessen financiële gegevens beschikbaar zijn. Verwacht mag worden dat het management wél de beschikking heeft over deze financiële informatie uit het ERP-systeem, al was het maar uit de standaardrapportages van het ERP-systeem. Vanuit een auditperspectief zou de vraag gesteld kunnen worden: ‘Maakt de financial auditor in voldoende mate in continuïteit gebruik van financiële management rapportages ten behoeve van de financial audit?’. In dit onderzoek wordt daar niet op ingegaan, maar deze vraag zou een apart continuous audit onderzoek rechtvaardigen.

15 | de EDP-Auditor nummer 3 | 2007



)MPACTINTERNECONTROLEOPHETCONTROLEBUDGET !ANTAL

)NTERNECONTROLEBUDGET 

3IGNIFICANTECONTROLSINEENSIGNIFICANTPROCES !ANTALGECATEGORISEERDNAARRESPONDENTENGROEP

!ANTAL 

&INANCIAL !UDITOR

CONTROLS

 ¯



 ¯



 ¯







4OTAAL





)4!UDITOR

)NTERNAL !UDITOR 

4OTAAL



 ¯









¯









¯







 ¯

















RESPONDENTENWETENHETNIET



6RAAG 7ATISPROCENTUEELHETBUDGETVOORDEEVALUATIEVANDEINTERNE CONTROLETENOPZICHTEVANHETTOTALECONTROLEBUDGET BIJBEDRIJVENMETEENCONTROLEBUDGET









7EETNIET





 4OTAAL

 







 





Figuur 12

Figuur 13

Budget

Gedeeltelijk kan het verschil in aantallen significante interne controlemaatregelen per proces ontstaan doordat ‘de belevingswereld’ van wat noodzakelijk is voor de jaarrekeningcontrole verschilt.

Wanneer gekeken wordt naar de aandacht die uitgaat naar het beoordelen van de interne controlemaatregelen, dan geeft 84 procent van de respondenten aan (figuur 12) dat bij bedrijven met een 100.000 euro + controlebudget, tussen de 20 en 50 procent van het controlebudget hiervoor wordt ingezet. Geconcludeerd mag worden dat economisch gezien een efficiencyslag voor het beoordelen van de interne controle dan ook een aanzienlijke impact kan hebben op het jaarrekeningcontrolebudget. Vanuit een efficiency gedachte kan de financial auditor zich afvragen: ‘Wat zou mijn besparing op het controlebudget zijn als de beoordeling van de interne controle efficiënter verloopt?’ In dit onderzoek is vooral de aandacht uitgegaan naar het beeld dat (financial) auditors hebben van de mogelijkheden van continuous audits en naar de economische haalbaarheid van een continuous audittoepassing. Zoals eerder reeds is aangegeven heeft de economische haalbaarheid van een continuous audittoepassing een directe relatie met het aantal interne controlemaatregelen dat getest moet worden: hoe minder significante controles, des te minder tijd en minder kosten nodig zijn om de audit uit te voeren. De vraag die gesteld kan worden is dan: ‘Hoeveel significante interne controlemaatregelen zijn er maximaal nodig voor een proces?’.

Onderlinge communicatie

Is er dan voldoende gerichte communicatie tussen de verschillende auditors bij de jaarrekeningwerkzaamheden? 39 Procent (figuur 14, vraag 1) van de auditors denkt dat er onvoldoende onderlinge communicatie is. 75 Procent van de respondenten (vraag 2) is van mening dat de communicatie tussen IT-auditor en financial auditor moet verbeteren. Als voorgestelde oplossingsrichting geeft 37 procent aan dat de IT-auditor een betere focus zou moeten hebben op de jaarrekeningwerkzaamheden en 47 procent is van mening dat via een integrated audit de samenwerking kan worden verbeterd (vraag 3). We kunnen concluderen dat de communicatie tussen financial auditor en IT auditor ten behoeve van de jaarrekeningcontrolewerkzaamheden verbeterd moet

#OMMUNICATIEAUDITOR¯)TAUDITOR 0ERCENTAGE 6OLLEDIGONEENS

 

/NEENS



'EENMENING



%ENS



6OLLEDIGEENS



Het aantal significante controles per proces

Van de 154 respondenten geeft 68 procent aan (figuur 13) dat tussen drie en tien interne controlemaatregelen per proces moeten worden getest. Bij de IT auditors en internal auditors is de spreiding groter dan bij de financial auditors, wat mogelijk te verklaren is doordat de financial auditor door budgetdruk zo efficiënt mogelijk wil werken. Bij de internal auditor ligt de mediaan bij zes tot tien significante controls per proces. De vraag is waardoor deze spreiding in aantallen dan door kan ontstaan.



6OLDOENDE COMMUNICATIE



JA





6ERBETERING NODIG 



!NDEREOPLOSSING



)NTEGRATEDAUDIT



&OCUSOPJAARREKENING WERKZAAMHEDEN

6OORGESTELDE OPLOSSING 

6RAAG

%RVINDTINVOLDOENDEMATEOVERLEGPLAATSTUSSENDE ACCOUNTANTENDE)4AUDITORGEDURENDEDEBEOORDELINGVANDE INTERNECONTROLETENBEHOEVEVANDEJAARREKENINGCONTROLE

6RAAG

"ENTUVANMENINGDATDECOMMUNICATIETUSSENDEACCOUNTANT ENDE)4AUDITOROVERDEBEOORDELINGVANDEINTERNECONTROLE ZOUMOETENVERBETEREN

!NALYSE

,EGUIT2ESPONSEGECATEGORISEERDNAAROPLOSSINGSRICHTING GEtNTERPRETEERD

Figuur 14

16 | de EDP-Auditor nummer 3 | 2007

worden. Een volwaardige integrated audit, zoals uiteengezet door de PCAOB in Audit Standard 2 [AS2, 2004] waarbij zowel een audit wordt uitgevoerd van het financial statement als van de interne controle gericht op de financiële rapportage uit het informatiesysteem brengt verbetering aan in de communicatie. Bij een integrated audit neemt de betrokkenheid van de IT-auditor toe omdat een deel van de interne controlemaatregelen aanwezig is in de informatiesystemen.

Referenties CICA ,1999

Canadian Institute of Chartered Accountants, 1999, Research Report on continuous auditing continuous auditing.

Daigle, 2000

Daigle, R and Lampe, J, 2000, Determining the Market Demand for continuous Online Attestation, Conference on continuous audit, Rutgers University, September 2000

GTAG, 2005

Global Technology Audit Guide, 2005, Continuous auditing: implications for assurance, monitoring, and risk

Samenvattend De afgelopen jaren heeft het management als gevolg van Sarbanes-Oxley en Tabaksblat veel aandacht gegeven aan het verbeteren van de interne controlemaatregelen ten behoeve van de jaarrekeningcontrole. Door een verschuiving van de interne controlemaatregelen naar informatie systemen wordt het inzetten van geautomatiseerde audit tools steeds beter haalbaar. Door internet is de fysieke locatie van de audit tool minder belangrijk is geworden.

assessment, Institute for Internal auditors (IIA). PCAOB, 2004

Public Company Accounting Oversight Board Bylaws and Rules, 2004, – Accounting Standards 2 – AS2 As of September 8, 2004

Rezaee, 2002

Rezaee, Z, Sharbatoghile, A. Elam and R, McMickle, P, 2002, continuous auditing: building automated auditing capability, Auditing: A journal of Practice and Theory, March 2002, pp.147-63.

Searcy, 2003

Searcy, D, Woodroof, J and Behn, B, 2002, continuous auditing: The motivations, benefits, problems and Challenges

Uit het onderzoek blijkt dat auditors nog weinig gebruikmaken van auditsoftwaretools voor de beoordeling van de interne controlemaatregelen terwijl de mogelijkheden bij bedrijven met ERP-systemen er wel zijn. Bij het overgrote deel van de auditors bestaat de wens om de evaluatie van het interne controleraamwerk efficiënter en effectiever te maken. Wanneer de auditor duidelijk wordt gemaakt dat het geautomatiseerd testen van interne controlemaatregelen mogelijk is, dan wil 92 procent van de auditors de interne controlemaatregelen minstens elk kwartaal testen en 26 procent zelfs dagelijks. De beoordeling van het interne controle raamwerk bij grotere bedrijven (met een controlebudget van 100.000 euro of meer) bedraagt tussen de 20 en 50 procent van het budget. Omdat een efficiëntere interne controle-evaluatie een aanzienlijke impact kan hebben op het controlebudget, zou de auditor zich vanuit een ‘lean’ gedachte mogen afvragen welke besparingen te realiseren zijn bij de inzet van continuous audit tools. De continuous audit tools zullen bij goede implementatie tevens een positieve bijdrage leveren aan de kwaliteit van de audit omdat met meer zekerheid kan worden gerapporteerd over de werking van de interne controlemaatregelen.

Identified by Partners of a big 4 accounting firm, Proceedings of the 36th Hawaii international Conference on System Sciences. Scheeres, 2005 Scheeres, W.G, 2005, How continuous auditing could support the process of internal control evaluation, University of Liverpool Vasarhelyi, 1991 Vasarhelyi, M., and Halper, F., The continuous audit of online systems. Auditing, A journal of Practice and Theory 19 (1), 110-125, 1991 Warren, 2003

In de literatuur is de discussie over continuous audit tool verlegd van ‘kunnen we het?’ naar ‘willen we het?’. De vraag is nu: Welke auditor neemt het voortouw om een continuous audit tool voor de evaluatie van het interne controle raamwerk in de praktijk te realiseren? Ik doe mee. ■

17 | de EDP-Auditor nummer 3 | 2007

Warren jr, J and Parker, X, 2003, continuous auditing: potential for Internal auditor, The IIA Research Foundations (IIARF).

Artikel

Effectieve en efficiënte aanpak voor Japanse versie ‘Sox’ Laura Huininga, Paul Bosch, Daan Smulders

Aan de Japanse beurs genoteerde ondernemingen worden geconfronteerd met een verscheidenheid aan eisen, maar ook onduidelijkheden vanwege een onlangs in Japan uitgevaardigde wet, de ‘Financial Instruments and Exchange Law’. De standaarden die hieruit zijn voortgekomen, uitgebracht door de Business Accounting Council, vragen het management van ondernemingen die genoteerd zijn aan de Japanse beurs de effectiviteit van hun interne beheersing van de financiële verslaggeving te beoordelen.

I

n dit artikel wordt eerst een toelichting gegeven op deze wetgeving en bijbehorende implementatiestandaarden, om vervolgens een aanpak uiteen te zetten die het management van deze ondernemingen kan helpen om op een effectieve en efficiënte wijze te kunnen voldoen aan de wettelijke vereisten. Binnen deze aanpak wordt specifiek ingegaan op de IT-aspecten.

Japanse Wetgeving voor interne beheersing Op 7 juni 2006 vaardigde de Japanse overheid een wet uit, de ‘Financial Instruments and Exchange Law’. Deze wet heeft onder andere tot gevolg dat de ondernemingen die genoteerd staan aan de Japanse beurs verplicht worden gesteld een verklaring af te geven met betrekking tot de effectiviteit van hun interne beheerssystemen voor financiële verslaggeving, met inbegrip van hun dochterondernemingen en deelnemingen. Om dit te kunnen verklaren dient het management de interne beheerssystemen te evalueren en zal de externe accountant van de onderneming een oordeel moeten geven over de validiteit van de resultaten van deze evaluatie.

Drs. L.M.H. (Laura) Huininga, Senior

Drs. P.P.J. (Paul) Bosch RO, Senior

D. (Daan) Smulders RE, Senior Manager (EDP

Auditor (Business Risk Services, Ernst &

Manager (Business Risk Services,

Audit, Ernst & Young), heeft Industrieel Ontwerpen

Young), heeft de studie Bedrijfskunde

Ernst & Young), heeft de studie

aan de Technische Universiteit Delft gestudeerd.

afgerond aan de Erasmus Universiteit

Bedrijfskunde afgerond aan de

Sinds 2000 is hij bij Ernst & Young EDP Audit

Rotterdam. Sinds juni 2004 is zij werk-

Erasmus Universiteit Rotterdam. In

fulltime actief op het gebied van EDP-auditing.

zaam bij Ernst & Young, bij de afdeling

december 1997 is hij in dienst

Daan is specialist op het gebied van de inrichting

Business Risk Services, als operational

getreden bij Ernst & Young en heeft

en beoordeling van beheerorganisaties en beheer-

auditor en heeft hier ervaring opgedaan

allereerst ervaring opgedaan in de

processen. Tevens heeft hij uitgebreide ervaring op

met internal / operational auditing met

accountancy praktijk. Sinds 2000 is

het gebied van onderzoeken naar de betrouwbaar-

daarbij behorende audit methodologie-

hij werkzaam bij Ernst & Young

heid, effectiviteit of efficiency van bedrijfsprocessen

en, ‘tools’ en risk management en con-

Business Risk Services. Hier heeft hij

die (deels) afhankelijk zijn van geautomatiseerde

trol concepten. Zij is onder andere

onder andere leiding gegeven aan

informatiesystemen. De afgelopen jaren heeft

betrokken geweest bij Sarbanes-Oxley

verscheidene Sarbanes-Oxley, ‘J-

Daan de verantwoordelijkheid gehad over diverse

en Tabaksblat projecten.

SOX’ en Internal Audit projecten.

Sarbanes-Oxley en J-SOX projecten.

18 | de EDP-Auditor nummer 3 | 2007

Ontstaan van wetgeving

De ‘Financial Instruments and Exchange Law’ is een reactie op een aantal schandalen dat zich heeft voorgedaan, waarin onbetrouwbare financiële verslaggeving van Japanse ondernemingen centraal stond. Deze incidenten werden mede veroorzaakt door gebreken in de interne beheerssystemen van ondernemingen. Dit leidde ertoe dat in Japan een wet werd uitgebracht die deugdelijk ondernemingsbestuur dient te waarborgen. Voorafgaand aan de invoering van de wet bracht de Subcommittee on Internal Controls, onderdeel van de Business Accounting Council van de Japanse Financial Services Agency (FSA), een rapport uit onder de titel ‘Evaluation and Auditing Standards for Internal Control for Financial Reports’. In deze conceptversie wordt beschreven op welke wijze de effectiviteit van interne beheersing van financiële verslaggeving bepaald dient te worden. Een half jaar na vervaardiging van de wet bracht de subcommissie wederom een rapport uit, getiteld ‘Implementation Standards Exposure Draft’. In dit rapport worden de standaarden toegelicht om zo de implementatie van de regelgeving te vereenvoudigen. Beide rapporten zijn begin 2007 door de Business Accounting Council definitief gemaakt, maar het is mogelijk dat in de toekomst nog nadere toelichting en richtlijnen uitgevaardigd zullen worden. Bereik van wetgeving

De evaluatie- en auditingstandaarden, inclusief de implementatierichtlijnen, zijn van toepassing op ondernemingen die genoteerd zijn aan de Japanse beurs, inclusief hun dochterondernemingen en deelnemingen. Dit betekent dat circa 3800 ondernemingen aan de standaarden dienen te voldoen. In Nederland zijn dit voornamelijk dochterondernemingen en deelnemingen (circa 100 in Nederland). De standaarden worden effectief voor het fiscale jaar beginnend op of na 1 april 2008. Het overgrote deel van de Japanse ondernemingen heeft een fiscaal jaar van 1 april tot en met 31 maart en zullen dus in maart 2009 hun eerste verklaring afleggen over de effectiviteit van hun interne controle systemen.

ringen die men heeft opgedaan met de implementatie van SOX hebben er toe geleid dat de Japanse standaarden op een aantal vlakken zijn aangepast en vereenvoudigd of juist strikter zijn in vergelijking met de Sarbanes-Oxley wetgeving. Elementen van interne controle onder J-SOX De Japanse standaarden geven aan dat het management verantwoordelijk is voor het ontwerpen en operationaliseren van een intern beheerssysteem. De standaarden reiken een conceptueel raamwerk aan dat kan dienen ter invulling van het begrip interne beheersing. Daarnaast is het management verplicht een oordeel te geven over de effectiviteit van de interne beheersing van financiële verslaggeving en dit te rapporteren aan belanghebbende partijen. Het rapport dient vergezeld te gaan van een verklaring, afgegeven door de externe accountant, over de validiteit van de uitkomsten van de evaluatie. Control framework

Het interne beheerssysteem voor J-SOX is grotendeels vergelijkbaar met het COSO model dat door de SEC is aanbevolen als raamwerk voor ontwerpen en implementeren van interne beheerssystemen om te kunnen voldoen aan SOX. Interne beheersing wordt in de Japanse standaarden omschreven als een proces dat uitgevoerd wordt om vier doelstellingen te bereiken, waarbij de doelstelling ‘safeguarding of assets’ (Zie figuur 1: Asset preservation) een toevoeging is ten opzichte van het oorspronkelijke COSO model. Daarnaast bestaat het J-SOX model uit zes basiscomponenten in plaats van vijf (zie figuur 1). ‘Response to IT’ wordt als afzonderlijke basiscomponent aangemerkt. Beide toegevoegde elementen worden door het COSO model beschouwd als onderdeel van de overige elementen maar de Japanse autoriteiten willen het belang van deze twee elementen benadrukken. De twee modellen zullen niet zozeer een significant andere aanpak vereisen, maar het onderscheid zal wel een effect hebben op de evaluatie van een ‘control deficiency’, waarbij het management onder J-SOX minder mag steunen op ‘manual controls’ om gebreken in de IT omgeving te compenseren. d

_e Wj hl

Japanse wetgeving en Sarbanes-Oxley

[

i h[ jf

i[

7i

_W

fb

c 9e

[ Ef

j_ hW

h fe

d]

[ bh

W

<_d

H_ia7ii[ic[djWdZh[ifedi[ 9edjhebWYj_l_j_[i ?d\ehcWj_edWdZYecckd_YWj_edi

H[ifedi[je?J Figuur 1: Control framework J-SOX

19 | de EDP-Auditor nummer 3 | 2007

8kikd_ji

9edjheb;dl_hedc[dj

Ced_jeh_d]

j_d

_W dY


Door de gelijkenissen tussen de Japanse standaarden en de Sarbanes-Oxley wetgeving, afgekort SOX, worden eerstgenoemde standaarden ook wel J-SOX genoemd, de Japanse versie van SOX. De in 2002 in de Verenigde Staten uitgevaardigde Sarbanes-Oxley wet richt zich, net als de Japanse standaarden, op een interne beheersing en betrouwbaarheid van de financiële verslaggeving. De twee belangrijkste artikelen 302 en 404 van SOX handelen over de verklaring van CEO en CFO omtrent de getrouwheid van de financiële rapportage en de effectiviteit van interne beheersmaatregelen met betrekking tot toelichtingen, respectievelijk over de verplichting om jaarlijks expliciet een uitspraak te doen over de betrouwbaarheid van de interne beheersmaatregelen voor de financiële verslaggeving. De huidige ontwikkelingen en erva-

]

[ dY

Control framework: ‘Response to IT (Information and Technology)’

