Continuous auditing en de (veranderde) rol van de IAD ... - Lime Tree
Continuous auditing en de (veranderde) rol van de IAD ... - Lime Tree
Continuous auditing en de (veranderde) rol van de IAD ... - Lime Tree
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Magazine voor internal <strong>en</strong> operational auditors<br />
t h e m a :<br />
<strong>Continuous</strong> <strong>auditing</strong><br />
nummer 5 <strong>de</strong>cember 2008<br />
<strong>Continuous</strong> <strong>auditing</strong> <strong>en</strong> <strong>de</strong><br />
(veran<strong>de</strong>r<strong>de</strong>) <strong>rol</strong> <strong>van</strong> <strong>de</strong> <strong>IAD</strong><br />
Meer managem<strong>en</strong>taandacht voor<br />
continuous assurance gew<strong>en</strong>st<br />
Continous cont<strong>rol</strong> monitoring<br />
na<strong>de</strong>r beschouwd
Your Business Chall<strong>en</strong>ge:<br />
Maximizing resources<br />
CCH ®<br />
TeamMate<br />
Audit Managem<strong>en</strong>t System<br />
Your Solution:<br />
CCH ® TeamMate<br />
CCH is helping build intellig<strong>en</strong>t businesses.<br />
With ad<strong>de</strong>d and more varied responsibilities, the <strong>rol</strong>e of the auditor<br />
is expanding. Thankfully, so are our world-class product offerings.<br />
Already the industry lea<strong>de</strong>r in audit managem<strong>en</strong>t systems,<br />
CCH® TeamMate now offers expan<strong>de</strong>d assets for your business,<br />
including AuditNet’s global resources.<br />
Access to AuditNet standard and premium cont<strong>en</strong>t is FREE and<br />
simple for TeamMate users, who can supplem<strong>en</strong>t their audit planning<br />
by searching across thousands of audit steps and programs in<br />
TeamMate-compatible format.<br />
What business chall<strong>en</strong>ge can we help you address?<br />
Visit www.CCHTeamMate.com for more information or contact one<br />
of the following regional repres<strong>en</strong>tatives for the B<strong>en</strong>elux:<br />
Cuno <strong>de</strong> Witte +31 20 568 6392 cuno.<strong>de</strong>.witte@nl.pwc.com<br />
Wim Man<strong>de</strong>makers +31 20 568 7374 wim.man<strong>de</strong>makers@nl.pwc.com<br />
Ca<strong>rol</strong>i<strong>en</strong> Kapel +31 20 568 5124 ca<strong>rol</strong>i<strong>en</strong>.kapel@nl.pwc.com<br />
STRATEGIC BUSINESS PARTNER
<strong>Continuous</strong> <strong>auditing</strong> <strong>en</strong> <strong>de</strong> kredietcrisis<br />
<strong>Continuous</strong> <strong>auditing</strong>, e<strong>en</strong> on<strong>de</strong>rwerp dat<br />
op <strong>de</strong> ag<strong>en</strong>da <strong>van</strong> vele auditdi<strong>en</strong>st<strong>en</strong> staat.<br />
E<strong>en</strong> on<strong>de</strong>rwerp dat tegelijkertijd ook veel<br />
vrag<strong>en</strong> oproept. Wat is het nu eig<strong>en</strong>lijk, is<br />
het hetzelf<strong>de</strong> als continuous monitoring<br />
<strong>en</strong> continuous assurance? Kunn<strong>en</strong> wij er<br />
als auditdi<strong>en</strong>st wat mee <strong>en</strong> zo ja, hoe dan?<br />
Betek<strong>en</strong>t dit dat we voortaan rapporter<strong>en</strong><br />
in e<strong>en</strong> ‘realtime’-omgeving op basis <strong>van</strong><br />
analyse <strong>van</strong> alle rele<strong>van</strong>te gegev<strong>en</strong>s uit<br />
e<strong>en</strong> database in plaats <strong>van</strong> op basis <strong>van</strong><br />
e<strong>en</strong> beperkte steekproef? Is dit droom of<br />
werkelijkheid?<br />
In dit nummer wordt <strong>van</strong>uit verschill<strong>en</strong><strong>de</strong><br />
invalshoek<strong>en</strong> op dit on<strong>de</strong>rwerp ingegaan.<br />
Niet alle<strong>en</strong> kom<strong>en</strong> diverse <strong>de</strong>finities <strong>en</strong><br />
tools aan <strong>de</strong> or<strong>de</strong>, maar ook <strong>de</strong> wijze <strong>van</strong><br />
implem<strong>en</strong>tatie <strong>en</strong> uiteraard <strong>de</strong> <strong>rol</strong> <strong>van</strong> <strong>de</strong><br />
auditor t<strong>en</strong> aanzi<strong>en</strong> <strong>van</strong> dit on<strong>de</strong>rwerp.<br />
Kortom, e<strong>en</strong> on<strong>de</strong>rwerp waar verschill<strong>en</strong><strong>de</strong><br />
opvatting<strong>en</strong> over bestaan <strong>en</strong> waar binn<strong>en</strong><br />
organisaties op verschill<strong>en</strong><strong>de</strong> manier<strong>en</strong><br />
invulling aan wordt gegev<strong>en</strong>.<br />
Ronald Jans<strong>en</strong> voorzitter<br />
Reinier Kamstra<br />
E<strong>en</strong> on<strong>de</strong>rwerp dat mogelijk nog hoger op<br />
<strong>de</strong> ag<strong>en</strong>da staat, is uiteraard <strong>de</strong> kredietcrisis.<br />
Welke <strong>rol</strong> vervuld<strong>en</strong> <strong>de</strong> auditors in dit<br />
ka<strong>de</strong>r? Of, misschi<strong>en</strong> beter gezegd, welke<br />
<strong>rol</strong> hadd<strong>en</strong> <strong>de</strong> auditors moet<strong>en</strong> vervull<strong>en</strong>?<br />
Of, e<strong>en</strong> an<strong>de</strong>re veel gehoor<strong>de</strong> opmerking<br />
in het licht <strong>van</strong> <strong>de</strong> kredietcrisis: waar<br />
war<strong>en</strong> <strong>de</strong> auditors <strong>en</strong> waarom is het zo stil<br />
in auditland? Kan <strong>de</strong> conclusie word<strong>en</strong><br />
getrokk<strong>en</strong> dat zowel externe als interne<br />
auditors onvoldo<strong>en</strong><strong>de</strong> k<strong>en</strong>nis hadd<strong>en</strong> <strong>van</strong><br />
<strong>de</strong> ingewikkel<strong>de</strong> financiële product<strong>en</strong> die<br />
on<strong>de</strong>rwerp war<strong>en</strong> <strong>van</strong> <strong>de</strong> audits? De<br />
columns in dit nummer gaan hierop in.<br />
Naast <strong>de</strong>ze thema-artikel<strong>en</strong> treft u uiteraard<br />
nog vele an<strong>de</strong>re artikel<strong>en</strong> over on<strong>de</strong>rwerp<strong>en</strong><br />
die ons als auditor in <strong>de</strong> dagelijkse praktijk<br />
bezighoud<strong>en</strong>.<br />
Wij w<strong>en</strong>s<strong>en</strong> u veel leesplezier <strong>en</strong> al het<br />
beste voor het nieuwe jaar!<br />
De redactie <strong>van</strong> Audit Magazine<br />
Ronald <strong>de</strong> Ruiter<br />
Karin Laker<br />
Laszlo Nagy<br />
Jolanda Breedveld<br />
AUDIT magazine<br />
<strong>van</strong> <strong>de</strong> redactie<br />
nummer 5 <strong>de</strong>cember 2008<br />
Rick Mul<strong>de</strong>rs<br />
D<strong>en</strong>nis Stabel<br />
3
INTE R N A L A U D I T SO F T W A R E<br />
�<br />
�<br />
�<br />
�<br />
Streamline the audit process<br />
Improve audit visibility<br />
Increase audit effici<strong>en</strong>cy & productivity<br />
Leverage assessm<strong>en</strong>ts by other GRC groups<br />
SAVE TIME, CONDUCT BETTER AUDITS<br />
� � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � �<br />
Internal audit software from Paisley inclu<strong>de</strong>s features for risk assessm<strong>en</strong>t, planning, scheduling,<br />
workpapers, reporting, issue tracking, time and exp<strong>en</strong>ses, quality assurance and personnel records.<br />
It is part of a compreh<strong>en</strong>sive governance, risk and compliance solution that also inclu<strong>de</strong>s functionality<br />
for financial cont<strong>rol</strong>s managem<strong>en</strong>t, compliance, risk managem<strong>en</strong>t and IT governance.<br />
Join over 1,300 leading organizations that utilize software from Paisley to increase effici<strong>en</strong>cies,<br />
reduce costs and improve the overall quality of financial, IT and operational audits.<br />
PAISLEY ENTERPRISE GRC AND GRC ON DEMAND — Software for integrated<br />
audit, operational risk managem<strong>en</strong>t, financial cont<strong>rol</strong>s managem<strong>en</strong>t, IT governance,<br />
and compliance. Call 888-288-0283 or visit www.paisley.com
inhoud<br />
<strong>Continuous</strong> <strong>auditing</strong><br />
<strong>Continuous</strong> <strong>auditing</strong> <strong>en</strong> <strong>de</strong> (veran<strong>de</strong>r<strong>de</strong>) <strong>rol</strong> <strong>van</strong> <strong>de</strong><br />
<strong>IAD</strong><br />
pag 6 Over continuous <strong>auditing</strong> wordt veel gezegd <strong>en</strong><br />
geschrev<strong>en</strong>. Maar wat is het nu eig<strong>en</strong>lijk? Hoe verhoudt<br />
het zich tot begripp<strong>en</strong> als continuous risk<br />
assessm<strong>en</strong>t <strong>en</strong> continuous monitoring? Wat is <strong>de</strong> <strong>rol</strong><br />
<strong>van</strong> <strong>de</strong> internal auditor? En hoe geef je het in <strong>de</strong> praktijk<br />
vorm? Dit alles wordt belicht door Bas <strong>van</strong><br />
Meeger<strong>en</strong> (BinckBank nv).<br />
Meer managem<strong>en</strong>taandacht voor continuous<br />
assurance gew<strong>en</strong>st<br />
pag 11 Bob <strong>van</strong> Kuijck stelt dat het managem<strong>en</strong>t e<strong>en</strong> strategie<br />
moet ontwikkel<strong>en</strong> om continuous monitoring te int<strong>en</strong>siver<strong>en</strong><br />
om uitein<strong>de</strong>lijk continuous assurance te realiser<strong>en</strong>.<br />
Het is dé sleutel om te voldo<strong>en</strong> aan <strong>de</strong> to<strong>en</strong>em<strong>en</strong><strong>de</strong><br />
behoefte aan continuous assurance <strong>en</strong> om <strong>de</strong><br />
kost<strong>en</strong> <strong>van</strong> corporate governance te optimaliser<strong>en</strong>.<br />
Continous cont<strong>rol</strong> monitoring na<strong>de</strong>r beschouwd<br />
pag 15 Met continous cont<strong>rol</strong> monitoring (CCM) kunn<strong>en</strong><br />
organisaties zorgdrag<strong>en</strong> voor e<strong>en</strong> effectieve naleving<br />
<strong>van</strong> beleid, richtlijn<strong>en</strong> <strong>en</strong> procedures. Ton Buffing <strong>en</strong><br />
Martijn <strong>van</strong> <strong>de</strong>r Meijd<strong>en</strong> (Ernst & Young) gaan in op<br />
<strong>de</strong> verschill<strong>en</strong><strong>de</strong> categorieën <strong>van</strong> CCM-tools, op <strong>de</strong><br />
randvoorwaard<strong>en</strong> <strong>en</strong> <strong>de</strong> voor<strong>de</strong>l<strong>en</strong> <strong>en</strong> op <strong>de</strong> implem<strong>en</strong>tatie<br />
<strong>en</strong> <strong>de</strong> toekomst <strong>van</strong> CCM.<br />
Ver<strong>de</strong>r in dit thema<br />
pag 20 Dagelijks beheers<strong>en</strong>, efficiënt audit<strong>en</strong>!<br />
pag 24 <strong>Continuous</strong> <strong>auditing</strong>: <strong>de</strong> impact op<br />
assurance, monitoring <strong>en</strong> risk assessm<strong>en</strong>t<br />
pag 27 Focus op continuïteit<br />
“Ik b<strong>en</strong> zeer beducht voor internal auditors die e<strong>en</strong><br />
eig<strong>en</strong> imperium prober<strong>en</strong> op te bouw<strong>en</strong>”<br />
pag 33 Dat zegt Gilles Izeboud, commissaris bij on<strong>de</strong>r meer<br />
Corporate Express, ENDEX <strong>en</strong> Robeco Groep. Zijn<br />
naam is onlosmakelijk verbond<strong>en</strong> met <strong>de</strong> commissie-<br />
Izeboud (voorhe<strong>en</strong> commissie-Peters) <strong>en</strong> hij was als lid<br />
<strong>van</strong> <strong>de</strong> commissie-Tabaksblat me<strong>de</strong>-auteur <strong>van</strong> e<strong>en</strong><br />
eig<strong>en</strong>tijdse co<strong>de</strong> voor goed on<strong>de</strong>rnemingsbestuur. Audit<br />
Magazine sprak met hem over <strong>de</strong> verschuiv<strong>en</strong><strong>de</strong> <strong>rol</strong> <strong>en</strong><br />
<strong>de</strong> positie <strong>van</strong> <strong>de</strong> internal auditor.<br />
Soft cont<strong>rol</strong>s relatief meetbaar<br />
pag 36 Er ontstaat steeds meer cons<strong>en</strong>sus dat het succes <strong>van</strong> risicomanagem<strong>en</strong>t<br />
sterk afhangt <strong>van</strong> het gedrag <strong>van</strong> m<strong>en</strong>s<strong>en</strong>.<br />
Soft cont<strong>rol</strong>s zijn <strong>de</strong> beheersmaatregel<strong>en</strong> die zich richt<strong>en</strong><br />
op het gedrag <strong>van</strong> m<strong>en</strong>s<strong>en</strong>. De vraag voor <strong>de</strong> internal<br />
auditor is welke <strong>rol</strong> hij hierin kan vervull<strong>en</strong>. De visie <strong>van</strong><br />
Jero<strong>en</strong> Bisseling <strong>en</strong> Joost <strong>van</strong> Harskamp (ConQuaestor<br />
Consulting).<br />
Cultuur <strong>en</strong> gedrag: on<strong>de</strong>rbelichte IT-aspect<strong>en</strong><br />
pag 40 In <strong>de</strong> praktijk blijk<strong>en</strong> veel IT-project<strong>en</strong> te ‘mislukk<strong>en</strong>’,<br />
dat wil zegg<strong>en</strong> dat ze te laat, te duur <strong>en</strong>/of niet <strong>de</strong><br />
gew<strong>en</strong>ste kwaliteit hebb<strong>en</strong>. De factor<strong>en</strong> cultuur <strong>en</strong><br />
gedrag spel<strong>en</strong> daarbij e<strong>en</strong> grote <strong>rol</strong>. Ivo Kouters <strong>en</strong><br />
Jasper <strong>de</strong> Vries (Ernst & Young Advisory) beschrijv<strong>en</strong><br />
het ka<strong>de</strong>r waarbinn<strong>en</strong> <strong>de</strong> beoor<strong>de</strong>ling <strong>van</strong> IT-project<strong>en</strong><br />
plaats kan vind<strong>en</strong>.<br />
rubriek<strong>en</strong><br />
pag 31 De estafettecolumn: Hans Nieuwlands<br />
pag 39 Column: e<strong>en</strong> case voor Cees<br />
pag 45 Column <strong>van</strong> <strong>de</strong> sponsor<br />
pag 46 Boekbespreking<br />
pag 48 De overstap<br />
pag 49 IIA Young Professionals<br />
pag 50 Boekalert<br />
pag 51 Ver<strong>en</strong>igingsnieuws<br />
pag 52 Nieuws <strong>van</strong> <strong>de</strong> universiteit<strong>en</strong><br />
pag 54 Column Bob <strong>van</strong> Kuijck<br />
COLOFON Audit Magazine wordt uitgebracht nam<strong>en</strong>s Het Instituut <strong>van</strong> Internal Auditors Ne<strong>de</strong>rland (IIA Ne<strong>de</strong>rland), tev<strong>en</strong>s eig<strong>en</strong>aar <strong>van</strong> het magazine, <strong>en</strong> <strong>de</strong> Stichting Ver<strong>en</strong>ig<strong>de</strong> Operational Auditors<br />
(SVRO). De redactie nodigt lezers uit e<strong>en</strong> bijdrage te lever<strong>en</strong> aan Audit Magazine. Bijdrag<strong>en</strong> kunn<strong>en</strong> word<strong>en</strong> gemaild aan: Jans<strong>en</strong>.Ronald2@kpmg.nl Redactieraad: F. Ste<strong>en</strong>winkel (voorzitter), Th. Smit RA CIA,<br />
G.M. <strong>van</strong> Gamer<strong>en</strong> RA RO Redactie: drs. R.H.J.W. Jans<strong>en</strong> RO (voorzitter), drs J.F. Breedveld, drs. R. Kamstra, drs. K. Laker, drs. H.A. Mul<strong>de</strong>rs RA RC, drs. L.Z. Nagy RO EMIA, drs. R. <strong>de</strong> Ruiter RE RA RO CISA,<br />
drs. D.L. Stabel RE CIA Nieuws <strong>van</strong> <strong>de</strong> Opleiding<strong>en</strong>: drs. K. Laker Ver<strong>en</strong>igingsnieuws IIA Ne<strong>de</strong>rland: drs. S. Bantwal Rao IIA Ne<strong>de</strong>rland: Postbus 5135, 1410 AC Naard<strong>en</strong>, tel.: 088-0037100, fax: 088-0037101,<br />
e-mail: iia@iia.nl, internet: www.iia.nl SVRO: Postbus 5135, 1410 AC Naard<strong>en</strong>, e-mail: secretariaat@svro.nl, internet: www.svro.nl Bureauredactie: R. Harmelink, info@vm-uitgevers.nl Uitgever: drs. J.Y.<br />
Gro<strong>en</strong>ink, jeannette@vm-uitgevers.nl Vormgeving: M. Maarleveld Druk: S<strong>en</strong>efel<strong>de</strong>r Misset, Doetinchem Advert<strong>en</strong>ties: voor informatie over tariev<strong>en</strong> kunt u terecht bij Bureau IIA Ne<strong>de</strong>rland, tel.: 088-<br />
0037100, e-mail: iia@iia.nl. Abonnem<strong>en</strong>t<strong>en</strong>: IIA Ne<strong>de</strong>rland, Postbus 5135, 1410 AC Naard<strong>en</strong>, tel.: 088-0037100, fax: 088-0037101, e-mail: iia@iia.nl (zie ook <strong>de</strong> website: www.iia.nl). Abonnem<strong>en</strong>t<strong>en</strong> kost<strong>en</strong> € 85<br />
per jaar, losse nummers € 25. Led<strong>en</strong> <strong>van</strong> IIA ont<strong>van</strong>g<strong>en</strong> Audit Magazine uit hoof<strong>de</strong> <strong>van</strong> hun lidmaatschap gratis. Abonnem<strong>en</strong>t<strong>en</strong> hebb<strong>en</strong> telk<strong>en</strong>s e<strong>en</strong> looptijd <strong>van</strong> e<strong>en</strong> jaar <strong>en</strong> geld<strong>en</strong> tot we<strong>de</strong>ropzegging t<strong>en</strong>zij<br />
an<strong>de</strong>rs overe<strong>en</strong>gekom<strong>en</strong>. Partij<strong>en</strong> kunn<strong>en</strong> ie<strong>de</strong>r schriftelijk opzegg<strong>en</strong> teg<strong>en</strong> het ein<strong>de</strong> <strong>van</strong> <strong>de</strong> abonnem<strong>en</strong>tsperio<strong>de</strong>, met inachtneming <strong>van</strong> e<strong>en</strong> opzegtermijn <strong>van</strong> twee maand<strong>en</strong>. Audit Magazine verschijnt<br />
vijfmaal per jaar.<br />
Alle recht<strong>en</strong> voorbehoud<strong>en</strong>. Behoud<strong>en</strong>s <strong>de</strong> door <strong>de</strong> Auteurswet 1912 gestel<strong>de</strong> uitzon<strong>de</strong>ring<strong>en</strong>, mag niets uit <strong>de</strong>ze uitgave word<strong>en</strong> verveelvoudigd (waaron<strong>de</strong>r begrep<strong>en</strong> het opslaan in e<strong>en</strong> geautomatiseerd gegev<strong>en</strong>sbestand) <strong>en</strong>/of op<strong>en</strong>baar<br />
gemaakt door mid<strong>de</strong>l <strong>van</strong> druk, fotokopie, microfilm of op welke an<strong>de</strong>re wijze dan ook, zon<strong>de</strong>r voorafgaan<strong>de</strong> schriftelijke toestemming <strong>van</strong> <strong>de</strong> uitgever. De bij toepassing <strong>van</strong> art. 16b <strong>en</strong> 17 Auteurswet 1912 wettelijk verschuldig<strong>de</strong> vergoeding<strong>en</strong><br />
weg<strong>en</strong>s fotokopiër<strong>en</strong>, di<strong>en</strong><strong>en</strong> te word<strong>en</strong> voldaan aan <strong>de</strong> Stichting Reprorecht, Postbus 3060, 2130 KB Hoofddorp, tel.: 023-7997810. Voor het overnem<strong>en</strong> <strong>van</strong> e<strong>en</strong> ge<strong>de</strong>elte <strong>van</strong> <strong>de</strong>ze uitgave in bloemlezing<strong>en</strong>, rea<strong>de</strong>rs <strong>en</strong> an<strong>de</strong>re compilatiewerk<strong>en</strong><br />
op grond <strong>van</strong> art. 16 Auteurswet 1912 di<strong>en</strong>t m<strong>en</strong> zich te w<strong>en</strong>d<strong>en</strong> tot <strong>de</strong> stichting Reprorecht, Postbus 3060, 2130 KB Hoofddorp, tel.: 023-7997809. Voor het overnem<strong>en</strong> <strong>van</strong> e<strong>en</strong> ge<strong>de</strong>elte <strong>van</strong> <strong>de</strong>ze uitgave t<strong>en</strong> behoeve <strong>van</strong> commerciële doeleind<strong>en</strong><br />
di<strong>en</strong>t m<strong>en</strong> zich te w<strong>en</strong>d<strong>en</strong> tot <strong>de</strong> uitgever. Hoewel aan <strong>de</strong> totstandkoming <strong>van</strong> <strong>de</strong>ze uitgave <strong>de</strong> uiterste zorg is besteed, aanvaard<strong>en</strong> <strong>de</strong> auteur(s), redacteur(<strong>en</strong>) <strong>en</strong> uitgever ge<strong>en</strong> aansprakelijkheid voor ev<strong>en</strong>tuele fout<strong>en</strong> of onvolkom<strong>en</strong>hed<strong>en</strong>.<br />
© VM uitgevers, 2008 Spel<strong>de</strong>rholt 3, 7361 DA Beekberg<strong>en</strong><br />
ISSN: 1570-856X<br />
V M U I T G E V E R S<br />
AUDIT magazine<br />
nummer 5 <strong>de</strong>cember 2008 5
<strong>Continuous</strong> <strong>auditing</strong> <strong>en</strong> <strong>de</strong> (veran<strong>de</strong>r<strong>de</strong>)<br />
<strong>rol</strong> <strong>van</strong> <strong>de</strong> <strong>IAD</strong><br />
Over continuous <strong>auditing</strong> wordt veel gezegd <strong>en</strong> geschrev<strong>en</strong>. Maar wat is het nu eig<strong>en</strong>lijk? Hoe<br />
verhoudt het zich tot begripp<strong>en</strong> als continuous risk assessm<strong>en</strong>t <strong>en</strong> continuous monitoring? Wat is<br />
<strong>de</strong> <strong>rol</strong> <strong>van</strong> <strong>de</strong> internal auditor met betrekking tot continuous <strong>auditing</strong>? En <strong>de</strong> relatie met <strong>de</strong> externe<br />
accountant? Hoe kun je continuous <strong>auditing</strong> in <strong>de</strong> praktijk vorm gev<strong>en</strong>? Deze <strong>en</strong> an<strong>de</strong>re vrag<strong>en</strong><br />
kom<strong>en</strong> in dit artikel aan <strong>de</strong> or<strong>de</strong>.<br />
Drs B.F. <strong>van</strong> Meeger<strong>en</strong> RA RO CIA<br />
AUDIT magazine<br />
<strong>Continuous</strong> <strong>auditing</strong><br />
Financiële <strong>en</strong> operationele transacties zijn <strong>de</strong> laatste jar<strong>en</strong> in aantal<br />
<strong>en</strong> complexiteit toeg<strong>en</strong>om<strong>en</strong>. Wellicht keert <strong>de</strong> kredietcrisis<br />
het tij <strong>en</strong> nem<strong>en</strong> we afscheid <strong>van</strong> hedgefunds, CDO’s (Collateralized<br />
Debt Obligations) <strong>en</strong> an<strong>de</strong>re ondoorzichtige constructies.<br />
Toch blijv<strong>en</strong> grote strom<strong>en</strong> transacties bestaan. Organisaties<br />
worstel<strong>en</strong> voortdur<strong>en</strong>d om <strong>de</strong> minimaal vereiste beheersmaatregel<strong>en</strong><br />
te treff<strong>en</strong> in e<strong>en</strong> steeds meer gereguleerd on<strong>de</strong>rnemingsklimaat.<br />
Het traditionele auditproces is ingericht om <strong>de</strong> zekerheid te<br />
verschaff<strong>en</strong> dat het geheel <strong>van</strong> <strong>de</strong>ze beheersmaatregel<strong>en</strong> a<strong>de</strong>quaat<br />
is ingericht <strong>en</strong> dat het, binn<strong>en</strong> e<strong>en</strong> afgegr<strong>en</strong>sd tijdvak, ook<br />
effectief werkt. Echter, dit auditproces vindt plaats nadat <strong>de</strong><br />
transacties zijn afgerond <strong>en</strong> is slechts zeld<strong>en</strong> in staat om alle<br />
transacties te beoor<strong>de</strong>l<strong>en</strong>. Dat leidt tot e<strong>en</strong> significant risico dat<br />
bij veel organisaties fout<strong>en</strong> <strong>en</strong> frau<strong>de</strong> voorkom<strong>en</strong> én niet tijdig<br />
opgemerkt word<strong>en</strong>. Het gevolg hier<strong>van</strong> kan gepaard gaan met<br />
e<strong>en</strong> zeer negatieve impact voor <strong>de</strong> organisatie. De praktijkvoorbeeld<strong>en</strong><br />
hier<strong>van</strong> zijn al zo vaak beschrev<strong>en</strong> dat e<strong>en</strong> na<strong>de</strong>re toelichting<br />
overbodig is.<br />
In het licht <strong>van</strong> al <strong>de</strong>ze gebeurt<strong>en</strong>iss<strong>en</strong> valt ook het on<strong>de</strong>rwerp<br />
continuous <strong>auditing</strong> te plaats<strong>en</strong>. De oorsprong <strong>van</strong> het begrip is<br />
technologisch <strong>van</strong> aard: voortdur<strong>en</strong><strong>de</strong> <strong>auditing</strong> door mid<strong>de</strong>l <strong>van</strong><br />
gebruik <strong>van</strong> geautomatiseer<strong>de</strong> system<strong>en</strong>. <strong>Continuous</strong> <strong>auditing</strong><br />
kan als gevolg <strong>van</strong> het huidige niveau <strong>van</strong> geautomatiseer<strong>de</strong> toepassing<strong>en</strong><br />
e<strong>en</strong> welkome aanvulling zijn op <strong>de</strong> noodzakelijke verbetering<strong>en</strong><br />
op het gebied <strong>van</strong> beheersing <strong>van</strong> risico’s. Al in 1999<br />
voer<strong>de</strong> het American Institute for Certified Public Accountants<br />
nummer 5 <strong>de</strong>cember 2008<br />
6<br />
(AICPA) sam<strong>en</strong> met het Canadian Institute of Chartered<br />
Accountants (CICA) e<strong>en</strong> on<strong>de</strong>rzoek uit naar continuous <strong>auditing</strong>.1<br />
Eén <strong>van</strong> <strong>de</strong> vrag<strong>en</strong> die resteer<strong>de</strong> na dit on<strong>de</strong>rzoek luid<strong>de</strong>: ‘how<br />
can the knowledge, expertise and work of internal auditors be<br />
used most effectively in setting up a continuous audit process?’<br />
Me<strong>de</strong> op grond <strong>van</strong> <strong>de</strong> uitkomst<strong>en</strong> <strong>van</strong> dit rapport staat continuous<br />
<strong>auditing</strong> in <strong>de</strong> Ver<strong>en</strong>ig<strong>de</strong> Stat<strong>en</strong> sinds 1999 op <strong>de</strong> ag<strong>en</strong>da <strong>van</strong><br />
het IIA. Vanuit het IIA startte in <strong>de</strong> Ver<strong>en</strong>ig<strong>de</strong> Stat<strong>en</strong> het on<strong>de</strong>rzoek<br />
naar <strong>de</strong> relatie met <strong>de</strong> internal auditor. In 2005 leid<strong>de</strong> dit tot<br />
<strong>de</strong> publicatie <strong>van</strong> GTAG 3 over continuous <strong>auditing</strong>.2 Ook in<br />
Ne<strong>de</strong>rland raakt het begrip meer <strong>en</strong> meer bek<strong>en</strong>d, maar er bestaat<br />
ook nog steeds veel ondui<strong>de</strong>lijkheid over. Wat is het nu precies<br />
<strong>en</strong> hoe kun je het in e<strong>en</strong> organisatie invoer<strong>en</strong>?<br />
Wat is continuous <strong>auditing</strong>?<br />