Conform de richtlijnen van de FSA is de component van het controle framework ‘Response to IT’ gericht op het vooraf vaststellen van richtlijnen en procedures en het implementeren van adequate maatregelen ten aanzien van IT om te waarborgen dat de bedrijfsdoelstellingen worden behaald. ‘Response to IT’ is een integraal onderdeel van het control framework en kan niet los worden gezien van het framework. In de richtlijnen is door de FSA ‘Response to IT’ opgedeeld in twee aspecten, ‘Response to IT environment’ en ‘The Use of IT and IT control’. Onder ‘IT environment’ wordt in de richtlijn van de FSA verstaan het concept van het vaststellen van richtlijnen en procedures, benodigd om de activiteiten en doelstellingen van de organisatie te realiseren en adequaat te reageren op issues binnen of buiten het bedrijf. ‘The Use of IT and IT control’ wordt gedefinieerd in de richtlijn als het effectief en efficiënt gebruik maken van IT om de adequate werking van de overige vijf onderdelen van het internal control framework (control environment, risk assessment and response, control activities, information and communication en monitoring) te waarborgen. Onder de IT controls worden door de FSA zowel IT general controls and IT application controls verstaan. Op welke wijze aandacht kan worden besteed aan beide aspecten bij de beoordeling van het interne beheerssysteem wordt beschreven in de paragraaf ‘Een efficiënte en effectieve aanpak voor J-SOX’. Management’s beoordeling van interne beheerssystemen

De standaarden vragen het management een verklaring af te leggen over de beheersing van de betrouwbaarheid van de financiële verslaggeving inclusief de toelichtingen. J-SOX geeft aan dat het bij de begrippen financiële verslaggeving en toelichtingen gaat om de ‘financial statements including their footnotes in the financial section of the Securities Report’, respectievelijk de toelichtingen bij het ‘Securities Report’ bestaande uit de toelichtingen met een significante impact op de betrouwbaarheid van de financiële verslaggeving én overige toelichtingen. Voor J-SOX dienen in principe alle geconsolideerde ondernemingen en deelnemingen (‘equity-methode’) volledig te worden meegenomen in de scope van het evaluatieproces. Indien een deelneming door omstandigheden (bijvoorbeeld zeggenschapsverhoudingen)

Jef#Zemd h_i_YeWdWboi[

?Z[dj_\_Y[h[d lWd9B9Êi

niet op dezelfde wijze als een geconsolideerde onderneming in het evaluatieproces kan worden meegenomen, dienen wel vastgestelde minimale procedures te worden uitgevoerd. Indien dochterondernemingen en deelnemingen al in het bezit zijn van bruikbare rapporten betreffende hun interne beheersing van financiële verslaggeving, doordat ze bijvoorbeeld al over een SOX verklaring beschikken, kunnen deze rapporten gebruikt worden voor de evaluatie. Jaarlijks wordt een rapport uitgebracht met daarin de conclusie van het management over de opzet en werking van de interne beheerssystemen. Onder J-SOX richtlijnen zijn er twee categorieën van ineffectieve controls, die op basis van zowel kwalitatieve als kwantitatieve factoren worden aangemerkt als ofwel een ‘deficiency’ ofwel een ‘material weakness’. Een ‘material weakness’ dient publiek te worden gemaakt in het rapport. De te hanteren materialiteitsgrens onder J-SOX is een combinatie van zowel kwantitatieve als kwalitatieve criteria, waarbij de materialiteit van een ‘deficiency’ wordt bepaald op basis van de impact op, in principe, de geconsolideerde financiële verslaggeving. Verantwoordelijkheid van de externe accountant

J-SOX vereist, naast voornoemde management evaluatie, een oordeel van de externe accountant over de validiteit van deze evaluatie. In de standaarden wordt een aantal richtlijnen aangereikt die zorgdragen voor een effectieve en efficiënte aanpak voor zowel deze beoordeling door de externe accountant, als voor de jaarrekeningcontrole. Zo dient de externe accountant een audit uit te voeren op de evaluatie van het management en documentatie van deze evaluatie te vergaren, maar geen directe verklaring af te geven omtrent de effectiviteit van de opzet en werking van de beheersmaatregelen. De verantwoordelijkheid voor deze audit ligt bij de externe accountant die ook verantwoordelijk is voor de jaarrekeningcontrole en in principe worden de resultaten van de beide audits in een geïntegreerd rapport uitgebracht. De wet geeft aan dat de externe accountant relevante interne rapporten afkomstig van bijvoorbeeld de interne audit afdeling dient te benutten voor beide audits. Een efficiënte en effectieve aanpak voor J-SOX De standaarden pleiten voor een zogenaamde ‘top-down risk based approach’. Een dergelijke aanpak helpt het management om zoveel mogelijk de aandacht te vestigen op beheersing van de jaarrekeningposten, bedrijfsprocessen en de locaties met het hoogste risicoprofiel. Het evalueren van beheersmaatregelen gebeurt op twee niveaus, te weten op

;lWbk[h[d lWd9B9Êi

Figuur 2: Overzicht aanpak J-SOX

20 | de EDP-Auditor nummer 3 | 2007

LWijij[bb[diYef[ LWijij[bb[diYef[ [lWbkWj_[ j[ijijhWj[]_[ fheY[iYedjhebi fheY[iYedjhebi

=he[f H[]_e

BeaWb[h_i_Ye WdWboi[

Je f# Z jX em lc d[ _d_ lWb cW kW b_i j_[ [h[ %i dj j[k [i d[ BeaWb[el[hm[]_d][d 9[djhWb[h_i_YeWdWboi[ j[d d fh efc c[jbeaWb[_dfkj eY [i ed_ 9ecfWdoB[l[b Ye je dj h_d 9edjhebi heb ] i
8[eehZ[b[dh[ijh_i_Yeleehj[ij[d lWdbeaWb[X[^[[hi_d]icWWjh[][b[d

FheY[i Yedjhebi

8[eehZ[b[dh[ijh_i_Yeleeh j[ij[dlWdfheY[iYedjhebi

Figuur 3: Overzicht ‘Top-down’ risico analyse

organisatie- en procesniveau. Waar het management kan vertrouwen op effectieve ‘company level controls’, zullen minder gedetailleerde testwerkzaamheden voor procescontrols nodig zijn. In figuur 2 zijn de stappen van de aanpak weergegeven. Fase 1: ‘Top-down’ risicoanalyse

In de eerste fase van de aanpak dient het management een risicoanalyse uit te voeren. Deze analyse moet in principe worden uitgevoerd op basis van de geconsolideerde jaarrekening inclusief voetnoten en relevante/materiële financiele informatie gepubliceerd buiten de jaarrekening (kort: ‘geconsolideerde jaarrekening en toelichtingen’). De geconsolideerde jaarrekening wordt opgesplitst in jaarrekeningposten en toelichtingen, waarna de relevante beweringen, zoals juistheid, volledigheid en bestaan, per jaarrekeningpost worden geïdentificeerd. Ook worden processen en locaties geïdentificeerd. Op basis van kwantitatieve en kwalitatieve criteria, vastgesteld in bijvoorbeeld interviews en workshops, wordt een risicoanalyse uitgevoerd op de jaarrekeningposten, beweringen, processen en locaties. Hierbij is het noodzakelijk dat het management een volledig inzicht heeft in de risico’s en de impact van de risico’s op de jaarrekening. De IT controls (IT application controls en IT general controls) worden direct in de risicoanalyse meegenomen. Om vast te kunnen stellen welk niveau van IT controls benodigd is om de risico’s te mitigeren kan gebruik gemaakt worden van best practices zoals COBIT of meer gedetailleerde guidance documenten van het IT Governance Institute of het Institute of Internal Auditors.

Fase 2: Identificeren van ‘company level controls’

Conform de richtlijn van de FSA zijn ‘Company level controls’ onder te verdelen in twee categorieën, directe en indirecte controls. Bij indirecte controls gaat het om onder meer de ‘tone at the top’. Hierbij kan worden gedacht aan een code of conduct, een human resource beleid, accounting- en reportinginstructies of IT general controls. De indirecte controls mitigeren niet rechtstreeks risico’s, maar indien ze ineffectief zijn, verzwakken deze de effectiviteit van directe controls. De directe controls zijn overkoepelend en monitoren de effectiviteit van processen en beheersmaatregelen in de organisatie doordat ze zijn gericht op het detecteren van fouten en fraude. Voorbeelden van dergelijke monitoring controls zijn analyses van budget met werkelijke cijfers, KPI rapportages en analyse van grootboekrekeningen. Een sterke infrastructuur waarin beide type ‘company level controls’ gecombineerd zijn heeft een positief effect op de beheersing van risico’s en de mate waarin het management kan vertrouwen op de effectiviteit van de processen en beheersmaatregelen. Om deze reden worden de ‘company level controls’ in de beginfase van de aanpak beoordeeld. Ten aanzien van IT worden onder company level controls zowel de IT environment als de IT general controls gerekend. Een aantal voorbeelden van factoren die de IT environment beïnvloeden zijn: • niveau van IT in de markt waarin het bedrijf opereert; • gebruik van IT binnen de organisatie; • in welke mate het bedrijf steunt op de informatie systemen; • stabiliteit van IT systemen; • niveau van outsourcing van de informatiesystemen. IT general controls dienen te worden ontworpen voor elk relevant onderdeel van de IT-infrastructuur (hardware, soft-

21 | de EDP-Auditor nummer 3 | 2007

ware, netwerk en overigen) die de businessprocessen ondersteunen. Alleen díe onderdelen van de IT-infrastructuur dienen te worden beoordeeld waarvan IT application controls afhankelijk zijn. Binnen de Japanse richtlijnen wordt een aantal specifieke voorbeelden gegeven van IT general controls, te weten: • ontwikkeling en onderhoud van systemen; • beheer en administratie van systemen; • beveiliging van systemen zoals logische toegangsbeveiliging; • beheer van uitbestedingscontracten. Fase 3: Evalueren van ‘company level controls’

Tijdens de risicoanalyse krijgen jaarrekeningposten een hoog, midden of laag risicoprofiel toegewezen. Dit profiel geeft de kans weer dat deze post een materiële misstatement bevat. Voor wat betreft de posten met een midden en lage risicoprofiel kan de organisatie in een bepaalde mate steunen op ‘company level controls’, mits ze effectief zijn gebleken. Effectieve ‘company level controls’ verminderen namelijk de waarschijnlijkheid dat een risico zich voordoet, waardoor minder testwerkzaamheden nodig zijn op beheersmaatregelen op procesniveau (‘procescontrols’) voor de midden en lage risico posten. Fase 4: Vaststellen scope voor evaluatie procescontrols

In deze fase van de aanpak worden de resultaten van de risicoanalyse en de evaluatie van de ‘company level controls’ samengevoegd. Waar risico’s onvoldoende gemitigeerd zijn gebleken door ‘company level controls’, zullen controls moeten worden geïdentificeerd op locatie- en procesniveau. Vervolgens zal de effectiviteit van deze controls moeten worden getest. In deze fase wordt aangegeven welke ‘company level controls’ en procescontrols een gedetailleerde evaluatie moeten ondergaan om hun effectiviteit vast te stellen. In ieder geval moeten de controls in het Financial Statement Closing en Reporting proces worden geëvalueerd. Daarnaast dient men in principe een evaluatie uit te voeren op de procescontrols in de processen Verkopen, Debiteuren en Voorraden inclusief Inkoop. Dit moet in principe worden gedaan voor die bedrijfsonderdelen, inclusief hoofdkantoor, die gezamenlijk verantwoordelijk zijn voor een aanzienlijk gedeelte van de geconsolideerde omzet plus overige inkomsten. Hierbij wordt in de standaarden een dekking van 2/3 van de omzet als suggestie gegeven, mits de ‘company level controls’ effectief zijn gebleken. Indien de aard van de bedrijfsvoering afwijkend is en andere processen significant zijn in relatie tot de doelstellingen van de onderneming of de financiële rapportage, kunnen andere processen dan Verkopen, Debiteuren en Voorraden in scope zijn. Als laatste dienen procescontrols geëvalueerd te worden die gerelateerd zijn aan niet-routinematige transacties of waarvoor schattingen gedaan worden. Binnen alle bovenstaande processen kan in meer of mindere mate worden gesteund op IT application controls. In de

J-SOX richtlijnen worden IT application controls gedefinieerd als geautomatiseerde interne beheersmaatregelen ingebed in de bedrijfsprocessen om de betrouwbare verwerking en vastlegging van alle geautoriseerde transacties te waarborgen. Voorbeelden van IT application controls welke worden gegeven zijn: • controls voor het waarborgen van volledigheid, betrouwbaarheid en getrouwheid van input van informatie; • correctie van fouten en hernieuwd verwerken; • het beheer van masterdata; • toegangscontroles - authenticatie van het gebruik van systemen, controle op toegang zoals beperken van toegangsrechten op basis van afdeling binnen de organisatie. Fase 5: Vaststellen teststrategie voor evaluatie van procescontrols

Ook in de laatste fase heeft het management een belangrijke rol. Zij dient op basis van de risicoanalyse te bepalen welke controls op welke wijze, door wie en wanneer getest moeten worden. Er is een aantal factoren waarmee het management rekening moet houden om de optimale teststrategie vast te stellen en tegelijkertijd de betrouwbaarheid van de bewijsvoering te waarborgen: • Indien ‘company level controls’ effectief zijn gebleken voor lage en midden risico gebieden, kunnen voor deze gebieden minder procescontrols getest worden. • Het opnieuw uitvoeren van beheersmaatregelen of het beoordelen van documentatie van uitgevoerde beheersmaatregelen zorgt voor een sterkere bewijsvoering dan wanneer men de methode van observeren of navragen hanteert. • De benodigde ervaring, kennis, onafhankelijkheid en objectiviteit heeft invloed op de keuze wie de beheersmaatregelen test. Zo dienen bijvoorbeeld complexe beheersmaatregelen met betrekking tot schattingsposten door een persoon te worden getest, die onafhankelijk is ten opzichte van het proces en die voldoende materiekennis heeft. • In eerste instantie bepaalt de frequentie van de beheersmaatregel wanneer deze getest moet worden. Daarnaast is het voor het testen van beheersmaatregelen die meer dan één keer per jaar plaatsvinden, in ieder geval noodzakelijk de gehele audit periode af te dekken, maar wel nadruk te leggen op het testen van de beheersmaatregelen aan het einde van de periode. Voor IT application controls geldt, dat indien eenmalig is vastgesteld dat de IT application control werkt, hierop in volgende perioden gesteund kan worden. Voorwaarden zijn wel dat geen wijzigingen in de control zijn doorgevoerd, geen problemen of issues met de control zijn geweest en dat bijbehorende IT general controls als effectief zijn beoordeeld. Effectieve en efficiente aanpak door SOX ‘lessons learned’ Het implementeren van J-SOX vereisten zal in het eerste jaar veel tijd, inspanning en ervaring vergen. Gezien de overeenkomsten met SOX zal een aantal belangrijke lessen van SOX

22 | de EDP-Auditor nummer 3 | 2007

kunnen bijdragen aan een effectieve en efficiënte implementatie van J-SOX. Deze lessen zijn onder andere het top down risk based vaststellen van de scope, focus op company level controls (met name monitoring controls en IT general controls) en het bepalen van een efficiënte teststrategie. Daarnaast bleek bij SOX dat veel van de ‘herstelwerkzaamheden’ voor ineffectieve controls lagen op het gebied van IT general controls, beveiliging en toegangsrechten. Het herstellen van dergelijke ineffectieve controls vergt vaak meer tijd en expertise dan bij handmatige controls.

teerd zijn aan de Japanse beurs, inclusief mogelijke dochterondernemingen en deelnemingen gevestigd in Nederland. Al deze ondernemingen zullen een manier moeten vinden om te voldoen aan de J-SOX vereisten. De aanpak zoals beschreven in dit artikel geeft een algemene, wereldwijd gehanteerde werkwijze weer, die de vorm aanneemt van een duurzaam, effectief en kostenbeheersend proces ter naleving van J-SOX wetgeving. Tevens voorziet de aanpak in een verbetering van de effectiviteit en efficiëntie van de interne beheerssystemen van een onderneming. Conclusie

Ten slotte is gebleken dat het monitoren van de voortgang van het project en de status van herstelwerkzaamheden in het eerste jaar en het verankeren van het project in de organisatie in de daaropvolgende jaren kritieke succesfactoren zijn. J-SOX blijft, en het is daarom belangrijk om vanaf het begin aandacht te besteden aan de verankering in de organisatie. Toegevoegde waarde van de aanpak

Bovenstaande aanpak kan de komende jaren veel toegevoegde waarde opleveren voor ondernemingen die geno-

Binnen de richtlijnen die zijn opgesteld door de Japanse overheid zijn veel overeenkomsten te vinden met reeds bestaande interne beheerssystemen. Aanpakken die worden gehanteerd voor de jaarrekeningcontrole in Nederland en voor US SOX compliancy vertonen zeer veel gelijkenis met de aanbevolen werkwijze voor J-SOX. Ten aanzien van de IT-aspecten zijn op dit moment voor J-SOX geen gedetailleerde richtlijnen opgesteld. Er wordt verwacht dat vergelijkbaar met US SOX op basis van een risicoanalyse voor de desbetreffende organisatie wordt vastgesteld welk niveau van beheersmaatregelen is vereist. ■

ADVERTE NTI E

Vooruit denken

Erasmus Universiteit Rotterdam. Vooruit denken.

Strategie voor uw eigen toekomst Opleiding Executive Master IT-Auditing (EMITA) (RE) IT-Auditing richt zich op het beoordelen van en adviseren over de kwaliteit van de geautomatiseerde informatievoorziening. Onze opleiding IT-Auditing kenmerkt zich door aandacht voor de strategische inzet van IT en de rol van IT-auditors als ondersteuning van het topmanagement. Kernvakken zijn onder meer risk management en audittheorie. De opleiding duurt 2 jaar, maar accountants (RA) en Internal / Operational Auditors (RO) kunnen de opleiding in één jaar voltooien.

Opleiding Executive Master Internal / Operational Auditing (EMIA) (RO) Internal / Operational Auditing richt zich op meer dan beheersing alleen. De opleiding richt zich op het functioneren van de gehele management control cyclus. Vanuit de risico’s die het behalen van de organisatiedoelstellingen in de weg kunnen staan, onderzoekt de auditor de inrichting van de interne organisatie, inclusief de ‘zachte’ kant van beheersing. Het leervermogen van de organisatie krijgt daarbij ook aandacht. De opleiding duurt 2 jaar, maar voor accountants (RA), IT-auditors (RE) en Controllers (RC) bestaat de mogelijkheid de verkorte opleiding van één jaar te volgen. Rotterdam biedt u de mogelijkheid om in drie jaar twee postinitiële mastertitels te behalen. Het afronden van één van bovenstaande opleidingen geeft de mogelijkheid tot instroom in het tweede jaar van de andere opleiding, waarbij kan worden volstaan met één gemeenschappelijk slotexamen. Op deze wijze kunt u zich ontwikkelen tot een breed opgeleide management control auditor.

Denk vooruit en kijk voor meer informatie op www.esaa.nl 23 | de EDP-Auditor nummer 3 | 2007

Artikel

MiFID: zelfs bij ‘business as usual’ verandert veel IT processen van beleggingsondernemingen wijzigen door implementatie van EU Richtlijn Ivo Bolderhey en Floris IJpeij

Wie denkt dat marktwerking alleen iets is voor politici en marketeers, zal verrast opkijken van nieuwe Europese regelgeving, die binnenkort in Nederland van kracht wordt. Na het tijdperk van de milleniumbug en de introductie van de euro is er voor iedereen die betrokken is bij de IT van beleggingsondernemingen weer iets om mee aan de slag te gaan. Vanaf 1 novem-

M

iFID heeft tot doel beleggers te beschermen en financiële markten efficiënter te maken. Om dit te bereiken zijn eisen opgesteld over de wijze van bedrijfuitoefening en over de informatie die daarover aan beleggers en toezichthouders moet worden verstrekt. Dit grijpt rechtstreeks en waarschijnlijk diep in op de IT-omgeving van beleggingsondernemingen al zal in voorkomende gevallen deels gebruik kunnen worden gemaakt van aanpassingen ten behoeve van Sarbanes-Oxley en Basel II regelgeving.

ber 2007 wordt in Nederland nieuwe Europese wetgeving voor beleggingsondernemingen van kracht: 1

de Markets in Financial Instruments Directive (MiFID) .