Er zijn verschill<strong>en</strong><strong>de</strong> <strong>de</strong>finities <strong>van</strong> continuous <strong>auditing</strong> te vind<strong>en</strong><br />
in <strong>de</strong> literatuur, vaak pass<strong>en</strong>d in het tijdsbeeld. Volg<strong>en</strong>s <strong>de</strong> GTAG<br />
3 is continuous <strong>auditing</strong> ‘any method used by auditors to perform<br />
audit-related activities on a more continuous or continual<br />
basis’. Daarnaast is het on<strong>de</strong>r<strong>de</strong>el <strong>van</strong> e<strong>en</strong> meer overkoepel<strong>en</strong>d<br />
begrip: alles wat <strong>de</strong> internal auditor <strong>en</strong> het managem<strong>en</strong>t do<strong>en</strong>,<br />
variër<strong>en</strong>d <strong>van</strong> continuous monitoring <strong>en</strong> continuous <strong>auditing</strong> tot<br />
het continu beoor<strong>de</strong>l<strong>en</strong> <strong>van</strong> risico’s. Dit wordt continuous assurance<br />
g<strong>en</strong>oemd (zie figuur 1).<br />
In dit conceptuele mo<strong>de</strong>l word<strong>en</strong> twee pilar<strong>en</strong> on<strong>de</strong>rscheid<strong>en</strong>:<br />
continuous monitoring <strong>en</strong> continuous <strong>auditing</strong>. Het grote verschil
met continuous <strong>auditing</strong> is dat continuous monitoring e<strong>en</strong> activiteit<br />
is die door het managem<strong>en</strong>t (of door door het managem<strong>en</strong>t<br />
aangewez<strong>en</strong> lijnfunctionariss<strong>en</strong>) wordt uitgevoerd. <strong>Continuous</strong><br />
monitoring is e<strong>en</strong> managem<strong>en</strong>tgedrev<strong>en</strong> proces. Bij continuous<br />
monitoring word<strong>en</strong> computertechniek<strong>en</strong> gebruikt om op e<strong>en</strong> continue<br />
basis uitzon<strong>de</strong>rlijke situaties of problem<strong>en</strong> te id<strong>en</strong>tificer<strong>en</strong>.<br />
<strong>Continuous</strong> monitoring wordt dus door <strong>de</strong><br />
eig<strong>en</strong>aar <strong>van</strong> <strong>de</strong> data uitgevoerd <strong>en</strong> is erop<br />
gericht om resultat<strong>en</strong> te rapporter<strong>en</strong>, data voor<br />
operationele beslissing<strong>en</strong> te analyser<strong>en</strong> <strong>en</strong> om<br />
specifieke acties te verricht<strong>en</strong>.<br />
<strong>Continuous</strong> monitoring wordt vervolg<strong>en</strong>s door<br />
<strong>de</strong> <strong>IAD</strong> getoetst, het managem<strong>en</strong>t kan namelijk<br />
e<strong>en</strong> belang hebb<strong>en</strong> om resultat<strong>en</strong> gunstiger<br />
voor te stell<strong>en</strong> dan dat <strong>de</strong> werkelijkheid is. Dit<br />
heet ‘audit testing of continuous monitoring’.<br />
Als al <strong>de</strong>ze continuousbegripp<strong>en</strong> tezam<strong>en</strong> in<br />
e<strong>en</strong> on<strong>de</strong>rneming goed word<strong>en</strong> toegepast, ontstaat continuous<br />
assurance.<br />
<strong>Continuous</strong> risk assessm<strong>en</strong>t<br />
E<strong>en</strong> nieuwe begrip dat el<strong>de</strong>rs in <strong>de</strong> GTAG 3 voorkomt maar<br />
(nog) niet expliciet in het conceptuele mo<strong>de</strong>l, is continuous risk<br />
assessm<strong>en</strong>t. Dit sluit nauw aan op <strong>de</strong> visie die Pricewaterhouse-<br />
Coopers heeft beschrev<strong>en</strong> in haar studierapport Internal Audit in<br />
2012*3, e<strong>en</strong> lez<strong>en</strong>swaardig stuk over <strong>de</strong> veran<strong>de</strong>ring die <strong>de</strong> <strong>IAD</strong><br />
moet doormak<strong>en</strong> wil het ‘overlev<strong>en</strong>’. Het slechts assurance<br />
gev<strong>en</strong> over cont<strong>rol</strong> monitoring <strong>en</strong> eig<strong>en</strong> cont<strong>rol</strong> assessm<strong>en</strong>ts is<br />
hiervoor onvoldo<strong>en</strong><strong>de</strong>. Wil <strong>de</strong> <strong>IAD</strong> e<strong>en</strong> goe<strong>de</strong> plaats binn<strong>en</strong> <strong>de</strong><br />
organisatie behoud<strong>en</strong> door toegevoeg<strong>de</strong> waar<strong>de</strong> te bied<strong>en</strong> aan<br />
haar stakehol<strong>de</strong>rs, dan zal ze zich tev<strong>en</strong>s moet<strong>en</strong> gaan richt<strong>en</strong> op<br />
het meer op continue basis evaluer<strong>en</strong> <strong>en</strong> zelf uitvoer<strong>en</strong> <strong>van</strong> risk<br />
assessm<strong>en</strong>ts. Het mo<strong>de</strong>l kan uitgebreid word<strong>en</strong> met e<strong>en</strong> <strong>de</strong>r<strong>de</strong><br />
pijler: op <strong>de</strong> managem<strong>en</strong>tlaag het <strong>en</strong>terprise risk managem<strong>en</strong>t <strong>en</strong><br />
op auditniveau het continuous risk assessm<strong>en</strong>t.<br />
Door continu risico’s te beoor<strong>de</strong>l<strong>en</strong> <strong>en</strong> beheersmaatregel<strong>en</strong> te<br />
audit<strong>en</strong> kan <strong>de</strong> auditor zijn onafhankelijke oor<strong>de</strong>el over <strong>de</strong> interne<br />
beheersing aan zijn belangrijkste stakehol<strong>de</strong>rs rapporter<strong>en</strong>.<br />
Managem<strong>en</strong>t Audit<br />
<strong>Continuous</strong> assurance<br />
Results of continuous <strong>auditing</strong> and continuous montoring<br />
Audit testing of CM <strong>Continuous</strong> <strong>auditing</strong><br />
<strong>Continuous</strong> montoring<br />
Figuur 1. <strong>Continuous</strong> assurance<br />
Activities, Transactions and Ev<strong>en</strong>ts<br />
Business Systems and Processes<br />
<strong>Continuous</strong> <strong>auditing</strong><br />
Overig<strong>en</strong>s l<strong>en</strong><strong>en</strong> niet alle process<strong>en</strong> zich voor <strong>de</strong>ze aanpak, het is<br />
e<strong>en</strong> vereiste dat <strong>de</strong> auditor <strong>de</strong> on<strong>de</strong>rligg<strong>en</strong><strong>de</strong> process<strong>en</strong> goed<br />
k<strong>en</strong>t, inclusief <strong>de</strong> techniek. Er moet toegang zijn tot alle rele<strong>van</strong>te<br />
data, die met behulp <strong>van</strong> <strong>de</strong> juiste softwaretools b<strong>en</strong>a<strong>de</strong>rd kunn<strong>en</strong><br />
word<strong>en</strong>.<br />
<strong>Continuous</strong> <strong>auditing</strong> is e<strong>en</strong> welkome aanvulling<br />
op <strong>de</strong> noodzakelijke verbetering<strong>en</strong> op het<br />
gebied <strong>van</strong> beheersing <strong>van</strong> risico’s<br />
De relatie tuss<strong>en</strong> externe accountant <strong>en</strong> internal auditor<br />
Bij het uitvoer<strong>en</strong> <strong>van</strong> zijn normale auditwerkzaamhed<strong>en</strong> bepaalt<br />
<strong>de</strong> externe accountant on<strong>de</strong>r meer in welke mate hij kan steun<strong>en</strong><br />
op <strong>de</strong> werkzaamhed<strong>en</strong> <strong>van</strong> <strong>de</strong> internal auditor. Hij stelt vast wat<br />
<strong>de</strong> invloed is <strong>van</strong> <strong>de</strong> internal auditor op <strong>de</strong> cont<strong>rol</strong>eomgeving <strong>en</strong><br />
op <strong>de</strong> cont<strong>rol</strong>emaatregel<strong>en</strong>.<br />
Of <strong>de</strong> accountant in<strong>de</strong>rdaad kan steun<strong>en</strong> op <strong>de</strong>ze werkzaamhed<strong>en</strong><br />
hangt af <strong>van</strong> <strong>de</strong> mate <strong>van</strong> onafhankelijkheid <strong>van</strong> <strong>de</strong> internal<br />
auditaf<strong>de</strong>ling, <strong>de</strong> scope <strong>van</strong> <strong>de</strong> <strong>IAD</strong>, <strong>de</strong> k<strong>en</strong>nis <strong>en</strong> compet<strong>en</strong>ties<br />
<strong>en</strong> of <strong>de</strong> werkzaamhed<strong>en</strong> zorgvuldig zijn uitgevoerd. In e<strong>en</strong><br />
onlangs versch<strong>en</strong><strong>en</strong> artikel in Internal Auditor 4 staan <strong>de</strong> belangrijkste<br />
stapp<strong>en</strong> g<strong>en</strong>oemd voor <strong>de</strong> implem<strong>en</strong>tatie <strong>van</strong> continuous<br />
<strong>auditing</strong>:<br />
• vaststell<strong>en</strong> <strong>van</strong> aandachtsgebied<strong>en</strong> die on<strong>de</strong>rworp<strong>en</strong> word<strong>en</strong> aan<br />
continuous <strong>auditing</strong> (op basis <strong>van</strong> kritieke process<strong>en</strong>, beschikbaarheid<br />
<strong>van</strong> data, kost<strong>en</strong>/bat<strong>en</strong>, snelle resultat<strong>en</strong>/<strong>de</strong>monstratieproject);<br />
• vaststell<strong>en</strong> <strong>van</strong> <strong>de</strong> regels voor queries;<br />
• bepal<strong>en</strong> <strong>van</strong> <strong>de</strong> frequ<strong>en</strong>tie;<br />
• configuratie <strong>van</strong> parameters;<br />
• follow-up;<br />
• communicer<strong>en</strong> <strong>van</strong> resultat<strong>en</strong>.<br />
In het ka<strong>de</strong>r <strong>van</strong> continuous <strong>auditing</strong> heeft <strong>de</strong> internal auditor e<strong>en</strong><br />
an<strong>de</strong>re <strong>rol</strong> dan <strong>de</strong> externe accountant. De toegevoeg<strong>de</strong> waar<strong>de</strong><br />
<strong>van</strong> <strong>de</strong> internal auditor ligt in <strong>de</strong> k<strong>en</strong>nis <strong>van</strong> <strong>de</strong> ‘te audit<strong>en</strong>’ organisatie,<br />
<strong>de</strong> process<strong>en</strong>, <strong>en</strong> vooral in <strong>de</strong> gehanteer<strong>de</strong> informatiesystem<strong>en</strong>.<br />
Enerzijds kan <strong>de</strong> internal auditor werkzaamhed<strong>en</strong> verricht<strong>en</strong><br />
waar <strong>de</strong> externe accountant op kan steun<strong>en</strong> met betrekking<br />
tot zijn werkzaamhed<strong>en</strong>. An<strong>de</strong>rzijds kan <strong>de</strong> internal auditor e<strong>en</strong><br />
‘interne consultant’-<strong>rol</strong> krijg<strong>en</strong>. Vanuit <strong>de</strong> k<strong>en</strong>nis <strong>van</strong> IT-system<strong>en</strong>,<br />
risicobeheersingssystem<strong>en</strong> <strong>en</strong> performance-indicator<strong>en</strong> kan<br />
<strong>de</strong> internal auditor adviez<strong>en</strong> gev<strong>en</strong> aan het lijnmanagem<strong>en</strong>t over<br />
het inricht<strong>en</strong> <strong>en</strong> <strong>de</strong> werking <strong>van</strong> continuous monitoringsystem<strong>en</strong>.<br />
Hierbij is wel <strong>van</strong> belang om <strong>de</strong> consequ<strong>en</strong>ties voor <strong>de</strong> onafhankelijkheid<br />
<strong>van</strong> <strong>de</strong> <strong>IAD</strong> in acht te nem<strong>en</strong>.<br />
AUDIT magazine nummer 5 <strong>de</strong>cember 2008 7
<strong>Continuous</strong> <strong>auditing</strong><br />
<strong>Continuous</strong> <strong>auditing</strong> in <strong>de</strong> praktijk<br />
Bij BinckBank is <strong>de</strong> <strong>IAD</strong> bezig met het implem<strong>en</strong>ter<strong>en</strong> <strong>van</strong> continuous<br />
monitoring <strong>en</strong> continuous <strong>auditing</strong> als on<strong>de</strong>r<strong>de</strong>el <strong>van</strong> het<br />
interne risicobeheersingssysteem. Er is e<strong>en</strong> software tool aangeschaft<br />
om het cont<strong>rol</strong> framework zoveel mogelijk te automatiser<strong>en</strong>.<br />
Alle process<strong>en</strong> zijn geïnv<strong>en</strong>tariseerd, inclusief <strong>de</strong> risico’s <strong>en</strong><br />
<strong>de</strong> bestaan<strong>de</strong> beheersmaatregel<strong>en</strong>, ofwel <strong>de</strong> cont<strong>rol</strong>s. Deze structuur,<br />
het procesrisicocont<strong>rol</strong>, is afgestemd met <strong>de</strong> proceseig<strong>en</strong>ar<strong>en</strong>,<br />
het zijn t<strong>en</strong>slotte <strong>de</strong> cont<strong>rol</strong>s <strong>van</strong> het lijnmanagem<strong>en</strong>t. De<br />
structuur ligt vast in <strong>de</strong> tool <strong>en</strong> per cont<strong>rol</strong> wordt e<strong>en</strong> cont<strong>rol</strong>eschema<br />
aangemaakt. Dit schema bestaat uit e<strong>en</strong> tweetal<br />
reviewmom<strong>en</strong>t<strong>en</strong>.<br />
BinckBank heeft ervoor gekoz<strong>en</strong> om het lijnmanagem<strong>en</strong>t qua<br />
vastlegging in <strong>de</strong> tool ge<strong>en</strong> actieve <strong>rol</strong> te gev<strong>en</strong>. De eerste review<br />
wordt uitgevoerd door Interne Cont<strong>rol</strong>e nam<strong>en</strong>s het lijnmanagem<strong>en</strong>t.<br />
Deze af<strong>de</strong>ling voert dus <strong>de</strong> eer<strong>de</strong>r g<strong>en</strong>oem<strong>de</strong> continuous<br />
monitoring uit. De twee<strong>de</strong> review is e<strong>en</strong>zelf<strong>de</strong> actie, namelijk<br />
door mid<strong>de</strong>l <strong>van</strong> zelfstandige waarneming beoor<strong>de</strong>l<strong>en</strong> of e<strong>en</strong><br />
cont<strong>rol</strong> goed heeft gewerkt, maar omvat tev<strong>en</strong>s e<strong>en</strong> beoor<strong>de</strong>ling<br />
<strong>van</strong> <strong>de</strong> door Interne Cont<strong>rol</strong>e uitgevoer<strong>de</strong> monitoringactiviteit<strong>en</strong>.<br />
Deze twee<strong>de</strong> review wordt uitgevoerd door <strong>de</strong> onafhankelijke<br />
<strong>IAD</strong>, ofwel audit testing of continuous monitoring (ook wel continuous<br />
cont<strong>rol</strong> assessm<strong>en</strong>ts g<strong>en</strong>oemd).<br />
Ook <strong>de</strong> cont<strong>rol</strong>es die door <strong>de</strong> zogehet<strong>en</strong> ‘second line of <strong>de</strong>f<strong>en</strong>ce’<br />
word<strong>en</strong> verricht, kunn<strong>en</strong> opg<strong>en</strong>om<strong>en</strong> word<strong>en</strong> in het raamwerk.<br />
Zeker bij financiële instelling<strong>en</strong> zijn compliance, risicomanagem<strong>en</strong>t<br />
<strong>en</strong> IT-security belangrijke aandachtsgebied<strong>en</strong>. Door bijvoorbeeld<br />
compliance als ‘proces’ op te voer<strong>en</strong> in <strong>de</strong> tool met als<br />
(g<strong>en</strong>eriek) risico ‘het niet voldo<strong>en</strong><br />
aan wet- <strong>en</strong> regelgeving<br />
XYZ’, kunn<strong>en</strong> als laatste stap<br />
Bas <strong>van</strong> Meeger<strong>en</strong> is sinds 2007 manager <strong>de</strong> cont<strong>rol</strong>es word<strong>en</strong> opge-<br />
<strong>IAD</strong> bij BinckBank nv in Amsterdam. voerd die compliance uitvoert<br />
Hiervoor werkte hij on<strong>de</strong>r meer bij Kas bij het toets<strong>en</strong> of <strong>de</strong> organisa-<br />
Bank, Euronext <strong>en</strong> Van <strong>de</strong>r Mool<strong>en</strong>.<br />
tie voldoet aan wet- <strong>en</strong> regelgeving.<br />
Ook hier vervult <strong>de</strong><br />
<strong>IAD</strong> <strong>de</strong> functie <strong>van</strong> ‘third line<br />
of <strong>de</strong>f<strong>en</strong>ce’ om vast te stell<strong>en</strong><br />
dat <strong>de</strong>ze werkzaamhed<strong>en</strong> juist<br />
<strong>en</strong> volledig zijn uitgevoerd.<br />
AUDIT magazine<br />
nummer 5 <strong>de</strong>cember 2008<br />
Van continuous monitoring<br />
<strong>en</strong> cont<strong>rol</strong> assessm<strong>en</strong>ts…<br />
Door <strong>de</strong>ze opzet word<strong>en</strong> dus<br />
continuous monitoring <strong>en</strong> cont<strong>rol</strong><br />
assessm<strong>en</strong>ts gecombineerd<br />
in e<strong>en</strong> tool. Hiermee<br />
<strong>de</strong>kk<strong>en</strong> we <strong>de</strong> linker pilaar uit<br />
figuur 1 af. De frequ<strong>en</strong>tie <strong>van</strong><br />
het reviewschema wordt afgestemd<br />
op het risico <strong>en</strong> het type<br />
cont<strong>rol</strong> <strong>en</strong> daarnaast op <strong>de</strong><br />
richtlijn<strong>en</strong> <strong>van</strong> <strong>de</strong> externe<br />
accountant. E<strong>en</strong> application<br />
8<br />
cont<strong>rol</strong> wordt bijvoorbeeld jaarlijks of na e<strong>en</strong> nieuwe release<br />
getest. De aanwezigheid <strong>van</strong> beleidsdocum<strong>en</strong>t<strong>en</strong> vindt ook jaarlijks<br />
plaats. Bij grote operationele risico’s is e<strong>en</strong> hogere frequ<strong>en</strong>tie<br />
gew<strong>en</strong>st.<br />
Bij het uitvoer<strong>en</strong> <strong>van</strong> <strong>de</strong> reviewwerkzaamhed<strong>en</strong> bestaat <strong>de</strong> mogelijkheid<br />
om het bewijs toe te voeg<strong>en</strong> aan <strong>de</strong> beheersmaatregel<strong>en</strong><br />
<strong>en</strong> dit vast te legg<strong>en</strong> in <strong>de</strong> tool. Dit geldt ook voor opmerking<strong>en</strong><br />
t<strong>en</strong> aanzi<strong>en</strong> <strong>van</strong> <strong>de</strong> geldigheid <strong>van</strong> het bewijs. Bijvoorbeeld door<br />
e<strong>en</strong> opmerking vast te legg<strong>en</strong> dat <strong>de</strong> <strong>de</strong>elwaarneming uitgebreid<br />
moet word<strong>en</strong>. De externe accountant heeft (read-only) toegang<br />
tot <strong>de</strong> tool <strong>en</strong> kan zich aldus e<strong>en</strong> beeld vorm<strong>en</strong> <strong>van</strong> <strong>de</strong> interne<br />
beheersing, inclusief het onafhankelijke oor<strong>de</strong>el <strong>van</strong> <strong>de</strong> <strong>IAD</strong>.<br />
Door mid<strong>de</strong>l <strong>van</strong> rapportages uit <strong>de</strong> tool word<strong>en</strong> het bestuur <strong>en</strong><br />
<strong>de</strong> auditcommissie geïnformeerd over <strong>de</strong> resultat<strong>en</strong> <strong>van</strong> <strong>de</strong><br />
reviewwerkzaamhed<strong>en</strong>. Het oor<strong>de</strong>el <strong>van</strong> <strong>de</strong> business wordt dus<br />
altijd gestaafd door <strong>de</strong> <strong>IAD</strong>, wat tot uitdrukking komt in e<strong>en</strong><br />
kleurco<strong>de</strong> per cont<strong>rol</strong> (<strong>van</strong> gro<strong>en</strong>, geel, oranje tot rood). Bij<br />
gro<strong>en</strong> zijn zowel <strong>de</strong> business als <strong>de</strong> <strong>IAD</strong> het e<strong>en</strong>s over <strong>de</strong> effectiviteit<br />
<strong>van</strong> <strong>de</strong> cont<strong>rol</strong>. Geel als e<strong>en</strong> cont<strong>rol</strong>e ineffectief is, maar er<br />
tev<strong>en</strong>s e<strong>en</strong> effectieve mitiger<strong>en</strong><strong>de</strong> cont<strong>rol</strong>e aanwezig is. Oranje<br />
als <strong>de</strong> <strong>IAD</strong> het oor<strong>de</strong>el <strong>van</strong> Interne Cont<strong>rol</strong>e bijstelt <strong>van</strong> effectief<br />
naar ineffectief. Bij rood zijn bei<strong>de</strong> het e<strong>en</strong>s over <strong>de</strong> ineffectiviteit<br />
<strong>van</strong> <strong>de</strong> cont<strong>rol</strong>. In dit geval kan <strong>de</strong> <strong>IAD</strong> in <strong>de</strong> tool e<strong>en</strong> zogehet<strong>en</strong><br />
‘issue’ aanmak<strong>en</strong> <strong>en</strong> <strong>de</strong>ze toek<strong>en</strong>n<strong>en</strong> aan <strong>de</strong> proceseig<strong>en</strong>aar.<br />
Bijvoorbeeld: ‘uit reviewactiviteit<strong>en</strong> op cont<strong>rol</strong> XYZ over<br />
<strong>de</strong> maand november 2008 is geblek<strong>en</strong> dat <strong>de</strong> cont<strong>rol</strong>eactiviteit<br />
ABC niet heeft plaatsgevond<strong>en</strong>. De <strong>IAD</strong> adviseert om met<br />
ingang <strong>van</strong> <strong>de</strong>cember 2008 <strong>de</strong>ze cont<strong>rol</strong>e weer uit te voer<strong>en</strong>.’<br />
Het on<strong>de</strong>r<strong>de</strong>el issue managem<strong>en</strong>t wordt ook gebruikt om <strong>de</strong> aanbeveling<strong>en</strong><br />
uit reguliere audits vast te legg<strong>en</strong> (<strong>IAD</strong>, externe<br />
accountant, toezichthou<strong>de</strong>r). De issues word<strong>en</strong> inclusief e<strong>en</strong><br />
<strong>de</strong>adline toegek<strong>en</strong>d aan <strong>de</strong> proceseig<strong>en</strong>aar. Zodra <strong>de</strong> issues zijn<br />
opgelost wordt <strong>de</strong> <strong>IAD</strong> geïnformeerd door <strong>de</strong> proceseig<strong>en</strong>aar <strong>en</strong><br />
na <strong>de</strong> follow-up (het vaststell<strong>en</strong> dat het issue a<strong>de</strong>quaat is opgelost),<br />
wordt het issue op gereed gezet <strong>en</strong> gearchiveerd in <strong>de</strong> tool.<br />
Dit raamwerk kan voor zowel <strong>de</strong> traditionele cont<strong>rol</strong>s als voor <strong>de</strong><br />
meer geautomatiseer<strong>de</strong> cont<strong>rol</strong>s gebruikt word<strong>en</strong>. Bei<strong>de</strong> zijn verteg<strong>en</strong>woordigd<br />
in dit raamwerk.<br />
…via continuous <strong>auditing</strong>…<br />
De in dit artikel eer<strong>de</strong>r beschrev<strong>en</strong> vorm <strong>van</strong> continuous <strong>auditing</strong><br />
richt zich echter ook op het gev<strong>en</strong> <strong>van</strong> e<strong>en</strong> oor<strong>de</strong>el over alle<br />
transacties <strong>en</strong> niet over slechts e<strong>en</strong> <strong>de</strong>elwaarneming. Dit kan bij<br />
process<strong>en</strong> die zich hier voor l<strong>en</strong><strong>en</strong>. D<strong>en</strong>k hierbij aan process<strong>en</strong><br />
als berek<strong>en</strong>ing <strong>van</strong> r<strong>en</strong>te, bewaarloon <strong>en</strong> provisie. Deze cont<strong>rol</strong>s<br />
zijn ook opg<strong>en</strong>om<strong>en</strong> in <strong>de</strong> tool, maar word<strong>en</strong> uitgevoerd door<br />
gebruik te mak<strong>en</strong> <strong>van</strong> e<strong>en</strong> audit query tool. Hier komt continuous<br />
<strong>auditing</strong> terug zoals <strong>de</strong> meest<strong>en</strong> het k<strong>en</strong>n<strong>en</strong>: het op frequ<strong>en</strong>te<br />
basis uitvoer<strong>en</strong> <strong>van</strong> cont<strong>rol</strong>s op <strong>de</strong> volledige populatie, in dit<br />
voorbeeld <strong>de</strong> r<strong>en</strong>te, bewaarloon <strong>en</strong> provisieboeking<strong>en</strong>. In <strong>de</strong> audit<br />
query tool hoeft <strong>de</strong>ze query slechts e<strong>en</strong>maal opgevoerd te word<strong>en</strong>,<br />
om vervolg<strong>en</strong>s met <strong>de</strong> gew<strong>en</strong>ste frequ<strong>en</strong>tie uitgevoerd te<br />
word<strong>en</strong>. Van cruciaal belang is dat <strong>de</strong>ze query <strong>de</strong> juiste data<br />
b<strong>en</strong>a<strong>de</strong>rt. Hiertoe is e<strong>en</strong> grondige k<strong>en</strong>nis <strong>van</strong> <strong>de</strong> on<strong>de</strong>rligg<strong>en</strong><strong>de</strong>
databases nodig. Na het periodiek draai<strong>en</strong> <strong>van</strong> <strong>de</strong> query beoor<strong>de</strong>elt<br />
<strong>de</strong> auditor <strong>de</strong> uitkomst<strong>en</strong>. Vreem<strong>de</strong> uitkomst<strong>en</strong> word<strong>en</strong><br />
na<strong>de</strong>r on<strong>de</strong>rzocht <strong>en</strong> afgestemd met het lijnmanagem<strong>en</strong>t. Waar<br />
mogelijk word<strong>en</strong> relaties gelegd met an<strong>de</strong>re bronn<strong>en</strong> zodat verbandcont<strong>rol</strong>es<br />
gelegd kunn<strong>en</strong> word<strong>en</strong>, bijvoorbeeld <strong>de</strong> afrek<strong>en</strong>ing<br />
<strong>van</strong> <strong>de</strong> clearing member die het aantal transacties registreert.<br />
Hiermee wordt e<strong>en</strong> oor<strong>de</strong>el mogelijk over <strong>de</strong> volledigheid<br />
<strong>van</strong> het aantal transacties.<br />
Er zijn echter ook verstoring<strong>en</strong> in het proces, in sommige gevall<strong>en</strong><br />
is er sprake <strong>van</strong> e<strong>en</strong> korting. Bijvoorbeeld: als gevolg <strong>van</strong> e<strong>en</strong><br />
‘member-get-member’-actie krijgt e<strong>en</strong> klant e<strong>en</strong> aantal transacties<br />
gratis. Deze cont<strong>rol</strong>e op juistheid vindt vervolg<strong>en</strong>s plaats<br />
door afstemming met <strong>de</strong> brondocum<strong>en</strong>t<strong>en</strong> voor <strong>de</strong> opvoer <strong>van</strong><br />
<strong>de</strong>ze korting. Het voor<strong>de</strong>el voor <strong>de</strong> <strong>IAD</strong> is dat <strong>de</strong> werkzaamhed<strong>en</strong><br />
veel dieper kunn<strong>en</strong> ingaan op <strong>de</strong> process<strong>en</strong> <strong>en</strong> <strong>de</strong> aanwezige<br />
beheersmaatregel<strong>en</strong> <strong>en</strong> er efficiënter onregelmatighed<strong>en</strong> word<strong>en</strong><br />
geïd<strong>en</strong>tificeerd. Hiermee <strong>de</strong>kk<strong>en</strong> we <strong>de</strong> rechter pilaar uit figuur 1<br />
af.<br />
De <strong>IAD</strong> heeft nu e<strong>en</strong> behoorlijk aantal cont<strong>rol</strong>es in kaart<br />
gebracht (die uiteraard door het lijnmanagem<strong>en</strong>t zijn vastgesteld)<br />
die continu word<strong>en</strong> beoor<strong>de</strong>eld. De frequ<strong>en</strong>tie <strong>van</strong> ‘continu’ zou<br />
ver doorgevoerd kunn<strong>en</strong> word<strong>en</strong>, zelfs tot dagelijks. De keuze<br />
<strong>Continuous</strong> <strong>auditing</strong><br />
hiervoor is afhankelijk <strong>van</strong> het risico <strong>en</strong> zal per on<strong>de</strong>rneming <strong>en</strong><br />
proces verschill<strong>en</strong>. Bij BinckBank is <strong>de</strong> praktijk dat e<strong>en</strong> maan<strong>de</strong>lijkse<br />
toets door <strong>de</strong> <strong>IAD</strong> <strong>de</strong> hoogste frequ<strong>en</strong>tie is. Voor <strong>de</strong> review<br />
door <strong>de</strong> business kan <strong>de</strong>ze frequ<strong>en</strong>tie in feite nog hoger ligg<strong>en</strong>,<br />
bijvoorbeeld bij <strong>de</strong> dagelijkse reconciliatie. Ook hier is echter<br />
gekoz<strong>en</strong> voor e<strong>en</strong> maan<strong>de</strong>lijkse review door <strong>de</strong> business, bijvoorbeeld<br />
vaststell<strong>en</strong> of <strong>de</strong> reconciliatie per maan<strong>de</strong>in<strong>de</strong> is uitgevoerd<br />
<strong>en</strong> of alle verschill<strong>en</strong> verklaard zijn <strong>en</strong> niet ou<strong>de</strong>r zijn dan <strong>de</strong>rtig<br />
dag<strong>en</strong>. Ver<strong>de</strong>r wordt <strong>van</strong> e<strong>en</strong> drietal at random geselecteer<strong>de</strong><br />
dag<strong>en</strong> vastgesteld of <strong>de</strong> reconciliatie door het lijnmanagem<strong>en</strong>t<br />
correct is uitgevoerd.<br />
…naar continuous assurance<br />
Door het invoer<strong>en</strong> <strong>van</strong> dit cont<strong>rol</strong>eraamwerk is <strong>de</strong> <strong>rol</strong> <strong>van</strong> <strong>de</strong> <strong>IAD</strong><br />
gewijzigd. De reguliere on<strong>de</strong>rzoek<strong>en</strong> waar process<strong>en</strong> e<strong>en</strong>maal in<br />
e<strong>en</strong> perio<strong>de</strong> <strong>van</strong> drie jaar werd<strong>en</strong> getoetst, vervall<strong>en</strong> grot<strong>en</strong><strong>de</strong>els.<br />
Er is namelijk al e<strong>en</strong> continu oor<strong>de</strong>el over <strong>de</strong> mate <strong>van</strong> beheersing<br />
per proces. De reguliere audits zijn veran<strong>de</strong>rd in het beoor<strong>de</strong>l<strong>en</strong><br />
<strong>van</strong> <strong>de</strong> opzet <strong>van</strong> <strong>de</strong> beheersmaatregel<strong>en</strong> <strong>en</strong> of <strong>de</strong>ze in voldo<strong>en</strong><strong>de</strong><br />
mate <strong>de</strong> inher<strong>en</strong>te risico’s af<strong>de</strong>kk<strong>en</strong> zon<strong>de</strong>r dat <strong>de</strong> werking<br />
getoetst wordt, aangezi<strong>en</strong> dit <strong>de</strong>el in het raamwerk wordt<br />
opgevoerd. De <strong>IAD</strong> kan zich hierdoor meer richt<strong>en</strong> op <strong>de</strong> ontwikkeling<strong>en</strong><br />
op het gebied <strong>van</strong> risico’s in process<strong>en</strong> <strong>en</strong> kan daardoor<br />
sneller inspel<strong>en</strong> op <strong>de</strong> realiteit.<br />
Binn<strong>en</strong> <strong>de</strong> software bestaat ook e<strong>en</strong> module ‘risk assessm<strong>en</strong>t’.<br />
Hierin kunn<strong>en</strong> proceseig<strong>en</strong>ar<strong>en</strong> periodiek gevraagd word<strong>en</strong> om<br />
<strong>de</strong> risico’s <strong>van</strong> hun proces op kans <strong>en</strong> waarschijnlijkheid in te<br />
schatt<strong>en</strong>. Afhankelijk <strong>van</strong> <strong>de</strong> volwass<strong>en</strong>heid <strong>van</strong> <strong>de</strong> organisatie<br />
kan <strong>de</strong> <strong>IAD</strong> hierbij e<strong>en</strong> faciliter<strong>en</strong><strong>de</strong> <strong>rol</strong> spel<strong>en</strong>. Zoals al eer<strong>de</strong>r<br />
aangegev<strong>en</strong> ligt hier <strong>de</strong> toekomstige waar<strong>de</strong> <strong>van</strong> <strong>de</strong> <strong>IAD</strong>: <strong>en</strong>erzijds<br />
het continu assurance gev<strong>en</strong> over <strong>de</strong> effectiviteit <strong>van</strong> <strong>de</strong><br />
cont<strong>rol</strong>s, an<strong>de</strong>rzijds het continu betrokk<strong>en</strong> zijn bij het id<strong>en</strong>tificer<strong>en</strong><br />
<strong>en</strong> inschatt<strong>en</strong> <strong>van</strong> <strong>de</strong> risico’s die <strong>de</strong> organisatie loopt (let wel,<br />
het managem<strong>en</strong>t is hiervoor verantwoor<strong>de</strong>lijk). De <strong>IAD</strong> zal vervolg<strong>en</strong>s<br />
toets<strong>en</strong> hoe <strong>de</strong>ze risico’s beheerst word<strong>en</strong>. Door hierover<br />
op e<strong>en</strong> tijdige basis te rapporter<strong>en</strong> aan het bestuur <strong>en</strong> <strong>de</strong> auditcommissie<br />
is het doel bereikt: continuous assurance.<br />
Het conceptuele continuous assurancemo<strong>de</strong>l k<strong>en</strong>t verschill<strong>en</strong><strong>de</strong><br />
continuousbegripp<strong>en</strong> met elk hun eig<strong>en</strong> toepassing in <strong>de</strong> internal<br />
auditpraktijk. Door mid<strong>de</strong>l <strong>van</strong> geautomatiseer<strong>de</strong> oplossing<strong>en</strong> <strong>en</strong><br />
uiteraard me<strong>de</strong>werking <strong>van</strong> <strong>de</strong> business, is e<strong>en</strong> succesvolle<br />
implem<strong>en</strong>tatie <strong>van</strong> e<strong>en</strong> <strong>de</strong>rgelijk raamwerk mogelijk. Als <strong>de</strong> <strong>IAD</strong><br />
zich bewust is <strong>van</strong> <strong>de</strong> mogelijkhed<strong>en</strong> die haar positie, k<strong>en</strong>nis <strong>van</strong><br />
<strong>de</strong> process<strong>en</strong> <strong>en</strong> <strong>de</strong> techniek biedt <strong>en</strong> <strong>van</strong> <strong>de</strong> toegevoeg<strong>de</strong> waar<strong>de</strong><br />
die zo voor <strong>de</strong> organisatie gecreëerd kan word<strong>en</strong>, ligt er e<strong>en</strong><br />
mooie toekomst voor continuous <strong>auditing</strong>.<br />
Literatuur<br />
1 <strong>Continuous</strong> Auditing, Research Report, CICA/AICPA, 1999.<br />
2‘<strong>Continuous</strong> Auditing: Implications for Assurance, Monitoring, and Risk<br />
Assessm<strong>en</strong>t’, Global Technology Audit Gui<strong>de</strong> (GTAG 3), IIA, 2005.<br />
3 Internal Audit 2012* ‘A study examining the future of internal <strong>auditing</strong> and the<br />
pot<strong>en</strong>tial <strong>de</strong>cline of a cont<strong>rol</strong>s-c<strong>en</strong>tric approach’, PricewaterhouseCoopers, 2007.<br />
4‘Moving towards continuous <strong>auditing</strong>’, Internal Auditor, IIA, augustus 2008.<br />
AUDIT magazine<br />
nummer 5 <strong>de</strong>cember 2008<br />
9
Dr. J.R. <strong>van</strong> Kuijck RA RC<br />
De afgelop<strong>en</strong> twee <strong>de</strong>c<strong>en</strong>nia hebb<strong>en</strong> <strong>de</strong> ontwikkeling<strong>en</strong> in <strong>de</strong> IT<br />
e<strong>en</strong> significante invloed gehad op organisaties. Als gevolg hier<strong>van</strong><br />
is <strong>de</strong> bedrijfsomgeving sterk gewijzigd. Allereerst hebb<strong>en</strong> <strong>de</strong><br />
IT-ontwikkeling<strong>en</strong> geleid tot veran<strong>de</strong>ring<strong>en</strong> in operationele system<strong>en</strong><br />
<strong>en</strong> <strong>de</strong> aansturing daar<strong>van</strong> binn<strong>en</strong> organisaties. Er zijn<br />
mogelijkhed<strong>en</strong> gecreëerd om accountinginformatie <strong>en</strong> an<strong>de</strong>re<br />
data in digitale vorm te g<strong>en</strong>erer<strong>en</strong>. Teg<strong>en</strong>woordig kunn<strong>en</strong> grote<br />
hoeveelhed<strong>en</strong> transactie- <strong>en</strong> procesgegev<strong>en</strong>s word<strong>en</strong> vastgelegd<br />
<strong>en</strong> vervolg<strong>en</strong>s automatisch word<strong>en</strong> geanalyseerd. Deze informatie<br />
kan het managem<strong>en</strong>t gebruik<strong>en</strong> om geïntegreer<strong>de</strong> bedrijfsprocess<strong>en</strong><br />
te monitor<strong>en</strong> <strong>en</strong> meer direct bij te stur<strong>en</strong>. Sterker nog, het<br />
managem<strong>en</strong>t is theoretisch in staat om bedrijfsprocess<strong>en</strong> continu<br />
te monitor<strong>en</strong>.<br />
In teg<strong>en</strong>stelling tot het verled<strong>en</strong> hebb<strong>en</strong> organisaties ook meer <strong>en</strong><br />
meer tijdige data beschikbaar om informatie te verstrekk<strong>en</strong> aan<br />
verschill<strong>en</strong><strong>de</strong> partij<strong>en</strong> binn<strong>en</strong> <strong>en</strong> buit<strong>en</strong> <strong>de</strong> organisatie. Elliot<br />
(1997)1 stelt dat ‘online reporting based on databases updated in<br />
real time will be less wed<strong>de</strong>d to curr<strong>en</strong>t protocols for periodicity,<br />
creating a parallel evolution towards continuous <strong>auditing</strong>.<br />
<strong>Continuous</strong> <strong>auditing</strong> may lead to continuous reporting that supplem<strong>en</strong>ts<br />
and ev<strong>en</strong>tually replaces the annual audit report. To audit<br />
effectively in these <strong>en</strong>vironm<strong>en</strong>ts, auditors will use electronic s<strong>en</strong>sors,<br />
software ag<strong>en</strong>ts and computerized audit programming mo<strong>de</strong>ls.’<br />
Kortom, organisaties zijn in staat om meer informatie te verstrekk<strong>en</strong><br />
als gevolg <strong>van</strong> <strong>de</strong> ontwikkeling<strong>en</strong> op IT-gebied.<br />
Behoefte aan continuous assurance<br />
Vanuit verschill<strong>en</strong><strong>de</strong> partij<strong>en</strong> in <strong>de</strong> ontwikkel<strong>de</strong> financiële markt<strong>en</strong><br />
is behoefte ontstaan aan meer diverse, frequ<strong>en</strong>te <strong>en</strong> betrouw-<br />
<strong>Continuous</strong> <strong>auditing</strong><br />
Meer managem<strong>en</strong>taandacht voor<br />
continuous assurance gew<strong>en</strong>st<br />
Organisaties <strong>en</strong> hun internal auditdi<strong>en</strong>st<strong>en</strong> zijn actief op zoek naar innovatieve weg<strong>en</strong> om op a<strong>de</strong>quate wijze <strong>de</strong><br />
risico’s <strong>en</strong> cont<strong>rol</strong>omgeving te manag<strong>en</strong>. Leidinggev<strong>en</strong>d<strong>en</strong> moet<strong>en</strong> hun stakehol<strong>de</strong>rs op continue basis kunn<strong>en</strong><br />
informer<strong>en</strong> over het realiser<strong>en</strong> <strong>van</strong> hun doelstelling<strong>en</strong>. <strong>Continuous</strong> assurance is zo’n innovatie.<br />
bare (financiële) informatie. Naar aanleiding <strong>van</strong> <strong>de</strong> verschill<strong>en</strong><strong>de</strong><br />
financiële schandal<strong>en</strong> <strong>de</strong> afgelop<strong>en</strong> <strong>de</strong>c<strong>en</strong>nia is <strong>de</strong> aandacht<br />
verschov<strong>en</strong> <strong>van</strong> zuiver financiële informatie naar informatie over<br />
risico- <strong>en</strong> beheerssystem<strong>en</strong>. Bov<strong>en</strong>di<strong>en</strong> is er behoefte aan continue<br />
zekerheid (assurance) over periodieke financiële informatie<br />
<strong>en</strong> <strong>de</strong> werking <strong>van</strong> risicomanagem<strong>en</strong>t <strong>en</strong> internal cont<strong>rol</strong>s. Dit<br />
betek<strong>en</strong>t dat e<strong>en</strong> jaarlijkse beoor<strong>de</strong>ling <strong>van</strong> <strong>de</strong> internal cont<strong>rol</strong>s<br />
niet langer voldo<strong>en</strong><strong>de</strong> is. Om in staat te zijn om continuous assurance<br />
te lever<strong>en</strong> aan partij<strong>en</strong> in <strong>de</strong> financiële markt zou het<br />
managem<strong>en</strong>t <strong>de</strong> internal cont<strong>rol</strong>s op e<strong>en</strong> meer continue basis<br />
moet<strong>en</strong> monitor<strong>en</strong>.<br />
AUDIT magazine<br />
Bob <strong>van</strong> Kuijck g<strong>en</strong>iet <strong>van</strong> e<strong>en</strong><br />
sabbatical. Tot 1 september<br />
2008 was hij CAE bij <strong>de</strong> VION<br />
Food Group. Hij is verbond<strong>en</strong><br />
aan <strong>de</strong> Vrije Universiteit<br />
Amsterdam voor on<strong>de</strong>rzoek op<br />
het gebied <strong>van</strong> continuous<br />
assurance.<br />
nummer 5 <strong>de</strong>cember 2008<br />
11
Hoe kan dit op e<strong>en</strong> efficiënte manier word<strong>en</strong> georganiseerd? De<br />
Sarbanes-Oxley Act heeft <strong>de</strong> compliancelast<strong>en</strong> <strong>van</strong> veel organisaties<br />
vergroot. Rec<strong>en</strong>te ontwikkeling<strong>en</strong> lat<strong>en</strong> zi<strong>en</strong> dat <strong>de</strong> rationaliteit<br />
terugkomt <strong>en</strong> het managem<strong>en</strong>t <strong>en</strong> auditors met oplossing<strong>en</strong><br />
kom<strong>en</strong> om <strong>de</strong>ze corporate governancekost<strong>en</strong> te reducer<strong>en</strong>.<br />
De oplossing<strong>en</strong> zull<strong>en</strong> erop gericht zijn om beoor<strong>de</strong>lingsmechanism<strong>en</strong><br />
in te bakk<strong>en</strong> in <strong>de</strong> process<strong>en</strong> zelf in plaats <strong>van</strong> e<strong>en</strong> keer<br />
per jaar e<strong>en</strong> ‘on-top’-review te lat<strong>en</strong> uitvoer<strong>en</strong> door externe auditors.<br />
In <strong>de</strong> praktijk zal word<strong>en</strong> gezocht naar e<strong>en</strong> gezon<strong>de</strong> mix <strong>van</strong><br />
continuous monitoring <strong>en</strong> continuous <strong>auditing</strong>; e<strong>en</strong> oplossing die<br />
zal word<strong>en</strong> on<strong>de</strong>rsteund door IT.<br />
Hierna wordt het landschap geschetst waarin continuous monitoring,<br />
<strong>auditing</strong> <strong>en</strong> assurance e<strong>en</strong> <strong>rol</strong> spel<strong>en</strong>.<br />
<strong>Continuous</strong> monitoring <strong>en</strong> <strong>auditing</strong><br />
<strong>Continuous</strong> monitoring kan word<strong>en</strong> ge<strong>de</strong>finieerd als e<strong>en</strong> proces<br />
waarbij Real Time/On Line-system<strong>en</strong> (RT/OL) word<strong>en</strong> gebruikt<br />
om <strong>de</strong> performance <strong>van</strong> bedrijfsprocess<strong>en</strong> ook daadwerkelijk op<br />
e<strong>en</strong> meer RT/OL-wijze te volg<strong>en</strong>. De monitoring on<strong>de</strong>rsteunt het<br />
managem<strong>en</strong>t om continu significante afwijking<strong>en</strong> <strong>van</strong> verwachte<br />
uitkomst<strong>en</strong> te signaler<strong>en</strong> <strong>en</strong> voorts tijdig bij te stur<strong>en</strong>.<br />
<strong>Continuous</strong> <strong>auditing</strong> wordt in GTAG 32 omschrev<strong>en</strong> als e<strong>en</strong><br />
werkwijze gebruikt door auditors om auditgerelateer<strong>de</strong> activiteit<strong>en</strong><br />
op e<strong>en</strong> meer continue basis uit te voer<strong>en</strong>. Via continuous<br />
<strong>auditing</strong> verschuift het auditparadigma <strong>van</strong> e<strong>en</strong> periodieke steekproefsgewijze<br />
test <strong>van</strong> transacties naar het continu test<strong>en</strong> <strong>van</strong><br />
transacties.<br />
In feite wordt <strong>de</strong> afstand tuss<strong>en</strong> feitelijke transacties <strong>en</strong> audit<br />
kleiner of verdwijnt <strong>de</strong>ze zelfs. Het on<strong>de</strong>rscheid tuss<strong>en</strong> audit <strong>en</strong><br />
monitoring wordt min<strong>de</strong>r e<strong>en</strong>duidig. De GTAG 3 laat zi<strong>en</strong> dat <strong>de</strong><br />
lijn tuss<strong>en</strong> continuous monitoring <strong>en</strong> <strong>auditing</strong> erg dun is.<br />
Bov<strong>en</strong>di<strong>en</strong> word<strong>en</strong> in dit rapport bei<strong>de</strong> begripp<strong>en</strong> door elkaar<br />
gebruikt. Het belangrijkste verschil is dat continuous monitoring<br />
wordt verricht door het managem<strong>en</strong>t <strong>en</strong> continuous <strong>auditing</strong> door<br />
auditors. Vanuit eig<strong>en</strong> invalshoek<strong>en</strong> tracht<strong>en</strong> zowel het managem<strong>en</strong>t<br />
als auditors zekerheid te krijg<strong>en</strong> over het bestaan <strong>en</strong> <strong>de</strong><br />
werking <strong>van</strong> <strong>de</strong> bedrijfsprocess<strong>en</strong> in <strong>de</strong> organisatie.<br />
Managem<strong>en</strong>t Audit<br />
AUDIT magazine<br />
<strong>Continuous</strong> <strong>auditing</strong><br />
<strong>Continuous</strong> assurance<br />
Results of continuous <strong>auditing</strong> and continuous montoring process<br />
Audit<br />
testing<br />
of CM<br />
<strong>Continuous</strong><br />
montoring<br />
(CM)<br />
Activities, Transactions and Ev<strong>en</strong>ts<br />
Business Systems and Processes<br />
nummer 5 <strong>de</strong>cember 2008<br />
12<br />
<strong>Continuous</strong><br />
<strong>auditing</strong><br />
Figuur 1. Het landschap <strong>van</strong> continuous monitoring, <strong>auditing</strong> and assurance<br />
(Bron: GTAG 3)<br />
Het landschap<br />
GTAG 3 geeft e<strong>en</strong> hel<strong>de</strong>r conceptueel raamwerk dat <strong>de</strong> relatie<br />
beschrijft tuss<strong>en</strong> continuous monitoring, <strong>auditing</strong> <strong>en</strong> assurance.<br />
Figuur 1 geeft op e<strong>en</strong> begrijpelijke wijze weer op welke verschill<strong>en</strong><strong>de</strong><br />
manier<strong>en</strong> continuous assurance kan word<strong>en</strong> gerealiseerd.<br />
<strong>Continuous</strong> assurance moet natuurlijk word<strong>en</strong> gerealiseerd teg<strong>en</strong><br />
zo laag mogelijke kost<strong>en</strong>. Om als auditor efficiënt te operer<strong>en</strong><br />
tracht <strong>de</strong>ze uiteraard te steun<strong>en</strong> op het bestaan<strong>de</strong> systeem <strong>van</strong><br />
beheersmaatregel<strong>en</strong> binn<strong>en</strong> <strong>de</strong> organisatie. Dit betek<strong>en</strong>t dat <strong>de</strong><br />
auditor <strong>de</strong> aanwezige continuous monitoring moet beoor<strong>de</strong>l<strong>en</strong> <strong>en</strong><br />
test<strong>en</strong>. Op terrein<strong>en</strong> waar niet of nauwelijks sprake is <strong>van</strong> continuous<br />
monitoring zal <strong>de</strong> internal/external auditor meer assurance<br />
verkrijg<strong>en</strong> door zelf – al dan niet continu – te audit<strong>en</strong>.<br />
<strong>Continuous</strong> <strong>auditing</strong> zal <strong>de</strong> eindgebruikers <strong>van</strong> informatie meer<br />
tijdige zekerheid gev<strong>en</strong> dat <strong>de</strong> door system<strong>en</strong> verstrekte informatie<br />
correct is. Uitein<strong>de</strong>lijk stelt continuous assurance <strong>de</strong> organisatie<br />
in staat om naar aanleiding <strong>van</strong> gebeurt<strong>en</strong>iss<strong>en</strong> meer accurate,<br />
meer frequ<strong>en</strong>te <strong>en</strong> snellere updates <strong>van</strong> (financiële) informatie te<br />
verstrekk<strong>en</strong>.<br />
De GTAG 3 geeft aan dat e<strong>en</strong> gecombineer<strong>de</strong> strategie <strong>van</strong> continuous<br />
<strong>auditing</strong> <strong>en</strong> continuous monitoring i<strong>de</strong>aal is. Echter, in<br />
mijn visie is e<strong>en</strong> <strong>de</strong>rgelijke strategie juist e<strong>en</strong> randvoorwaar<strong>de</strong><br />
om continuous assurance op e<strong>en</strong> efficiënte manier te realiser<strong>en</strong>.<br />
Om <strong>de</strong> auditinspanning<strong>en</strong> te optimaliser<strong>en</strong> zoud<strong>en</strong> internal <strong>en</strong><br />
external auditors moet<strong>en</strong> bouw<strong>en</strong> op <strong>de</strong> reeds aanwezige continuous<br />
monitoringactiviteit<strong>en</strong> <strong>van</strong> het managem<strong>en</strong>t. Zo zal <strong>de</strong> organisatie<br />
continuous assurance op e<strong>en</strong> optimale wijze realiser<strong>en</strong>.<br />
Dit betek<strong>en</strong>t dat <strong>de</strong> strategie <strong>van</strong> <strong>de</strong> organisatie zich zou moet<strong>en</strong><br />
richt<strong>en</strong> op het zoveel als mogelijk inbedd<strong>en</strong> <strong>van</strong> continuous <strong>auditing</strong>activiteit<strong>en</strong><br />
in <strong>de</strong> organisatie. Daarmee verwordt continuous<br />
<strong>auditing</strong> uitein<strong>de</strong>lijk tot continuous monitoring. Uiteraard is<br />
daarbij int<strong>en</strong>sieve sam<strong>en</strong>werking vereist met <strong>de</strong> IT-organisatie <strong>en</strong><br />
-infrastructuur. Deze organisatiefunctie moet ervoor zorg<strong>en</strong> dat<br />
<strong>de</strong> aanwezige k<strong>en</strong>nis bij zowel internal als external auditors<br />
wordt vertaald naar IT-specifieke oplossing<strong>en</strong> om inbedding in<br />
<strong>de</strong> monitoringsystem<strong>en</strong> te realiser<strong>en</strong>.<br />
Weinig progressie in het realiser<strong>en</strong> <strong>van</strong> continuous assurance<br />
Tot dusver richtte dit artikel zich op <strong>de</strong> noodzaak <strong>en</strong> het belang<br />
<strong>van</strong> investering<strong>en</strong> in continuous <strong>auditing</strong> <strong>en</strong> monitoring om continuous<br />
assurance te realiser<strong>en</strong>. Maar wat is <strong>de</strong> stand <strong>van</strong> zak<strong>en</strong><br />
in <strong>de</strong> hed<strong>en</strong>daagse praktijk? Lat<strong>en</strong> we <strong>de</strong> VS e<strong>en</strong>s als voorbeeld<br />
nem<strong>en</strong>. Hier blijkt m<strong>en</strong> niet echt bezig te zijn met het invester<strong>en</strong><br />
in <strong>de</strong>ze nieuwe omgeving. E<strong>en</strong> <strong>van</strong> <strong>de</strong> wortels <strong>van</strong> <strong>de</strong> problem<strong>en</strong><br />
is <strong>de</strong> claimcultuur die <strong>de</strong> VS karakteriseert. Deze omgeving<br />
maakt organisaties min<strong>de</strong>r <strong>en</strong>thousiast <strong>en</strong> bereidwillig om nieuwe<br />
rapporteringsformats alsme<strong>de</strong> onbeproef<strong>de</strong> werkwijz<strong>en</strong> te<br />
omarm<strong>en</strong>. Bov<strong>en</strong>di<strong>en</strong> hebb<strong>en</strong> veel organisaties zich <strong>de</strong> afgelop<strong>en</strong><br />
jar<strong>en</strong> gefocust op <strong>de</strong> implem<strong>en</strong>tatie <strong>van</strong> <strong>de</strong> Sarbanes-Oxley Act.<br />
Hierdoor was er weinig aandacht voor <strong>de</strong> ontwikkeling <strong>van</strong> continuous<br />
monitoring <strong>en</strong> continuous <strong>auditing</strong>.<br />
Los <strong>van</strong> <strong>de</strong> bov<strong>en</strong>staan<strong>de</strong> specifieke omstandighed<strong>en</strong> geldt voor<br />
veel organisaties wereldwijd dat dit thema ook niet hoog op <strong>de</strong><br />
prioriteit<strong>en</strong>lijst <strong>van</strong> het managem<strong>en</strong>t staat. Het is dan ook logisch
dat het managem<strong>en</strong>t niet <strong>de</strong> <strong>rol</strong> <strong>van</strong> pionier speelt in het<br />
opstell<strong>en</strong> <strong>van</strong> e<strong>en</strong> strategie voor – laat staan het implem<strong>en</strong>ter<strong>en</strong><br />
er<strong>van</strong> – continuous assurance. Toch is dit gew<strong>en</strong>st <strong>en</strong><br />
kan het me<strong>de</strong> help<strong>en</strong> om het in <strong>de</strong> kredietcrisis <strong>van</strong> 2008<br />
verlor<strong>en</strong> vertrouw<strong>en</strong> te herwinn<strong>en</strong>.<br />
Naast het managem<strong>en</strong>t zijn ook <strong>de</strong> external auditors verantwoor<strong>de</strong>lijk<br />
voor <strong>de</strong> traagheid op dit terrein. In <strong>de</strong> praktijk<br />
lijk<strong>en</strong> external auditors veelal geïnteresseerd te zijn in e<strong>en</strong><br />
to<strong>en</strong>em<strong>en</strong><strong>de</strong> interactie <strong>van</strong> IT met het auditproces. Daarmee<br />
word<strong>en</strong> hun cont<strong>rol</strong>eb<strong>en</strong>a<strong>de</strong>ring<strong>en</strong> meer efficiënt, wat ook<br />
goed is voor <strong>de</strong> cliënt. Ook softwarebedrijv<strong>en</strong> als SAP,<br />
ACL, Caseware <strong>en</strong> Approva invester<strong>en</strong> in <strong>de</strong> ontwikkeling<strong>en</strong><br />
<strong>van</strong> tools die continuous <strong>auditing</strong> mogelijk mak<strong>en</strong>.<br />
Echter, accountantskantor<strong>en</strong> zijn ur<strong>en</strong>fabriek<strong>en</strong> waar het<br />
resultaat wordt bepaald door <strong>de</strong> hoeveelheid ge<strong>de</strong>clareer<strong>de</strong><br />
ur<strong>en</strong>. Dit gegev<strong>en</strong> beperkt – uitzon<strong>de</strong>ring<strong>en</strong> daargelat<strong>en</strong> –<br />
<strong>de</strong> motivatie om proactief mee te werk<strong>en</strong> aan e<strong>en</strong> min<strong>de</strong>r<br />
arbeidsint<strong>en</strong>sieve, meer technologiegedrev<strong>en</strong> b<strong>en</strong>a<strong>de</strong>ring<br />