De richtlijn is van toepassing op beleggingsondernemingen. Dit begrip is ruimer gedefinieerd dan voorheen, en omvat ondernemingen die financiële diensten uitvoeren voor derden of op professionele basis beleggingsactiviteiten ondernemen. Voorbeelden zijn: commissionairs, effectenmakelaars, vermogensbeheerders, hedge funds en commodity traders. Gemeenschappelijk kenmerk is dat zij in opdracht van derden op markten handelen in financiële instrumenten als aandelen, obligaties, opties, warrants, commodities, futures, etc. MiFID introduceert concurrentie voor de bestaande effectenbeurzen door introductie van de nieuwe handelsvormen Systematic Internalisation en Multilateral Trading Facility. Systematic Internalisation houdt in dat een beleggingsonderneming die zowel aan- als verkooporders van hetzelfde financiele instrument op hetzelfde moment op de beurs wil aanbieden, deze orders eerst intern probeert te matchen. Een Multilateral Trading Facility is een handelsplatform opgericht door een aantal partijen met als doel om onderling financiële instrumenten te verhandelen. In mei 2007 is in het Verenigd Koninkrijk onderzocht of beleggingsondernemingen verwachten op tijd klaar te zijn voor de ingangsdatum van 1 november 2007. Uit dit onderzoek bleek dat 60% verwacht niet op tijd klaar te zijn.2

Drs I.A.J. (Ivo) Bolderhey RE RA en drs F. (Floris) IJpeij RE CISSP zijn werkzaam bij Ernst & Young EDP Audit en zijn als specialist betrokken bij de assurance- en advieswerkzaamheden bij financiële instellingen. Zij maken deel uit van de multi-disciplinaire MiFID/Wft werkgroep van Ernst & Young en Holland Van Gijzen Advocaten, waarin samengewerkt wordt met specialisten op het gebied van Risk Management, Compliance en wet- en regelgeving. Dit artikel is geschreven op persoonlijke titel en vertegenwoordigt niet noodzakelijkerwijs het standpunt van Ernst & Young.

CobiT als hulpmiddel De strategische keuze om al dan niet van nieuwe handelsmogelijkheden gebruik te maken is in eerste instantie een beslissing van de ‘business’. De IT gevolgen van MiFID zijn aanzienlijk, zelfs wanneer geen gebruik wordt gemaakt van de nieuwe handelsfaciliteiten. Vanzelfsprekend zal de IT-impact van MiFID per beleggingsinstelling afhankelijk zijn van factoren zoals het business model, reeds gedane investeringen (in enterprise data, common systems, flexibele architectu-

24 | de EDP-Auditor nummer 3 | 2007

Als voorbereiding voor de activiteiten voor het domein Plan and Organise is in dit artikel in kaart gebracht op welke wijze MiFID de Business Requirements en de IT Resources beinvloedt. Met behulp van deze analyse kan verder invulling worden gegeven aan de processen in dit domein. De concrete invulling daarvan is afhankelijk van de specifieke situatie van een beleggingsonderneming.

8ki_d[iiH[gk_h[c[dji

"USINESS 0ROCESSES

#ONCEPTS

#LIENT

#LIENT #LASSIFICATION

0RE TRADE

#LIENT/RDER (ANDLING

%XECUTION

"EST%XECUTION

0OST TRADE

0OST 4RADE $ISCLOSURE 4RANSACTION 2EPORTING

2EPORTING

F[efb[

?d\hWijhkYjkh[

FheY[ii[i

7ffb_YWj_edi

?JFheY[ii[i

:ecW_di

?d\ehcWj_ed

[ i _jo [i dYo j_Wb _jo X_b_jo _WdY _b_jo h b d [ [d X j_l \\_Y_ \_Z[ dj[] lW_bW ecf [b_W Y [ ; 9ed ? H 7 9 ;\\ 

Nagenoeg alle MiFID-concepten hebben raakvlakken met IT omdat zij rechtstreeks invloed hebben op de bedrijfsprocessen die door applicaties en/of door IT infrastructuur worden ondersteund. Dit kan gepresenteerd worden door koppeling met de (sterk gesimplificeerde) operationele processen van een fictieve beleggingsonderneming, aangegeven met het grijze vlak.

$ATA2ETENTION

CobiT onderscheidt de volgende 4 domeinen: 1 Plan and Organise 2 Acquire and Implement 3 Deliver and Support 4 Monitor and Evaluate

/UTSOURCING

Om inzichtelijk te maken welke gevolgen de ‘business problems’ hebben voor de IT omgeving van een beleggingsonderneming is gekozen voor CoBIT vanwege de inmiddels uitgebreidde toepassing als open standaard voor goede IT control en IT governance.

• Efficiency: De voorziening van informatie via het optimale (meest productieve en voordelige) gebruik van middelen. • Confidentiality: de bescherming van gevoelige informatie van ongeautoriseerde openbaarmaking. • Integrity: de accuraatheid en volledigheid van informatie evenals de validiteit in context van bedrijfswaardes en verwachtingen. • Availability: Informatie is beschikbaar op het moment dat die benodigd is nu en/of in de toekomst voor bedrijfsprocessen, alsmede het waarborgen van de benodigde middelen en kennis. • Compliance: Het voldoen aan de wetten, regelgeving en contractuele verplichtingen waaraan het bedrijfsproces onderworpen is. • Reliability: Het voorzien van informatie aan het management voor het functioneren van de rechtspersoon en voor het uitoefenen van haar fiduciaire en governance verantwoordelijkheden.

#ONTINUITY

ren), en het algemene process maturity level. Voor de bespreking van aspecten in de vorm van concrete technologiëen, geldt dat technologiëen op zich geen oplossing zijn maar een hulpmiddel. In de woorden van P.J. Di Giammarino (co-chair van de MiFID IT group): ‘MiFID is a business problem [..] Technology-led arguments about what is needed for MiFID are doomed to failure’.3

-4&

0RE 4RADE 4RANSPARANCY

3)

0UBLIC&IRM 1UOTES

Deze fictieve beleggingsonderneming, die met zo min mogelijk aanpassingen MiFD compliant wenst te worden, is het uitgangpunt van de hierna gepresenteerde analyse.

7Yj_l_j_[i

i

hY[

ek [Y JH

?

Bron: CobiT mapping, Overview of International IT Guidance, IT Governance Institute, 2nd Edition.

Business Requirements De CobiT kubus onderscheidt voor Business Requirements de volgende kwaliteitsaspecten: • Effectiveness: Informatie is relevant en van belang voor het bedrijfsproces en is aangeleverd op een tijdige, correcte, consistente, en bruikbare wijze.

Client Classification Onder MiFID zijn beleggingsondernemingen verplicht klanten te categoriseren op basis van de inschatting die de klant heeft gemaakt van de kennis en ervaring omtrent beleggen (van particulier tot eligable counterparty: grote, specifiek aangewezen tegenpartij). Aan de verschillende categorieën kunnen verschillende niveaus van bescherming worden ontleend. De klanten moeten deze indeling bevestigen aan de onderneming. Deze indeling is geen vast gegeven: klanten kunnen op verzoek – dat overigens door de beleggingsonderneming kan

25 | de EDP-Auditor nummer 3 | 2007

Reliability

√

Compliance

√

Availability

Integrity

Client Classification

Confidentiality

Efficiency

Effectiveness

worden afgewezen – in een andere groep worden opgenomen. Dit kan per financieel instrument en zelfs per order worden aangegeven, zodat voor een individuele klant ten minste één, maar wellicht een aantal risicoprofielen bestaat. Belangrijk aandachtspunt is derhalve de integriteit van de data omdat klantgegevens veelal op verschillende afdelingen worden bijgehouden en bij de uitvoering van iedere regel van een klantorder zal moeten worden vastgesteld wat de in aanmerking komende classificatie is.

√

Wat doet een beleggingsonderneming? Een beleggingsonderneming beheert het vermogen van een derde. Deze ruime omschrijving omvat een veelheid aan verschijningsvormen. Het vermogen kan door een vermogensbeheerder van de beleggingsonderneming worden belegd (bijvoorbeeld een adviseur van een bank) of door de klant zelf (bijv. bij internetbeleggen). Voor iedere klant worden afspraken gemaakt over welke werkzaamheden worden uitgevoerd en welke vergoeding daar tegenover staat. Dit is het proces Client.

Client Order Handling Alle beleggingsondernemingen worden verplicht een eigen orderuitvoeringsbeleid (Client Order Handling) te formuleren als onderdeel van de Conduct of Business (CoB). Het doel van deze regels is het voor beleggers transparant maken van het totale proces waarin opdrachten worden uitgevoerd. Dit zijn dus zelf opgestelde kaders, rekening houdend met de MiFID-eisen voor de uitvoering van klantenorders. Een van de nieuwe eisen is dat orders van klanten zo snel mogelijk en zo goed mogelijk moeten worden uitgevoerd en afgehandeld. Dit heeft direct invloed op het gewenste niveau van beschikbaarheid en betrouwbaarheid, en actualiteit van de systemen die deze informatiestromen genereren. De beleggingsonderneming mag zelf invulling geven aan het begrip ‘zo snel mogelijk’. Voor de bewaking ligt voor de hand dat er een beheersingsmechanisme wordt ingericht dat continue volgt of aan deze eis wordt voldaan en bij verstoring zorgt voor uitwijk naar een ander systeem. Beleggingsondernemingen moeten bij de communicatie met klanten de volgende randvoorwaarden in acht nemen: • de informatie wordt aangeboden via een duurzaam medium; • de informatie die over de verschillende kanalen wordt verspreid is consistent; • de gepubliceerde informatie is betrouwbaar en wordt continu gecontroleerd op fouten; • de informatie (ten behoeve van het vastleggen van bewijsmateriaal) is volledig.

Op enig moment wordt, hetzij door de portefeuillemanager, hetzij door de cliënt zelf, een transactie geïnitieerd. In het proces Pre-trade worden de details van de transactie uitgewerkt. Hierbij gaat het onder andere om welk financieel instrument, koop of verkoop, tegen de op dat moment geldende koers of tegen limietkoers en eventuele andere voorwaarden. In het proces Execution wordt de order uitgevoerd door op een beurs een tegenpartij te zoeken die tegen dezelfde voorwaarden

Op de beleggingsonderneming rust een uitgebreide informatieplicht. Op het moment dat er voor de klant iets verandert aan het kader waarbinnen zijn transacties worden uitgevoerd, hetzij een wijziging van het orderuitvoeringsbeleid, hetzij een actualisering van het risicoprofiel van die klant, moet de klant hiervan op de hoogte worden gesteld. Daarnaast moeten nieuwe cliënten vooraf instemmen met het orderuitvoeringsbeleid.

een tegengestelde transactie wil doen. Beide partijen bevestigen de transactie aan elkaar. Bij effectentransacties vindt vervolgens clearing plaats. Effecten worden niet gehouden door de beleggers zelf maar door zogenoemde custodians. De nieuwe eigenaars moeten door deze custodians worden geregistreerd.

De wijzigingen op het gebied van client order handling hebben voornamelijk betrekking op een aanscherping van de regels inzake limietorders en verzamelorders.4 Limietorders welke niet direct uitgevoerd kunnen worden, dienen gepubliceerd te worden om andere marktdeelnemers te informeren.

Client Order Handling

√

√

Reliability

beleggingsonderneming een of meer processen outsourcen. Een

Compliance

continuïteit van de systemen en gegevensopslag. Ook kan een

Availability

neming maatregelen moet hebben getroffen op het gebied van

Integrity

Voor alle bovenstaande processen geldt dat de beleggingsonder-

Efficiency

voor de rapportering aan toezichthouders.

Effectiveness

tigd. Het proces Transaction reporting is een specifiek MiFID proces

Confidentiality

In het Post-trade proces wordt de transactie aan de cliënt beves-

√

√

√

√

vergaande vorm van outsourcing is Business Process Outsourcing (BPO) waarbij nagenoeg alle werkzaamheden in de processen Exection en Post-trade aan een derde partij worden overgedragen.

Best Execution Een belangrijk nieuw concept is ‘best execution’. Introductie van dit concept is een direct gevolg van het feit dat de

26 | de EDP-Auditor nummer 3 | 2007

√

√

√

Reliability

Compliance

Confidentiality

Availability

√

Integrity

Post-Trade Disclosure

Efficiency

Effectiveness

Compliance

Reliability

Transaction Reporting

Availability

Post-trade Disclosure MiFID vereist dat alle ondernemingen (de juiste) handelsinformatie binnen drie minuten na uitvoering van de order vrijgeven. Naast tijdigheid van publicatie hebben beleggingsondernemingen tevens de verplichting om consolidatie met vergelijkbare data van andere bronnen te faciliteren. Verder bestaan expliciete eisen aan de integriteit van post trade publicaties aan klanten, waaronder verificatie van genomen stappen ter waarborging van betrouwbaarheid van gepubliceerde informatie, evenals de monitoring en correctie van fouten in de rapportages. Tenslotte worden beschikbaarheideisen voor publicatie van post-trade informatie genoemd.

Integrity

√

Confidentiality

√

Efficiency

√

Vergelijkbaar aan posttrade rapportages, worden aan transactierapportages en aan de methode waarop deze totstandkomen, specifieke kwaliteitseisen gesteld. Deze eisen hebben betrekking op het waarborgen van de betrouwbaarheid en additioneel de confidentialiteit.

Effectiveness

Reliability

√

Compliance

√

Availability

Best Execution

Integrity

De elementen van de rapportage aan toezichthouders en elementen die genoemd worden in de rapportage aan klanten, moeten onderling consistent zijn. Voorts zal moeten worden nagegaan welke maatregelen nodig zijn om de continuïteit van verstrekking van deze rapportage te waarborgen. Hoewel er geen concrete invulling aan het begrip ‘tijdig’ is gegeven, kan uit de context worden afgeleid dat wanneer een periode vanaf drie minuten als uitstel wordt aangemerkt dit nagenoeg a tempo zal moeten gebeuren op systemen die nagenoeg continu beschikbaar zijn. De organisatie vult overigens zelf in wat zij in dit verband onder ‘tijdig’ verstaat en legt dit vast in de Conduct of Business.

Confidentiality

Een tweede aspect van best execution betreft het aan kunnen tonen dat het orderuitvoeringsbeleid goede waarborgen biedt voor beste uitvoering van de orders. Hierbij ligt het voor de hand dat beleggingsondernemingen de uitvoering zullen monitoren en waar nodig tekortkomingen verhelpen. Beheersingsaspecten die hierbij een rol spelen zijn beschikbaarheid, actualiteit, juistheid en volledigheid van de gegevens van de order zelf en alle informatie die daaraan ten grondslag ligt.

Efficiency

Transaction Reporting In Nederland houdt de Autoriteit Financiële Markten (AFM) toezicht op de financiële markten om o.a marktmanipulatie, handel met voorkennis tegen te gaan. De AFM heeft in (concept)verordeningen geformuleerd welke details van individuele financiële transacties, ook transacties die via een MTF of een SI zijn uitgevoerd, moeten worden gerapporteerd in een overigens door de beleggingsonderneming te kiezen formaat. In Annex 1 van the MiFID Implementing Directive 2004/39/EC wordt een opsomming gegeven van de inhoud van de transactierapportages, waaronder identificatie van rapporterende onderneming, instrument, handelsplatform, tijdstip en prijs. Bij buitenpropor tioneel grote orders kan uitstel worden verkregen, variërend van een paar minuten tot een dag. Momenteel is voor Nederland nog niet bekend welke marktpartijen gaan rapporteren aan de AFM.

Effectiveness

huidige gereguleerde markten als Euronext straks concurrentie zullen ondervinden van Sytematic Internalisers en van Multilateral Trading Facilities. Op flexible wijze zal voor iedere order(regel) gezocht moeten worden naar de best mogelijke deal op de in aanmerking komende markten, volgens de wensen van de klant die bij de orderuitvoering bekend zullen moeten zijn. Dit geeft een geheel nieuwe inhoud aan de begrippen efficiency en effectiviteit van de orderuitvoering. De prijs zal in de meeste gevallen van doorslaggevend belang zijn, maar ook andere factoren zijn denkbaar zoals snelheid en zekerheid van clearing. Beleggingsondernemingen zijn zelf verantwoordelijk voor het definiëren van het best execution beleid. Om zo goed mogelijk geïnformeerd te raken zullen beleggingsondernemingen data van verschillende aanbieders aankopen en deze consolideren in een standaardoverzicht.

√

√

√

√

√

Algemene concepten die het totale proces ondersteunen Er zijn een drietal MiFID concepten die alle processen van een beleggingsonderneming raken of die geen betrekking hebben op een specifiek proces: • continuity • outsourcing • data retention Deze concepten worden hierna toegelicht. Continuity

Beleggingsondernemingen moeten zorgen dat beleggingsdiensten zonder noemenswaardige onderbreking kunnen

27 | de EDP-Auditor nummer 3 | 2007

Reliability

√

Compliance

Integrity

√

Availability

Confidentiality

√

Efficiency

Effectiveness Outsourcing

Integrity

Availability

Compliance

√

√

√

Reliability

Confidentiality √

Client Classification Client Order Handling

√

√

Best Execution

√

√

Post-Trade Disclosure

√

√

Transaction Reporting

√

Data Retention

√

√ √

√

√

√

√

√

√

√

√

√

√

√

√

√

Continuity Outsourcing

Reliability

√

Compliance

√

Availability

Integrity

Samenvatting Business Requirements In de voorafgaande tekst zijn de eisen van MiFID besproken en uit de analyse blijkt dat er verschillende aspecten van de CobiT Business Requirements van toepassing zijn. In bijgaande tabel is deze samengevat.

Outsourcing

Als de uitvoering van operationele taken door een derde partij wordt overgenomen, moeten maatregelen worden getroffen die tot doel hebben het operationele risico te beperken. Omdat uitbesteding geen afbreuk mag doen aan de kwaliteit van de interne controle en geen belemmering mag vormen voor de werkzaamheden van toezichthouders (zowel AFM als DNB) blijft de beleggingsonderneming verantwoordelijk voor alle diensten die worden uitbesteed aan derden. De MiFID-eisen zullen derhalve moeten worden overgenomen in het uitbestedingscontract (service level agreement), bijvoorbeeld tijdige rapportage aan toezichthouders. De beleggingsonderneming zal de uitvoering van de werkzaamheden moeten monitoren en controleren.

Efficiency

Effectiveness Data Retention

Confidentiality

√

Dit zal resulteren in een nieuwe aanpak voor het onderhouden van data: de gegevens zullen een compleet overzicht laten zien van (1) een correcte behandeling van de cliënt, (2) een track record van beste executie, routing, clearing en settlement en (3) het afhandelen van disputen.

Efficiency

√

Reliability

Compliance

Continuity

Availability

Integrity

Confidentiality

Efficiency

Effectiveness

Deze hernieuwde afweging zal gevolgen hebben voor de aard en de frequentie van back-ups, voor de inrichting van data recovery- en uitwijkprocedures. Belangrijke datacommunicatieverbindingen (zoals naar de beurs of andere handelsplatformen) zullen wellicht dubbel moeten worden uitgevoerd. Alle overwegingen en de voorgestelde maatregelen hieromtrent kunnen in een business continuity plan worden vastgelegd. De verwachting is dat hogere eisen aan de fysieke beveiliging van serverruimtes en co-locations worden gesteld om de kans op uitval door waterschade, stroomuitval en dergelijke verder te beperken.