om continuous assurance binn<strong>en</strong> <strong>de</strong> organisatie te verkrijg<strong>en</strong>.<br />
Ofschoon IT-auditors <strong>en</strong> -adviseurs on<strong>de</strong>r <strong>de</strong> paraplu<br />
<strong>van</strong> audit firms e<strong>en</strong> pioniers<strong>rol</strong> vervull<strong>en</strong>, hebb<strong>en</strong> zij niet of<br />
nauwelijks invloed op <strong>de</strong> cont<strong>rol</strong>eb<strong>en</strong>a<strong>de</strong>ring <strong>van</strong> <strong>de</strong> external<br />
auditor.<br />
De <strong>rol</strong> <strong>van</strong> Internal Audit<br />
Op grond <strong>van</strong> het voorgaan<strong>de</strong> kan word<strong>en</strong> gesteld dat <strong>de</strong><br />
kans niet groot is dat het managem<strong>en</strong>t <strong>en</strong> accountantskantor<strong>en</strong><br />
<strong>de</strong> <strong>rol</strong> <strong>van</strong> pionier zull<strong>en</strong> spel<strong>en</strong> om continuous assurance<br />
op e<strong>en</strong> efficiënte manier te realiser<strong>en</strong>. Toch is er sprake<br />
<strong>van</strong> e<strong>en</strong> ‘s<strong>en</strong>se of urg<strong>en</strong>cy’ <strong>en</strong> zal het managem<strong>en</strong>t uit <strong>de</strong><br />
startblokk<strong>en</strong> moet<strong>en</strong> kom<strong>en</strong>. Met <strong>de</strong> komst <strong>van</strong> XBRL zal<br />
e<strong>en</strong> organisatie niet alle<strong>en</strong> informatie moet<strong>en</strong> lever<strong>en</strong>, maar<br />
additioneel ook assurance. Dit alles moet op e<strong>en</strong> efficiënte<br />
manier gebeur<strong>en</strong>. Het ligt voor <strong>de</strong> hand dat <strong>de</strong> oplossing <strong>van</strong>uit<br />
<strong>de</strong> organisatie zelf komt. Daarbij zou <strong>de</strong> internal auditfunctie e<strong>en</strong><br />
voortrekkers<strong>rol</strong> kunn<strong>en</strong> spel<strong>en</strong>. Deze organisatiefunctie kan bij<br />
uitstek <strong>de</strong> organisatie help<strong>en</strong> om zich gelei<strong>de</strong>lijk aan te pass<strong>en</strong><br />
aan e<strong>en</strong> nieuwe manier om assurance over bedrijfsprocess<strong>en</strong> te<br />
realiser<strong>en</strong>. De onafhankelijke positie <strong>van</strong> <strong>de</strong> internal auditfunctie<br />
zal externe partij<strong>en</strong> stimuler<strong>en</strong> om vertrouw<strong>en</strong> te hebb<strong>en</strong> in <strong>de</strong><br />
gelever<strong>de</strong> continuous assurance.<br />
Internal auditors zoud<strong>en</strong> e<strong>en</strong> actieve <strong>rol</strong> moet<strong>en</strong> spel<strong>en</strong> in het<br />
inv<strong>en</strong>tariser<strong>en</strong> <strong>van</strong> <strong>de</strong> bestaan<strong>de</strong> continuous monitoringsystem<strong>en</strong><br />
<strong>en</strong> <strong>de</strong> bestaan<strong>de</strong> continuous <strong>auditing</strong>b<strong>en</strong>a<strong>de</strong>ring <strong>van</strong> <strong>de</strong> external<br />
auditor. Daarnaast zoud<strong>en</strong> zij continuous <strong>auditing</strong> zelf kunn<strong>en</strong><br />
toepass<strong>en</strong> <strong>van</strong>uit het oogpunt <strong>de</strong> opgedane k<strong>en</strong>nis <strong>en</strong> ervaring<br />
door <strong>de</strong> IT-organisatie in te lat<strong>en</strong> bedd<strong>en</strong> in <strong>de</strong> monitoringsystem<strong>en</strong>.<br />
Op <strong>de</strong>ze wijze kunn<strong>en</strong> – in lijn met <strong>de</strong> visie <strong>van</strong> COSO –<br />
auditinspanning<strong>en</strong> word<strong>en</strong> getransformeerd naar monitoringactiviteit<strong>en</strong>.<br />
Het stelt het managem<strong>en</strong>t in staat om op termijn op continuous<br />
monitoring te steun<strong>en</strong>. Als gevolg hier<strong>van</strong> zal het landschap<br />
<strong>van</strong> continuous assurance zich gelei<strong>de</strong>lijk vorm<strong>en</strong> <strong>en</strong> zal<br />
<strong>de</strong> organisatie in staat zijn om continuous assurance over <strong>de</strong><br />
bedrijfssystem<strong>en</strong> <strong>en</strong> process<strong>en</strong> te gev<strong>en</strong>. Bov<strong>en</strong>di<strong>en</strong> zull<strong>en</strong> <strong>de</strong><br />
<strong>Continuous</strong> <strong>auditing</strong><br />
kost<strong>en</strong> <strong>van</strong> corporate governance word<strong>en</strong> gereduceerd als gevolg<br />
<strong>van</strong> <strong>de</strong> manier waarop m<strong>en</strong> zekerheid over <strong>de</strong> bedrijfsprocess<strong>en</strong><br />
realiseert.<br />
Randvoorwaard<strong>en</strong><br />
Om e<strong>en</strong> adviser<strong>en</strong><strong>de</strong> <strong>en</strong> on<strong>de</strong>rsteun<strong>en</strong><strong>de</strong> <strong>rol</strong> te kunn<strong>en</strong> spel<strong>en</strong><br />
moet <strong>de</strong> organisatie <strong>en</strong>kele randvoorwaard<strong>en</strong> creër<strong>en</strong>. Zoals hiervoor<br />
besprok<strong>en</strong> zull<strong>en</strong> <strong>de</strong> aard <strong>en</strong> timing <strong>van</strong> auditprocedures significant<br />
veran<strong>de</strong>r<strong>en</strong>. Bov<strong>en</strong>di<strong>en</strong> moet<strong>en</strong> <strong>de</strong> compet<strong>en</strong>ties <strong>en</strong> vaardighed<strong>en</strong><br />
word<strong>en</strong> aangepast om aan te sluit<strong>en</strong> bij <strong>de</strong> vereist<strong>en</strong><br />
<strong>van</strong> continuous <strong>auditing</strong>. De GTAG 3 noemt <strong>de</strong> volg<strong>en</strong><strong>de</strong> noodzakelijke<br />
randvoorwaard<strong>en</strong> om <strong>de</strong> <strong>rol</strong> <strong>van</strong> <strong>de</strong> internal auditfunctie<br />
tot e<strong>en</strong> succes te mak<strong>en</strong>:<br />
• De Chief Audit Executive (CAE) moet <strong>de</strong> steun <strong>van</strong> het s<strong>en</strong>ior<br />
managem<strong>en</strong>t <strong>en</strong> het audit committee hebb<strong>en</strong> om continuous<br />
<strong>auditing</strong> te kunn<strong>en</strong> implem<strong>en</strong>ter<strong>en</strong>.<br />
• De compet<strong>en</strong>ties <strong>van</strong> internal auditors moet<strong>en</strong> op niveau word<strong>en</strong><br />
gebracht om continuous audits te kunn<strong>en</strong> uitvoer<strong>en</strong>.<br />
• Investering<strong>en</strong> in tools <strong>en</strong> techniek<strong>en</strong> om data-analyses te kunn<strong>en</strong><br />
uitvoer<strong>en</strong> die zull<strong>en</strong> word<strong>en</strong> gebruikt in het continuous<br />
auditproces.<br />
AUDIT magazine<br />
nummer 5 <strong>de</strong>cember 2008<br />
Illustratie: Roel Ottow<br />
13
<strong>Continuous</strong> <strong>auditing</strong><br />
• De CAE moet <strong>de</strong> toepassing <strong>van</strong> continuous monitoring door<br />
het managem<strong>en</strong>t stimuler<strong>en</strong> <strong>en</strong> on<strong>de</strong>rsteun<strong>en</strong>.<br />
• De CAE moet <strong>de</strong> aanpassing in het nieuwe landschap beoor<strong>de</strong>l<strong>en</strong><br />
<strong>en</strong> het effect daar<strong>van</strong> op <strong>de</strong> overall auditplanning vaststell<strong>en</strong>.<br />
• De CAE on<strong>de</strong>rsteunt het managem<strong>en</strong>t door continuous <strong>auditing</strong>.<br />
Echter, <strong>de</strong> GTAG 3 noemt niet expliciet e<strong>en</strong> belangrijke speler in<br />
het totale corporate governancespectrum, namelijk <strong>de</strong> external<br />
auditor. Om optimale audit coverage te realiser<strong>en</strong> moet <strong>de</strong> Chief<br />
Audit Executive naast het s<strong>en</strong>ior managem<strong>en</strong>t <strong>en</strong> het audit committee<br />
ook <strong>de</strong> externe accountant in het proces betrekk<strong>en</strong>.<br />
Hiervoor zijn twee red<strong>en</strong><strong>en</strong> te noem<strong>en</strong>. T<strong>en</strong> eerste zorgt <strong>de</strong><br />
betrokk<strong>en</strong>heid <strong>van</strong> <strong>de</strong> externe auditor ervoor dat optimale audit<br />
coverage wordt gerealiseerd. Het implem<strong>en</strong>ter<strong>en</strong> <strong>van</strong> continuous<br />
<strong>auditing</strong> – dat wellicht in <strong>de</strong> toekomst wordt getransformeerd in<br />
continuous monitoring – versterkt het systeem <strong>van</strong> beheersmaatregel<strong>en</strong><br />
waarover <strong>de</strong> externe accountant zekerheid moet gev<strong>en</strong>.<br />
Dit beïnvloedt <strong>de</strong> scope <strong>en</strong> diepte <strong>van</strong> het werk <strong>van</strong> <strong>de</strong> external<br />
auditor. Bouw<strong>en</strong> op e<strong>en</strong> systeem <strong>van</strong> continuous monitoring<br />
reduceert zeker <strong>de</strong> auditinspanning<strong>en</strong> <strong>en</strong>, als gevolg daar<strong>van</strong>, <strong>de</strong><br />
kost<strong>en</strong> <strong>van</strong> <strong>de</strong> external auditor.<br />
T<strong>en</strong> twee<strong>de</strong> zal <strong>de</strong> betrokk<strong>en</strong>heid <strong>van</strong> <strong>de</strong> external auditor in het<br />
proces buit<strong>en</strong>staan<strong>de</strong>rs meer comfort gev<strong>en</strong> over het niveau <strong>van</strong><br />
continuous assurance. Immers, zij steun<strong>en</strong> op <strong>de</strong> continuous<br />
assurance zoals verstrekt door <strong>de</strong> organisatie. M<strong>en</strong> zal zeker<br />
meer vertrouw<strong>en</strong> hebb<strong>en</strong> in e<strong>en</strong> b<strong>en</strong>a<strong>de</strong>ring waarin e<strong>en</strong> external<br />
auditor participeert. Sam<strong>en</strong>gevat: bij het realiser<strong>en</strong> <strong>van</strong> continuous<br />
assurance zal <strong>de</strong> organisatie <strong>de</strong> g<strong>en</strong>oem<strong>de</strong> voor<strong>de</strong>l<strong>en</strong> behal<strong>en</strong><br />
door <strong>de</strong> external auditor erbij te betrekk<strong>en</strong>. Bov<strong>en</strong>di<strong>en</strong> zal het <strong>de</strong><br />
positie <strong>van</strong> <strong>de</strong> internal auditfunctie verstevig<strong>en</strong>.<br />
advies<br />
opleiding<strong>en</strong><br />
interimopdracht<strong>en</strong><br />
AUDIT magazine<br />
nummer 5 <strong>de</strong>cember 2008<br />
14<br />
advert<strong>en</strong>tie<br />
Conclusie<br />
Het f<strong>en</strong>ome<strong>en</strong> <strong>van</strong> continuous assurance is niet nieuw. Ondanks <strong>de</strong><br />
inzet <strong>van</strong> vele pioniers is continuous assurance in <strong>de</strong> praktijk <strong>van</strong><br />
veel organisaties nog ge<strong>en</strong> geme<strong>en</strong>goed. Het managem<strong>en</strong>t moet<br />
continuous <strong>auditing</strong> <strong>en</strong> continuous monitoring hoger op <strong>de</strong> prioriteit<strong>en</strong>lijst<br />
zett<strong>en</strong>. Dit is namelijk <strong>de</strong> sleutel om te voldo<strong>en</strong> aan <strong>de</strong> to<strong>en</strong>em<strong>en</strong><strong>de</strong><br />
behoefte aan continuous assurance <strong>en</strong> om daarnaast <strong>de</strong> kost<strong>en</strong><br />
<strong>van</strong> corporate governance te optimaliser<strong>en</strong>.<br />
In dit artikel stel ik dat het managem<strong>en</strong>t e<strong>en</strong> strategie moet ontwikkel<strong>en</strong><br />
om continuous monitoring te int<strong>en</strong>siver<strong>en</strong> om uitein<strong>de</strong>lijk continuous<br />
assurance te realiser<strong>en</strong>. Daarbij is e<strong>en</strong> promin<strong>en</strong>te <strong>rol</strong> weggelegd<br />
voor <strong>de</strong> internal auditfunctie. De internal auditfunctie zou e<strong>en</strong><br />
meer actieve <strong>rol</strong> moet<strong>en</strong> spel<strong>en</strong> in het transformer<strong>en</strong> <strong>van</strong> hed<strong>en</strong>daagse<br />
auditpraktijk<strong>en</strong> <strong>en</strong> het adopter<strong>en</strong> <strong>van</strong> nieuwe b<strong>en</strong>a<strong>de</strong>ring<strong>en</strong>.<br />
Internal auditors moet<strong>en</strong> daarbij hun verworv<strong>en</strong> k<strong>en</strong>nis bij continuous<br />
<strong>auditing</strong> overdrag<strong>en</strong> aan <strong>de</strong> IT-organisatie, die belast is met <strong>de</strong><br />
inbedding in <strong>de</strong> monitoringsystem<strong>en</strong>. Als gevolg hier<strong>van</strong> zal het<br />
managem<strong>en</strong>t continuous assurance over <strong>de</strong> bedrijfsprocess<strong>en</strong> op<br />
e<strong>en</strong> meer effectieve <strong>en</strong> efficiënte manier kunn<strong>en</strong> realiser<strong>en</strong>. Door <strong>de</strong><br />
onafhankelijke <strong>rol</strong> <strong>van</strong> Internal Audit neemt <strong>de</strong> acceptatiegraad <strong>van</strong><br />
<strong>de</strong> wijze waarop organisaties continuous assurance verschaff<strong>en</strong> toe.<br />
Ik b<strong>en</strong> er<strong>van</strong> overtuigd dat door e<strong>en</strong> actieve <strong>rol</strong> <strong>van</strong> <strong>de</strong> internal auditfunctie<br />
het nieuwe landschap <strong>van</strong> continuous assurance gelei<strong>de</strong>lijk<br />
zal ontstaan <strong>en</strong> <strong>de</strong> totale kost<strong>en</strong> <strong>van</strong> corporate governance word<strong>en</strong><br />
gereduceerd.<br />
Not<strong>en</strong><br />
1. ‘Assurance service opportunities: implications for aca<strong>de</strong>mia’, Accounting<br />
Horizons, 11 (4), pp.61-74.<br />
2. ‘<strong>Continuous</strong> Auditing: Implications for Assurance, Monitoring, and Risk<br />
Assessm<strong>en</strong>t’ Global Technology Audit Gui<strong>de</strong> 3, IIA, 2005.<br />
Managem<strong>en</strong>t Audit Services<br />
MAS is gespecialiseerd in Internal Auditing Services <strong>en</strong><br />
BIV/AO project<strong>en</strong>. Al meer dan ti<strong>en</strong> jaar operer<strong>en</strong> wij zelfstandig<br />
<strong>en</strong> onafhankelijk <strong>van</strong> <strong>de</strong> ‘Big 4’, dus ‘no conflict of interests’.<br />
Met onze werkzaamhed<strong>en</strong> <strong>en</strong> opleiding<strong>en</strong>, on<strong>de</strong>r meer CIA exam<strong>en</strong>training<strong>en</strong>,<br />
hebb<strong>en</strong> wij veel internal auditors <strong>en</strong> hun organisaties<br />
geholp<strong>en</strong>. Het realiser<strong>en</strong> <strong>van</strong> <strong>de</strong> doelstelling<strong>en</strong> <strong>van</strong> <strong>de</strong> klant<br />
staat bij ons voorop. B<strong>en</strong>t u geïnteresseerd <strong>en</strong> kiest u voor ervaring,<br />
k<strong>en</strong>nis <strong>en</strong> objectiviteit, neem dan contact op met Jack Davidsz.<br />
Jack Davidsz<br />
t] 0346 569738<br />
f] 0847 474365<br />
e] info@mas-online.nl<br />
p] Postbus 1473<br />
3600 BL Maarss<strong>en</strong>
Drs. A.Th.J. Buffing RE RA <strong>en</strong> drs. M.F. <strong>van</strong> <strong>de</strong>r Meijd<strong>en</strong> RE<br />
De laatste jar<strong>en</strong> is CCM volop in <strong>de</strong> belangstelling kom<strong>en</strong> te<br />
staan, me<strong>de</strong> door <strong>de</strong> hoge kost<strong>en</strong> <strong>van</strong> <strong>de</strong> invoering <strong>van</strong> <strong>de</strong><br />
Sarbanes-Oxley-wetgeving (SOx) bij organisaties die on<strong>de</strong>r het<br />
toezicht <strong>van</strong> <strong>de</strong> Security Exchange Commission vall<strong>en</strong>. Nu SOx<br />
alweer <strong>en</strong>ige tijd is ingevoerd, staat het terugdring<strong>en</strong> <strong>van</strong> <strong>de</strong> jaarlijks<br />
terugker<strong>en</strong><strong>de</strong> kost<strong>en</strong> <strong>van</strong> het test<strong>en</strong> <strong>van</strong> <strong>de</strong> cont<strong>rol</strong>s voorop.<br />
Behalve dat organisaties nog e<strong>en</strong>s kritisch zull<strong>en</strong> kijk<strong>en</strong> naar <strong>de</strong><br />
ge<strong>de</strong>finieer<strong>de</strong> cont<strong>rol</strong>s <strong>en</strong> <strong>de</strong> hoeveelheid daar<strong>van</strong>, zal ook <strong>de</strong><br />
inzet <strong>van</strong> geautomatiseer<strong>de</strong> tools steeds meer uitkomst bied<strong>en</strong>.<br />
Door tools voor CCM in te zett<strong>en</strong> kan het test<strong>en</strong> <strong>van</strong> cont<strong>rol</strong>s<br />
efficiënter verlop<strong>en</strong>.<br />
Naast Internal Audit zijn meer af<strong>de</strong>ling<strong>en</strong> betrokk<strong>en</strong> bij <strong>de</strong> invoering<br />
<strong>en</strong> het gebruik <strong>van</strong> CCM. Als ‘bewaker’ <strong>van</strong> het internal<br />
cont<strong>rol</strong> framework is Internal Audit wel <strong>de</strong> af<strong>de</strong>ling die als e<strong>en</strong><br />
<strong>van</strong> <strong>de</strong> eerste zal word<strong>en</strong> gevraagd e<strong>en</strong> visie hierop te hebb<strong>en</strong>.<br />
Bij organisaties met e<strong>en</strong> beperkt aantal informatiesystem<strong>en</strong> <strong>en</strong><br />
organisaties die gebruikmak<strong>en</strong> <strong>van</strong> e<strong>en</strong> integraal Enterprise<br />
Resource Planning informatiesysteem (ERP) is invoering <strong>van</strong><br />
CCM relatief e<strong>en</strong>voudig. Invoering <strong>van</strong> CCM kan in omgeving<strong>en</strong><br />
met e<strong>en</strong> grote diversiteit aan system<strong>en</strong> echter e<strong>en</strong> behoorlijke uitdaging<br />
vorm<strong>en</strong>.<br />
Categorieën <strong>van</strong> CCM-tools<br />
Daar waar traditionele tools zich voornamelijk richt<strong>en</strong> op cont<strong>rol</strong>e<br />
achteraf, verschijn<strong>en</strong> er op <strong>de</strong> markt steeds meer tools die zich<br />
richt<strong>en</strong> op het voorkom<strong>en</strong> c.q. eer<strong>de</strong>r signaler<strong>en</strong> <strong>van</strong> onvolko-<br />
<strong>Continuous</strong> <strong>auditing</strong><br />
Continous cont<strong>rol</strong> monitoring<br />
na<strong>de</strong>r beschouwd<br />
Met continous cont<strong>rol</strong> monitoring (CCM) kunn<strong>en</strong> organisaties zorgdrag<strong>en</strong> voor e<strong>en</strong> effectieve naleving <strong>van</strong> beleid,<br />
richtlijn<strong>en</strong> <strong>en</strong> procedures. CCM betreft het op continue basis toets<strong>en</strong> <strong>van</strong> instelling<strong>en</strong> of transacties <strong>van</strong> e<strong>en</strong><br />
business proces aan vooraf ge<strong>de</strong>finieer<strong>de</strong> beslissingsregels. In dit artikel wordt ingegaan op <strong>de</strong> te on<strong>de</strong>rk<strong>en</strong>n<strong>en</strong><br />
categorieën <strong>van</strong> CCM-tools. Vervolg<strong>en</strong>s kom<strong>en</strong> achtere<strong>en</strong>volg<strong>en</strong>s <strong>de</strong> randvoorwaard<strong>en</strong> <strong>en</strong> <strong>de</strong> voor<strong>de</strong>l<strong>en</strong> <strong>van</strong> <strong>de</strong> inzet<br />
<strong>van</strong> CCM aan <strong>de</strong> or<strong>de</strong>. Tot slot word<strong>en</strong> <strong>de</strong> implem<strong>en</strong>tatie <strong>en</strong> <strong>de</strong> toekomst <strong>van</strong> CCM besprok<strong>en</strong>.<br />
m<strong>en</strong>hed<strong>en</strong>. Deze CCM-tools zijn in verschill<strong>en</strong><strong>de</strong> categorieën in<br />
te <strong>de</strong>l<strong>en</strong>:<br />
• Financiële transactie monitoring. Deze tools zijn erop gericht<br />
om perman<strong>en</strong>t alle transacties te kunn<strong>en</strong> bekijk<strong>en</strong> <strong>en</strong> <strong>de</strong> transacties<br />
te id<strong>en</strong>tificer<strong>en</strong> die niet in lijn zijn met vooraf bepaal<strong>de</strong><br />
ka<strong>de</strong>rs (norm<strong>en</strong>). De focus ligt veelal op <strong>de</strong> beperking <strong>van</strong> het<br />
aantal fout<strong>en</strong>, frau<strong>de</strong> <strong>en</strong> operationele onvolkom<strong>en</strong>hed<strong>en</strong>.<br />
• Beveiliging <strong>en</strong> IT-cont<strong>rol</strong>s. Deze tools word<strong>en</strong> vooral gebruikt<br />
voor IT-managem<strong>en</strong>t. Hierbij kan gedacht word<strong>en</strong> aan monitoring<br />
<strong>van</strong> <strong>de</strong> door <strong>de</strong> geautomatiseer<strong>de</strong> system<strong>en</strong> afgedwong<strong>en</strong><br />
functiescheiding<strong>en</strong>, het <strong>de</strong>tecter<strong>en</strong> <strong>van</strong> pot<strong>en</strong>tiële beveiligingsinbreuk<strong>en</strong><br />
<strong>en</strong> <strong>de</strong> ‘three way match’, waarbij gebruikgemaakt<br />
wordt <strong>van</strong> e<strong>en</strong> veron<strong>de</strong>rsteld verband tuss<strong>en</strong> <strong>de</strong> geaccepteer<strong>de</strong><br />
or<strong>de</strong>r, goe<strong>de</strong>r<strong>en</strong>ont<strong>van</strong>gst <strong>en</strong> inkoopfactuur. Ook monitoring<br />
<strong>van</strong> changemanagem<strong>en</strong>t <strong>en</strong> versiebeheer kunn<strong>en</strong> met <strong>de</strong>ze categorie<br />
tools word<strong>en</strong> ingeregeld.<br />
• Audittools. Deze tools zijn gericht op het inzichtelijk mak<strong>en</strong> of<br />
het internal cont<strong>rol</strong> framework a<strong>de</strong>quaat heeft gefunctioneerd.<br />
Dergelijke tools word<strong>en</strong> gebruikt voor monitoring <strong>van</strong> transacties<br />
nadat die al door <strong>de</strong> organisatie verwerkt zijn. De monitoring<br />
wordt vaak op steekproefbasis uitgevoerd in plaats <strong>van</strong> dat<br />
het e<strong>en</strong> integrale verificatie betreft.<br />
• Compliance managem<strong>en</strong>ttools. Deze tools on<strong>de</strong>rsteun<strong>en</strong> bij het<br />
manag<strong>en</strong> <strong>van</strong> het auditproces <strong>en</strong> verzorg<strong>en</strong> tegelijkertijd <strong>de</strong><br />
noodzakelijke docum<strong>en</strong>tatie.<br />
AUDIT magazine<br />
nummer 5 <strong>de</strong>cember 2008<br />
15
Voor <strong>de</strong> eerste twee categorieën is sprake <strong>van</strong> e<strong>en</strong> to<strong>en</strong>em<strong>en</strong><strong>de</strong><br />
belangstelling, me<strong>de</strong> ingegev<strong>en</strong> door het integrale <strong>en</strong> het prev<strong>en</strong>tieve<br />
karakter <strong>van</strong> <strong>de</strong> hiermee uitgevoer<strong>de</strong> cont<strong>rol</strong>es, dat wil zegg<strong>en</strong><br />
dat signalering plaatsvindt voordat daadwerkelijk scha<strong>de</strong><br />
wordt geled<strong>en</strong>. Deze tools drag<strong>en</strong> ook bij aan <strong>de</strong> verbetering <strong>van</strong><br />
<strong>de</strong> mogelijkhed<strong>en</strong> <strong>van</strong> frau<strong>de</strong><strong>de</strong>tectie <strong>en</strong> inperking <strong>van</strong> businessrisico’s.<br />
De toepassingsgebied<strong>en</strong> <strong>van</strong> <strong>de</strong>ze CCM-tools ligg<strong>en</strong> veelal op<br />
het gebied <strong>van</strong>:<br />
• het grootboek, waarbij bijvoorbeeld monitoring plaatsvindt op<br />
afwijking<strong>en</strong> als dubbele journaalpost<strong>en</strong>, ongeautoriseer<strong>de</strong> boeking<strong>en</strong>,<br />
tijdigheid <strong>van</strong> boeking<strong>en</strong> <strong>en</strong> gehanteer<strong>de</strong> wisselkoers<strong>en</strong>;<br />
• het proces <strong>van</strong> verkoopor<strong>de</strong>r tot incasso, waarbij bijvoorbeeld<br />
monitoring plaatsvindt op gehanteer<strong>de</strong> prijz<strong>en</strong>, speciale korting<strong>en</strong><br />
<strong>en</strong> betalingscondities;<br />
• het proces <strong>van</strong> inkoopor<strong>de</strong>r tot betaling, waarbij bijvoorbeeld<br />
vastgesteld wordt dat betaling<strong>en</strong> uitsluit<strong>en</strong>d plaatsvind<strong>en</strong> op<br />
bankrek<strong>en</strong>ing<strong>en</strong> die voorkom<strong>en</strong> in <strong>de</strong> stambestand<strong>en</strong>, waar<strong>van</strong><br />
natuurlijk ev<strong>en</strong>e<strong>en</strong>s is nagegaan of <strong>de</strong>ze niet overe<strong>en</strong>kom<strong>en</strong> met<br />
bankrek<strong>en</strong>ingnummers uit <strong>de</strong> salarisadministratie.<br />
Randvoorwaard<strong>en</strong><br />
Het gebruikmak<strong>en</strong> <strong>van</strong> <strong>de</strong> mogelijkhed<strong>en</strong> die CCM-tools bied<strong>en</strong><br />
is ge<strong>en</strong> <strong>van</strong>zelfsprek<strong>en</strong>dheid. De informatiesystem<strong>en</strong> <strong>en</strong> data<br />
waarop <strong>de</strong> CCM-tools word<strong>en</strong> toegepast di<strong>en</strong><strong>en</strong> hiervoor aan e<strong>en</strong><br />
aantal eis<strong>en</strong> te voldo<strong>en</strong>. De belangrijkste randvoorwaard<strong>en</strong> met<br />
betrekking tot <strong>de</strong> toepassing <strong>van</strong> CCM-tools die gesteld word<strong>en</strong><br />
aan <strong>de</strong> informatiesystem<strong>en</strong> <strong>en</strong> data betreff<strong>en</strong> e<strong>en</strong> gewaarborg<strong>de</strong><br />
data-integriteit, e<strong>en</strong> afdo<strong>en</strong><strong>de</strong> audittrail, <strong>en</strong> accountability met<br />
betrekking tot <strong>de</strong> uitgevoer<strong>de</strong> han<strong>de</strong>ling<strong>en</strong> binn<strong>en</strong> het informatiesysteem<br />
<strong>en</strong> <strong>de</strong> data.<br />
Voor <strong>de</strong> toepassing <strong>van</strong> CCM-tools kan <strong>en</strong>erzijds gekoz<strong>en</strong> word<strong>en</strong><br />
voor het rechtstreeks toepass<strong>en</strong> <strong>van</strong> <strong>de</strong> tool op het informatiesysteem<br />
door <strong>de</strong> databasebestand<strong>en</strong> rechtstreeks toegankelijk<br />
te mak<strong>en</strong>. An<strong>de</strong>rzijds kan toepassing <strong>van</strong> <strong>de</strong> CCM-tool plaatsvind<strong>en</strong><br />
op geïsoleer<strong>de</strong> transactie- <strong>en</strong> mutatiebestand<strong>en</strong>. In bei<strong>de</strong><br />
gevall<strong>en</strong> geldt <strong>de</strong> voorwaar<strong>de</strong> dat <strong>de</strong> integriteit <strong>van</strong> <strong>de</strong> transactiebestand<strong>en</strong><br />
<strong>en</strong> <strong>de</strong> mutatiebestand<strong>en</strong> met e<strong>en</strong> re<strong>de</strong>lijke mate <strong>van</strong><br />
zekerheid di<strong>en</strong><strong>en</strong> te zijn gewaarborgd. Hiertoe is e<strong>en</strong> a<strong>de</strong>quaat<br />
stelsel <strong>van</strong> cont<strong>rol</strong>s in <strong>en</strong> rondom het informatiesysteem gericht<br />
op <strong>de</strong> integriteit <strong>van</strong> <strong>de</strong> gehanteer<strong>de</strong> data, e<strong>en</strong> belangrijke vereiste.<br />
Daarnaast is e<strong>en</strong> goed werk<strong>en</strong>d stelsel <strong>van</strong> g<strong>en</strong>eral IT-cont<strong>rol</strong>s<br />
<strong>van</strong> groot belang. Zo is er behoefte aan goe<strong>de</strong> <strong>en</strong> toegankelijke<br />
back-ups <strong>van</strong> <strong>de</strong> bestand<strong>en</strong>, di<strong>en</strong><strong>en</strong> <strong>de</strong> toegangsrecht<strong>en</strong> tot <strong>de</strong><br />
betreff<strong>en</strong><strong>de</strong> data a<strong>de</strong>quaat te word<strong>en</strong> beheerd, <strong>en</strong> di<strong>en</strong>t <strong>de</strong> mogelijkheid<br />
om buit<strong>en</strong> het informatiesysteem om wijziging<strong>en</strong> in <strong>de</strong><br />
bestand<strong>en</strong> aan te br<strong>en</strong>g<strong>en</strong>, afgeschermd te zijn.<br />
Bij het gebruik <strong>van</strong> geïsoleer<strong>de</strong> transactie- <strong>en</strong> mutatiebestand<strong>en</strong><br />
di<strong>en</strong>t getoetst te word<strong>en</strong> of <strong>de</strong> bestand<strong>en</strong> nog integer zijn. Hiertoe<br />
word<strong>en</strong> veelal eer<strong>de</strong>r gebruikte <strong>en</strong> bewaar<strong>de</strong> cont<strong>rol</strong>etotal<strong>en</strong><br />
zoals batch- <strong>en</strong> hashtotals ingezet.<br />
E<strong>en</strong> audittrail is e<strong>en</strong> functionele eis die gesteld wordt aan <strong>de</strong> aanlever<strong>en</strong><strong>de</strong><br />
informatiesystem<strong>en</strong>. Bij elke uitgevoer<strong>de</strong> actie di<strong>en</strong>t in<br />
het systeem te word<strong>en</strong> vastgelegd welke gebruiker wat <strong>en</strong> op<br />
AUDIT magazine<br />
<strong>Continuous</strong> <strong>auditing</strong><br />
nummer 5 <strong>de</strong>cember 2008<br />
16<br />
welk mom<strong>en</strong>t heeft uitgevoerd. Steeds meer informatiesystem<strong>en</strong><br />
bied<strong>en</strong> <strong>de</strong> mogelijkheid om aan <strong>de</strong>ze voorwaar<strong>de</strong> te voldo<strong>en</strong>.<br />
Voor <strong>de</strong> historie <strong>van</strong> <strong>de</strong> mutaties op stamgegev<strong>en</strong>s <strong>en</strong> <strong>de</strong> integriteit<br />
<strong>van</strong> <strong>de</strong> interfaces tuss<strong>en</strong> <strong>de</strong> verschill<strong>en</strong><strong>de</strong> <strong>de</strong>elsystem<strong>en</strong> is dit<br />
echter nog vaak e<strong>en</strong> punt <strong>van</strong> aandacht. Indi<strong>en</strong> e<strong>en</strong> volledige<br />
audittrail, <strong>van</strong> <strong>de</strong>tails naar total<strong>en</strong> <strong>en</strong> an<strong>de</strong>rsom, beschikbaar is,<br />
dan is aan <strong>de</strong>ze randvoorwaar<strong>de</strong> voldaan.<br />
De toepassing <strong>van</strong> CCM is niet uitsluit<strong>en</strong>d gericht op het <strong>de</strong>tecter<strong>en</strong><br />
<strong>van</strong> fout<strong>en</strong>, maar ook op het corriger<strong>en</strong> <strong>en</strong> kunn<strong>en</strong> ler<strong>en</strong> <strong>van</strong><br />
<strong>de</strong>ze fout<strong>en</strong>. Om het ler<strong>en</strong>d effect te kunn<strong>en</strong> realiser<strong>en</strong> moet<strong>en</strong><br />
<strong>de</strong> vastgeleg<strong>de</strong> gebruikersgegev<strong>en</strong>s correct zijn ingevoerd <strong>en</strong> correct<br />
blijv<strong>en</strong>. Het di<strong>en</strong>t <strong>de</strong>rhalve onomstotelijk vast te staan dat <strong>de</strong><br />
user-id die bij e<strong>en</strong> actie in het systeem staat vermeld ook daadwerkelijk<br />
toebehoort aan <strong>de</strong> persoon die <strong>de</strong> actie heeft uitgevoerd.<br />
Kortom, <strong>de</strong> accountability <strong>van</strong> <strong>de</strong> gegev<strong>en</strong>s di<strong>en</strong>t niet ter<br />
discussie te staan. Ultieme voorwaard<strong>en</strong> hierbij zijn <strong>de</strong> aanwezigheid<br />
<strong>van</strong> IT-security-awar<strong>en</strong>ess binn<strong>en</strong> e<strong>en</strong> organisatie <strong>en</strong> het<br />
gebruik <strong>van</strong> unieke <strong>en</strong> persoonsgebond<strong>en</strong> user-id’s.<br />
De voor<strong>de</strong>l<strong>en</strong> <strong>van</strong> <strong>de</strong> inzet <strong>van</strong> CCM<br />
De doelstelling<strong>en</strong> <strong>van</strong> CCM zijn niet wez<strong>en</strong>lijk an<strong>de</strong>rs dan die<br />
<strong>van</strong> interne cont<strong>rol</strong>e. CCM on<strong>de</strong>rsteunt het managem<strong>en</strong>t ook bij<br />
<strong>de</strong> handhaving <strong>van</strong> interne policies, richtlijn<strong>en</strong> <strong>en</strong> procedures.<br />
Uitein<strong>de</strong>lijk is CCM gericht op:<br />
1. het terugdring<strong>en</strong> <strong>van</strong> <strong>de</strong> interne cont<strong>rol</strong>erisico’s binn<strong>en</strong> e<strong>en</strong><br />
organisatie;<br />
2. <strong>de</strong> cont<strong>rol</strong>e zo goedkoop mogelijk uit te voer<strong>en</strong>;<br />
3. het vergrot<strong>en</strong> <strong>van</strong> het vertrouw<strong>en</strong> in <strong>de</strong> (financiële) informatie<br />
binn<strong>en</strong> e<strong>en</strong> organisatie;<br />
4. <strong>de</strong> verbetering <strong>van</strong> (financiële) operaties door verlaging <strong>van</strong> <strong>de</strong><br />
foutkans <strong>en</strong> <strong>de</strong> kans op frau<strong>de</strong>;<br />
5. <strong>de</strong> verbetering <strong>van</strong> <strong>de</strong> winstgev<strong>en</strong>dheid <strong>van</strong> e<strong>en</strong> organisatie<br />
door betere sturing <strong>en</strong> het terugdring<strong>en</strong> <strong>van</strong> operationele fout<strong>en</strong>.<br />
CCM biedt ook directe voor<strong>de</strong>l<strong>en</strong> voor <strong>de</strong> toegevoeg<strong>de</strong> waar<strong>de</strong><br />
<strong>van</strong> <strong>de</strong> internal auditor. Zo kan met CCM e<strong>en</strong> integrale beoor<strong>de</strong>ling<br />
<strong>van</strong> alle mutaties op stambestand<strong>en</strong> of parameterbestand<strong>en</strong><br />
<strong>en</strong> op transacties plaatsvind<strong>en</strong>. Hierbij zijn in het geval <strong>van</strong><br />
afwijking<strong>en</strong> mete<strong>en</strong> concrete voorbeeld<strong>en</strong> voorhand<strong>en</strong> waardoor<br />
<strong>de</strong> (internal) auditor zich niet hoeft te beperk<strong>en</strong> tot het niveau<br />
<strong>van</strong> pot<strong>en</strong>tiële risico’s, maar direct <strong>de</strong> daadwerkelijke praktijkcases<br />
met het managem<strong>en</strong>t kan besprek<strong>en</strong>. Enkele voorbeeld<strong>en</strong><br />
hier<strong>van</strong> zijn:<br />
• E<strong>en</strong> functionaris heeft t<strong>en</strong> onrechte e<strong>en</strong> autorisatie voor het fiatter<strong>en</strong><br />
<strong>van</strong> <strong>de</strong> betaling <strong>van</strong> e<strong>en</strong> inkoopfactuur, maar er kan niet<br />
word<strong>en</strong> aangetoond dat <strong>de</strong>ze persoon hier daadwerkelijk<br />
gebruik <strong>van</strong> heeft gemaakt. Met CCM kan relatief e<strong>en</strong>voudig<br />
word<strong>en</strong> aangegev<strong>en</strong> welke factur<strong>en</strong> door <strong>de</strong> betreff<strong>en</strong><strong>de</strong> functionaris<br />
zijn gefiatteerd <strong>en</strong> welke bedrag<strong>en</strong> hiermee gemoeid<br />
war<strong>en</strong>.<br />
• Geconstateerd kan word<strong>en</strong> dat e<strong>en</strong> funcionaris ti<strong>en</strong> factur<strong>en</strong><br />
heeft geaccor<strong>de</strong>erd binn<strong>en</strong> e<strong>en</strong> halve minuut. Met <strong>de</strong>ze wet<strong>en</strong>schap<br />
kunn<strong>en</strong> vraagtek<strong>en</strong>s word<strong>en</strong> gezet bij <strong>de</strong> kwaliteit <strong>van</strong> <strong>de</strong><br />
door hem verrichte cont<strong>rol</strong>ewerkzaamhed<strong>en</strong>.
Ook bij het test<strong>en</strong> <strong>van</strong> IT-g<strong>en</strong>eral cont<strong>rol</strong>s krijgt e<strong>en</strong> internal<br />
auditor door CCM meer mogelijkhed<strong>en</strong>. Voorbeeld<strong>en</strong> <strong>van</strong> uit te<br />
voer<strong>en</strong> cont<strong>rol</strong>es zijn:<br />
• e<strong>en</strong> relatie legg<strong>en</strong> tuss<strong>en</strong> <strong>de</strong> user-id’s zoals <strong>de</strong>ze ge<strong>de</strong>finieerd<br />
zijn in e<strong>en</strong> mailsysteem <strong>en</strong> <strong>de</strong> user-id’s uit het financiële administratiesysteem<br />
om inzicht te verkijg<strong>en</strong> of persoonsgebond<strong>en</strong><br />
user-id’s word<strong>en</strong> gehanteerd <strong>en</strong> of het user managem<strong>en</strong>tproces<br />
effectief functioneert;<br />
• e<strong>en</strong> analyse mak<strong>en</strong> <strong>van</strong> <strong>de</strong> relaties tuss<strong>en</strong> <strong>de</strong> (software)sources<br />
<strong>van</strong> <strong>de</strong> programmatuur <strong>en</strong> <strong>de</strong> gecompileer<strong>de</strong> object<strong>en</strong> om waar<strong>de</strong>volle<br />
informatie te krijg<strong>en</strong> over <strong>de</strong> werking <strong>van</strong> <strong>de</strong> software<br />
change managem<strong>en</strong>tprocedures.<br />
Naast het uitvoer<strong>en</strong> <strong>van</strong> gerichte cont<strong>rol</strong>es op <strong>de</strong> effectieve werking<br />
<strong>van</strong> cont<strong>rol</strong>s kan <strong>de</strong> internal auditor CCM ook gebruik<strong>en</strong><br />
om input voor positieve feedback te verkrijg<strong>en</strong>, bijvoorbeeld:<br />
• vaststell<strong>en</strong> dat het mom<strong>en</strong>t waarop <strong>de</strong> perio<strong>de</strong>afsluiting is afgerond<br />
aanzi<strong>en</strong>lijk is vervroegd t<strong>en</strong> opzichte <strong>van</strong> eer<strong>de</strong>re period<strong>en</strong>;<br />
• vaststell<strong>en</strong> of bij vreem<strong>de</strong> valutatransacties <strong>de</strong> gehanteer<strong>de</strong><br />
koers<strong>en</strong> correct war<strong>en</strong>.<br />
Kortom, juist het sprek<strong>en</strong> over concrete gevall<strong>en</strong> maakt <strong>de</strong> communicatie<br />
e<strong>en</strong> stuk plezieriger voor <strong>de</strong> betreff<strong>en</strong><strong>de</strong> auditor.<br />
Bevinding<strong>en</strong> kunn<strong>en</strong> niet meer word<strong>en</strong> afgedaan met <strong>de</strong> opmerking<br />
dat er weliswaar e<strong>en</strong> risico is, maar dat <strong>de</strong>ze gevall<strong>en</strong> zich<br />
toch niet zull<strong>en</strong> voordo<strong>en</strong>. De concrete voorbeeld<strong>en</strong> kunn<strong>en</strong><br />
gegev<strong>en</strong> word<strong>en</strong>, zowel in situaties waar het niet goed gaat als in<br />
situaties waar het wel goed gaat. Op <strong>de</strong>ze manier toont <strong>de</strong> auditor<br />
aan dat <strong>de</strong> dagelijkse praktijk <strong>van</strong> <strong>de</strong> organisatie niet uit het<br />
<strong>Continuous</strong> <strong>auditing</strong><br />
oog wordt verlor<strong>en</strong> <strong>en</strong> levert CCM e<strong>en</strong> belangrijke bijdrage aan<br />
<strong>de</strong> toegevoeg<strong>de</strong> waar<strong>de</strong> <strong>van</strong> <strong>de</strong> internal auditfunctie voor het<br />
managem<strong>en</strong>t <strong>van</strong> e<strong>en</strong> organisatie.<br />
Implem<strong>en</strong>tatie <strong>van</strong> CCM<br />
De wijze <strong>van</strong> implem<strong>en</strong>tatie <strong>van</strong> CCM is vergelijkbaar met <strong>de</strong><br />
implem<strong>en</strong>tatie <strong>van</strong> e<strong>en</strong> internal cont<strong>rol</strong> framework. In bei<strong>de</strong><br />
gevall<strong>en</strong> is betrokk<strong>en</strong>heid <strong>en</strong> commitm<strong>en</strong>t <strong>van</strong> het managem<strong>en</strong>t<br />
e<strong>en</strong> zeer belangrijke voorwaar<strong>de</strong>. Ook is k<strong>en</strong>nis <strong>van</strong> <strong>de</strong> business<br />
nodig <strong>en</strong> di<strong>en</strong><strong>en</strong> <strong>de</strong> juiste risicoafweging<strong>en</strong> te word<strong>en</strong> gemaakt.<br />
Tot slot di<strong>en</strong><strong>en</strong> <strong>de</strong> reikwijdte <strong>en</strong> <strong>de</strong> frequ<strong>en</strong>tie <strong>van</strong> test<strong>en</strong> te word<strong>en</strong><br />
bepaald.<br />
De belangrijkste verschill<strong>en</strong> met e<strong>en</strong> internal cont<strong>rol</strong> framework<br />
zijn dat CCM ingrijpt op <strong>de</strong> activiteit<strong>en</strong> <strong>van</strong> <strong>van</strong>daag <strong>en</strong> ook op<br />
<strong>de</strong> geplan<strong>de</strong> activiteit<strong>en</strong> <strong>van</strong> morg<strong>en</strong>. Deze tijdigheid is dan ook<br />
mete<strong>en</strong> <strong>de</strong> grote meerwaar<strong>de</strong> <strong>van</strong> CCM. De interne beheersing<br />
wordt zo ingericht dat <strong>de</strong> organisatie er ‘bov<strong>en</strong>op zit’, opdat<br />
onregelmatighed<strong>en</strong> voorkom<strong>en</strong> word<strong>en</strong>. Overig<strong>en</strong>s blijft CCM<br />
gericht op het monitor<strong>en</strong> <strong>van</strong> het functioner<strong>en</strong> <strong>van</strong> <strong>de</strong> cont<strong>rol</strong>s <strong>en</strong><br />
zal CCM nooit e<strong>en</strong> ver<strong>van</strong>ging zijn <strong>van</strong> <strong>de</strong> ingerichte business<br />
cont<strong>rol</strong>s. De lijnorganisatie behoudt hiervoor te all<strong>en</strong> tij<strong>de</strong> <strong>de</strong> primaire<br />
verantwoor<strong>de</strong>lijkheid <strong>en</strong> di<strong>en</strong>t overe<strong>en</strong>komstig daarmee <strong>de</strong><br />
noodzakelijke maatregel<strong>en</strong> te nem<strong>en</strong>. Hierbij kan <strong>de</strong> lijnorganisatie<br />
overig<strong>en</strong>s gebruikmak<strong>en</strong> <strong>van</strong> CCM-tools om haar business<br />
cont<strong>rol</strong>s in te richt<strong>en</strong>. Of <strong>de</strong>ze cont<strong>rol</strong>s hebb<strong>en</strong> gewerkt wordt<br />
vervolg<strong>en</strong>s door <strong>de</strong> internal auditor vastgesteld met zijn set <strong>van</strong><br />
<strong>de</strong> in CCM opg<strong>en</strong>om<strong>en</strong> cont<strong>rol</strong>s.<br />
De implem<strong>en</strong>tatie <strong>van</strong> CCM heeft t<strong>en</strong> opzichte <strong>van</strong> het reguliere<br />
managem<strong>en</strong>tinformatiesysteem als belangrijkste voor<strong>de</strong>el dat<br />
voor data/informatie geput kan word<strong>en</strong> uit verschill<strong>en</strong><strong>de</strong> bronsys-<br />
AUDIT magazine<br />
nummer 5 <strong>de</strong>cember 2008<br />
17
<strong>Continuous</strong> <strong>auditing</strong><br />
tem<strong>en</strong>. Dit levert uiteraard mete<strong>en</strong> ook uitdaging<strong>en</strong> op voor <strong>de</strong><br />
implem<strong>en</strong>tatie <strong>van</strong> CCM op het gebied <strong>van</strong>:<br />
• data- <strong>en</strong> begrips<strong>de</strong>finities (wat is <strong>de</strong> <strong>de</strong>finitie <strong>van</strong> kost<strong>en</strong>, winst,<br />
opleidingskost<strong>en</strong>, et cetera);<br />
• synchroniteit tuss<strong>en</strong> <strong>de</strong> verschill<strong>en</strong><strong>de</strong> system<strong>en</strong>, in term<strong>en</strong> <strong>van</strong><br />
tijdsperio<strong>de</strong>, hoeveelhed<strong>en</strong>, valuta’s.<br />
• <strong>de</strong> koppelgegev<strong>en</strong>s (sleutels) tuss<strong>en</strong> <strong>de</strong> verschill<strong>en</strong><strong>de</strong> system<strong>en</strong>.<br />
Het kan voor e<strong>en</strong> organisatie verlei<strong>de</strong>lijk zijn direct over te gaan<br />
tot het <strong>de</strong>finitief inbouw<strong>en</strong> <strong>van</strong> alle noodzakelijke signalering<strong>en</strong><br />
in <strong>de</strong> bestaan<strong>de</strong> bedrijfsprocess<strong>en</strong>. Dit gaat echter voorbij aan het<br />
gegev<strong>en</strong> dat <strong>de</strong> implem<strong>en</strong>tatie <strong>van</strong> CCM e<strong>en</strong> zoekproces is naar<br />
e<strong>en</strong> balans tuss<strong>en</strong> <strong>de</strong> (data)mogelijkhed<strong>en</strong> <strong>van</strong> <strong>de</strong> diverse system<strong>en</strong><br />
<strong>en</strong> hetge<strong>en</strong> <strong>de</strong> organisatie wil bereik<strong>en</strong> om <strong>de</strong> interne cont<strong>rol</strong>e<br />
te verbeter<strong>en</strong>. Hierbij di<strong>en</strong>t rek<strong>en</strong>ing gehoud<strong>en</strong> te word<strong>en</strong><br />
met <strong>de</strong> daarmee sam<strong>en</strong>hang<strong>en</strong><strong>de</strong> kost<strong>en</strong>. Dit alles vereist e<strong>en</strong> iteratie<br />
in het implem<strong>en</strong>tatieproces <strong>en</strong> <strong>de</strong> gebruikte ontwikkelingsmethodiek<br />
waarbij tev<strong>en</strong>s <strong>de</strong> volg<strong>en</strong><strong>de</strong> on<strong>de</strong>rwerp<strong>en</strong> in het implem<strong>en</strong>tatieproces<br />
di<strong>en</strong><strong>en</strong> te word<strong>en</strong> meeg<strong>en</strong>om<strong>en</strong>:<br />
• toegankelijkheid data, dat wil zegg<strong>en</strong> het kunn<strong>en</strong> b<strong>en</strong>a<strong>de</strong>r<strong>en</strong>,<br />
selecter<strong>en</strong>, verwerk<strong>en</strong> <strong>van</strong> data uit verschill<strong>en</strong><strong>de</strong> system<strong>en</strong> uit<br />
<strong>de</strong> gehele IT-organisatie;<br />
• functionaliteit ter on<strong>de</strong>rsteuning <strong>van</strong> tests, bijvoorbeeld voor<br />
sampling, sequ<strong>en</strong>ce testing;<br />
• aanpassingsmogelijkhed<strong>en</strong> voor <strong>de</strong> uit te voer<strong>en</strong> tests (parameters,<br />
scripting, logging);<br />
• capaciteit om om<strong>van</strong>grijke datasets te kunn<strong>en</strong> verwerk<strong>en</strong> zon<strong>de</strong>r<br />
<strong>de</strong> dagelijkse IT-operaties te verstor<strong>en</strong>.<br />
De rele<strong>van</strong>te data zull<strong>en</strong> bij e<strong>en</strong> organisatie veelal <strong>de</strong>c<strong>en</strong>traal<br />
b<strong>en</strong>a<strong>de</strong>rd, geselecteerd <strong>en</strong> beschikbaar gesteld word<strong>en</strong>. De stapp<strong>en</strong><br />
verwerk<strong>en</strong>, verrijk<strong>en</strong>, cont<strong>rol</strong>er<strong>en</strong> integriteit, uitvoer<strong>en</strong> analyses<br />
<strong>en</strong> rapporter<strong>en</strong> word<strong>en</strong> meestal c<strong>en</strong>traal uitgevoerd of<br />
gecoördineerd.<br />
AUDIT magazine<br />
Ton Buffing is directeur Advisory bij Ernst &<br />
Young. Zijn aandachtsgebied<strong>en</strong> zijn on<strong>de</strong>r meer<br />
data-analyse, business intellig<strong>en</strong>ce <strong>en</strong> datawarehousing,<br />
zowel voor <strong>de</strong> (jaarrek<strong>en</strong>ing)cont<strong>rol</strong>e<br />
als op het gebied <strong>van</strong> advisering.<br />
✉ ton.Buffing@nl.ey.com<br />
Martijn <strong>van</strong> <strong>de</strong>r Meijd<strong>en</strong> RE, is s<strong>en</strong>ior manager<br />
Advisory bij Ernst & Young. Zijn aandachtsgebied<strong>en</strong><br />
zijn data-analyse <strong>en</strong> business intellig<strong>en</strong>ce.<br />
Voor diverse sector<strong>en</strong> <strong>en</strong> cliënt<strong>en</strong> voert hij<br />
zowel adviesopdracht<strong>en</strong> als opdracht<strong>en</strong> in het<br />
ka<strong>de</strong>r <strong>van</strong> <strong>de</strong> jaarrek<strong>en</strong>ingcont<strong>rol</strong>e uit.<br />
✉ martijn.<strong>van</strong>.<strong>de</strong>r.meijd<strong>en</strong>@nl.ey.com<br />
nummer 5 <strong>de</strong>cember 2008<br />
18<br />
De implem<strong>en</strong>tatie <strong>van</strong> CCM kan als e<strong>en</strong> succes word<strong>en</strong> beschouwd<br />
als daarmee het niveau <strong>van</strong> <strong>de</strong> interne cont<strong>rol</strong>e verbeterd wordt<br />
terwijl <strong>de</strong> kost<strong>en</strong> <strong>van</strong> interne cont<strong>rol</strong>e gereduceerd word<strong>en</strong>.<br />
Hierbij geldt dat het totaal <strong>van</strong> <strong>de</strong> kost<strong>en</strong> <strong>van</strong> <strong>de</strong> implem<strong>en</strong>tatie<br />
<strong>en</strong> het on<strong>de</strong>rhoud <strong>van</strong> CCM moet<strong>en</strong> word<strong>en</strong> terugverdi<strong>en</strong>d met<br />
<strong>de</strong> besparing op <strong>de</strong> kost<strong>en</strong> <strong>van</strong> <strong>de</strong> uitvoering <strong>en</strong> monitoring <strong>van</strong><br />
<strong>de</strong> cont<strong>rol</strong>s.<br />
Toekomst <strong>van</strong> CCM<br />
Gezi<strong>en</strong> het iteratieve <strong>en</strong> exploratieve karakter kunn<strong>en</strong> met CCM<br />
belangrijke stapp<strong>en</strong> gezet word<strong>en</strong> in <strong>de</strong> ver<strong>de</strong>re verbetering <strong>van</strong><br />
het internal cont<strong>rol</strong> framework. Techniek, beschikbare tools <strong>en</strong><br />
datasets vorm<strong>en</strong> steeds min<strong>de</strong>r e<strong>en</strong> beperk<strong>en</strong><strong>de</strong> factor, terwijl tal<br />
<strong>van</strong> voorbeeld<strong>en</strong> te gev<strong>en</strong> zijn waar CCM aantoonbaar e<strong>en</strong> goe<strong>de</strong><br />
bijdrage kan lever<strong>en</strong>.<br />
De invoering <strong>van</strong> CCM is echter e<strong>en</strong> strategische keuze waarbij<br />
<strong>de</strong> implem<strong>en</strong>tatie <strong>van</strong> CCM e<strong>en</strong> proces is dat niet on<strong>de</strong>rschat<br />
mag word<strong>en</strong>. E<strong>en</strong> realistische kijk op <strong>de</strong> aanwezige mogelijkhed<strong>en</strong><br />
om CCM toe te pass<strong>en</strong> is vereist. Vervolg<strong>en</strong>s di<strong>en</strong><strong>en</strong> bij <strong>de</strong><br />
toepassing <strong>van</strong> CCM belangrijke afweging<strong>en</strong> gemaakt te word<strong>en</strong><br />
over welke cont<strong>rol</strong>es in welke period<strong>en</strong> moet<strong>en</strong> word<strong>en</strong> uitgevoerd,<br />
alsook over keuz<strong>en</strong> over het tijdsframe waarbinn<strong>en</strong><br />
gewerkt moet word<strong>en</strong>, aangezi<strong>en</strong> niet alle informatie beschikbaar<br />
is op het mom<strong>en</strong>t dat beslissing<strong>en</strong> word<strong>en</strong> g<strong>en</strong>om<strong>en</strong>.<br />
Tot slot zal e<strong>en</strong> succesvol CCM niet alle<strong>en</strong> op het verled<strong>en</strong> <strong>en</strong> het<br />
hed<strong>en</strong> gericht moet<strong>en</strong> zijn, maar vooral ook op <strong>de</strong> toekomst. Met<br />
<strong>de</strong> beschikbare gegev<strong>en</strong>s uit het verled<strong>en</strong> <strong>en</strong> het voortschrijd<strong>en</strong><strong>de</strong><br />
inzicht uit het hed<strong>en</strong> kunn<strong>en</strong> <strong>de</strong> effect<strong>en</strong> <strong>van</strong> g<strong>en</strong>om<strong>en</strong> beslissing<strong>en</strong><br />
immers nog beter word<strong>en</strong> geanalyseerd <strong>en</strong> aangew<strong>en</strong>d word<strong>en</strong><br />
voor <strong>de</strong> toekomst.