Bijvoorbeeld alle telefonische orders moeten minimaal een jaar bewaard worden. In dit verband moet ook aandacht worden besteed aan de wijze waarop prijsdata en transactiedata worden bewaard in verband met aantoonbaarheid van best execution eis.

Effectiveness

worden geleverd. Dit is momenteel al vereist volgens de Nadere Regelingen, zowel voor prudentieel toezicht door De Nederlandsche Bank (DNB) als voor gedragstoezicht door de AFM. Nieuw is wel dat de MiFID meer gedetailleerde en ook kwalitatieve eisen stelt, onder andere aan snelheid waarmee rapportages worden verstrekt. Deze nieuwe regels zullen een heroverweging noodzakelijk maken van de huidige invulling van het begrip IT-continuity.

√

√

√

√

√

√ √

√

De MiFID concepten raken alle verschillende aspecten van de business requirements. Vanwege het feit dat het om aanpassing aan wetgeving gaat, is de kolom compliance voor alle concepten ingevuld.

√

Data Retention

De regels onder de MiFID stellen verdergaande eisen aan de opslag van data. Afhankelijk van het type onderneming en het soort informatie geldt een termijn van één tot vijf jaar. 28 | de EDP-Auditor nummer 3 | 2007

IT Resources IT Resources vormen de tweede invalshoek van de CobiT kubus. 8ki_d[iiH[gk_h[c[dji

F[efb[

?d\hWijhkYjkh[

FheY[ii[i

7ffb_YWj_edi

?JFheY[ii[i

:ecW_di

?d\ehcWj_ed

[ o b_jo ii Yo _b_j b_WdY X_b_jo j_W _jo d d[ l[ \_Y_[ _Z[d j[]h W_bWX f _ _W j b c [Y ;\ ed\ ?d 7l 9e H[ ;\\ 9

7Yj_l_j_[i

i

hY[

ek [Y JH

?

hiervoor een koppeling aan te brengen tussen het CRM systeem en het orderexecutiesysteem. Zonder deze koppeling, zal tenminste dienen te worden ingeregeld dat traders voor het benodigde inzicht in klantclassificatie, de corresponderende leesrechten in CRM systemen hebben. Speciale aandacht dient besteed te worden aan de verplichting klanten te informeren over de classificatie, het verkrijgen van instemming van de klant, mogelijke klantverzoeken voor een andere classificatie, beslissingen van beleggingondernemingen over dergelijke verzoeken, en de wijze waarop het juiste niveau van bescherming wordt geboden. Vanuit de beleggingsonderneming betekent dit het inrichten van processen en systemen voor het bijhouden van gedetailleerde informatie. Als specifieke technologie worden hier document management en workflow systemen genoemd voor het traceren van klantcommunicatie en beheer van verplichte documentatie.

Over de people dimensie kan in algemene zin worden opgemerkt dat IT-personeel op de hoogte moet worden gebracht van de nieuwe eisen die aan de IT-omgeving worden gesteld. De zwaardere eisen stellen op hun beurt hogere eisen aan de deskundigheid van IT-personeel. Dit kan met name een knelpunt worden bij kleinere ondernemingen, bijvoorbeeld kleine vermogensbeheerders die één à twee medewerkers in dienst hebben voor IT-beheer. Verder zal moeten worden overwogen of het MiFID implementatieproject door eigen of door ingehuurd personeel wordt uitgevoerd.

People

Client Classification

Infrastructuur

Hierbij worden onderscheiden: • Applications: geautomatiseerde en handmatige processen die informatie verwerken; • Information: data die ingevoerd worden (in welke vorm dan ook), verwerkt en als output gepresenteerd door informatiesystemen, • Infrastructure: technologie, hardware, operating systems, DBMS, netwerk, etc. die het mogelijk maken om applicaties te laten draaien, • People: het personeel benodigd voor het plannen, organiseren, verkrijgen, implementeren, opleveren, ondersteunen, monitoren en evalueren van informatiesystemen en –diensten. Zij kunnen in dienst zijn, uitbesteed of ingehuurd, afhankelijk van de behoefte.

Information

IT Governance Institute, 2nd Edition.

Applications

Bron: CobiT mapping, Overview of International IT Guidance,

√

√

√

√

Client Order Handling Limietorders welke niet direct uitgevoerd kunnen worden, dienen gepubliceerd te worden om andere marktdeelnemers te informeren. Voor zover nog niet aanwezig dienen beleggingsondernemingen deze presentatielaag aan te brengen. Gezien de uitgebreide informatieplicht en benodigde instemming van de klant met het orderuitvoerings-beleid, kunnen (workflow) systemen naleving van deze verplichting ondersteunen. Hierbij valt te denken aan applicatieve controles die vóór uitvoering van een order nagaan of de vereiste toestemming aanwezig is en de vereiste informatieverstrekking heeft plaatsgevonden. Vanuit de randvoorwaarden voor communicatie met klanten (consistentie, betrouwbaarheid, volledigheid, etc) ligt het aanbieden van deze informatie vanuit één centrale bron hierbij voor de hand. Indien van verschillende bronnen gebruik wordt gemaakt kunnen ter bewaking van onderlinge consistentie geautomatiseerde consistentiecontroles worden toegepast.

29 | de EDP-Auditor nummer 3 | 2007

People

Client Order Handling

Infrastructuur

En klant kan, op verzoek, worden ingedeeld per type product en/of transactie. Het ligt derhalve voor de hand

Information

In de context van de vernieuwde classificatie-categorieen zullen beleggingsondernemingen de bestaande klanten opnieuw in moeten delen, waarvoor in de regel ook geautomatiseerde systemen worden aangepast.5

Applications

Client Classification

√

√

√

√

Best Execution De belangrijkste aanpassingen ten opzichte van de huidige functionaliteit van handelsapplicaties is de best execution eis. Volgens deze eis moeten beleggingsondernemingen orders van klanten op de best mogelijke manier uitgevoeren en dit moet achteraf ook aangetoond worden. Handelsapplicaties moeten nu in plaats van één overzicht met prijsinformatie in de vorm van bied- en laatkoersen en overige voorwaarden, een overzicht van alle in aanmerking komende handelsplatformen tonen. Een gedetailleerde audit trail van de ‘order life-cycle’ is nodig, inclusief alle prijsinformatie en overige voorwaarden van de niet gekozen handelsplatformen op het moment van de trade. Hierbij is een belangrijke rol weggelegd voor order management systemen (OMS), gekoppeld met marktdata feeds en algoritmische handelsystemen. De OMS moeten schaalbaar zijn zodat ze de toegenomen hoeveelheid informatie over de additionele handelsplatformen, volumes van prijsupdates, en transacties aankunnen. Een overstap naar een dergelijk geïntegreerd systeem kan een grootschalige systeemmigratie tot gevolg hebben. Voor decentrale, tussentijdse oplossingen kan (aanwezige) informatie in een koerssysteem en informatie in een handelssysteem gezamenlijk opnieuw worden beoordeeld. Bijvoorbeeld door middleware of door samenvoeging in een datawarehouse moet gelijktijdige opslag mogelijk worden gemaakt. Orderexecutie zal naar verwachting meer en meer volgens algoritmische handelsystemen worden uitgevoerd. Hierbij wordt de ‘beste’ uitvoering volgens van te voren ingestelde parameters automatisch bepaald. Uit ervaringen met Sarbanes Oxley implementatietrajecten is gebleken dat geprogrammeerde controles als sterker worden ervaren dan handmatige controles. Het is dan ook de verwachting dat steeds meer ondernemingen zullen overstappen op algoritmische

Wat is algorithmic trading? Algorithmic trading, ook wel algo, automated, black box of robo trading genaamd, is het gebruik van software waarin algoritmes zijn opgenomen die een beslissing nemen over bepaalde aspecten van een order zoals de timing, prijs of de te verhandelen hoeveelheid. Het wordt veelal gebruikt door pensioenfondsen en andere institutionele beleggers om aan- of verkopen op te delen in kleinere porties om zodoende koersschommelingen te beperken. Hedge

handelssystemen. De vraag blijft overigens wel of het algoritmisch handelen ook aantoonbaar het beste is of dat het fingerspitzengefühl van handelaren iets is dat automatisering niet kan overnemen. Beleggingsondernemingen zijn verantwoordelijk voor het aantonen van de naleving van het best execution beleid. Essentieel in deze context is de aanwezigheid van monitoring tools die dit proces bewaken. Als specifieke technologie wordt in deze context Business Activity Monitoring (BAM)7 vermeld, waarbij via dashboards inzicht in key perfomance indicators het monitoren van compliance processen plaats kan vinden. Voor wat betreft de eisen die aan de verzameling, aggregatie, historie en reconstructie van informatie worden gesteld, lijkt het voor de hand te liggen om gegevens centraal op te gaan slaan. Transactiedata moeten ten minste 5 jaar worden bewaard en moeten op verzoek direct voor de toezichthouder kunnen worden gereproduceerd op een zodanige wijze dat iedere fase van het orderverwerkingsproces kan worden getoond. Voor beleggingsondernemingen met vestigingen in meerdere landen en verschillende transactie- en backofficesystemen kan het oplossen van het probleem van verschillende business en data silo’s een belangrijke uitdaging vormen.8 Een mogelijke oplossingsrichting is het maken van een zogenoemde ‘golden copy’ van reference data binnen een centraal, robuust en schaalbaar datamanagementplatform over landsgrenzen en functies heen. Dergelijke ‘Enterprise Data Management’ systemen (EDM)9 verschillen van data warehouses vanwege additionele dataschoningsmaatregelen. De EDM’s moeten ook beschikken over een audit trail functionaliteit tussen de ‘golden copy’ en de locale data. Voordat implementatie van een dergelijk systeem zal worden overwogen zullen maatregelen op de korte termijn moeten worden getroffen, bijvoorbeeld in de vorm van data linkage. Hierbij worden onderlinge verwijzingen naar data in andere silo’s aangebracht. Op het gebied van informatie worden beleggings-ondernemingen geconfronteerd met veranderde datamodellen of -structuren, nieuwe of veranderde marktdatasystemen, en zullen nieuwe informatieuitwisselingsstandaarden moeten worden geadresseerd. Naar mate het aantal handelsfaciliteiten en het algoritmisch handelen uitbreidt, is een uitbreiding van marktdata te verwachten. Dit verhoogt de noodzaak van een adequaat proces rondom reference data management evenals de technische schaalbaarheid.

fondsen gebruiken algorithmic trading om op basis van electro-

transacties in 2006 op de London Stock Exchange op basis van algorithmic trading.6

Best Execution

30 | de EDP-Auditor nummer 3 | 2007

People

beurs met schermenhandel. Naar schatting was 40% van alle

Infrastructuur

volledig automatisch gehandeld worden, mits er sprake is van een

Information

ondersteuning aan een dealer worden aangeboden of er kan

Applications

nisch ontvangen informatie te handelen. Deze informatie kan ter

√

√

√

√

3TRAIGHT4HROUGH0ROCESSING $ATA6ENDOR

4RADINGPLATFORM

#LEARING3YSTEEM

3TRAIGHT4HROUGH &RONT/FFICE 0ROCESSING

"ACK/FFICE

)NVESTOR

#USTODIAN

'ENERAL,EDGER

2EGULATOR

Verder kan worden overwogen om meetsystemen te implementeren waarin de tijdigheid van publicatie van iedere gepubliceerde boodschap wordt bewaakt. Aanvullende procedures regelen de te nemen maatregelen voor het geval vertraging optreedt. Naast tijdigheid van publicatie hebben beleggingsondernemingen tevens de verplichting om consolidatie met vergelijkbare data van andere bronnen te faciliteren. In deze context vormt standaardisatie van zowel de inhoud van berichten als gebruikte protocollen een belangrijke randvoorwaarde c.q. uitdaging. Voor de interfaces tussen (interne) bronsystemen en de systemen die de handelsdata publiceren, is het van belang dat de message en transport protocollen compatible zijn. De genoemde eisen aan de integriteit van post trade publicaties aan klanten impliceren voor beleggings-ondernemingen een uitbreiding van de test- en acceptatieprocedures als onderdeel van het change management proces. Vanuit het oogpunt van betrouwbaarheid is naast beperkte toegang tot report generators tevens de beveiliging van de presentatielaag van belang. Voor situaties waar beleggings-ondernemingen publicatie van handelsinformatie uitbesteden aan externe service providers, dienen betrouwbaarheidseisen onderdeel uit maken van service management afspraken.

Infrastructuur

People

Post-Trade Disclosure

Information

Het verder automatiseren van het orderuitvoerings- en verwerkingsproces kan de efficiency van publicatie van informatie verhogen. Dit introduceert tegelijkertijd een belangrijk geautomatiseerd controlemiddel. Door middel van Straight Through Processing (STP), het automatisch verwerken van orders zonder menselijke interventie, kunnen orders worden afgestemd met de bevestiging van de tegenpartij en worden aangesloten met opgaven van een custodian (zie onderstaande figuur).

De beschikbaarheideisen voor publicatie van post-trade informatie introduceren de noodzaak van een ‘fault tolerant’ presentatielaag. Hierbij valt te denken aan het inbouwen van redundantie in systemen die de handelsdata publiceren en redundantie in de interfaces.

Applications

Post-trade Disclosure MiFID vereist dat alle bedrijven hun handels-informatie zo snel mogelijk, maar in ieder geval binnen drie minuten na uitvoering van de order vrijgeven. Gelet op de snelheid waarmee informatie voortaan moet worden gepubliceerd, is de geautomatiseerde controle op de betrouwbaarheid (aannemelijkheid) van de rapportages van belang, alsmede de continue beschikbaarheid van rapportagesystemen.

√

√

√

Transaction Reporting Beleggingsondernemingen moeten het effect van MiFID op bestaande rapportagesystemen evalueren. Zo moet worden nagegaan of de huidige handelssystemen alle relevante details vastleggen en of deze informatie exporteerbaar is. Ook ingetrokken transacties moeten worden gerapporteerd en voor alle transacties geldt dat de unieke geharmoniseerde code van het handelsplatform moet worden vermeld. De rapportage dient zo snel mogelijk te worden aangeleverd. Hierdoor zullen organisaties de voorkeur geven aan het automatisch genereren van rapportages op transactieniveau. De voornaamste uitdaging ligt op het vlak van het aanpassen van systemen om aan de toezichthouder (of wellicht toezichthouders) te kunnen rapporteren.10 Hierbij is het van belang onderscheid te maken tussen de aan te leveren informatie, de totstandkoming ervan, en de wijze van aanlevering aan de toezichthouders. Beleggingsondernemingen kunnen besluiten om de publicatie van transactierapportages uit te besteden aan externe service providers, eventueel in combinatie met pre- of post trade transparancy reporting. Vergelijkbaar met post-trade reporting geldt voor deze situaties dat kwaliteitseisen onderdeel dienen uit te maken van service level management afspraken. Vergelijkbaar aan posttrade rapportages, worden aan transactierapportages en aan de methode waarop deze totstandkomen, specifieke kwaliteitseisen gesteld. Deze eisen hebben betrekking op het waarborgen van de betrouwbaarheid en additioneel de vertrouwelijkheid. Tevens dienen mechanismen aanwezig te zijn voor identificatie en correctie van fouten in de transactie logs. Voor de impact die de kwaliteitseisen rondom betrouwbaarheid hebben wordt verwezen naar de paragraaf over posttrade disclosure. Voor de additionele eisen rondom vertrouwelijkheid van transactie rapportages kunnen zowel organisatorische (data classificatie, need to know principe) als technische (logische toegangsbeveiliging, lijn-encryptie) beheersmaatregelen genomen worden.

31 | de EDP-Auditor nummer 3 | 2007

People

√

Infrastructuur

√

Information

People

√

Samenvatting IT Resources In onderstaande tabel zijn de MiFID eisen samengevat met de CobiT IT-Resources.

Applications

Infrastructuur

Transaction Reporting

Information

Applications

Beleggingsondernemingen dienen preventieve maatregelen te nemen voor tijdig herstel van rapportages in geval van systeemfouten. Deze beschikbaarheideisen introduceren de noodzaak van redundantie in zowel de rapportagesystemen als in de corresponderende interfaces met de toezichthouder(s). Voorts moeten maatregelen genomen worden op infrastructuurniveau ten behoeve van de authenticatie van de toezichthouders.

Client Classification

√

√

√

√

Client Order Handling

√

√

√

√

Best Execution

√

√

√

√

Post-Trade Disclosure

√

√

√

Transaction Reporting

√

√

√

√

√

Continuity

Overige factoren

Outsourcing

Continuity

Beleggingsondernemingen zijn verplicht om een adequate business continuity policy op te stellen, op regelmatige basis de effectiviteit hiervan te evalueren, en adequate maatregelen te treffen om tekortkomingen te adresseren. Outsourcing

Daar waar de beleggingsonderneming sterk afhankelijk is van derden, bijvoorbeeld bij Business Process Outsourcing, zal aanvullende zekerheid moeten worden verkregen dat de MiFID-eisen daadwerkelijk zijn geoperationaliseerd. Hiertoe kan een zogenoemde SAS 70-verklaring uitkomst bieden. Data Retention

Infrastructuur

People

Continuity

Information

Applications

Beleggingsondernemingen moeten de huidige opslagcapaciteit en de netwerkcapaciteit evalueren om vast te stellen dat zij de toename van dataopslag kunnen verwerken. Een aandachtspunt in dit verband is traceerbaarheid. De lange bewaarperiode kan een grote invloed hebben op de mogelijkheid een individueel gegeven na langere tijd terug te vinden. Het is zeer wel denkbaar dat binnen de bewaartermijn van vijf jaar gebruik wordt gemaakt van de diensten van andere softwareleveranciers, andere standaarden van toepassing zijn of vanuit andere locaties wordt gewerkt, of dat wellicht de gehele infrastructuur vervangen is.

√

√

Outsourcing Data Retention

√ √

√

Data Retention

√ √

√

De MiFID concepten raken alle aspecten van IT-Resources. De concepten Client order handling en Best Execution hebben (grote) impact op de applicaties. Vrijwel alle concepten zullen aanpassingen in de IT-infrastructuur tot gevolg hebben en zoals reeds eerder is aangegeven zal ook terdege aandacht moeten worden besteed aan het aspect personeel. Conclusie De invoering van MiFID verandert de financiële markten aanzienlijk door transparantie-eisen en vergroting van de efficiëntie van financiële markten. Door de verruimde definitie van beleggingsondernemingen zullen meer ondernemingen onder toezicht van AFM en DNB komen te staan. Hoe de MiFID concepten vertaald worden in beleid van een beleggingsonderneming is primair de keuze van het management. Informatietechnologie is in dit keuzeproces een cruciale ondersteunende factor, maar geen doel op zich. In dit artikel is een eerste aanzet gegeven voor de analyse van de IT-gevolgen bij zoveel mogelijk ongewijzigd beleid. Hierbij is CobIT als hulpmiddel gebruikt en kan worden geconclueerd dat: • de business requirements vrijwel zonder uitzondering een hoog IT-gehalte hebben, dat wil zeggen dat uitsluitend met behulp van informatiesystemen aan de eisen kan worden voldaan. • uit de analyse van IT-Resources blijkt dat deze aanpassingen in applicaties, IT-infrastructuur, en informatieverwerking, talrijk en ingrijpend zijn. De concrete uitwerking van deze analyse zal per onderneming verschillen. Wat echter vast staat is dat het implementatietraject op 1 november 2007 afgerond dient te zijn daar

32 | de EDP-Auditor nummer 3 | 2007

deze datum in wetgeving is vastgelegd. En zo draagt marktwerking bij aan de invulling van de agenda van de CIO in de komende maanden. ■

4 AFM - Markets in Financial Instruments Directive (MiFID).

N0ten

6 Wikipedia: Algortihmic trading.

3 Have you understood the impact of MiFID on your 2006 IT budget? Author: P.J. Di Giammarino, www.company-i.com/iwire01/mifid.cfm. 5 AFM - Markets in Financial Instruments Directive (MiFID).