assurance 2<br />
Fortis is e<strong>en</strong> internationale financiële<br />
di<strong>en</strong>stverl<strong>en</strong>er op het gebied <strong>van</strong> bankier<strong>en</strong><br />
<strong>en</strong> verzeker<strong>en</strong>. Wij bied<strong>en</strong> onze particuliere,<br />
zakelijke <strong>en</strong> institutionele klant<strong>en</strong><br />
e<strong>en</strong> breed pakket <strong>van</strong> product<strong>en</strong> <strong>en</strong> di<strong>en</strong>st<strong>en</strong><br />
via <strong>de</strong> eig<strong>en</strong> kanal<strong>en</strong>, in sam<strong>en</strong>werking<br />
met het verzekeringsintermediair <strong>en</strong><br />
via an<strong>de</strong>re distributiepartners. Fortis behoort<br />
tot <strong>de</strong> twintig grootste financiële instelling<strong>en</strong><br />
<strong>van</strong> Europa.<br />
Fortis Audit Services geeft als corporate<br />
<strong>de</strong>partm<strong>en</strong>t “assurance” aan het managem<strong>en</strong>t<br />
<strong>van</strong> Fortis omtr<strong>en</strong>t beheersingsvraagstukk<strong>en</strong><br />
op het gebied <strong>van</strong><br />
corporate governance, risk managem<strong>en</strong>t<br />
<strong>en</strong> internal cont<strong>rol</strong>. FAS voert integrated<br />
audits uit, die bestaan uit e<strong>en</strong> combinatie<br />
<strong>van</strong> operational, ICT <strong>en</strong> financial audit<br />
werkzaamhed<strong>en</strong>.<br />
Bankier<strong>en</strong> | Verzeker<strong>en</strong><br />
Getting you there.<br />
B<strong>en</strong> jij <strong>de</strong> s<strong>en</strong>ior auditor / assistant audit<br />
manager die assurance kan gev<strong>en</strong> aan top<br />
managem<strong>en</strong>t <strong>van</strong> Fortis?<br />
Je functie<br />
Binn<strong>en</strong> FAS doe je in teamverband on<strong>de</strong>rzoek naar <strong>de</strong> effectiviteit <strong>en</strong> efficiëntie<br />
<strong>van</strong> (financiële) bedrijfsprocess<strong>en</strong>, <strong>de</strong> kwaliteit <strong>van</strong> <strong>de</strong> informatieverstrekking<br />
<strong>en</strong> risicobeheersing binn<strong>en</strong> <strong>de</strong> organisatorische e<strong>en</strong>hed<strong>en</strong> <strong>en</strong> je rapporteert<br />
hierover (regelmatig in het Engels). Daarnaast wordt <strong>van</strong> je verwacht auditors<br />
te begeleid<strong>en</strong>, op te leid<strong>en</strong> <strong>en</strong> aan te stur<strong>en</strong>. Je standplaats wordt Rotterdam,<br />
Utrecht of Amsterdam.<br />
Wij bied<strong>en</strong><br />
Je vindt bij FAS e<strong>en</strong> plezierige werkomgeving die hoge eis<strong>en</strong> stelt, maar waarin<br />
je kwaliteit<strong>en</strong> <strong>en</strong> initiatiev<strong>en</strong> goed tot hun recht kom<strong>en</strong>. Daarnaast bied<strong>en</strong> wij je<br />
e<strong>en</strong> uitdag<strong>en</strong><strong>de</strong> omgeving waarin professionaliteit c<strong>en</strong>traal staat. Bij Fortis zijn<br />
voldo<strong>en</strong><strong>de</strong> mogelijkhed<strong>en</strong> om door te strom<strong>en</strong>. Dit on<strong>de</strong>rsteun<strong>en</strong> wij door <strong>de</strong> vele<br />
opleiding<strong>en</strong> die we bied<strong>en</strong>. De arbeidsvoorwaard<strong>en</strong> word<strong>en</strong> vastgesteld op basis<br />
<strong>van</strong> <strong>de</strong> Fortis Bank CAO met e<strong>en</strong> aantrekkelijke honorering <strong>en</strong> e<strong>en</strong> uitstek<strong>en</strong>d<br />
pakket aan secundaire <strong>en</strong> tertiaire arbeidsvoorwaard<strong>en</strong>.<br />
Je profiel<br />
HEAO RA/AC of BE of universitair bedrijfseconomie. Werkervaring bij e<strong>en</strong> <strong>van</strong><br />
<strong>de</strong> grote accountantskantor<strong>en</strong>, e<strong>en</strong> audit af<strong>de</strong>ling <strong>van</strong> e<strong>en</strong> financiële instelling<br />
of in e<strong>en</strong> rele<strong>van</strong>t aandachtsgebied bij e<strong>en</strong> financiële instelling. Sterk analytisch<br />
vermog<strong>en</strong>, uitstek<strong>en</strong><strong>de</strong> communicatieve vaardighed<strong>en</strong> <strong>en</strong> e<strong>en</strong> goe<strong>de</strong> beheersing<br />
<strong>van</strong> het Engels. Bezig met het volg<strong>en</strong> <strong>van</strong> e<strong>en</strong> opleiding RO, RE of RA, CIA, of<br />
bereidheid om e<strong>en</strong> <strong>van</strong> <strong>de</strong>ze opleiding<strong>en</strong> te (ver)volg<strong>en</strong>.<br />
Interesse?<br />
Roelie Haasbroek (030-226 3780) kan je meer informatie verstrekk<strong>en</strong>. E<strong>en</strong><br />
schriftelijke reactie kun je stur<strong>en</strong> aan Roelie Haasbroek, Fortis Audit Services<br />
(U01.07.15), Postbus 2049, 3500 GA, Utrecht.<br />
E-mail: roelie.haasbroek@nl.fortis.com.
Ing. M. Hill RE <strong>en</strong> drs. J. Joppe RA<br />
<strong>Continuous</strong> <strong>auditing</strong><br />
Dagelijks beheers<strong>en</strong>, efficiënt audit<strong>en</strong>!<br />
De registratie <strong>van</strong> bedrijfsactiviteit<strong>en</strong> is <strong>van</strong> evid<strong>en</strong>t belang. Of het nu gaat om interne managem<strong>en</strong>tinformatie<br />
of externe rapportageverlichting<strong>en</strong>, betrouwbaarheid <strong>van</strong> informatie is cruciaal. Er is e<strong>en</strong> t<strong>en</strong>d<strong>en</strong>s dat in toe-<br />
nem<strong>en</strong><strong>de</strong> mate over die betrouwbaarheid gerapporteerd moet word<strong>en</strong> of dat <strong>de</strong>ze aangetoond moet word<strong>en</strong>.<br />
Dit leidt tot hernieuw<strong>de</strong> aandacht voor interne beheersing. <strong>Continuous</strong> monitoring heeft hierbij, ondanks <strong>de</strong><br />
soms overdui<strong>de</strong>lijke effici<strong>en</strong>cy- <strong>en</strong> effectiviteitvoor<strong>de</strong>l<strong>en</strong>, helaas ge<strong>en</strong> promin<strong>en</strong>te plek gekreg<strong>en</strong>.<br />
Dit artikel gaat kort in op <strong>de</strong> voor<strong>de</strong>l<strong>en</strong> <strong>van</strong> continuous monitoring<br />
(CM) voor <strong>de</strong> lijnorganisatie <strong>en</strong> <strong>de</strong> auditor. Daarna wordt<br />
e<strong>en</strong> pragmatische aanpak voor <strong>de</strong> implem<strong>en</strong>tatie <strong>van</strong> CM behan<strong>de</strong>ld.<br />
Door zich bewust te zijn <strong>van</strong> <strong>de</strong> b<strong>en</strong>odig<strong>de</strong> stapp<strong>en</strong> in e<strong>en</strong><br />
<strong>de</strong>rgelijk traject kan <strong>de</strong> auditor bij <strong>de</strong> implem<strong>en</strong>tatie gericht adviser<strong>en</strong><br />
over <strong>de</strong> totstandkoming <strong>van</strong> <strong>de</strong> CM-toepassing <strong>en</strong> <strong>de</strong> eis<strong>en</strong><br />
waaraan <strong>de</strong>ze <strong>van</strong>uit auditperspectief di<strong>en</strong>t te voldo<strong>en</strong>.<br />
Dagelijkse grip op process<strong>en</strong> <strong>en</strong> verantwoording<br />
CM behan<strong>de</strong>lt vrag<strong>en</strong> die dicht bij <strong>de</strong> uitvoering <strong>van</strong> het proces<br />
ligg<strong>en</strong>. Hierbij kan gedacht word<strong>en</strong> aan zak<strong>en</strong> als: maak ik voldo<strong>en</strong><strong>de</strong><br />
r<strong>en</strong><strong>de</strong>m<strong>en</strong>t op mijn contract<strong>en</strong>? Word<strong>en</strong> er ge<strong>en</strong> ongeoorloof<strong>de</strong><br />
korting<strong>en</strong> gegev<strong>en</strong>? En: gaan er ge<strong>en</strong> ongeautoriseer<strong>de</strong><br />
De uitdaging voor <strong>de</strong> auditor ligt in het gebruik <strong>van</strong> <strong>de</strong><br />
resultat<strong>en</strong> <strong>van</strong> <strong>de</strong> toepassing <strong>van</strong> CM<br />
betaling<strong>en</strong> <strong>de</strong> <strong>de</strong>ur uit? Vrag<strong>en</strong> die dicht aanzitt<strong>en</strong> teg<strong>en</strong> <strong>de</strong> risico’s<br />
die e<strong>en</strong> auditor zou kunn<strong>en</strong> on<strong>de</strong>rk<strong>en</strong>n<strong>en</strong>. CM helpt <strong>de</strong><br />
manager <strong>en</strong> <strong>de</strong> auditor <strong>de</strong>ze vrag<strong>en</strong> op terugker<strong>en</strong><strong>de</strong> basis te<br />
beantwoord<strong>en</strong>. De verantwoor<strong>de</strong>lijk manager is hierdoor beter in<br />
staat zijn process<strong>en</strong> aan te stur<strong>en</strong> door gegev<strong>en</strong>s te analyser<strong>en</strong> op<br />
het niveau <strong>van</strong> transactiestrom<strong>en</strong>.<br />
AUDIT magazine<br />
nummer 5 <strong>de</strong>cember 2008<br />
20<br />
Tev<strong>en</strong>s kan hij aanton<strong>en</strong> dat <strong>de</strong> process<strong>en</strong> in cont<strong>rol</strong> zijn. Dit kan<br />
op twee manier<strong>en</strong>. Enerzijds door CM in te zett<strong>en</strong> als cont<strong>rol</strong>emaatregel,<br />
bijvoorbeeld door met behulp <strong>van</strong> data-analyse integraal<br />
aan te ton<strong>en</strong> dat alle korting<strong>en</strong> on<strong>de</strong>r <strong>de</strong> gestel<strong>de</strong> limiet ligg<strong>en</strong>.<br />
An<strong>de</strong>rzijds kan CM gebruikt word<strong>en</strong> om aan te ton<strong>en</strong> dat<br />
bestaan<strong>de</strong> cont<strong>rol</strong>emaatregel<strong>en</strong> effectief zijn. In bei<strong>de</strong> gevall<strong>en</strong><br />
ligt voor <strong>de</strong> auditor <strong>de</strong> uitdaging in het gebruik <strong>van</strong> <strong>de</strong> resultat<strong>en</strong><br />
<strong>van</strong> <strong>de</strong> toepassing <strong>van</strong> CM.<br />
Met <strong>de</strong> hernieuw<strong>de</strong> aandacht voor interne beheersing <strong>de</strong> afgelop<strong>en</strong><br />
jar<strong>en</strong> is veelal teruggevall<strong>en</strong> op <strong>de</strong> vertrouw<strong>de</strong> cont<strong>rol</strong>emethod<strong>en</strong><br />
<strong>en</strong> -techniek<strong>en</strong>. Met arbeidsint<strong>en</strong>sieve steekproev<strong>en</strong> (of<br />
liever gezegd <strong>de</strong>elwaarneming<strong>en</strong>) wordt getracht <strong>de</strong> betrouwbaarheid<br />
<strong>van</strong> process<strong>en</strong> aan te ton<strong>en</strong>. Afhankelijk <strong>van</strong> <strong>de</strong> doelstelling<strong>en</strong><br />
kan CM e<strong>en</strong> goedkoper<br />
<strong>en</strong> vele mal<strong>en</strong> effectievere<br />
oplossing zijn, zowel<br />
voor <strong>de</strong> auditor als voor <strong>de</strong><br />
verantwoor<strong>de</strong>lijke manager.<br />
E<strong>en</strong> an<strong>de</strong>r belangrijk voor<strong>de</strong>el<br />
<strong>van</strong> CM-oplossing<strong>en</strong> is dat <strong>de</strong><br />
analyses altijd goed cont<strong>rol</strong>eerbaar<br />
<strong>en</strong> reproduceerbaar<br />
zijn. Dit is <strong>van</strong> evid<strong>en</strong>t belang op het mom<strong>en</strong>t dat analyses<br />
gebruikt word<strong>en</strong> door <strong>de</strong> auditor of voor externe rapportagedoeleind<strong>en</strong>.<br />
Als laatste, we hebb<strong>en</strong> het al g<strong>en</strong>oemd, word<strong>en</strong> <strong>de</strong> transactiestrom<strong>en</strong><br />
gebruikt als basis voor CM. Deze transacties vorm<strong>en</strong> tev<strong>en</strong>s
<strong>de</strong> basis voor <strong>de</strong> financiële verantwoording. Aldus is er ge<strong>en</strong><br />
ruimte voor interpretatieverschill<strong>en</strong>, omdat <strong>van</strong>uit e<strong>en</strong> verantwoordingsperspectief<br />
<strong>en</strong> <strong>van</strong>uit e<strong>en</strong> cont<strong>rol</strong> effectiv<strong>en</strong>essperspectief<br />
naar <strong>de</strong>zelf<strong>de</strong> basisgegev<strong>en</strong>s wordt gekek<strong>en</strong>.<br />
E<strong>en</strong> pragmatische aanpak voor <strong>de</strong> implem<strong>en</strong>tatie<br />
De toepassing <strong>van</strong> CM biedt <strong>de</strong> auditor <strong>de</strong> mogelijkheid <strong>de</strong> audit<br />
efficiënter <strong>en</strong> effectiever in te richt<strong>en</strong>. Om gebruik te kunn<strong>en</strong><br />
mak<strong>en</strong> <strong>van</strong> <strong>de</strong> resultat<strong>en</strong> <strong>van</strong> CM is het <strong>van</strong> belang dat <strong>de</strong> auditor<br />
reeds bij <strong>de</strong> implem<strong>en</strong>tatie <strong>van</strong> <strong>de</strong> CM-toepassing betrokk<strong>en</strong> is.<br />
Zo kan word<strong>en</strong> bewaakt dat voldaan wordt aan <strong>de</strong> eis<strong>en</strong> waaraan<br />
<strong>de</strong> CM-toepassing <strong>van</strong>uit auditperspectief moet voldo<strong>en</strong>. Hiertoe<br />
is het <strong>van</strong> belang dat <strong>de</strong> auditor begrijpt hoe <strong>de</strong> implem<strong>en</strong>tatie<br />
<strong>van</strong> e<strong>en</strong> CM-toepassing verloopt.<br />
Het implem<strong>en</strong>tatietraject <strong>van</strong> e<strong>en</strong> CM-toepassing wordt gek<strong>en</strong>merkt<br />
door het iteratieve karakter. In feite gaat het om het nem<strong>en</strong><br />
<strong>van</strong> kleine stapp<strong>en</strong> op weg naar <strong>de</strong> juiste oplossing, waarbij het<br />
<strong>van</strong> groot belang is e<strong>en</strong> hel<strong>de</strong>r einddoel voor og<strong>en</strong> te hebb<strong>en</strong>. De<br />
volg<strong>en</strong><strong>de</strong> stapp<strong>en</strong> moet<strong>en</strong> mimimaal on<strong>de</strong>rk<strong>en</strong>d word<strong>en</strong> in e<strong>en</strong><br />
CM-traject:<br />
Prototype<br />
In het traject richting e<strong>en</strong> goed draai<strong>en</strong><strong>de</strong> oplossing is het nuttig eerst<br />
e<strong>en</strong> prototype te realiser<strong>en</strong>. Er zijn twee belangrijke voor<strong>de</strong>l<strong>en</strong> <strong>van</strong><br />
e<strong>en</strong> <strong>de</strong>rgelijke b<strong>en</strong>a<strong>de</strong>ring: a) <strong>de</strong> m<strong>en</strong>s<strong>en</strong> in <strong>de</strong> organisatie doorlop<strong>en</strong><br />
e<strong>en</strong> steile leercurve <strong>en</strong> zijn daarom steeds beter in staat om doelstelling<strong>en</strong><br />
te formuler<strong>en</strong> omdat ze grip hebb<strong>en</strong> op <strong>de</strong> transactiestrom<strong>en</strong><br />
<strong>en</strong> b) inzicht in <strong>de</strong> transactiestrom<strong>en</strong> helpt <strong>en</strong>orm bij het verfijn<strong>en</strong> <strong>van</strong><br />
resultat<strong>en</strong>. Overig<strong>en</strong>s is het zaak om het prototype niet direct als <strong>de</strong>finitieve<br />
CM-oplossing in te zett<strong>en</strong>. Immers, e<strong>en</strong> robuuste oplossing<br />
vereist e<strong>en</strong> bepaal<strong>de</strong> mate <strong>van</strong> beheersing <strong>van</strong> <strong>de</strong> oplossing zelf, iets<br />
dat bij e<strong>en</strong> prototype veelal achterwege gelat<strong>en</strong> wordt.<br />
<strong>Continuous</strong> <strong>auditing</strong><br />
1. bepaal <strong>de</strong> visie op interne cont<strong>rol</strong>e;<br />
2. inv<strong>en</strong>tariseer <strong>de</strong> omgeving,<br />
3. haal gegev<strong>en</strong>s op;<br />
4. analyseer transacties <strong>en</strong> transactiestrom<strong>en</strong>;<br />
5. rapporteer;<br />
6. realiseer <strong>de</strong> CM-omgeving.<br />
De eerste 5 stapp<strong>en</strong> hebb<strong>en</strong> betrekking op het realiser<strong>en</strong> <strong>van</strong> e<strong>en</strong><br />
ad-hocrapportage op basis <strong>van</strong> beschikbare gegev<strong>en</strong>s. In stap 6<br />
wordt <strong>van</strong> <strong>de</strong> ad-hocrapportage e<strong>en</strong> draai<strong>en</strong><strong>de</strong> CM-omgeving<br />
gemaakt. De stapp<strong>en</strong> word<strong>en</strong> hierna kort uitgewerkt.<br />
Visie op <strong>en</strong> doelstelling <strong>van</strong> interne cont<strong>rol</strong>e<br />
E<strong>en</strong> <strong>van</strong> <strong>de</strong> ontbrek<strong>en</strong><strong>de</strong> elem<strong>en</strong>t<strong>en</strong> is veelal het concreet mak<strong>en</strong><br />
<strong>van</strong> <strong>de</strong> doelstelling<strong>en</strong>. E<strong>en</strong> visie op interne cont<strong>rol</strong>e waarin <strong>de</strong><br />
doelstelling expliciet is opg<strong>en</strong>om<strong>en</strong>, moet dui<strong>de</strong>lijk mak<strong>en</strong> wat<br />
<strong>de</strong> belangrijkste elem<strong>en</strong>t<strong>en</strong> zijn voor het interne cont<strong>rol</strong>eraamwerk,<br />
met welke periodiciteit ge<strong>de</strong>monstreerd moet word<strong>en</strong> dat<br />
<strong>de</strong> cont<strong>rol</strong>s werk<strong>en</strong> <strong>en</strong> op welke wijze hierbij technologie ingezet<br />
kan word<strong>en</strong>. De visie moet bijdrag<strong>en</strong> aan e<strong>en</strong> beeld over <strong>de</strong> mate<br />
waarin gegev<strong>en</strong>s uit bestaan<strong>de</strong> process<strong>en</strong> <strong>en</strong> system<strong>en</strong> moet<strong>en</strong><br />
word<strong>en</strong> hergebruikt.<br />
Inv<strong>en</strong>tariseer <strong>de</strong> omgeving<br />
De omgeving is e<strong>en</strong> belangrijk on<strong>de</strong>r<strong>de</strong>el <strong>van</strong> <strong>de</strong> uitein<strong>de</strong>lijke<br />
oplossing. Het gaat om het snapp<strong>en</strong> welke process<strong>en</strong> belangrijk<br />
zijn, het snapp<strong>en</strong> hoe die process<strong>en</strong> aan elkaar gelinkt zijn <strong>en</strong> het<br />
in kaart br<strong>en</strong>g<strong>en</strong> <strong>van</strong> system<strong>en</strong> die e<strong>en</strong> <strong>rol</strong> spel<strong>en</strong> binn<strong>en</strong> <strong>de</strong>ze<br />
process<strong>en</strong>. Op basis <strong>van</strong> <strong>de</strong>ze informatie kan doelgericht gekek<strong>en</strong><br />
word<strong>en</strong> naar <strong>de</strong> beschikbare data door in kaart te br<strong>en</strong>g<strong>en</strong> in<br />
welke databases <strong>de</strong> transacties word<strong>en</strong> vastgelegd <strong>en</strong> hoe er<br />
wordt omgegaan met geaggregeer<strong>de</strong> informatie. Het resultaat <strong>van</strong><br />
<strong>de</strong>ze stap is e<strong>en</strong> proces- <strong>en</strong> systeemschets. Op hoofdlijn<strong>en</strong> is het<br />
door <strong>de</strong>ze stap mogelijk aan te duid<strong>en</strong> welke criteria word<strong>en</strong><br />
gehanteerd om gegev<strong>en</strong>s op te hal<strong>en</strong> <strong>en</strong> uit welke tabell<strong>en</strong> <strong>de</strong>ze<br />
gegev<strong>en</strong>s afkomstig moet<strong>en</strong> zijn. Tev<strong>en</strong>s moet hel<strong>de</strong>r word<strong>en</strong><br />
over welke perio<strong>de</strong> gegev<strong>en</strong>s moet<strong>en</strong> word<strong>en</strong> opgehaald.<br />
Integrated cont<strong>rol</strong><br />
E<strong>en</strong> actuele ontwikkeling in <strong>de</strong> markt is integrated cont<strong>rol</strong>. CM kan<br />
goed geïmplem<strong>en</strong>teerd word<strong>en</strong> in relatie tot integrated cont<strong>rol</strong>. De<br />
combinatie met integrated cont<strong>rol</strong> biedt voor<strong>de</strong>l<strong>en</strong> omdat er in e<strong>en</strong><br />
integrated cont<strong>rol</strong>traject <strong>van</strong>uit e<strong>en</strong> risicoanalyse wordt gebouwd<br />
aan e<strong>en</strong> cont<strong>rol</strong>eraamwerk. Afhankelijk <strong>van</strong> <strong>de</strong> interne <strong>en</strong> externe<br />
eis<strong>en</strong> zal e<strong>en</strong> aantal cont<strong>rol</strong>emaatregel<strong>en</strong> in het raamwerk periodiek<br />
beoor<strong>de</strong>eld moet<strong>en</strong> word<strong>en</strong> op effectiviteit. E<strong>en</strong> CM-oplossing kan<br />
hierbij e<strong>en</strong> zeer efficiënte oplossing bied<strong>en</strong>.<br />
Haal gegev<strong>en</strong>s op<br />
De voorgaan<strong>de</strong> stap maakt het mogelijk om aan <strong>de</strong> IT-organisatie<br />
uit te legg<strong>en</strong> welke gegev<strong>en</strong>s ontslot<strong>en</strong> moet<strong>en</strong> word<strong>en</strong>. Tev<strong>en</strong>s<br />
biedt het mogelijkhed<strong>en</strong> om via <strong>de</strong> proceseig<strong>en</strong>aar specifieke<br />
AUDIT magazine<br />
nummer 5 <strong>de</strong>cember 2008<br />
21
<strong>Continuous</strong> <strong>auditing</strong><br />
E<strong>en</strong> praktijkvoorbeeld: regelgeving <strong>en</strong> CM bij <strong>de</strong> zorgverzekeraar<br />
‘Om <strong>de</strong> zorgverzekering uit te mog<strong>en</strong> voer<strong>en</strong>, moet<strong>en</strong> zorgverzekeraars<br />
e<strong>en</strong> vergunning hebb<strong>en</strong> <strong>van</strong> De Ne<strong>de</strong>rlandsche Bank (DNB) <strong>en</strong><br />
zich voor <strong>de</strong> uitvoering <strong>van</strong> <strong>de</strong> Zorgverzekeringswet hebb<strong>en</strong> aangemeld<br />
bij <strong>de</strong> Ne<strong>de</strong>rlandse Zorgautoriteit (NZa). De Ne<strong>de</strong>rlandse<br />
Me<strong>de</strong>dingingsautoriteit (NMa), <strong>de</strong> NZa <strong>en</strong> DNB houd<strong>en</strong> toezicht op<br />
<strong>de</strong> uitvoering <strong>van</strong> <strong>de</strong> Zorgverzekeringswet <strong>en</strong> <strong>de</strong> Algem<strong>en</strong>e Wet<br />