1 De Ministerraad heeft in mei 2007 ingestemd met een Wetsvoorstel van de Minister van Financiën voor de implementatie van MiFID in Nederlandse wetgeving. Dit zal naar verwachting gebeuren door een

7 Bearing Point (Alan Jenkins and Murat Erder), The Technical Implications of MiFID With A Focus on Sell-Side Firms, White Paper 2006.

uitbreiding van de Wet op het financieel toezicht. Vanwege het ont-

8 The MiFID IT challenge, finextra.com.

breken van definitieve Nederlandse wetgeving is in dit artikel uitge-

9 GoldenSource Corporation (Paul Kennedy), Will Enterprise Data Management Delever the Competitive Edge for MiFID? GTnews

gaan van de tekst van de Richtlijn zoals die door de Europose Commissie is uitgebracht en van de toelichtingen van het Committee

14 May 2007. 10 AFM. Transaction Reporting Mifid art. 25 Consultation & Information

of European Securitues Regulators (CESR). 2 Preparing IT for MiFID, the Benefits of Business Process Management

Session.

Software. Wendy Cohen. GTnews 14 May 2007.

ADVERTE NTI E

33 | de EDP-Auditor nummer 3 | 2007

Artikel Is het een bevlieging? Fictie of een Feit?

Grid computing Wijnand Wellink

Grid computing is een term die al ruim acht jaar wordt gebruikt. In die acht jaar is het concept gedevalueerd van the “Next Big Thing”, naar een “hype” en uiteindelijke is het afgeschreven (1, Gartner, 2006).

D

e vraag rijst waarom het interessant is nog over grid computing te schrijven. Een reden zou kunnen zijn dat nieuwe technologieën die in grid omgevingen worden toegepast, sterk aan het opkomen zijn. Hierbij kan bijvoorbeeld worden gedacht aan Service Oriented Architectures (SOA’s), de nauw daaraan gerelateerde Web services en onbeperkte bandbreedte door de beschikbaarheid van glasvezel Internet verbindingen. Een ander belangrijk argument is het vertrouwen dat ontwikkelaars, academici en het bedrijfsleven hebben in de toekomst van grid computing. Zonder grid is het bijvoorbeeld niet mogelijk om een 2 Gbyte email dienst van Google Inc. (Gmail.com) te hebben voor miljoenen gebruikers en al helemaal niet Google (2, Brin/page 1998). Vooral IT Auditors zullen in de toekomst grid systemen tegenkomen in hun werk. Naast toepassingen in de academische wereld en medische wereld (waarover later meer) worden computer en data grids steeds vaker toegepast in reguliere gegevensverwerkende omgevingen.

Dit artikel is een samenvatting van het referaat dat door Wijnand Wellink is geschreven in het kader van zijn afstudeeronderzoek voor de opleiding EDP Auditing aan de Erasmus Universiteit van Rotterdam in 2006.

Ing. W.S. (Wijnand) Wellink RE is werkzaam als Senior IT-auditor bij Ernst & Young

Wat is grid computing? Omdat grid een opkomende technologie is, is er op dit moment nog geen eenduidige definitie voorhanden. In paragraaf 2.2 wordt een aanzet gedaan om een definitie voor grid computing verder uit te werken. Vooralsnog hanteren we de volgende definitie: ‘grid computing maakt het mogelijk om een groep van servers, opslag capaciteit en netwerken te koppelen waardoor deze voor een gebruiker als één systeem voor een bepaald doel beschikbaar komt. Voor de gebruiker komt dit geheel met applicaties, bestanden en rekencapaciteit over als een virtuele omgeving’. Eén van de doelen van grid is het virtualiseren van resources om rekencapaciteitsproblemen op te lossen. De belangrijkste resources kunnen zijn: • Rekencapaciteit/processor capaciteit; • Data opslag/database systemen; • Communicatie en bandbreedte; • Applicatie software.

in Melbourne, Australië. De samenvatting is mede tot stand gekomen door de samenwerking tussen Wijnand Wellink en drs. W. T (Tobias) Houwert RE (Projectmanager EDP Audit Ernst & Young Nederland).

Tijdens het bestuderen van de literatuur, werd het duidelijk dat – naast verschillende ideeën of definities – er andere termen zijn die verband houden met grid computing De volgende termen lijken over grid computing te gaan maar zijn het niet: • Clusters; • Super computers; 34 | de EDP-Auditor nummer 3 | 2007

• Network-attached storage divces (NAS); • Storage Area Networks (SAN). Dit betekent echter niet dat deze geen rol kunnen spelen in grid computing. In tegendeel, voor een groot aantal voorbeelden, waarvan er een aantal later in dit artikel worden besproken, zien we dat clusters een belangrijk onderdeel van grid compting vormen. Centrale vraagstelling Dit onderzoek geeft een antwoord op de volgende drie onderzoeksvragen: • Wat is grid computing en hoe heeft het zich ontwikkeld? • Welke praktische oplossingen/voorbeelden van grid computing zijn er? • Welke impact zal grid computing hebben op het gebied van IT-audit? De antwoorden op deze vragen zijn te vinden in de hierna volgende paragrafen. De eerste beschrijft op basis van literatuurstudie wat grid computing is en hoe het zich heeft ontwikkeld. In de daarop volgende paragraaf worden voorbeelden uit de wereld van grid computing besproken. Het doel van paragraaf drie is een overzicht te geven hoe grid technologie wordt toegepast in de wetenschap, natuurwetenschappen en bij banken. De volgende paragraaf gaat in op hoe assurance kan worden verkregen (door security en audit) in een grid omgeving. De laatste paragraaf geeft ten slotte een eindconclusie.

Figuur 1 geeft weer hoe het gebruik van computers zich heeft ontwikkeld in een periode van tien jaar. Het is interessant om te zien dat de tweede generatie project georganiseerd was terwijl de derde generatie het beste van de tweede generatie heeft overgenomen en het verder heeft ontwikkeld en gestandaardiseerd. Een voorbeeld hiervan is het OGSI (Open Grid Security Infrastructure) en Web Services. Een definitie van grid computing De beweegredenen en doelen voor grids is hiervoor aan de orde gekomen. Toch bestaat er geen duidelijke definitie voor grid systemen. De term ‘grid computing’ ontstond naar analogie van elektrische power grid, dat makkelijk toegankelijk is via standaard interfaces. Elektrische power grids maken het mogelijk om verschillende energie-opwekkers vlot te laten delen door verschillende stroomproducten (5, Foster, 2003). Verschillende voorstanders hebben grid gedefinieerd als: ‘flexible, secure, coordinated resource sharing among dynamic collections of individuals, institutions, and resources’, ‘a single seamless computational environment in which cycles, communication, and data are shared, and in which the workstation across the continent is no less than one down the hall’, ‘a wide area environment that transparently consists of workstations, personal computers, graphic rendering engines, supercomputers and non-traditional devices: e.g., TVs, toasters, etc.’ (6, Nemeth, 2003). In 1999 publiceerden Ian Foster en Carl Kesselman hun veel geciteerde ‘blauwdrukboek’ (4, Foster 1999). In dit boek – dat geldt als een blauwdruk voor grid computing – definiëren zij grid computing als volgt:

Wat is grid computing? Geschiedenis van grid computing

Een belangrijke visie uit het jaar 1969 was die van Kleinrock (3, Kleinrok 1969) die sprak over ‘computing as a utility’ (rekencapaciteit als een gebruiksvoorwerp). Het artikel stelt dat het gebruik van computer toepassingen – net zoals in die tijd de telefoon en bijvoorbeeld de wasmachine – zal worden gebruikt als een gebruiksvoorwerp bij mensen thuis en in bedrijven. Joseph en Fellenstein (6, Joseph and Fellenstein 2003) beschrijven de ontwikkeling van Grids in drie generaties. In figuur 1 zijn deze weergegeven, inclusief de onderdelen die de generatie karakteriseren. =beXki

<7
E=I7

B[]_ed F(F

@?D? D_cheZ

KD?9EH;

7kjedec_Y I[cWdj_Y =h_Z E=I? Ed#:[cWdZ M[X I[hl_Y[i

<_hij=[d[hWj_ed '//&

I[YedZ=[d[hWj_ed '//.

J^_hZ=[d[hWj_ed (&&(

‘…A computational grid is a hardware and software infrastructure that provides dependable, consistent, pervasive and inexpensive access to high-end computational capability...’ Het moet gezegd worden dat deze definitie met name gebaseerd is op computing grids. Naast computing grids zijn er tal van andere vormen. Deze kunnen verdeeld worden in: • Data grid. Deze vorm van grid maakt het voor gebruikers mogelijk om grote hoeveelheden data op te slaan in een (ogenschijnlijke) homogene omgeving. Een goed artikel over data grids is geschreven door Anthony Finkelstein e.a (7, Finkelstein e.a, 2004). Finkelstein c.s. beschrijven verschillende voorbeelden van data grids en de daarbij behorende architecturen. • Kennis grid. Alhoewel dit concept zich nog in een pril stadium bevindt, maken kennis grids grote hoeveelheden kennis en informatie beschikbaar en doorzoekbaar. In deze grids kunnen bijvoorbeeld simulaties gedraaid worden voor complexe bedrijfsprocessen. De definitie van een kennis grid is (8, Zhuge 2004): ‘The Knowledge Grid is an intelligent, sustainable Internet application environment that enables people or virtual roles

35 | de EDP-Auditor nummer 3 | 2007

(mechanisms that facilitate interoperation among users, applications, and resources) to effectively capture, publish, share, and manage explicit knowledge resources. It also provides on-demand services to support innovation, cooperative teamwork, problem solving, and decision making. It incorporates epistemology and ontology to reflect human cognition characteristics; exploits social, ecological, and economic principles; and adopts the techniques and standards developed during work toward the next-generation Web.’ • Service grid. Dit concept levert rekencapaciteit als een service aan de eindgebruiker. Termen zoals ‘utility computing’ en ‘on demand computing’ zijn vormen van service grids. • Desktop grids. Bij dit concept wordt de rekencapaciteit van een computer (laptop, desktop, pc etc.), die wel aan staat maar niet gebruik wordt, ingezet om berekeningen uit te voeren. Een goed voorbeeld (dat ook een voorbeeld is van computing grids) is het SETI@Home project van de Berkley universiteit. Gezien deze afgeleidde termen kan de hierboven beschreven definitie niet meer stand houden. De voorgaande definitie is dan ook nader uitgewerkt in het artikel ‘The Autonomy of the Grid’ (9, Foster 2001) dat werd geschreven door Ian Foster en Steve Tuecke. Deze exercitie resulteerde in de volgende definitie: ‘…The sharing that we are concerned with is not primarily file exchange but rather direct access to computers, software, data, and other resources, as is required by a range of collaborative problem solving and resource-brokering strategies emerging in industry, science, and engineering. This sharing is, necessarily, highly controlled, with resource providers and consumers defining clearly and carefully just what is shared, who is allowed to share, and the conditions under which sharing occurs. A set of individuals and/or institutions defined by such sharing rules form what we call a virtual organization…’ Wat er aan de oude definitie ontbrak – volgens Foster en Tuecke – waren sociale en procedurele afspraken omdat grid computing over grenzen heen gaat. Deze grenzen kunnen grenzen van organisatie zijn of landsgrenzen. Grids worden meestal Grids in het kader van een ‘grid probleem’. Een grid probleem wordt gedefinieerd als het op een flexibele, veilige, gecoördineerde manier delen van resources met een dynamisch veld van individuele instituten. Wij noemen dat vaak virtuele organisaties. In zulke settings stuiten we vaak op unieke authenticatie, authorisatie, toegang tot resources en ander uitdagingen (14, Foster 2001). Foster e.a omschrijven dit als (8, Foster, 1999): ‘…The real and specific problem that underlies the grid concept is coordinated resource sharing and problem solving in dynamic, multi-institutional virtual organizations.’

Voorbeelden van grids Intra, extra en intergrids

Een grid kan vanuit een geografisch gezichtpunt worden verdeeld in: intragrids, extragrids en intergrids (16, Ferreira 2003). Een intragrid bestaat uit verschillende rekeneenheden (‘computing resources’) van een organisatie in een beveiligd en afgeschermd netwerkdomein (LAN/WAN). Door de omvang (meestal niet groter dan 200 servers/desktops) van Intragrids is het te karakteriseren als een vrij eenvoudig grid met voldoende beschikbare bandbreedte en een grote mate van stabiliteit. Meestal heeft een dergelijk grid een eenvoudige beveiliging. Een extragrid is een combinatie van verschillende intragrids en maakt daarom gebruik van meerdere lagen van beveiliging. Een goed voorbeeld van een extragrid is het Large Hydroncolider Grid project van het CERN. De laatste grid, het intergrid, is waarschijnlijk het meest complex om in te zetten. Voorbeelden van dergelijke integrids zijn te vinden in de financiële wereld, reserach en development projecten en de farmaceutische industrie. Bij dit type grids ligt sterk de nadruk op de beveiliging en het aantal instellingen dat deel neemt en een bijdrage levert. Een voorbeeld project dat dit type grid het meest benadert is het my Grid project, waar commercieel farmaceutische bedrijven gezamenlijk gebruik maken van één rekengrid. Dit is bijzonder, omdat farmaceutische bedrijven doorgaans zeer geheimzinnig en behoedzaam met hun eigen data omgaan. In het my Grid project wisselen zij uitkomsten onderling uit zonder dat dit tot concurrentie problemen leidt. Computing grid Een computing grid kan grote complexe berekeningen uitvoeren, die onder normale omstandigheden (met behulp van een aantal krachtige computers) niet uitgevoerd kunnen worden. Of het zou te kostbaar worden om deze kosten te maken voor een organisatie. In het verleden werd dit proces aangeduid met ‘parallel computing’. Een complexe berekening werd opgedeeld in kleinere delen die onafhankelijk van elkaar berekend konden worden. De noviteit van deze manier van het uitvoeren van berekeningen met betrekking tot grid computing is het feit dat grids parallel berekeningen kunnen uitvoeren door gebruik te maken van verschillende platformen/hardware. Een goed voorbeeld is de ‘Large Hardon Collider (LHC)’ computer grid. Deze LHC is de deeltjes versneller in het CERN onderzoeksinstituut. De LHC wordt gebruikt om in het klein condities na te bootsen die zich voorgedaan hebben net na de oerknal. Over een paar jaar verwachten de onderzoekers het kleinste deeltje te vinden. Om dit te deeltje te kunnen vinden zal het LHC 15 petabytes (1 petabyte = 1 miljoen gigabyte) per jaar aan gegevens genereren. De huidige technologie kan hiervoor geen berekeningen uitvoeren. Door grid computing toe te passen kan de enorme stroom aan data verspreid worden over de in het grid aange-

36 | de EDP-Auditor nummer 3 | 2007

sloten computers die te vinden zijn in onder andere Engeland, Duitsland, Frankrijk en Nederland. Daarnaast is ook al een aantal commerciële computing grids bekend. Een voorbeeld hiervan is de manier waarop Charles Swab, een in Amerika gevestigde effectenmakelaar, een specifiek risico in de portfolio van een klant kan herberekenen in een paar seconden in plaats van een paar minuten. Het bedrijf maakt hierbij gebruik van bestaande berekeningstechnieken/architecturen. Men doet die door de berekening uit te laten voeren in een cluster van computers (Linux servers, DB2 databases en WebSphere middleware en Globus Toolkit v2.0). Een andere manier om dit te bewerkstelligen is door gebruik te maken van de tijd dat een computer inactief (idle) is voor het parallel verwerken van berekeningen of jobs. Alhoewel er geen wetenschappelijke onderzoek is over de niet gebruikte capaciteit van computers, beweren bedrijven dat computers en servers in bedrijfsnetwerken niet volledig benut worden voor 70 tot 95 procent van de tijd dat ze aan staan. Door het samenvoegen van ongebruikte capaciteit wordt het mogelijk om een virtuele supercomputer te bouwen. Verschillende spelers in de farmaceutische industrie gebruiken deze ongebruikte CPU-cycles om mee te werken aan het DDP project (Drug Discovery Process). In dit project worden 10.000 mogelijkheden getest – DNA-structuren, RNA-vertalingen naar aminozuren et cetera – die vele dagen in beslag zouden nemen. Door gebruik te maken van grid computing kunnen deze berekeningen in een aantal uur worden uitgevoerd. Een bestaand voorbeeld is het myGrid intiatief in Engeland (12, Stevens, 2004). Data grid

Een data grid is een grote grid waarin data kunnen worden opgeslagen. In vergelijking met een Storage Area Nework (SAN), is een data grid gebaseerd op hardware en software van verschillende leveranciers en verschillende besturingssystemen. Een goed voorbeeld van een bekende toepassing is Google Inc’s Gmail emailserver. Deze geeft email gebruikers een emailbox van 2 Gigabyte. Door 15.000 Linux X86 servers in sets van 1000 te clusteren, heeft Google waarschijnlijk een van de grootste clusters in de wereld gerealiseerd (11, Mellor 2004). Net zoals vele andere IT ontwikkelingen is grid computing gebaseerd op kennis uit het verleden. Voor het concept van grid computing is de kennis op het gebied van netwerken, protocollen, IT-architecturen en het ondersteunen van bedrijfsprocessen gecombineerd. Het is dus iets nieuws als we kijken naar de concepten en de filosofie maar niet als we kijken naar de technologie die wordt toegepast. Grid computing vs. cluster computing In een cluster worden de ‘nodes’ (knooppunten) aan elkaar gekoppeld door een Local Area Network (LAN) of andere vormen van netwerken. De communicatie verloopt synchroon en de architectuur wordt gekarakteriseerd door

gedeelde geheugentoegang en parallelle input/output van systemen. De ‘nodes’ (knooppunten) in een cluster lijken op elkaar (zelfde operating systeem en de zelfde hardware). Tot slot wordt de aansturing van het cluster local uitgevoerd en kan eenvoudig naar een bron/resource worden gestuurd (4, Foster, 1999), (5, Foster, 2002). Grids daarentegen, zijn niet noodzakelijkerwijs gebonden aan de fysieke grenzen van organisaties en kunnen dus over/ door meerdere organisaties heen lopen. De ‘nodes’ vormen een heterogeen netwerk met verschillende hardware en software. Dat sluit overigens niet uit dat clusters onderdeel kunnen zijn van een grid. In tegendeel, clusters kunnen een enorme bijdrage leveren aan het grid. Wat zijn de voor- en nadelen van grid computing? Nadelen

Voordat grid computing breed kan worden ingezet moeten er nog een aantal hordes genomen worden, waaronder: • beschikbaarheid van IT personeel dat kan werken met grid technologie; • het ontwikkelen/toepassen van standaarden; • het meer volwassen worden van technologie; • software die aangepast kan worden voor toepassing in grid omgevingen; • ontwikkelen van methodiek voor het bepalen van vergoeding voor het gebruik van software (licenties). In een rapport van Deloitte (13, Deloitte 2004) zijn de resultaten van een onderzoek onder CIO’s in Europa weergegeven. Eén van de problemen waar men tegenaan loopt voordat grid computing kan worden geïmplementeerd is de beschikbaarheid van IT personeel dat kan werken met grid technologie. In hetzelfde onderzoek concludeert Deloitte dat het ontbreken van standaarden een groot probleem is, net zoals de onvolwassen status van de huidige technologie. Veel organisatie gebruiken de Globus Toolkit om een grid te implementeren (10, Ferreira 2003). De laatste twee nadelen zijn software gerelateerd. Een van de nadelen is het feit dat niet alle software aangepast kan worden om in een grid omgeving toegepast te kunnen worden. Er moet een vorm van parallelle verwerking mogelijk zijn en rekentaken moeten opgedeeld kunnen worden. Steeds meer artikelen verschijnen, die beschrijven hoe grid applicaties het beste kunnen worden ontwikkeld. Traditionele software licentieovereenkomsten worden meestal gebaseerd op het aantal gebruikers van de software of het aantal computers waarop de software is geïnstalleerd. In een grid omgeving kan dit concept niet worden toegepast omdat er in een grid bijvoorbeeld meer dan 25.000 computers zijn aangesloten die gebruik maken van de software. Hierdoor zouden de kosten van licenties voor organisaties buitengewoon hoog zijn. Een mogelijke oplossing hiervoor is de toepassing van een staffeltechniek op basis van het aantal knooppunten (nodes) in het netwerk.