Bijzon<strong>de</strong>re Ziektekost<strong>en</strong>.’<br />
Dit kleine stukje tekst is afkomstig <strong>van</strong> <strong>de</strong> website <strong>van</strong><br />
Zorgverzekeraars Ne<strong>de</strong>rland. E<strong>en</strong> klein stukje tekst met grote gevolg<strong>en</strong>.<br />
Er zijn nogal wat regeltjes waaraan e<strong>en</strong> zorgverzekeraar zich<br />
moet houd<strong>en</strong>. Alle toezichthou<strong>de</strong>rs w<strong>en</strong>s<strong>en</strong> e<strong>en</strong> bepaald niveau <strong>van</strong><br />
inzicht. Het integrer<strong>en</strong> <strong>van</strong> <strong>de</strong> vraagstukk<strong>en</strong> <strong>en</strong> zoveel mogelijk <strong>van</strong>uit<br />
één mo<strong>de</strong>l rapporter<strong>en</strong> schept ruimte voor CM.<br />
In dit ka<strong>de</strong>r wordt bij e<strong>en</strong> <strong>van</strong> <strong>de</strong> grote zorgverzekeraars gewerkt aan<br />
het implem<strong>en</strong>ter<strong>en</strong> <strong>van</strong> e<strong>en</strong> CM-oplossing. Het doel is om op terugker<strong>en</strong><strong>de</strong><br />
basis te kunn<strong>en</strong> rapporter<strong>en</strong> over <strong>de</strong> effectiviteit <strong>van</strong> <strong>de</strong> maatregel<strong>en</strong><br />
die g<strong>en</strong>om<strong>en</strong> zijn om het proces conform regelgeving te<br />
lat<strong>en</strong> verlop<strong>en</strong>. Hiervoor is allereerst e<strong>en</strong> risicoanalyse uitgevoerd<br />
waarin <strong>de</strong> operationele risico’s in kaart zijn gebracht. Vervolg<strong>en</strong>s is<br />
beoor<strong>de</strong>eld welke maatregel<strong>en</strong> reeds g<strong>en</strong>om<strong>en</strong> zijn <strong>en</strong> is voor zover<br />
nodig, gestart met het nem<strong>en</strong> <strong>van</strong> aanvull<strong>en</strong><strong>de</strong> maatregel<strong>en</strong>. Parallel<br />
is gestart met het bekijk<strong>en</strong> op welke wijze het best over <strong>de</strong> effectiviteit<br />
<strong>van</strong> cont<strong>rol</strong>emaatregel<strong>en</strong> gerapporteerd zou kunn<strong>en</strong> word<strong>en</strong> <strong>en</strong><br />
hoe <strong>de</strong> cont<strong>rol</strong>evrag<strong>en</strong> het best beantwoord zoud<strong>en</strong> kunn<strong>en</strong> word<strong>en</strong>.<br />
E<strong>en</strong> <strong>de</strong>el <strong>van</strong> <strong>de</strong> cont<strong>rol</strong>evrag<strong>en</strong> is beantwoord door mid<strong>de</strong>l <strong>van</strong> dataanalyse.<br />
Voorbeeld<strong>en</strong> zijn ‘het aantal huisarts<strong>en</strong><strong>de</strong>claraties voor<br />
<strong>de</strong>zelf<strong>de</strong> verzeker<strong>de</strong> op e<strong>en</strong> dag’, <strong>en</strong> ‘het beoor<strong>de</strong>l<strong>en</strong> of norm<strong>en</strong> voor<br />
vergoeding<strong>en</strong> niet word<strong>en</strong> overschred<strong>en</strong>’. De analyseresultat<strong>en</strong> word<strong>en</strong><br />
gerapporteerd als on<strong>de</strong>r<strong>de</strong>el <strong>van</strong> het totale cont<strong>rol</strong>evraagstuk <strong>en</strong><br />
word<strong>en</strong> tev<strong>en</strong>s gebruikt t<strong>en</strong> behoeve <strong>van</strong> mogelijke verbetering<strong>en</strong> in<br />
process<strong>en</strong>. Uiteraard is <strong>de</strong> risico-analyse hierbij leid<strong>en</strong>d: eerst <strong>de</strong><br />
belangrijkste risico’s! De data-analysescripts word<strong>en</strong> vervolg<strong>en</strong>s<br />
geplaatst in e<strong>en</strong> continu draai<strong>en</strong><strong>de</strong> rapportagetool dat in dit geval<br />
maan<strong>de</strong>lijks resultat<strong>en</strong> g<strong>en</strong>ereert.<br />
verwerkingrapportages op te vrag<strong>en</strong>. Doorgaans word<strong>en</strong> door<br />
mid<strong>de</strong>l <strong>van</strong> e<strong>en</strong> aantal queries gegev<strong>en</strong>s opgehaald uit <strong>de</strong> databases.<br />
Deze gegev<strong>en</strong>s word<strong>en</strong> ingelez<strong>en</strong> in <strong>de</strong> te gebruik<strong>en</strong> dataanalysetools<br />
waarna e<strong>en</strong> cont<strong>rol</strong>eaansluiting met <strong>de</strong> brongegev<strong>en</strong>s<br />
noodzakelijk is. D<strong>en</strong>k aan e<strong>en</strong> aansluiting tuss<strong>en</strong> saldi per<br />
grootboekrek<strong>en</strong>ing in Exact <strong>en</strong> <strong>de</strong> ont<strong>van</strong>g<strong>en</strong> download uit Exact.<br />
Immers, in <strong>de</strong> loop <strong>van</strong> het traject word<strong>en</strong> conclusies verbond<strong>en</strong><br />
aan <strong>de</strong> gegev<strong>en</strong>s <strong>en</strong> <strong>de</strong> integriteit <strong>van</strong> die gegev<strong>en</strong>s is dus <strong>van</strong><br />
cruciaal belang.<br />
Analyseer transacties <strong>en</strong> transactiestrom<strong>en</strong><br />
Het is nuttig eerst e<strong>en</strong> aantal basale analyses uit te voer<strong>en</strong> om <strong>de</strong><br />
plausibiliteit <strong>van</strong> <strong>de</strong> ont<strong>van</strong>g<strong>en</strong> gegev<strong>en</strong>s vast te stell<strong>en</strong>. Voorbeeld<strong>en</strong><br />
zijn e<strong>en</strong> ver<strong>de</strong>ling <strong>van</strong> alle product<strong>en</strong> naar omzet of e<strong>en</strong><br />
berek<strong>en</strong>ing <strong>van</strong> marge per klant. Het analysetraject is e<strong>en</strong> iteratief<br />
proces, <strong>de</strong> focus ligt immers op het proces maar <strong>de</strong> k<strong>en</strong>nis in orga-<br />
AUDIT magazine<br />
nummer 5 <strong>de</strong>cember 2008<br />
22<br />
nisaties is veelal versplinterd over af<strong>de</strong>ling<strong>en</strong>. Afhankelijk <strong>van</strong> <strong>de</strong><br />
doelstelling is het zaak antwoord<strong>en</strong> op cont<strong>rol</strong>evrag<strong>en</strong> op te lever<strong>en</strong><br />
door <strong>de</strong> gew<strong>en</strong>ste aansluiting<strong>en</strong> tuss<strong>en</strong> system<strong>en</strong> te realiser<strong>en</strong><br />
of door <strong>de</strong> integriteit <strong>van</strong> transactiestrom<strong>en</strong> te beoor<strong>de</strong>l<strong>en</strong>. Voor<br />
ie<strong>de</strong>r doel kan e<strong>en</strong> specifiek aantal analyses word<strong>en</strong> gemaakt.<br />
Conclusies trekk<strong>en</strong> op basis <strong>van</strong> analyseresultat<strong>en</strong> wordt beter<br />
naarmate er meer chall<strong>en</strong>ge op het niveau <strong>van</strong> process<strong>en</strong> plaatsvindt.<br />
Chall<strong>en</strong>ge <strong>van</strong>uit <strong>de</strong> hoek <strong>van</strong> proceseig<strong>en</strong>aar <strong>en</strong> <strong>van</strong>uit<br />
auditperspectief is e<strong>en</strong> noodzakelijke <strong>en</strong> kwaliteitsverhog<strong>en</strong><strong>de</strong><br />
factor. De data-analyse eindigt met het docum<strong>en</strong>ter<strong>en</strong> <strong>van</strong> <strong>de</strong><br />
opzet <strong>en</strong> het bevriez<strong>en</strong> <strong>van</strong> <strong>de</strong> manier waarop het resultaat<br />
bereikt is. Veelal is dit het vastlegg<strong>en</strong> <strong>van</strong> queries in scripts zodat<br />
<strong>de</strong> analyses periodiek gedraaid kunn<strong>en</strong> word<strong>en</strong>. De basis is nu<br />
gelegd voor het realiser<strong>en</strong> <strong>van</strong> e<strong>en</strong> draai<strong>en</strong><strong>de</strong> CM-omgeving.<br />
Rapporteer<br />
Afhankelijk <strong>van</strong> <strong>de</strong> aard <strong>van</strong> <strong>de</strong> opdracht kunn<strong>en</strong> in <strong>de</strong>ze stap <strong>de</strong><br />
afgestem<strong>de</strong> resultat<strong>en</strong> gerapporteerd word<strong>en</strong>, respectievelijk kan<br />
e<strong>en</strong> plan gepres<strong>en</strong>teerd word<strong>en</strong> om op basis <strong>van</strong> <strong>de</strong> resultat<strong>en</strong><br />
naar <strong>de</strong> draai<strong>en</strong><strong>de</strong> CM-omgeving te kom<strong>en</strong>.<br />
Realiseer <strong>de</strong> CM-omgeving<br />
Na <strong>de</strong> stapp<strong>en</strong> 1 tot <strong>en</strong> met 5 is het realiser<strong>en</strong> <strong>van</strong> e<strong>en</strong> draai<strong>en</strong><strong>de</strong><br />
CM-omgeving e<strong>en</strong> stuk e<strong>en</strong>voudiger geword<strong>en</strong>. De belangrijkste<br />
red<strong>en</strong><strong>en</strong> hiervoor zijn: a) er is e<strong>en</strong> draai<strong>en</strong>d prototype <strong>van</strong> <strong>de</strong><br />
gew<strong>en</strong>ste rapportages, b) er is in scripts <strong>en</strong> docum<strong>en</strong>tatie vastgelegd<br />
welke system<strong>en</strong>, tabell<strong>en</strong> <strong>en</strong> veld<strong>en</strong> nodig zijn <strong>en</strong> c) er is<br />
e<strong>en</strong> uitgebrei<strong>de</strong> chall<strong>en</strong>ge geweest om <strong>de</strong> bruikbaarheid <strong>van</strong> <strong>de</strong><br />
rapportages te beoor<strong>de</strong>l<strong>en</strong>. Het is nu zaak om <strong>de</strong> rapportages om<br />
te vorm<strong>en</strong> naar dashboards per proces, om vervolg<strong>en</strong>s <strong>de</strong> dashboards<br />
per proces op te hang<strong>en</strong> in e<strong>en</strong> compliance cockpit <strong>en</strong> om<br />
<strong>de</strong> ontsluiting <strong>van</strong> gegev<strong>en</strong>s op structurele basis te realiser<strong>en</strong>.<br />
Voor <strong>de</strong>ze laatste stap kan veelal aangeslot<strong>en</strong> word<strong>en</strong> bij bestaan<strong>de</strong><br />
business intellig<strong>en</strong>ce-oplossing<strong>en</strong>.<br />
CM versus business intellig<strong>en</strong>ce?<br />
De oplett<strong>en</strong><strong>de</strong> lezer zal zich afvrag<strong>en</strong> wat het verschil is met<br />
business intellig<strong>en</strong>cetoepassing<strong>en</strong>. Voorbeeld<strong>en</strong> hier<strong>van</strong> zijn toepassing<strong>en</strong><br />
op basis <strong>van</strong> Business Objects of SAP Business<br />
Warehouse. Technisch <strong>en</strong> functioneel is er weinig verschil.<br />
Business intellig<strong>en</strong>ce (BI) wordt veelal toegepast <strong>van</strong>uit bre<strong>de</strong>re<br />
operationele doelstelling<strong>en</strong>. Zo kan e<strong>en</strong> doelstelling zijn dat <strong>de</strong><br />
logistieke process<strong>en</strong> beoor<strong>de</strong>eld word<strong>en</strong> om te zi<strong>en</strong> of levering<strong>en</strong><br />
aan <strong>de</strong>zelf<strong>de</strong> cliënt mogelijk gebun<strong>de</strong>ld kunn<strong>en</strong> word<strong>en</strong> om kost<strong>en</strong><br />
te bespar<strong>en</strong>. Dezelf<strong>de</strong> technische faciliteit<strong>en</strong> <strong>van</strong> e<strong>en</strong> <strong>de</strong>rgelijke<br />
toepassing kunn<strong>en</strong> ook gebruikt word<strong>en</strong> voor het realiser<strong>en</strong><br />
<strong>van</strong> e<strong>en</strong> CM-toepassing.<br />
Het eerste verschil is dan ook <strong>de</strong> doelstelling. In teg<strong>en</strong>stelling tot<br />
BI gaat het bij CM om het aanton<strong>en</strong> <strong>van</strong> het in cont<strong>rol</strong> zijn. In<br />
het ka<strong>de</strong>r <strong>van</strong> het beoor<strong>de</strong>l<strong>en</strong> <strong>van</strong> cont<strong>rol</strong>s rond logistieke process<strong>en</strong><br />
zou dan bijvoorbeeld gemonitord kunn<strong>en</strong> word<strong>en</strong> of afleverkost<strong>en</strong><br />
per or<strong>de</strong>r correct vastgesteld word<strong>en</strong> <strong>en</strong> vervolg<strong>en</strong>s ook of<br />
<strong>de</strong>ze daadwerkelijk in rek<strong>en</strong>ing word<strong>en</strong> gebracht <strong>en</strong> correct<br />
geboekt word<strong>en</strong>.
Marco Hill <strong>en</strong> Joris Joppe zijn als partner verbond<strong>en</strong> aan Coney.<br />
Coney koppelt vraagstukk<strong>en</strong> rond interne beheersing aan innovatieve<br />
technologische oplossing<strong>en</strong>. Het doel is om interne cont<strong>rol</strong>e efficiënt<br />
te lat<strong>en</strong> verlop<strong>en</strong>.<br />
✉ marco.hill@coney.nl <strong>en</strong> joris.joppe@coney.nl.<br />
E<strong>en</strong> an<strong>de</strong>r verschil is <strong>de</strong> toegevoeg<strong>de</strong> waar<strong>de</strong> <strong>van</strong> BI-oplossing<strong>en</strong>.<br />
Dat is pot<strong>en</strong>tieel groter naarmate dit bre<strong>de</strong>r (<strong>en</strong> dus duur<strong>de</strong>r)<br />
opgezet wordt. CM-oplossing<strong>en</strong> zijn over het algeme<strong>en</strong> juist <strong>en</strong>g<br />
ge<strong>de</strong>finieerd <strong>en</strong> gericht op het e<strong>en</strong>voudig verkrijg<strong>en</strong> <strong>van</strong> data om<br />
Hier graag e<strong>en</strong> stopper <strong>van</strong><br />
54 x 52,6 hoog<br />
Of tekst aanlever<strong>en</strong><br />
<strong>Continuous</strong> <strong>auditing</strong><br />
te analyser<strong>en</strong> <strong>en</strong> te rapporter<strong>en</strong>. Om die red<strong>en</strong> is er dan ook e<strong>en</strong><br />
aantal tools specifiek geschikt voor het toepass<strong>en</strong> <strong>van</strong> CM. Met<br />
<strong>de</strong>ze tools is data snel te b<strong>en</strong>a<strong>de</strong>r<strong>en</strong> <strong>en</strong> kunn<strong>en</strong> scripts e<strong>en</strong>voudig<br />
word<strong>en</strong> gemaakt. Deze scripts kunn<strong>en</strong> vervolg<strong>en</strong>s op elk mom<strong>en</strong>t<br />
op nieuwe data gedraaid word<strong>en</strong> omdat resultat<strong>en</strong> onafhankelijk<br />
<strong>van</strong> bronsystem<strong>en</strong> gedraaid kunn<strong>en</strong> word<strong>en</strong>. De ACL AX-suite is<br />
e<strong>en</strong> voorbeeld <strong>van</strong> e<strong>en</strong> <strong>de</strong>rgelijke toepassing.<br />
Proceseig<strong>en</strong>aar <strong>en</strong> auditor hand in hand<br />
De doelstelling <strong>van</strong> CM is het id<strong>en</strong>tificer<strong>en</strong> <strong>en</strong> monitor<strong>en</strong> <strong>van</strong><br />
interne cont<strong>rol</strong>emaatregel<strong>en</strong> die niet alle<strong>en</strong> overweg<strong>en</strong>d financiële<br />
risico’s af<strong>de</strong>kk<strong>en</strong>, maar ook bre<strong>de</strong>r kunn<strong>en</strong> word<strong>en</strong> ingezet om<br />
an<strong>de</strong>re typ<strong>en</strong> risico’s af te <strong>de</strong>kk<strong>en</strong>. Het inzett<strong>en</strong> <strong>van</strong> CM om<br />
direct te ‘kijk<strong>en</strong>’ in <strong>de</strong> system<strong>en</strong> stelt <strong>de</strong> verantwoor<strong>de</strong>lijk manager<br />
beter in staat zijn process<strong>en</strong> aan te stur<strong>en</strong> én om aan te ton<strong>en</strong><br />
dat <strong>de</strong> process<strong>en</strong> in cont<strong>rol</strong> zijn. Voor <strong>de</strong> auditor geldt dat <strong>de</strong> toepassing<br />
<strong>van</strong> CM door <strong>de</strong> organisatie <strong>de</strong> mogelijkheid biedt <strong>de</strong><br />
audit efficiënter <strong>en</strong> effectiever in te richt<strong>en</strong>. Daarbij geldt dat <strong>de</strong><br />
uitgevoer<strong>de</strong> managem<strong>en</strong>t cont<strong>rol</strong>s goed cont<strong>rol</strong>eerbaar <strong>en</strong> reproduceerbaar<br />
zijn <strong>en</strong> dat e<strong>en</strong> directe link kan word<strong>en</strong> gelegd met <strong>de</strong><br />
gegev<strong>en</strong>s die gebruikt word<strong>en</strong> voor <strong>de</strong> financiële verantwoording.<br />
Als belangrijke randvoorwaar<strong>de</strong> geldt dat <strong>de</strong> auditor di<strong>en</strong>t<br />
vast te stell<strong>en</strong> dat voldaan is/wordt aan <strong>de</strong> eis<strong>en</strong> die gesteld word<strong>en</strong><br />
aan het implem<strong>en</strong>tatietraject.<br />
advert<strong>en</strong>tie<br />
in 10 maand<strong>en</strong> e<strong>en</strong><br />
re- of ro- titel erbij!<br />
Voor RA’s <strong>en</strong> RC’s<br />
Aangebod<strong>en</strong> door NIVRA-Ny<strong>en</strong>ro<strong>de</strong> <strong>en</strong> Erasmus School of<br />
Accounting & Assurance (ESAA)<br />
Start begin maart 2009 <strong>en</strong> eindigt in <strong>de</strong>cember 2009<br />
Daarnaast 2 x per jaar actueel PE-cursusaanbod<br />
NIVRA-NYENRODE, DE GROOTSTE IN ACCOUNTANCY & CONTROLLING!<br />
AUDIT magazine<br />
www.nivra-ny<strong>en</strong>ro<strong>de</strong>.nl<br />
nummer 5 <strong>de</strong>cember 2008<br />
23
Drs. R. <strong>de</strong> Ruiter RE RA RO CISA<br />
<strong>Continuous</strong> <strong>auditing</strong><br />
<strong>Continuous</strong> <strong>auditing</strong>: <strong>de</strong> impact op assurance,<br />
On<strong>de</strong>r <strong>de</strong> naam Global Technology Audit Gui<strong>de</strong>s (GTAG) br<strong>en</strong>gt The Institute of Internal Auditors leidrad<strong>en</strong> uit over audit-<br />
on<strong>de</strong>rwerp<strong>en</strong> die sam<strong>en</strong>hang<strong>en</strong> met <strong>de</strong> automatisering <strong>van</strong> bedrijfsprocess<strong>en</strong>. Al in 2005 publiceer<strong>de</strong> IIA Inc.<br />
e<strong>en</strong> <strong>de</strong>r<strong>de</strong> leidraad met als titel ‘<strong>Continuous</strong> Auditing: Implications for Assurance, Monitoring and Risk<br />
Assessm<strong>en</strong>t’. Naar aanleiding <strong>van</strong> het thema <strong>van</strong> dit nummer, <strong>Continuous</strong> <strong>auditing</strong>, heeft <strong>de</strong> redactie <strong>van</strong><br />
Audit Magazine e<strong>en</strong> aantal collega’s om e<strong>en</strong> reactie gevraagd. Twee er<strong>van</strong> zijn in <strong>de</strong>ze bijdrage verwerkt.<br />
<strong>Continuous</strong> <strong>auditing</strong> als uitdaging<br />
In <strong>de</strong> <strong>de</strong>r<strong>de</strong> leidraad <strong>van</strong> het IIA is beschrev<strong>en</strong> op welke wijze<br />
het concept continuous <strong>auditing</strong> (CA) kan word<strong>en</strong> geïmplem<strong>en</strong>teerd<br />
in geautomatiseer<strong>de</strong> omgeving<strong>en</strong>. CA omvat alle method<strong>en</strong><br />
<strong>en</strong> techniek<strong>en</strong> die door auditors word<strong>en</strong> gebruikt voor het uitvoer<strong>en</strong><br />
<strong>van</strong> cont<strong>rol</strong>ewerkzaamhed<strong>en</strong> (inclusief beheersings- <strong>en</strong> risicobeoor<strong>de</strong>ling)<br />
op transacties op e<strong>en</strong> meer continue basis.<br />
Randvoorwaar<strong>de</strong><br />
Door het volg<strong>en</strong> <strong>van</strong> het beschrev<strong>en</strong> stapp<strong>en</strong>plan maakt <strong>de</strong> internal<br />
auditor optimaal gebruik <strong>van</strong> <strong>de</strong> mogelijkhed<strong>en</strong> die juist in<br />
geautomatiseer<strong>de</strong> omgeving<strong>en</strong> door IT word<strong>en</strong> gebod<strong>en</strong>. Wel<br />
moet hiervoor aan e<strong>en</strong> belangrijke randvoorwaar<strong>de</strong> zijn voldaan<br />
in <strong>de</strong> vorm <strong>van</strong> sponsorship door het managem<strong>en</strong>t. Dit is niet<br />
alle<strong>en</strong> nodig omdat het toepass<strong>en</strong> <strong>van</strong> het CA-concept kan noodzak<strong>en</strong><br />
tot het do<strong>en</strong> <strong>van</strong> aanvull<strong>en</strong><strong>de</strong> investering<strong>en</strong> in IT, maar juist<br />
ook voor het verkrijg<strong>en</strong> <strong>van</strong> directe toegang tot <strong>de</strong> geautomatiseer<strong>de</strong><br />
system<strong>en</strong> met <strong>de</strong> daarin vastgeleg<strong>de</strong> transactiegegev<strong>en</strong>s.<br />
Het managem<strong>en</strong>t is primair verantwoor<strong>de</strong>lijk voor <strong>de</strong> blijv<strong>en</strong>d<br />
goe<strong>de</strong> werking <strong>van</strong> het interne beheersingssysteem. I<strong>de</strong>aliter<br />
richt zij voor het kunn<strong>en</strong> drag<strong>en</strong> <strong>van</strong> <strong>de</strong>ze verantwoor<strong>de</strong>lijkheid<br />
e<strong>en</strong> proces in <strong>van</strong> continuous monitoring (CM), waarbij voor alle<br />
transacties wordt vastgesteld of <strong>de</strong>ze voldo<strong>en</strong> aan <strong>de</strong> interne cont<strong>rol</strong>edoelstelling<strong>en</strong>.<br />
Het managem<strong>en</strong>t verkrijgt op <strong>de</strong>ze wijze <strong>de</strong><br />
zekerheid dat het interne beheersingssysteem goed functioneert<br />
<strong>en</strong> dat in het geval <strong>van</strong> afwijking<strong>en</strong> escalatie kan word<strong>en</strong> voorkom<strong>en</strong><br />
door in te grijp<strong>en</strong>.<br />
Omgekeerd ev<strong>en</strong>redige relatie<br />
Tuss<strong>en</strong> CM <strong>en</strong> CA bestaat e<strong>en</strong> omgekeerd ev<strong>en</strong>redige relatie.<br />
Wanneer het proces <strong>van</strong> CM door het managem<strong>en</strong>t op e<strong>en</strong> a<strong>de</strong>-<br />
AUDIT magazine<br />
nummer 5 <strong>de</strong>cember 2008<br />
24<br />
quate wijze is ingericht <strong>en</strong> naar behor<strong>en</strong> functioneert dan hoeft<br />
het proces <strong>van</strong> CA niet met e<strong>en</strong>zelf<strong>de</strong> diepgang te word<strong>en</strong> uitgevoerd<br />