37 | de EDP-Auditor nummer 3 | 2007

Voor de eerste 50 nodes waarop de software draait wordt bedrag x aan licentiekosten in rekening gebracht en voor iedere 50 nodes daarboven, neemt het licentiebedrag af met 20%. Voordelen

Ondanks de nadelen zijn er op dit moment ook al een aantal voordelen, waaronder: • vergrote van de efficiency van de inzet van computers; • concurrentievoordeel; • kostenbesparing; • Schaalbaarheid. Efficiency Grid computing zorgt er voor dat computers samen werken. Veel bedrijven beschikken over ongebruikte computercapaciteit (CPU cycles). De afgelopen jaren hebben bedrijven miljoenen geïnvesteerd in serverparken en desktops. Onderzoek toont aan dat van servers slechts 10% van de beschikbare capaciteit wordt gebruikt. Van desktops wordt slecht 5% van de beschikbare capaciteit gebruikt (3, Mutka / Liveny 1991). Concurrentievoordeel In het vorige hoofdstuk zijn de concurrentievoordelen al besproken van het Google concept (de 2 gygabite mailbox). Kostenbesparing In een periode van besparingen is het goed om te weten dat er technieken beschikbaar zijn die meer leveren met dezelfde infrastructuur. Uit onderzoek van Gartner is naar voren gekomen dat bij een opsplitsing van de totale uitgaven aan IT (per categorie), 25% van het totale IT-budget wordt besteed aan hardware. Een gebied waar dus veel besparingen mogelijk zijn. Schaalbaarheid Een goed voorbeeld van grid computing is de schaalbaarheid. Extra nodes (knooppunt) kunnen worden toegevoegd aan het grid doormiddel van software, en het grid doet de rest automatisch. Technieken zoals ‘hot swap’ (toevoegen en verwijderen van servers) in server farms zijn vergelijkbaar maar het voordeel van grid is dat operatingsystemen of hardware niet identiek hoeven te zijn. Het is de grid software die daarvoor zorgdraagt. Grid computing: beveiliging, assurance and IT-audit aspecten Voordat we in deze paragraaf in gaan op een tweetal gebieden waarop asurrance kan worden verkregen inzake een grid omgeving, wordt eerst een definitie van assurance gegeven. De definitie van prof. Dr. K. Mollema wordt assurance als volgt gedefinieerd:

‘…Giving insight in violations of the quality of an object and in probabilities that these may occur, in such a way that it becomes evident that a predefined standard is or isn’t met…’ Een assurance-opdracht is een opdracht waarbij een accountant of auditor een conclusie formuleert die is bedoeld om het vertrouwen van beoogde gebruikers, niet zijnde de verantwoordelijke partij, in de uitkomst van de evaluatie van of de toetsing van het object van onderzoek ten opzichte van de criteria te verstrekken. De uitkomst van de evaluatie of de toetsing van het object van onderzoek is de informatie die het gevolg is van de toepassing van de criteria op het object van onderzoek. In relatie tot grid computing gaat het bij een assuranceopdracht dus over het identificeren van de risico’s van een grid omgeving die impact hebben op de controledoelstelling, om vervolgens op basis van een normenkader vast te stellen of voldoende maatregelen zijn getroffen om de risico’s te mitigeren. Een belangrijk hoofdstuk in het Blueprintboek (8, Foster 1999) gaat over het assurance-vraagstuk en hoe beveiligingsmaatregelen en audits een rol spelen in de grid omgevingen. Een van de eerste beveiligingsrisico’s die worden beschreven gaat over hacking. Het risico bestaat dat hackers proberen om toegang te krijgen tot het grid. Ook kunnen hackers een ‘denial of service attack’ uitvoeren op een grid. Voorbeelden van dergelijk hackpogingen zijn reeds bekend. In maart 2006 werd een Sun Microsystem Grid onderuit gehaald door een ‘denial-of-service attack’. Deze testomgeving grid word door Sun gebruikt om klanten bekend te maken met toepassingen van grids. In de volgende paragraaf worden twee voorbeelden van maatregelen besproken die de betrouwbaarheid van grid omgevingen moeten vergroten. Logische toegangsbeveiliging In een grid omgeving zijn methoden voor logische toegangsbeveiliging anders dan die in de meer traditionele omgeving waar auditors onderzoek doen. In bijvoorbeeld een Unix omgeving worden door de leidinggevende gebruikers accounts aangemaakt om er voor te zorgen dat: • gebruikers geïdentificeerd kunnen worden en verantwoordelijk kunnen worden gehouden voor de acties die zij uitvoeren op de Unix omgeving; • gebruikers niet te veel rechten krijgen door ze in gebruikersgroepen te plaatsen, die rechten krijgen binnen de Unix omgeving en waarvoor security policies gelden. Deze manier van logische toegangsbeveiliging werkt in een domein maar niet wanneer er sprake is van meerdere domeinen die via bijvoorbeeld via een grid aan elkaar gekoppeld zijn (14, Butt e.a). Hoe moet bijvoorbeeld een node in het grid een gebruiker autoriseren die niet bekend is in het domein waartoe de gebruiker toegang wil krijgen om bijvoorbeeld gebruik te maken van rekencapaciteit of andere resources ergens in het grid?

38 | de EDP-Auditor nummer 3 | 2007

Een manier om hiermee om te gaan in een grid omgeving is het zogenaamde role based access control (RBAC). Bij de toepassing van RBAC krijgt de gebruiker, bijvoorbeeld een computer, een server of een cluster, eigenschappen mee (attributes). Op basis van deze eigenschappen wordt een beslissing genomen of een gebruiker/server, toegang krijgt (15, Chadwick 2005). Logging Een manier om applicaties en operating systemen te beveiliging is door het aanzetten van logs en audit trails. De log wordt weggeschreven in een beveiligde omgeving waar alleen beveiligingsfunctionarissen toegang toe hebben. In de log wordt vastgelegd wie wanneer heeft aangelogd en wat hij/zij heeft gedaan. Door de manier waarop een grid omgeving functioneert, is het minder eenvoudig om op een plek een audit functie in te richten die de log files van de toegang tot het grid kan controleren. In een grid omgeving moet daarom de audit functie op meerdere plekken worden belegd. Eén van de mogelijke oplossingen is om gebruik te maken van beschikbare informatie in het grid. In een data grid verstuurd een user interface (UI) een job via een Resource Broker (RB) die vervolgens de job doorstuurt naar een Computing Element (CE). Op het niveau van de Resource Broker zou IP- informatie van de User Interface verkregen kunnen worden. Het risico bestaat dat het IP-adres wordt gemanipuleerd (Engels: spoofing) en het dus niet mogelijk is om de identiteit van een persoon te achterhalen. Als grid computing op groter schaal wordt toegepast zal de vraag naar assurance en risk control toenemen. Dat zal de positie van de IT-auditor veranderen. Als grid computing breder wordt toegepast zal de IT-auditor een belangrijkere rol gaan spelen rondom assurance en risico management. Meer dan ooit zal bij de ontwikkeling van grid informatie technologie, beveiliging een belangrijke rol spelen. Met dit in het achterhoofd zal het duidelijk zijn dat IT-auditors betrokken moeten worden op een plek waar ze thuis horen: ‘on the forefront of Information Technology’. Conclusie De ondertitel van dit artikel/onderzoek bevatte de vraag of grid computing een bevlieging-, een feit of fictie is. Om een goed antwoord te kunnen geven werden drie centrale vragen geformuleerd. In dit artikel is een overzicht geschetst over wat grid computing en hoe het zich heeft ontwikkeld van verschillende manieren van het uitvoeren van berekeningen (computing) tot een filosofie/visie vandaag de dag. Op basis van de literatuur die gebruikt is voor dit onderzoek, mag duidelijk zijn dat grid computing een filosofie is. Veel onderzoekers hebben grid computing gedefinieerd maar er is nog steeds geen eenduidige definitie voorhanden. Om dit hiaat te vullen stelde Ian Foster in 2002 een 3-punts checklist op

(16, Foster, 2002). In deze checklist, waarin hij spreekt over: ‘…using standard, open, general-purpose protocols and interfaces…’, is misschien wel het belangrijkste verschil gelegen tussen grid computing en andere vormen van snelle berekeningen (high performance computing) zoals cluster computing. Door dit te beschrijven elimineerde hij ook de meer commercieel getinte termen zoals: ‘on demand computing’ en ‘utility computing’. Dat grid computing zeker geen fictie is, werd duidelijk door de voorbeelden die zijn genoemd. In de academische wereld wordt grid computing steeds meer toegepast. Op sommige onderzoeksgebieden is men tot de conclusie gekomen dat men niet meer zonder kan. Als voorbeelden hiervan zie je dat er in de financiële wereld en farmaceutische industrie een sterke behoefte is om de toepassing van het concept grid computing verder te ontwikkelen. Niet alleen om een berekening sneller uit te kunnen voeren (zie voorbeeld in van de effectenhandelaar) maar ook als een concurrentievoordeel (zie voorbeeld Drug Discovery Process en Google met Gmail). De laatste centrale vraag ging over de invloed die grid computing heeft op het vakgebied IT-Auditing. De belangrijkste conclusie is dat IT-auditors moeten begrijpen generieke kennis van grid computing zouden moeten hebben als zij hiermee in audits worden geconfronteerd. Grid computing is op meerdere vlakken verschillend van IT- architecturen waar we vandaag de dag mee te maken hebben. Daarom kunnen de maatregelen die we vandaag de dag tegen komen niet een op een gebruikt worden in een grid omgeving. De toegevoegde waarde die de IT-auditor kan leveren in het assurance en security vraagstuk schept nieuwe mogelijkheden. De IT-auditor zal een belangrijke rol gaan spelen bij bedrijven die grid computing willen gaan toepassen. De complexiteit van de IT objecten neemt toe door het toepassen van grid computing. Hierdoor moeten complexere controls worden ontworpen om de risico’s ten aanzien van integriteit en vertrouwelijkheid te mitigeren en de beveiliging van grid systemen te vergroten. De toepassing van grids kan een bijdrage leveren in het reduceren van de totale kosten van IT. Organisaties die samen van een grid gebruik maken kunnen voor een deel van de totale benodigde rekencapaciteit gebruik maken van elkaars rekencapaciteit (CPU cycles) via het grid. Bedrijven zijn echter afwachtend omdat grid computing ook veel nadelen met zich mee brengt, waaronder de kennis van beschikbaar personeel en de onvolwassen technologie en het ontbreken van standaarden. Om van grid computing een ‘fact to happen’ te maken, zal verder gewerkt moeten worden aan het verder ontwikkelen van kennisstandaarden voor integratie en business cases voor haalbare, rendabele en competatieve toepassingen. ■

39 | de EDP-Auditor nummer 3 | 2007

Bijlage 1 – Gehanteerde literatuur

9. Foster, I. / Kesselman, C. / Tuecke, S., ‘The Anatomy of the Grid: Enabling

1. Fenn, J. / Linden, A., ‘Gartner’s Hype Cycle Special Report for 2005’, Research, 5 August 2005, ID G00130115, 7 pages.

Supercomputer Applications, 1-25, 2001.

2. Brin, S. / Page, L., ‘The Anatomy of a Large-Scale Hypertextual Web Search Engine’, Stanford University, 1998.

10. Ferreira, L., ‘Introduction to Grid Computing with Globus’, O’Reilly, 2003.

3. Kleinrock, “’nternet predecessor turns 30’, CNN.com, September 1999, webpage.

11. Mellor, C., ‘Want to know how Gmail works?’, Techworld.com, 7 April 2004, website.

4. Foster, I. / Kesselman, C., ‘The Grid: Blueprint for a New Computing Infrastructure’, Kaufmann, 1999, 733 pages.

12. Stevens, R. / McEntire, R. / e.a., ‘myGrid and the drug discovery process’, BIOSILICO Vol. 2, No. 4 July 2004, 9 pages.

5. Foster, I. / Kesselman, C. / Nick, J. / Tuecke, S., ‘The physiology of the grid’, Global Grid Forum, 2003.

13. Deloitte & Touche, ‘Tapping the hidden power of the grid’, September 2005, 2 pages.

6. Nemeth, Z. / Sunderam, V., ‘Characterizing Grids: Attributes, Definitions, and Formalisms’, Journal of Grid Computing, 2003. 7. Finkelstein, A. / Gryce, C. / Lewis-Bowen, J., ‘Relating Requirements and Architectures: A Study of Data-Grids’, Journal of Grid Computing, 2004, 16 pages.

14. Butt, R.A. / Adabala, S. / Kapdia, N.H. et. Al., ‘Grid computing portals and security issues’, Journal of Parallel and Distributed Computing, 2003, 9 pages. 15. Chadwick, D., ‘Authorisation in Grid computing’, Information Security Technical Report, 2005, 8 pages.

8. Zhuge, H., ‘China’s E-Science Knowledge Grid Environment’, IEEE Computer Society, January-February 2004, 4 pages.

Scalable Virtual Organizations’, International Journal of

16. Foster, I., ‘What is the grid? A three point checklist’, Gridtoday, 2002, webpage.

40 | de EDP-Auditor nummer 3 | 2007

Compleet werkt beter

Elsevier FiscaalTotaal. Alle fiscale antwoorden op een rij. Soms is het overduidelijk dat iets niet compleet is. Maar zo eenvoudig is het niet altijd voor fiscaal professionals. Kies daarom voor Elsevier FiscaalTotaal. Dan heeft u altijd alle fiscale informatie en actualiteiten snel, eenvoudig en gesorteerd op uw scherm. Vanuit één bron, één handige site. Met uw eigen aantekeningen. Dat bespaart u kostbare zoektijd. Bovendien weet u zeker dat u kwalitatief en compleet advies geeft. Ontdek het zelf op www.fiscaaltotaal.nl.

Elsevier Fiscale Media

Een dag uit het leven van Xxxxxxx

Hans Donkers Woensdag 20 juni 2007. De dag begint al weer vroeg. Om half zeven in de auto; om half acht een ontbijtbijeenkomst in Amstelveen. Nog een beetje stroef, want gisteren hadden we een alumnibijeenkomst van KPMG IT Advisory. Leuk om al die oud-collega’s in een ontspannen sfeer te ontmoeten. Naast een inhoudelijk programma zelfs nog even heerlijk kunnen varen op de Loosdrechtse plassen. BBQ met borrel na afloop.

T

ijdens het ontbijt met een groep partners van KPMG en onze Raad van Bestuur bijgepraat over recente ontwikkelingen. Onze collega’s in Duitsland en Engeland hebben besloten om per 1 oktober te fuseren tot één organisatie, KPMG Europa. Nederland is ook gevraagd om aan te sluiten en het nieuwtje is dat gisteren de partners van KPMG Zwitserland positief hebben gestemd over hun aansluiting bij KPMG Europa. De geanimeerde discussie gaat over de gezamenlijke toekomstvisie, internationalisatie en de mogelijkheden die het KPMG-Nederland zou bieden, maar ook over de cultuurverschillen tussen de landen en de angst om onze eigen cultuur op te moeten geven. Het geeft een goed gevoel om dit soort zaken zo open en constructief als collega’s samen te bespreken. Na het overleg even tijd om nog wat stukken door te nemen en enkele telefoontjes te plegen. We zitten binnen KPMG Advisory in de interne kwaliteitsreviewperiode. Die coördineer ik samen met twee collega’s, Kai Hang Ho en Jurjen Olling. Even langslopen en bijpraten wat de stand van zaken is en enkele knopen doorhakken over de planning. Dan volgt de voorbereiding op een jaargesprek met één van de partners in mijn business unit samen met Rob Fijneman, de voorzitter van IT advisory. We nemen de tijd voor het gesprek, bespreken de persoonlijke ambities, de mate waarin deze het afgelopen jaar zijn gerealiseerd en staan stil bij de uitgangspunten voor het komende jaar.

ir. J.A.M. (Hans) Donkers RE is partner van KPMG IT Advisory en sinds juni 2006 voorzitter van NOREA, de beroepsorganisatie van IT-auditors.

Snel in de auto naar de NOREAbestuursvergadering voorafgaande aan de Algemene Leden Vergadering, deze keer in Congrescentrum Amstelveen. Dus korte reistijd en ik kom niet veel te laat. We hebben toch weer een 42 | de EDP-Auditor nummer 3 | 2007

flinke agenda met onder meer aandacht voor de herziening van onze beroepsregels en de invoering van het Raamwerk en de Richtlijn inzake Assurance Services. Daarnaast een lastige discussie over ons samenwerkingscontract met het Koninklijk NIVRA, dat onder druk staat als gevolg van een discussie met de Belastingdienst over de BTW die over deze dienstverlening verschuldigd is. Na de opening van de vergadering stelt Dirk Brouwer (ING-Groep) zich als nieuw bestuurslid voor aan de overige bestuursleden. Tijdens de ledenvergadering, die later vanmiddag zal plaatsvinden, worden Dirk en Jan Roodnat (EDP AUDIT POOL) ook formeel in het bestuur gekozen. Hiermee realiseren we een flinke vernieuwing. Jan volgt als secretaris Rolf Daalder op, die zeven jaar deze zware functie in het bestuur heeft vervuld. Voor hem is het de laatste vergadering en na het afsluiten van deze vergadering bedank ik hem namens het bestuur. Rolf was al secretaris toen ik zelf toetrad tot het bestuur. Een prettige samenwerking waarvan het laatste jaar, sinds m’n voorzitterschap, zeer intensief is geweest. Toch wel iets bijzonders en waardevol om op terug te kijken. Traditioneel zullen we tijdens het slotdiner van de bestuurstweedaagse in oktober nog uitgebreid stilstaan bij het afscheid en de bijdrage van Rolf aan het NOREA-bestuur. Dan gaan we even naar buiten voor de jaarlijkse bestuursfoto: een groepsportret met de nieuwe bestuursleden voor het Jaarboek. Helaas zijn Jacques Buith en Ron Feijten vandaag verhinderd, zodat de club niet compleet is. De zon schijnt maar het waait behoorlijk. Het winkelende publiek in het Stadshart van Amstelveen kijkt ietwat nieuwsgierig en verbaasd naar ons gezelschap. De ledenvergadering kent een behoor-

lijke opkomst, de zaal blijkt wat krap te zijn voor deze groep. Op de agenda staat onder meer het jaarverslag en de jaarrekening en de herziening van het Reglement Beroepsbeoefening. Daarnaast worden de voorstellen voor het Raamwerk Assurance Services gepresenteerd. We hebben een primeur, we hebben een videopresentatie tijdens de vergadering. Omdat Hans Verkruijsse, voorzitter van de Raad voor Beroepsethiek, gisteren naar Shanghai is vertrokken en dus niet op de vergadering kom zijn, heeft Wilfried Olthof op Schiphol video-opnames gemaakt die we laten zien. Hans houdt zijn pleidooi voor de invoering van het voorgestelde Raamwerk. Hij typeert het als ‘een belangrijke stap voorwaarts wanneer we aldus de aansluiting bereiken met internationaal erkende regelgeving voor auditors en

accountants’. Met de presentie van Henk de Zwart – namens de Commissie Herziening Beroepsregels – die daarna volgt, geeft het een goed overzicht van de voorgestelde veranderingen en de verdere weg die we in dat verband willen volgen. De voorstellen worden met algemene stemmen aangenomen. Na afloop van de ledenvergadering krijgen de aanwezigen een borrel en buffet aangeboden. Er blijft toch weer een flinke groep hangen en onder een pittig bord (Oosters) eten, is het gezellig om met een aantal mensen weer even bij te kunnen praten. Het wordt niet al te laat, zodat ik om half acht weer in de auto naar huis kan. Onderweg nog even de voicemail afluisteren en een paar korte telefoontjes plegen met collega’s om enkele

lopende opdrachten af te stemmen. En een berichtje naar huis dat ik er weer aankom. Het is niet druk onderweg, tijd om even over de dag van morgen na te denken, in de ochtend nog een tweetal klantafspraken en vanaf het middaguur een strategiebijeenkomst met de business unit. Op mijn Blackberry zie ik dat de verschillende betrokkenen de stukken daarvoor hebben verspreid, dat loopt dus goed. Het is één van de avonden van de wandelvierdaagse in Vianen, ik krijg van de kinderen hun verhaal van deze dag te horen en help ze bij het naar bed gaan. Nog even tijd voor de post en de krant, want daarvoor was ik vanmorgen te vroeg weg. We sluiten de dag nog even af met een glaasje wijn. ■

Het NOREA-bestuur in vernieuwde samenstelling. Vlnr: Evert Koning (DNB), penningmeerster Cor Warmoeskerken, Dirk Brouwer (ING), Henk Timmer (Achmea), voorzitter Hans Donkers (KPMG), Jan de Heer (KPN) en secretaris Jan Roodnat (EDP AUDIT POOL). Op de foto ontbreken Jacques Buith (Deloitte) en Ron Feijten (Ernst en Young). 43 | de EDP-Auditor nummer 3 | 2007

Boekbespreking

Uitvoering IN ZICHT Titel: Uitvoering IN ZICHT Redactie: dr. René Matthijsse en dr. Arjan van

• Een netwerkoverheid heeft sturing nodig (sturing en management).

Venrooy Uitgever: Verdonck, Klooster & Associates (VKA), Zoetermeer Jaar: 2006 ISBN: geen (het boekje is te downloaden via 1

de website )

D

it boekje is een eerste in een reeks thematische uitgaven van Verdonck, Klooster & Associates. Het onderwerp van deze publicatie is hoe de samenwerking binnen de rijksoverheid zich de komende jaren kan ontwikkelen én wat dit de burger te bieden heeft. Het bevat een verzameling van visies van deskundigen, aangevuld met voorbeelden uit de praktijk. Aanleiding voor deze publicatie is de veranderende overheid, die gekenmerkt wordt door de toepassing van nieuwe vormen van samenwerken waarin sprake is van meer vrijheid voor uitvoeringsinstanties, minder voorschriften en meer sturing op resultaat.

Chantal de Vette drs. C.N. (Chantal) de Vette is IT-auditor bij de EDP Audit Pool.

Inleiding In de inleiding zegt Jeroen Hinfelaar (VKA) dat de huidige omstandigheden, zoals de zelfbewuste burger, de toenemende invloed van Europese wetgeving, de grensoverschrijdende misdaad en terrorisme en de luchtverontreiniging, om oplossingen vragen die op drie dimensies verandering vereisen. Denk aan samenwerken binnen netwerken, meer aandacht voor informatisering en overkoepelende regievoering. Deze thema’s worden achtereenvolgend in het boekje belicht: • Goed bestuur vereist samenwerking (organisatie en samenwerking). • Betere samenwerking met strategisch informatiebeleid (informatisering). 44 | de EDP-Auditor nummer 3 | 2007

E-government zal niet alleen de relatie tussen overheid en burger veranderen, ook de manier waarop de overheid werkt zal drastisch wijzigen. Dat is de mening van Siep Eilander (directeur ICTU2). Hierdoor zal de kwaliteit van de overheid verbeteren en kan de overheid op termijn toe met minder ambtenaren. Zo leiden bijvoorbeeld de basisregistraties tot verbetering van de informatievoorziening binnen de overheid en dit stelt de overheid in staat betere service te verlenen aan de individuele burger. Goed bestuur vereist samenwerking Een multidisciplinaire aanpak is nodig om complexe maatschappelijke problemen op te lossen. Ontkokering binnen de overheid is hiervoor van belang. De ketenbenadering is hiertoe een goede aanzet tot samenwerking, maar Guus Delen, René Matthijsse en Arjan van Venrooy (allen VKA) adviseren om een stap verder te gaan en om van de overheid een netwerkorganisatie te maken om nog beter op maatschappelijke ontwikkelingen in te kunnen spelen. Bij een ketenorganisatie is vooraf bepaald wat de keten gaat doen en daarmee is de keten star. Een netwerkorganisatie is flexibeler, een netwerkorganisatie werkt vraaggestuurd in plaats van aanbodgestuurd. De visie van Marjolein ten Kroode, lid Raad van Bestuur van de Sociale Verzekeringsbank, is dat het door betere samenwerking tussen beleidsen uitvoeringsorganisaties eenvoudiger wordt om de aanpassingen ten gevolge van nieuw beleid door te voeren binnen de uitvoeringsorganisaties. Betrokkenheid van de uitvoeringsorganisaties bij het beleidsont-

Als u al te lang op die promotie zit te .

Dé nr. 1 vacaturesite voor financiële professionals.

Boekbespreking wikkelingsproces is hierbij belangrijk. Het besluit om de koers te wijzigen is binnen een beleidsorganisatie snel genomen maar het uitvoeren van de nieuw ingezette koers door de uitvoeringsorganisatie is veel tijdrovender. Willem-Jan van Elk en René Montenaire (VKA) delen de visie dat de klassikale vorm van lesgeven op termijn wordt vervangen door E-learning. Door afstemming van vraag en aanbod ontstaan op maat gesneden opleidingen en kunnen opleidingen op andere manieren worden genoten. Daarbij is goede samenwerking tussen opleidingsorganisaties nodig. In de toekomst zullen briljante scholieren hun schoolwerkzaamheden weten te combineren met het meewerken aan onderzoeken. Voor werkende volwassenen zal het attractiever worden om weer te gaan leren. Betere samenwerking met strategisch informatiebeleid Frans van den Dool en Dick Leegwater (VKA) lichten de strategie ‘eerst koppelen dan kantelen’ toe. Door het aanbieden van een gemeenschappelijke voorziening komt samenwerking binnen het netwerk organisch op gang. Deze strategie werkt effectiever dan trachten om vanuit bestaande organisaties samenwerking en afstemming op gang te brengen. Bij uitwisseling van gegevens tussen organisaties is één van de voorwaarden dat de gegevens een eenduidige betekenis hebben. Per sector zal er een informatieregisseur moeten zijn, die verantwoordelijkheden op informatiegebied belegt en in kaart brengt. In alle gevallen zullen de organisaties echter zelf verantwoordelijk blijven voor informatiebeveiliging en continuïteit van de dienstverlening van de organisatie zelf, ze blijven zelf immers verantwoordelijk voor het eigen primaire proces. Iris van Bennekom, directeur van de Nederlandse Patiënten en Consumenten Federatie vindt dat ICT meer ingezet moet worden om de patiënt een volwaardige speler te laten zijn

op de zorgmarkt. Emancipatie van patiënten is hiervoor een voorwaarde. Door als patiënt medeverantwoordelijk te zijn voor het Elektronisch Patiënten Dossier (EPD), kan de patiënt zelf meer inbreng hebben in de vraag naar specifieke zorg en zorgaanbieders. Door het EPD kan de patiënt eenvoudig van zorgaanbieder wisselen. Door de keuzemogelijkheid krijgt de patiënt meer macht waardoor de patiënt steeds meer als volwaardig zorgconsument gezien wordt door verzekeraars en zorgaanbieders; de kwaliteit van zorg wordt beter; deze wordt beter afgestemd op de zorgconsument. René van Assem (VKA) ziet een aantal grote voordelen aan de implementatie van het EPD, maar wel onder de randvoorwaarde dat informatiebeveiliging bij alle instellingen goed is geregeld. Door het invoeren van het EPD zijn alle relevante patiëntengegevens beschikbaar voor iedere behandelaar. Hierdoor wordt het eenvoudiger voor de patiënt te wisselen van zorgaanbieders. Ook wordt het voor specialistische zorgaanbieders eenvoudiger om samen te werken. In de toekomst zullen geanonimiseerde dossiers ook gebruikt kunnen worden om onderzoek te doen naar effectiviteit van medicijnen en behandelingen. Deze onderzoeksresultaten kunnen dienen als raadgever voor behandelend artsen. Een netwerkoverheid heeft sturing nodig René Matthijsse en Arjan Venrooy (beiden VKA) zijn van mening dat de overheid als netwerkorganisatie anders aangestuurd zal moeten worden dan nu het geval is. Beleidsdepartementen moeten outputsturing geven aan uitvoeringsorganen. Beleidsdepartementen zullen geen opdrachten meer geven aan individuele organisaties, maar aan het hele netwerk. De output van het netwerk als geheel zal geëvalueerd worden en niet de output van afzonderlijke organisaties. Door de randvoorwaarden 46 | de EDP-Auditor nummer 3 | 2007

en wettelijke kaders zullen burgers beschermd blijven tegen willekeur en machtsmisbruik. In een interview geeft Boudewijn Dessing, voorzitter Raad van Bestuur van zorgverzekeraar VGZ-IZA, antwoord op vragen over de marktwerking in de gezondheidszorg. De overheid probeert de sector anders aan te sturen; dit doet zij door geen budgetbewaking meer toe passen maar randvoorwaarden en uitgangspunten op te stellen waarbinnen marktwerking moet plaatsvinden. Hierdoor zal er een betere prijs-kwaliteitverhouding ontstaan in de sector. De overheid zal echter altijd een rol houden in de zorgsector, enerzijds door gezamenlijke initiatieven te ontplooien zoals het EPD en anderzijds door in dialoog te blijven over de randvoorwaarden en uitgangspunten. Door de toename van (terroristische) dreiging ziet Koos van der Spek (VKA) dat de overheid meer aandacht schenkt aan openbare orde en de veiligheidssector. Voor betere organisatie van de veiligheid zijn centralisatie op aansturingsniveau en samenwerking op operationeel niveau essentieel. Het streven is om zoveel mogelijk tussenschakels in de informatievoorziening te laten verdwijnen. Optimalisering van informatievoorziening is hierbij cruciaal. Daarnaast zal de overheid meer gaan samenwerken met de pers om de burger in geval van een calamiteit te informeren. Ook zullen meer directe kanalen gebruikt gaan worden om de burger te bereiken. Het versturen van informatieve SMS-jes in het geval van een calamiteit is hiervan een voorbeeld. Belang voor de IT-auditor Het boekje bevat een beknopte weergave – twee à drie bladzijden per bijdrage – van zowel inspirerende visies als praktijkvoorbeelden van de stappen die de overheid maakt en kan gaan maken om zich anders te orga-

Lees verder op pagina 47

Uit de opleidingen Update IT-auditing TiasNimbas Business School:

De vaardige IT-auditor Prof. Rob Fijneman (TiasNimbas)

De TiasNimbas opleiding onderkent dat naast kennis van IT en IT-auditing het vooral zaak is om te kunnen opereren als vaardige IT-auditor. De kwaliteit van het IT-audit product wordt sterk beïnvloed door de kwaliteit van toelichting, presentatie en verwoording.

O

ok de opdrachtuitvoering is cruciaal voor het opleveren van een kwalitatief goed product. Dit vereist dat elke IT-auditor in staat moet zijn de gehele cyclus van opdrachtverwerving tot en met rapportering en toelichting kwalitatief goed te doorlopen. De Norea vraagt via de Code of Ethics hier ook aandacht voor, maar zeker ook de opdrachtgevers van IT-auditors hebben hieromtrent hoge verwachtingen. De vaktechnische kwaliteit wordt steeds meer beschouwd als een gegeven, de toegevoegde waarde ontstaat door de interactie met de opdrachtgever. TiasNimbas heeft vanaf de start van

de opleiding onderkend dat het cruciaal is dat de opleiding ook deze vaardigheden mede ontwikkeld. Hoewel er een zware verantwoordelijkheid rust bij de werkgevers om de IT-auditor te laten ontwikkelen zowel vaktechnisch als persoonlijk is het van belang dat ook een opleiding op beide gebieden haar bijdrage levert. Praktijkopdrachten In juni 2007 is leergang 22 gestart met de slotopdrachten, zijnde in de praktijk uit te voeren IT-audit opdrachten. Als voorbereiding daarop simuleren we in een aantal colleges de opdrachtverkrijging en rapportage, waarbij op interactieve wijze per groep feedback wordt gegeven. Vervolgens zijn de studenten zelfstandig verantwoordelijk voor het verkrijgen van een opdracht, de proposal wordt wel mede door de opleiding op kwaliteit beoordeeld. Gedurende een periode van drie maanden vindt vervolgens de opdrachtuitvoering plaats. In november 2007 worden aansluitend de IT-audit rapporten bediscussieerd door de Examencommissie met de studenten. Het aardige is dat elk jaar wederom via de slotopdrachten

de breedte van de IT-audit praktijk zichtbaar wordt. Dit geeft ook voeding aan de opleiding om waar nodig het curriculum bij te stellen. IT-audits in uitvoering In 2007 zijn bijvoorbeeld de volgende IT-audits in uitvoering: • Het beoordelen van de volwassenheid van een aantal IT beheerprocessen (mede gebaseerd op ITIL en CobiT). • Het beoordelen van de betrouwbaarheid en effectiviteit van een applicatie. • Het beoordelen van de naleving van de WBP bij een service provider (privacy audit). • Het beoordelen van een (deel van een) ERP applicatie. • Het beoordelen van autorisaties en ontwikkelen van een tool voor continuous auditing. • Het ontwikkelen van een normenkader voor beveiliging en doorlichting van deel van de IT-organisatie. Elk jaar constateren we weer dat de inspanningen hoog zijn, maar dat ook evaluerend iedereen terugkijkt op een leerzame maar juist ook leuke ervaring.

Vervolg boekbespreking van pagina 46

niseren. De burger komt steeds meer centraal te staan en zal steeds vaker als klant gezien gaan worden. De mogelijkheden voor verbeterde dienstverlening door de andere overheid zijn (bijna) onbeperkt, maar tegelijkertijd nemen door afhankelijkheden de risico’s toe. Voor de IT-auditor verschaft deze publicatie inzicht in de ontwikkelingen die (mogelijk) gaan plaatsvinden binnen de overheid. Vanuit deze context kan de IT-auditor zich gaan voorbereiden op de werkzaamheden die

nodig zullen zijn om deze toekomstige overheid succesvol te maken. Het is immers raadzaam dat de ITauditor al vroeg betrokken wordt in deze ontwikkelingen, zodat risico’s tijdig worden onderkend en tijdig op risico’s kan worden ingespeeld. Ook zal de IT-auditor veel audits gaan uitvoeren om de netwerkpartijen meer zekerheid te bieden in de samenwerkingsverbanden met andere partijen. De auditors kunnen eveneens een grote bijdrage gaan leveren in het ontwikkelen van standaarden waaraan 47 | de EDP-Auditor nummer 3 | 2007

elke organisatie moet voldoen die in het ‘overheidsnetwerk’ participeert. De netwerkorganisatie zal zo sterk zijn als de zwakste schakel. Voor het samenwerken zullen organisaties elkaar moeten vertrouwen, het werk van de auditor zal hiervoor een essentiële bouwsteen zijn. Noten 1 http://www.vka.nl/ 2 Sinds 15 november 2006 is Siep Eilander ‘Chief Procurement Officer’ van het Regiebureau Inkoop Rijksoverheid.

Uit de opleidingen

Erasmus School of Accounting & Assurance Gastcolleges IT-Auditing studenten 2e jaars Met een gastcollege van Ed Ridderbeekx (Fortis Audit Services) over ‘Zijn stemcomputers te vertrouwen?’ heeft de Erasmus Universiteit Rotterdam het collegejaar afgesloten. Naar aanleiding van zijn artikel in dit blad is hij door de opleiding uitgenodigd om stemcomputers te belichten vanuit de optiek van een IT-auditor, waarbij betrouwbaarheidsaspecten van stemcomputers aan de orde kwamen. Eerder in juni was gastdocent dr. Robert Melville van Cass Business University uit Londen overgekomen om een overzicht te geven van de ontwikkelingen rond IT-Auditing in Groot-Brittannie. Promotie Leen Paape: Intern toezicht in veel organisatie kan verbeterd worden In een goed gevulde aula is vrijdag 22 juni Leen Paape (Program Director van de opleiding Internal / Operational Auditing) gepromoveerd. In zijn proefschrift ‘Corporate Governance: The Impact on the Role, Position, and Scope of Services of the Internal Audit Function’, onderzocht Leen Paape de internal audit functies via case studies bij bedrijven als ABN AMRO, TNT, Bank Nederlandse Gemeenten en de Informatie Beheer Groep. Paape bepleit een sterkere band tussen internal auditors en de Raad van Commissarissen, die immers toezicht moeten houden op het functioneren van de gehele organisatie. Nu schermt de Raad van Bestuur internal auditors nog te veel af. Promotoren waren prof.dr. Gert van der Pijl en prof.dr. Harry Commandeur, Faculteit der Economische Wetenschappen.

Vooraankondiging Wintercourse De Wintercourse zal worden gehouden van 6 tot en met 8 november 2007. De Wintercourse staat open voor geïnteresseerden in IT en Internal/Operational Auditing. Nadere aankondiging volgt zo spoedig mogelijk. U kunt ook informatie opzoeken via de website www.auditing.nl en www.esaa.nl. European Academic Conference: Corporate Governance & Internal Auditing Dit jaar vond deze conferentie voor de vijfde maal plaats en was de Universiteit van Pisa de gastheer. De conferentie is een initiatief van Cass Business School uit London, de Universiteit van Gent, de Universiteit van Pisa en de Erasmus Universiteit Rotterdam. In het organiserend comité was Leen Paape vertegenwoordigd. Van onze zijde heeft prof. Dr. Gert van der Pijl als voorzitter de promovendidag voorgezeten. Voor deze dag had Ron de Korte een paper in het kader van zijn proefschrift ingezonden. Tot ons genoegen heeft zijn paper een van de prijzen voor het beste paper in de wacht gesleept. Volgend jaar is de conferentie in Rotterdam en is de Erasmus Universiteit Rotterdam de organisator. Oprichting Stichting Auditing.nl De Erasmus Universiteit Rotterdam en ACS hebben samen de website www.auditing.nl opgericht als platform voor de beroepsontwikkeling. Inmiddels is ook de Stichting Auditing.nl in het leven geroepen om de inkomsten die met de website worden gegenereerd op een goede wijze te kunnen benutten voor verder onderzoek op het terrein van auditing in den brede. Daartoe is een struc-

48 | de EDP-Auditor nummer 3 | 2007

tuur gekozen waarbij het mogelijk is dat andere – en ook buitenlandse – universiteiten aanhaken om zo de noodzakelijke internationale dimensie aan de ontwikkeling van het vak en het beroep te kunnen geven. Inmiddels heeft de website dan ook een Engelse. Relevante Engelstalige content van academisch niveau plaatsen we graag op deze kennissite voor auditing en auditors.

Erkenning voor Amsterdam Business School De opleiding Executive Master of IT-Auditing (EMITA) aan de Amsterdam Business School heeft een boeiend en ook succesvol jaar achter de rug. Vooral de datum 11 juni bleek voor de opleiding een bijzondere.

O

p deze datum ontving de Amsterdam Business School de EQUIS-accreditatie van de European Foundation for Management Development (EMFD). EQUIS is het toonaangevende internationale systeem voor kwaliteitsbeheersing, verbetering en accreditatie van hogere opleidingen op het gebied van management en bedrijfskunde. Op dezelfde datum ontving de EMITA-opleiding ook de definitieve erkenning door NOREA, na het afronden van de derde fase van de visitatie. De erkenning heeft ook betrekking op de eenjarige instroom-

variant voor operational auditors en registeraccountants. Net als bij de andere opleidingen is de erkenning drie jaar geldig. 11 juni was ook het begin van onze eerste internationale summer course voor 25 studenten van Université Paris Dauphine. Deze werd geheel verzorgd door het EMITA-docententeam. Hans Donkers, voorzitter NOREA en partner bij KPMG, gaf een gastlezing. De evaluaties waren zeer positief en het is zeker dat deze summer school een vervolg zal krijgen. Ook de komende periode zal boeiend worden. Voor het nieuwe studiejaar,

dat in september begint, hebben zich circa 20 studenten aangemeld. Bij het ter perse gaan van dit nummer zijn er nog enkele plaatsen beschikbaar. Eind september zal een groep EMITA-studenten een studiebezoek brengen aan het delivery center van Tata Consultancy Systems in Budapest. Het thema van het bezoek is ‘From offshoring to nearshoring: from conception to completion’. Hiervan zal in een volgende EDPAuditor door een van onze studenten verslag worden gedaan. Tenslotte is het EMITA-team versterkt met Maureen Slijngaard. Zij voert sinds juni op professionele wijze het secretariaat en is het eerste aanspreekpunt voor studenten en docenten. Maureen is bereikbaar via [email protected] of op 020-525 5327.

ADVERTE NTI E

Groei mee met de vernieuwing Dé onafhankelijke specialisten in Business Continuity Planning introduceren nieuwe integrale softwareondersteuning voor Business Continuity Planning en Business Continuity Management.

Wij zoeken:

IT auditors die zich willen specialiseren in Business Continuity Planning Wij bieden: Unieke, multidisciplinaire projecten bij toporganisaties binnen bedrijfsleven en overheid Ruimte voor ontwikkeling binnen deze groeimarkt en in dit jonge vakgebied Een vrije werkomgeving in een jonge organisatie Uitstekende arbeidsvoorwaarden / winstdeling Stuur een brief met motivatie en CV naar Business Continuity Planners, J.F.M.Roest RE RA, Spyridon Louisweg 93, 1034 WR, Amsterdam / [email protected]

Van de Norea ISACA/NOREA IT-auditdag 2007:

Audit en IT-architectuur De tweede editie van de IT-auditdag werd geopend door NOREA-voorzitter Hans Donkers, die citeerde uit een persbericht over de arbeidsmarktpositie en beloning van IT-auditors, mede op basis van een door de NOREA in samenwerking met De Breed en Partners uitgevoerd beloningsonderzoek. We zien een steeds groter aandeel IT-auditors werkzaam in het ‘interne beroep’, dat wil zeggen bij de auditdiensten van grotere bedrijven en organisaties. Daarnaast wordt ook de groep ‘IT-auditors in business’ steeds omvangrijker omdat IT-auditors doorstromen naar management- en directiefuncties. Er is vooralsnog een schaarste aan gekwalificeerde IT-auditors en dat is ook merkbaar aan de beloning door stijging van de salarissen, vooral ten aanzien van variabele looncomponenten en/of prestatiebeloning.

Architectuur en verandering Ron Tolido, die optrad als dagvoorzitter van de IT-auditdag, is Chief Technology Officer van Capgemini en daarnaast pleitbezorger van standaardisatie van architectuur als Governing Director van de Open Group (zie kader). In zijn inleiding ging hij in op de vragen ‘Wat is architectuur en voor welke uitdaging wordt de Enterprise Architecture van een onderneming gesteld?’

Wanneer we spreken over IT-architectuur dan dringt de vergelijking zich op met het bouwproces van de Sagrada Familia, de beroemde kathedraal van Antoni Gaudi in Barcelona. Gaudi was een bevlogen architect die zich met veel toewijding inzette voor de totstandkoming van dit gigantische bouwwerk. Er bestond een initieel ontwerp op basis van schaalmodellen en ruwe schetsen. Gedurende de voortgang van de bouw werden daar door hem voortdurend nieuwe inzichten aan toegevoegd. Toen de architect door een tragisch ongeval met een tram om het leven kwam is door zijn opvolgers voortdurend gepoogd om zijn bedoelingen en interpretaties te duiden, teneinde het bouwwerk te voltooien. Anno 2007 is de kathedraal nog steeds niet gereed. Zo’n langdurig bouwproces is overigens niet uitzonderlijk voor een kathedraal. Aan het ontwerp van een Enterprise Architectuur worden echter andere eisen gesteld: Het ontwerp moet reproduceerbaar zijn evenals de doelstellingen die er mee worden beoogd. Wat is nu eigenlijk architectuur en waarover hebben we het als de architectuur ter sprake komt? Belangrijk is dat er in een onderneming sprake is van een ontwerprichtlijn en -methodologie waardoor de organisatieprocessen en informatiesystemen bijdragen aan de doelstelling en strategie van de organisatie. De hele IT-huishouding op zich is een architectuur; we onderscheiden de architectuur van de informatie, de architectuur van de applicaties en de architectuur van bedrijfsvoering. Het totaal van deze aspecten in hun onderlinge samenhang – en gekoppeld aan de bedrijfsdoelstellingen – bepaalt de Enterprise Architectuur. We hebben het ook over de structuur van de organisatie. Er zijn binnen grote organisaties vaak

Ron Tolido 50 | de EDP-Auditor nummer 3 | 2007

Arjan Uittenbogerd heel veel verschillende projecten maar overkoepelend moet er iets zijn waarmee de samenhang kan worden gewaarborgd. Het voorhanden zijn van een Enterprise Architectuur is een belangrijke eis die tegenwoordig ook uit hoofde van de wet- en regelgeving inzake Corporate Governance aan een organisatie moet worden gesteld. Alles moet tegenwoordig volstrekt transparant zijn, ook de wijze waarop we ‘in control’ zijn. De moderne onderneming is een ‘in-control-vissekomgemeenschap’. Alles wordt opgemerkt! Bovendien moeten we noodgedwongen het ‘Swifterband-model’ loslaten (Swifterband was lange tijd een kleine lokale gemeenschap in de polder, door een enigszins geïsoleerde ligging waren echter alle noodzakelijke voorzieningen en activiteiten lokaal onder handbereik georganiseerd). Tegen-

woordig hebben grote ondernemingen te maken met outsourcing en offshoring. Ook hierdoor ontstaat een behoefte aan wereldwijde standaardisatie en uitwisselbare architectuurmodellen. In de ‘Open Group’ wordt gezocht naar performanceindicatoren en ontwerpmethoden zoals de Architecuture Development Methode (ADM). Ook certificering van architecten kan bijdragen aan standaardisatie. Het toetsen van architectuur bij de Rabobank Hans Bielok en Arjan Uittenbogerd, respectievelijk Compliance Officer en Informatiemanager, presenteerden hun bevindingen met het Architecture Maturity Model dat zij samen met Sogeti hebben ontwikkeld om de kwaliteit van de architectuur in hun organisatie te beoordelen. In de vorige

aflevering van ‘de EDP-Auditor’ (2/2007) hebben zij een bijdrage over hun aanpak en bevindingen gepubliceerd. Hoewel enkele van de belangrijkste resultaten specifiek gelden voor de Rabobank-organisatie hebben zij toch gepoogd om generiek bruikbare aanbevelingen te formuleren die een concrete handreiking kunnen vormen voor IT-auditors die zich in hun eigen organisatie een oordeel moeten vormen over de kwaliteit van de architectuur. Structuur en samenhang zijn in dat verband in eerste instantie belangrijker dan inhoud: ‘Think big, act smal’.

The Open Group The Open Group is een producent- en technologieonafhankelijk consortium dat zich bezighoudt met de toegang tot geïntegreerde informatie binnen en tussen ondernemingen op basis van open standaarden en globale interopabiliteit. The Open Group doet dit op basis van het concept van Boundaryless Information Flow™. The Open Group werkt onder meer samen met klanten, leveranciers en consortiums. Platinum-leden van The Open Group zijn Capgemini, IBM, Fujitsu, HP, Hitachi, NEC en SUN. De belangrijkste speerpunten zijn tot dusver: • The Open Group Architecture Framework (TOGAF); • Certification Program for IT-architects. Voor meer informatie over The Open Group, zie www.opengroup.org.

Hans Bielok 51 | de EDP-Auditor nummer 3 | 2007

Van de Norea

Han van der Zee Enterprise Architecture, de stand van zaken Prof. dr. Han van der Zee (partner Atos Consulting en hoogleraar Business Transformation and IT) schetste de noodzaak tot ontwikkeling van Enterprise Architecure vanuit de eisen die aan de business worden gesteld en de realiteit die daarmee nog geenszins in overeenstemming blijkt te zijn. De vergelijking met de ontwikkeling van oude en nieuwe steden (bijv. Utrecht en Almere) laat zien dat een doordachte architectuur meer samenhang kan waarborgen en ook beter is voorbereid op toekomstige ontwikkelingen. Van der Zee onderscheidt verschillende methoden om de architectuur te beoordelen: • vanuit business doelstellingen; • vanuit scope en/of mate van detail; • vanuit de betrokken stakeholders (bedrijfsarchtectuur, IT-architec-

tuur en/of IT-infrastructuur); • Vanuit de Achitecture Maturity van de organisatie. De actualiteit (ketenmanagement, complexiteit en compliance) vraagt om een geïntegreerde inrichting van processen, organisatie, informatie en technologie. Enterprise Architectuur

is de manier om een geïntegreerde inrichting vorm te geven maar dat blijkt in de praktijk niet eenvoudig. Daarom is Atos Consulting gestart met een onderzoek om de praktische bevindingen in kaart te brengen. Aan deze Survey doen 117 bedrijven en (overheids)organisaties mee. Ondanks

Nederlands Architectuur Forum (NAF) De missie van het NAF is het bevorderen van het werken onder architectuur, ten behoeve van een effectieve en efficiënte informatievoorziening geïntegreerd in een organisatie of een product. Het NAF bestaat sinds 2002 en heeft inmiddels een uitgebreid netwerk van meer dan 50 gebruikerspartijen, leveranciers en instellingen van wetenschap en onderwijs opgebouwd. Het NAF biedt zijn leden onder meer gelegenheid tot het netwerken met vakgenoten, professionalisering door deelname aan werkgroepen, en profilering door middel van werkgroepuitingen. De activiteiten van het NAF concentreren zich in de diverse werkgroepen, waarin wetenschappelijk onderzoek, onderwijs, bedrijfsmatige vraag en bedrijfsmatig aanbod met elkaar samenwerken om de professionalisering van het architectuurvak te bevorderen. Voor meer informatie: www.naf.nl.

52 | de EDP-Auditor nummer 3 | 2007

Jacob Verschuur de toegenomen belangstelling voor architectuur beschrijft slechts 25% business en IT in samenhang. Bovendien blijkt Enterprise Architectuur toch vooral nog een IT-aangelegenheid (‘eigenaar’). ICT-barometer De laatste bijdrage aan het programma van de IT-auditdag was een

NOREA Young Professionals: Take your chance!

presentatie van Jacob Verschuur (directeur ICT Leadership van Ernst & Young) over trends in ICT op basis van de ICT Barometer, een tweemaandelijks trendonderzoek – gestart in 2001– waarbij online vragen worden gesteld aan ruim 600 directeuren, managers en professionals. De eerder gesignaleerde trends ten aanzien van outsourcing

achter de schermen van deze spannende wereld van het gokken in Nederland!

De NOREA organiseert in samenwerking met Holland Casino op dinsdag 25 september een ludieke informatieavond waarin de operatie en informatiebeveiliging van Holland Casino centraal staan.

Na de presentatie staat Holland Casino voor ons klaar, om ons ook kennis te laten maken met enkele gokspelen door middel van een clinic in Pokeren, Black Jack of Roulette.

Kom daarom borrelen in de ‘Jackpotbar’ en maak kennis met de wereld

Dus neem je paspoort/rijbewijs mee en kom naar Holland Casino Utrecht

Congres Informatiebeveiliging 2007: Spant Security de Kroon

Information Security Award 2007 plaatsvinden. Locatie: ’t Spant te Bussum. Deelnemersbijdrage: € 195 voor leden van de organiserende beroepsverenigingen, € 245 voor niet-leden. Aanmelding kan via de website van het Platform Informatiebeveiliging: http://www.pi4ib.nl

GvIB/PI, ISACA en NOREA organiseren samen op 10 oktober 2007 het jaarlijkse Congres Informatiebeveiliging. Het thema is: Identity, Privacy en Security. Tijdens dit congres zal ook de uitreiking van de Joop Bautz

53 | de EDP-Auditor nummer 3 | 2007

en offshoring worden ook gestaafd door de cijfers uit de ICT-barometer. Het meest actuele Barometerrapport (juni 2007) behandelt de mate van succes van ICT-projecten in Nederland. Minder dan de helft (gemiddeld 48 procent) van alle ICT-projecten is volledig succesvol. Van de overige 52 procent van de projecten faalt 4 procent volkomen, of 48 procent gedeeltelijk. De invoering van CRM systemen leidt bijna niet tot succes: meer dan tweederde van deze projecten mislukt. 37% van de projecten mislukt door technische en/of organisatorische problemen. Ook vanuit dat perspectief wordt derhalve de noodzakelijke afstemming met de business (Enterprise) Architectuur onderstreept.

De IT-auditdag werd besloten door Abbas Shahim, bestuurslid van ISACA. nl, die zijn dank en waardering uitsprak voor de samenwerking tussen de beroepsorganisaties waardoor deze dag een nuttig initiatief is gebleken dat voor herhaling vatbaar is.

op 25 september vanaf 17.00 uur. Voor meer informatie en aanmelden, ga naar www.norea.nl onder organisatie –> young professionals.

Agenda 10 oktober 2007 - Congres Informatiebeveiliging PI/GVIB, ISACA en NOREA (Joop Bautz Award) te Bussum; 28 en 29 november 2007 - NOREA/ VERA Update on ICT & Control 2007: Role based auditing te Ermelo; 12 december 2007 - NOREA-symposium en ALV-najaar te Putten.

Van de Norea Prijs beste artikel 2006 voor ‘Ketengovernance’

D

e Prijs voor het beste artikel in ‘de EDP-Auditor’ in 2006 is gewonnen door Adri de Bruijn, Anastacia van der Meer, Peter Nieuwenhuizen, Maarten Slot en Bart van Staveren voor hun gezamenlijke bijdrage met als titel ‘Ketengovernance: startpunt voor keten-

inrichting en ketenauditing’ gepubliceerd in nummer 1/2006. Een ander artikel van dezelfde auteurs over ‘Ketensamenwerking binnen het publieke domein’ (2/2006) behoorde eveneens tot de genomineerde artikelen voor de prijs, die namens de redactie werd uitgereikt door Maarten Buijs.

Nieuwe leden In juli en augustus 2007 ingeschreven in het register van gekwalificeerde IT-auditors (RE’s): drs. S. Abdoelkhan CISM CISA G. van den Berg mevr. M.L. Beukenkamp G. Borghouts MIM K.T. Bosgra Drs. S.H. van de Brug RA Mw drs. C.J. Croeze drs. M.M.P. van den Dungen drs. R.W. de Graaf M.R. Hulleman EMITA E.A.T. Hullen Drs. F.J. van Kesteren H.J. Land Mevr. ir. D.I. Lieuw-A-Len drs. K.M. Moes RA P.C. van Rooden CISA S.J.D.R.M. Verreydt J.W. Verstraten RA A. Vogelzang Bc drs. A. van Willigen

Odinholm 19 Bastinglaan 9 Hans Lodeizenstraat 65 Henkeshagelaan 14 Egelantier 21 Calliopestraat 24 Zennestraat 114 /B19 Van Alphenplein 7 Bredaseweg 602 Bijenkorf 28 Vosseveld 20 Abdij van Bernepad 2 Reigersbos 178 Hofdijk 503 Eemskanaal Noordzijde 28 De Schans 67 Vlaamshoofdlaan 9 Canisvlietweg 5 Haagwindelaan 8 Wilhelminalaan 52

3124 SC SCHIEDAM 7003 EG DOETINCHEM 1321 SJ ALMERE 4706 VD ROOSENDAAL 3892 CR ZEEWOLDE 2511 GH ‘s-GRAVENHAGE B-1000 BRUSSEL 3581 JE UTRECHT 5036 NB TILBURG 6961 PB EERBEEK 8017 MP ZWOLLE 5258 XW BERLICUM 1107 ES AMSTERDAM Zuidoost 3032 CG ROTTERDAM 9713 AB GRONINGEN 4223 NV HOORNAAR B-2050 ANTWERPEN 4574 NE ZUIDDORPE 1474 RA OOSTHUIZEN 3851 XW ERMELO

NOREA ledenvergadering stemt in met herziening Reglement Beroepsbeoefening RE’s

T

ijdens de ledenvergadering van de NOREA, op 20 juni 2007 te Amstelveen, is ingestemd met het herzieningsvoorstel van het Reglement Beroepsbeoefening IT-auditors (RE’s). Bij de invoering van de ‘Code of Ethics’ (Reglement Gedragscode) in 2006 is de noodzaak onderkend om de overige beroepsregels en richtlijnen van de NOREA op een aantal aspecten aan te passen, zodat er een geheel van relevante regelgeving ontstaat met een consistente en begrijpelijke structuur. Daartoe is een commissie ingesteld die het bestuur heeft

geadviseerd en het herzieningsvoorstel van het Reglement Beroepsbeoefening heeft voorbereid.

en richtlijn te geven alvorens een definitieve versie aan de ledenvergadering voor te leggen.

In het Reglement wordt de status van de verschillende reglementen, richtlijnen en handreikingen voor de beroepsbeoefening éénduidig vastgesteld. Bovendien adviseert de commissie om een Raamwerk en Richtlijn voor Assurance-Opdrachten in te voeren, waartoe een concept is gepresenteerd. Het bestuur zal de leden en belanghebbenden uitnodigen om commentaar op dit raamwerk

De ledenvergadering heeft daarnaast ingestemd met de jaarrekening en het jaarverslag 2006. Tenslotte zijn – op grond van het rooster van aftreden – twee nieuwe bestuursleden benoemd: mr. drs. J. Roodnat RE RA (EDP Audit Pool) als opvolger van secretaris R. Daalder RE RA (Defensie Audit Dienst) en drs. ing. D. Brouwer RE RA (ING-Groep) als opvolger van P. Harmzen RE RA (Fortis).

54 | de EDP-Auditor nummer 3 | 2007