door internal audit. Volstaan kan word<strong>en</strong> met e<strong>en</strong> review<br />
<strong>van</strong> het proces <strong>van</strong> monitoring <strong>en</strong> <strong>de</strong> behan<strong>de</strong>ling <strong>van</strong> <strong>de</strong> gesignaleer<strong>de</strong><br />
afwijking<strong>en</strong>.<br />
Indi<strong>en</strong> het managem<strong>en</strong>t zelf <strong>de</strong> bedrijfsprocess<strong>en</strong> nauwelijks<br />
monitort wordt <strong>de</strong> cont<strong>rol</strong>e-inspanning <strong>van</strong> <strong>de</strong> internal auditor<br />
ev<strong>en</strong>redig groter, zoals gevisualiseerd is in figuur 1 uit <strong>de</strong> leidraad.<br />
Deze red<strong>en</strong>ering past binn<strong>en</strong> <strong>de</strong> huidige opvatting<strong>en</strong><br />
omtr<strong>en</strong>t <strong>de</strong> taakver<strong>de</strong>ling tuss<strong>en</strong> het managem<strong>en</strong>t <strong>en</strong> Internal<br />
Audit <strong>en</strong> <strong>de</strong> daarop gebaseer<strong>de</strong> systeemgerichte cont<strong>rol</strong>eb<strong>en</strong>a<strong>de</strong>ring<strong>en</strong>.<br />
Het toepass<strong>en</strong> <strong>van</strong> het CA-concept is ge<strong>en</strong> gemakkelijke opgave.<br />
De leidraad spreekt over uitdaging<strong>en</strong> <strong>en</strong> over overige condities<br />
waaraan moet word<strong>en</strong> voldaan. E<strong>en</strong> voorbeeld hier<strong>van</strong> is dat het<br />
bedrijfsproces in voldo<strong>en</strong><strong>de</strong> mate moet word<strong>en</strong> begrep<strong>en</strong> voor<br />
Managem<strong>en</strong>t Response<br />
Compreh<strong>en</strong>sive<br />
monitoring of internal<br />
cont<strong>rol</strong>s<br />
Little monitoring<br />
of cont<strong>rol</strong>s<br />
Reduced<br />
effort<br />
Significant<br />
effort/greater<br />
resources<br />
Audit Effort<br />
Figuur 1. De cont<strong>rol</strong>e-inspanning <strong>van</strong> <strong>de</strong> internal auditor
monitoring <strong>en</strong> risk assessm<strong>en</strong>t<br />
het kunn<strong>en</strong> opstell<strong>en</strong> <strong>van</strong> <strong>de</strong> b<strong>en</strong>odig<strong>de</strong> analyses <strong>en</strong> het id<strong>en</strong>tificer<strong>en</strong><br />
<strong>van</strong> <strong>de</strong> risico’s <strong>en</strong> kritische beheersingsmaatregel<strong>en</strong>.<br />
Het CA-concept is e<strong>en</strong> zeer krachtig instrum<strong>en</strong>t dat <strong>de</strong> procesbeheersing<br />
door het managem<strong>en</strong>t positief beïnvloedt, wat op haar<br />
beurt e<strong>en</strong> bijdrage kan lever<strong>en</strong> aan het verbeter<strong>en</strong> <strong>van</strong> het<br />
bedrijfsresultaat.<br />
Stapsgewijze inwijding<br />
Al met al is <strong>de</strong> leidraad e<strong>en</strong> lez<strong>en</strong>swaardig docum<strong>en</strong>t dat <strong>de</strong> geïnteresseer<strong>de</strong><br />
stapsgewijs in het CA-on<strong>de</strong>rwerp inwijdt om het in<br />
<strong>de</strong> eig<strong>en</strong> beroepsuitoef<strong>en</strong>ing toe te kunn<strong>en</strong> pass<strong>en</strong>. De leidraad<br />
bevat ook nog e<strong>en</strong> continuous <strong>auditing</strong> self assessm<strong>en</strong>t voor het<br />
vaststell<strong>en</strong> <strong>van</strong> <strong>de</strong> mate waarin Internal Audit CA heeft geïmple-<br />
Drs. H. <strong>van</strong> Gils RE RA<br />
In <strong>de</strong> jar<strong>en</strong> zev<strong>en</strong>tig <strong>en</strong> tachtig <strong>van</strong> <strong>de</strong> vorige eeuw was het gebruik<br />
<strong>van</strong> auditsoftware populair, me<strong>de</strong> ingegev<strong>en</strong> door <strong>de</strong> to<strong>en</strong> nog<br />
gegev<strong>en</strong>sgerichte cont<strong>rol</strong>es. Veel indruk maakte to<strong>en</strong> e<strong>en</strong> pres<strong>en</strong>tatie<br />
<strong>van</strong> e<strong>en</strong> Cana<strong>de</strong>se collega die voorspel<strong>de</strong> hoe accountant Kees<br />
in het to<strong>en</strong> nog ver wegligg<strong>en</strong><strong>de</strong> magische jaar 2000 <strong>de</strong> cont<strong>rol</strong>e<br />
zou do<strong>en</strong>. Hij zocht met zijn auditcomputer verbinding met <strong>de</strong><br />
computer <strong>van</strong> <strong>de</strong> klant (er was nog ge<strong>en</strong> internet) <strong>en</strong> startte het<br />
auditprogramma op. Aangezi<strong>en</strong> alle data <strong>en</strong> procedures <strong>en</strong> autorisaties<br />
in het systeem zoud<strong>en</strong> zitt<strong>en</strong> (er was nog ge<strong>en</strong> ERP-software)<br />
kon het programma alle data analyser<strong>en</strong> <strong>en</strong> waar nodig nog<br />
geautomatiseerd wat analyses uitvoer<strong>en</strong> met <strong>de</strong> data <strong>van</strong> vorig jaar<br />
<strong>en</strong> externe bronn<strong>en</strong> (als <strong>de</strong> bank). Aan het eind <strong>van</strong> <strong>de</strong> ocht<strong>en</strong>d was<br />
het programma klaar <strong>en</strong> <strong>rol</strong><strong>de</strong> <strong>de</strong> conceptverklaring uit <strong>de</strong> printer.<br />
Met ambities in <strong>de</strong> accountancy <strong>en</strong> IT-<strong>auditing</strong> sprak me dit erg<br />
aan. Daarna is het snel bergafwaarts gegaan met auditsoftware.<br />
We moest<strong>en</strong> wacht<strong>en</strong> tot na het mill<strong>en</strong>nium voordat er weer iets<br />
<strong>van</strong> het voorgaan<strong>de</strong> aan <strong>de</strong> horizon begon te glor<strong>en</strong>.<br />
Realisatie<br />
In 2005 publiceer<strong>de</strong> <strong>de</strong> IIA <strong>de</strong> ‘Global Technology Audit Gui<strong>de</strong><br />
nummer 3: <strong>Continuous</strong> Auditing’. Het concept continuous monitoring,<br />
met in het verl<strong>en</strong>g<strong>de</strong> daar<strong>van</strong> continuous <strong>auditing</strong> <strong>en</strong> uitein<strong>de</strong>lijk<br />
continuous assurance, spreekt aan. Zoals <strong>de</strong> gui<strong>de</strong> terecht aangeeft<br />
is <strong>de</strong> realisatie sterk afhankelijk <strong>van</strong> technology ofwel <strong>van</strong> <strong>de</strong><br />
mo<strong>de</strong>rne versie <strong>van</strong> auditsoftware. De grote uitdaging zal vooral<br />
bestaan uit het efficiënt gebruik <strong>van</strong> die software <strong>en</strong> met name <strong>de</strong> te<br />
hanter<strong>en</strong> norm<strong>en</strong> (rulebooks) waarteg<strong>en</strong> gemonitord wordt.<br />
<strong>Continuous</strong> <strong>auditing</strong><br />
m<strong>en</strong>teerd. De leidraad is echter ook interessant voor <strong>de</strong>g<strong>en</strong><strong>en</strong> die<br />
niet direct met het CA-concept aan <strong>de</strong> slag will<strong>en</strong>, maar die wel<br />
hun gedacht<strong>en</strong> will<strong>en</strong> aanscherp<strong>en</strong> over cont<strong>rol</strong>emethod<strong>en</strong> <strong>en</strong><br />
techniek<strong>en</strong> in het algeme<strong>en</strong>.<br />
<strong>Continuous</strong> <strong>auditing</strong> is onvermij<strong>de</strong>lijk<br />
Ronald <strong>de</strong> Ruiter is redactielid <strong>van</strong> Audit<br />
Magazine <strong>en</strong> auditmanager bij <strong>de</strong> Rijksauditdi<strong>en</strong>st<br />
dat ressorteert on<strong>de</strong>r het<br />
ministerie <strong>van</strong> Financiën.<br />
Op dit mom<strong>en</strong>t vind<strong>en</strong> diverse pilots plaats, maar veelal nog met<br />
e<strong>en</strong> beperkte scope <strong>en</strong> tamelijk afstan<strong>de</strong>lijk. Het periodiek<br />
download<strong>en</strong> <strong>van</strong> gegev<strong>en</strong>s <strong>en</strong> vervolg<strong>en</strong>s analyser<strong>en</strong> met software<br />
op basis <strong>van</strong> rulebooks is e<strong>en</strong> goe<strong>de</strong> stap op weg, maar nog<br />
niet echt continuous. Het wacht<strong>en</strong> is op geïntegreer<strong>de</strong> software in<br />
<strong>de</strong> ERP-pakkett<strong>en</strong>. Dan wordt het echt integrale monitoring by<br />
exception.<br />
Snelle ontwikkeling<strong>en</strong><br />
Mijn verwachting is dat <strong>de</strong> ontwikkeling<strong>en</strong> op dit gebied snel<br />
zull<strong>en</strong> gaan. Langer zal het dur<strong>en</strong> voordat <strong>de</strong> continuous risk<br />
assessm<strong>en</strong>ts zull<strong>en</strong> plaatsvind<strong>en</strong>, al is <strong>de</strong> scope daar<strong>van</strong> in <strong>de</strong><br />
GTAG 3 (te) beperkt tot vooral tr<strong>en</strong>d <strong>en</strong> performance analyses,<br />
die nu ook al plaatsvind<strong>en</strong> in KPI’s, et cetera.<br />
De voorspelling voor <strong>de</strong> auditaanpak voor het jaar 2000 is nog<br />
lang niet gerealiseerd <strong>en</strong> e<strong>en</strong> volledige continuous <strong>auditing</strong>implem<strong>en</strong>tatie<br />
zal nog wel twintig jaar dur<strong>en</strong>, maar dan kunn<strong>en</strong> (<strong>en</strong><br />
moet<strong>en</strong>) <strong>de</strong> financiële verantwoording<strong>en</strong> ook ‘continuous’ gecertificeerd<br />
zijn.<br />
Herman <strong>van</strong> Gils is s<strong>en</strong>ior manager bij<br />
KPMG IT Advisory.<br />
AUDIT magazine<br />
nummer 5 <strong>de</strong>cember 2008<br />
25
BWise biedt uw organisatie e<strong>en</strong> software oplossing <strong>van</strong> wereld formaat<br />
voor Governance, Risk <strong>en</strong> Compliance (GRC) uitdaging<strong>en</strong>. Met GRC<br />
uitdaging<strong>en</strong> bedoel<strong>en</strong> we on<strong>de</strong>rmeer het voldo<strong>en</strong> aan externe<br />
wet- <strong>en</strong> regelgeving, zoals Sarbanes-Oxley <strong>en</strong> Co<strong>de</strong> Tabaksblat.<br />
Ook kunt u d<strong>en</strong>k<strong>en</strong> aan on<strong>de</strong>rwerp<strong>en</strong> zoals het krijg<strong>en</strong> <strong>van</strong> grip op<br />
Internal Cont<strong>rol</strong>, Risk managem<strong>en</strong>t <strong>en</strong> IT Governance.<br />
Door onze unieke procesgerichte aanpak, bereikt u met BWise niet<br />
alle<strong>en</strong> voor<strong>de</strong>l<strong>en</strong> op het gebied <strong>van</strong> procesoptimalisatie, u bespaart<br />
ook aanzi<strong>en</strong>lijk op compliancekost<strong>en</strong>.<br />
Vraag het Forrester rapport gratis aan via www.grcfrontrunner.com.
<strong>Continuous</strong> <strong>auditing</strong><br />
Focus opcontinuïteit<br />
De huidige economische situatie heeft <strong>de</strong> behoefte aan risico- <strong>en</strong> cont<strong>rol</strong>managem<strong>en</strong>t bij on<strong>de</strong>rnemin-<br />
g<strong>en</strong> sterk vergroot. Was <strong>de</strong> drijfveer eerst <strong>de</strong> aangescherpte corporate governanceregelgeving zoals<br />
SOx of <strong>de</strong> Co<strong>de</strong> Tabaksblat, nu zijn dat <strong>de</strong> economische factor<strong>en</strong>. Op dit mom<strong>en</strong>t kan niemand zich <strong>de</strong><br />
reputatiescha<strong>de</strong> <strong>van</strong> e<strong>en</strong> cont<strong>rol</strong> failure veroorlov<strong>en</strong>. De verhoog<strong>de</strong> aandacht voor risico- <strong>en</strong> cont<strong>rol</strong>-<br />
managem<strong>en</strong>t vergt echter niet alle<strong>en</strong> veel <strong>van</strong> het managem<strong>en</strong>t maar ook <strong>van</strong> <strong>de</strong> auditfunctie.<br />
Dr. T. Willems <strong>en</strong> Sj. Vred<strong>en</strong>berg<br />
Het ver<strong>de</strong>r automatiser<strong>en</strong> <strong>van</strong> <strong>de</strong> risicomanagem<strong>en</strong>t- <strong>en</strong> cont<strong>rol</strong>functie<br />
kan voor<strong>de</strong>l<strong>en</strong> oplever<strong>en</strong> <strong>en</strong> <strong>de</strong> techniek biedt <strong>de</strong> mogelijkhed<strong>en</strong><br />
daartoe. Er is nog wel e<strong>en</strong>s wat begripsverwarring<br />
maar continuous monitoring <strong>en</strong> <strong>auditing</strong> zijn e<strong>en</strong>duidig bepaald.<br />
<strong>Continuous</strong> monitoring biedt on<strong>de</strong>rsteuning aan het managem<strong>en</strong>t<br />
om haar verantwoor<strong>de</strong>lijkheid te kunn<strong>en</strong> nem<strong>en</strong> bij het bestur<strong>en</strong><br />
<strong>van</strong> <strong>de</strong> organisatie. <strong>Continuous</strong> <strong>auditing</strong> is <strong>de</strong> geautomatiseer<strong>de</strong><br />
uitvoering <strong>van</strong> cont<strong>rol</strong> tests <strong>en</strong> assessm<strong>en</strong>ts.<br />
<strong>Continuous</strong> monitoring, auditsupport <strong>en</strong> continuous <strong>auditing</strong><br />
<strong>Continuous</strong> monitoring levert KPI’s <strong>en</strong> alerts, gebaseerd op operationele<br />
gegev<strong>en</strong>s. Naast het monitor<strong>en</strong> <strong>van</strong> financiële risico’s<br />
levert <strong>de</strong> monitoring <strong>van</strong> <strong>de</strong> operationele,<br />
strategische <strong>en</strong> commerciële<br />
risico’s e<strong>en</strong> grote toegevoeg<strong>de</strong><br />
waar<strong>de</strong> op. Door <strong>de</strong><br />
implem<strong>en</strong>tatie <strong>van</strong> e<strong>en</strong> goed<br />
cont<strong>rol</strong> framework voor elk <strong>van</strong><br />
<strong>de</strong>ze gebied<strong>en</strong> kan op basis <strong>van</strong><br />
<strong>de</strong> alerts <strong>en</strong> KPI’s continu word<strong>en</strong><br />
bijgestuurd. Het managem<strong>en</strong>t<br />
kan direct actie nem<strong>en</strong>,<br />
e<strong>en</strong> cont<strong>rol</strong> <strong>de</strong>fici<strong>en</strong>cy remediër<strong>en</strong> <strong>en</strong> e<strong>en</strong> ‘foute’ transactie corriger<strong>en</strong>.<br />
De effici<strong>en</strong>cy <strong>en</strong> effectiviteit <strong>van</strong> businessprocess<strong>en</strong> <strong>en</strong><br />
hun cont<strong>rol</strong>s wordt zo vergroot.<br />
De auditfunctie is ingericht om <strong>de</strong> monitoring- <strong>en</strong> cont<strong>rol</strong>functie<br />
<strong>van</strong> het managem<strong>en</strong>t te evaluer<strong>en</strong> <strong>en</strong> specifiek audits uit te voer<strong>en</strong><br />
op die process<strong>en</strong> die al dan niet door continuous monitoring<br />
zijn afg<strong>de</strong>kt. Wel moet ervoor word<strong>en</strong> gezorgd dat <strong>de</strong> gr<strong>en</strong>s tuss<strong>en</strong><br />
monitoring <strong>en</strong> audit niet vervaagd.1 Mom<strong>en</strong>teel is auditsupport<br />
sterk in opkomst.<br />
Auditsupport on<strong>de</strong>rsteunt <strong>de</strong> assessm<strong>en</strong>ts binn<strong>en</strong> <strong>de</strong> audit door<br />
mid<strong>de</strong>l <strong>van</strong> workflowautomatisering. Verantwoor<strong>de</strong>lijke me<strong>de</strong>werkers<br />
krijg<strong>en</strong> geautomatiseerd via intranet of internet assessm<strong>en</strong>ts<br />
voorgelegd waarbij ze word<strong>en</strong> on<strong>de</strong>rsteund bij het interpreter<strong>en</strong><br />
<strong>en</strong> invull<strong>en</strong> <strong>van</strong> <strong>de</strong> vrag<strong>en</strong> <strong>en</strong> het opvoer<strong>en</strong> <strong>van</strong> rele<strong>van</strong>te<br />
informatie <strong>en</strong> bewijsstukk<strong>en</strong> (evid<strong>en</strong>ce). De verzamel<strong>de</strong> data<br />
word<strong>en</strong> <strong>de</strong>els automatisch geanalyseerd <strong>en</strong> in rapportages verwerkt.<br />
Hiermee wordt het auditproces aanzi<strong>en</strong>lijk efficiënter.<br />
<strong>Continuous</strong> <strong>auditing</strong> is <strong>de</strong> geautomatiseer<strong>de</strong> uitvoering <strong>van</strong> con-<br />
De huidige economische situatie dwingt bedrijv<strong>en</strong><br />
om continuous monitoring vesneld te verk<strong>en</strong>n<strong>en</strong><br />
t<strong>rol</strong> tests <strong>en</strong> assessm<strong>en</strong>ts. Door het automatisch uitvoer<strong>en</strong> <strong>van</strong><br />
business rules op transactiedata (evid<strong>en</strong>ce) word<strong>en</strong> uitzon<strong>de</strong>ring<strong>en</strong><br />
automatisch geïd<strong>en</strong>tificeerd <strong>en</strong> als alert aan het auditteam of<br />
het managem<strong>en</strong>t beschikbaar gesteld. Ook hier geldt dat e<strong>en</strong><br />
transparant cont<strong>rol</strong> framework <strong>de</strong> mogelijkheid biedt direct<br />
gericht actie te nem<strong>en</strong>.<br />
AUDIT magazine<br />
nummer 5 <strong>de</strong>cember 2008<br />
27
<strong>Continuous</strong> <strong>auditing</strong><br />
Mom<strong>en</strong>teel vindt <strong>auditing</strong> nog veelal handmatig <strong>en</strong> op geplan<strong>de</strong><br />
tijd<strong>en</strong> plaats waarbij <strong>de</strong> vereiste docum<strong>en</strong>tatie zoals evid<strong>en</strong>ce<br />
maar ook cont<strong>rol</strong>- <strong>en</strong> procedurebeschrijving<strong>en</strong>, risicomatrices, et<br />
cetera, in verschill<strong>en</strong><strong>de</strong> system<strong>en</strong> wordt vastgelegd.2 Vaak zijn<br />
<strong>de</strong>ze assessm<strong>en</strong>ts inefficiënt <strong>en</strong> op zijn best ‘achteraf’. Door <strong>de</strong><br />
stapsgewijze invoering <strong>van</strong> continuous <strong>auditing</strong>, ingebed in e<strong>en</strong><br />
integraal cont<strong>rol</strong> framework <strong>van</strong> cont<strong>rol</strong>- <strong>en</strong> risicodocum<strong>en</strong>tatie,<br />
assessm<strong>en</strong>ts <strong>en</strong> procesbeschrijving, wordt dit proces efficiënter<br />
<strong>en</strong> effectiever.<br />
Nieuwe G<strong>en</strong>eratie GRC<br />
De in <strong>de</strong> afgelop<strong>en</strong> jar<strong>en</strong> ontwikkel<strong>de</strong> governance-, risk managem<strong>en</strong>t-<br />
& cont<strong>rol</strong>-software (GRC) biedt alle bov<strong>en</strong>g<strong>en</strong>oem<strong>de</strong><br />
functies geïntegreerd in één applicatie:<br />
• continuous monitoring; automatische alerts <strong>en</strong> KPI’s;<br />
• auditsupport; geautomatiseer<strong>de</strong> assessm<strong>en</strong>ts <strong>en</strong> evid<strong>en</strong>ce collection<br />
(workflow driv<strong>en</strong>);<br />
• continuous <strong>auditing</strong>functies;<br />
• cont<strong>rol</strong> frameworkdocum<strong>en</strong>tatie; proces, risk & cont<strong>rol</strong>.<br />
Om volledige transparantie te kunn<strong>en</strong> verkrijg<strong>en</strong> moet<strong>en</strong> <strong>de</strong>ze<br />
functies in e<strong>en</strong> cont<strong>rol</strong> framework word<strong>en</strong> geïntegreerd met <strong>de</strong><br />
proces-, cont<strong>rol</strong>- <strong>en</strong> riskdocum<strong>en</strong>tatie, <strong>de</strong> rele<strong>van</strong>te wet- <strong>en</strong> regelgeving<br />
<strong>en</strong> <strong>de</strong> verschill<strong>en</strong><strong>de</strong> procedures <strong>en</strong> protocoll<strong>en</strong> zoals<br />
gehanteerd in <strong>de</strong> organisatie.3 Het mag dui<strong>de</strong>lijk zijn dat <strong>de</strong>ze<br />
informatie sam<strong>en</strong>hang<strong>en</strong>d moet word<strong>en</strong> on<strong>de</strong>rhoud<strong>en</strong>. Dit is e<strong>en</strong><br />
<strong>de</strong>rmate complexe taak dat geïntegreer<strong>de</strong> GRC-automatisering<br />
onmisbaar is. Reeds beschikbare informatie moet kunn<strong>en</strong> word<strong>en</strong><br />
geïntegreerd of opg<strong>en</strong>om<strong>en</strong> in <strong>de</strong> GRC-omgeving.<br />
AUDIT magazine<br />
nummer 5 <strong>de</strong>cember 2008<br />
28<br />
Voor continuous monitoring <strong>en</strong> <strong>auditing</strong> in <strong>de</strong> financiële kolom<br />
kunn<strong>en</strong> we ler<strong>en</strong> <strong>van</strong> business continuity managem<strong>en</strong>t (BCM) uit<br />
<strong>de</strong> IT-kolom. Het doel <strong>van</strong> BCM is ervoor te zorg<strong>en</strong> dat <strong>de</strong> continuïteit<br />
<strong>van</strong> <strong>de</strong> organisatie wordt gewaarborgd. Hiertoe word<strong>en</strong><br />
disaster recovery plann<strong>en</strong> opgesteld die uitgevoerd word<strong>en</strong> op<br />
het mom<strong>en</strong>t <strong>van</strong> e<strong>en</strong> incid<strong>en</strong>t. Om <strong>de</strong> incid<strong>en</strong>t<strong>en</strong> te on<strong>de</strong>rk<strong>en</strong>n<strong>en</strong><br />
word<strong>en</strong> <strong>de</strong> IT-system<strong>en</strong> continu gemonitord. Business rules word<strong>en</strong><br />
ingezet om <strong>de</strong> data automatisch te evaluer<strong>en</strong>.<br />
Monitoringresultat<strong>en</strong> gev<strong>en</strong> soms aanleiding om e<strong>en</strong> alert via<br />
e-mail of sms uit te stur<strong>en</strong> naar <strong>de</strong> verantwoor<strong>de</strong>lijke manager.<br />
Deze ziet dan direct welk plan moet word<strong>en</strong> uitgevoerd om het<br />
risico te mitiger<strong>en</strong>. Binn<strong>en</strong> BCM is veel ervaring opgedaan met<br />
continuous monitoring gekoppeld aan risico’s, cont<strong>rol</strong>s <strong>en</strong> actieplann<strong>en</strong>.<br />
Er word<strong>en</strong> gestructureerd testplann<strong>en</strong> uitgevoerd die<br />
binn<strong>en</strong> <strong>de</strong> financiële kolom audits g<strong>en</strong>oemd zoud<strong>en</strong> word<strong>en</strong>. Er<br />
is veel ervaring met door automatisering on<strong>de</strong>rsteun<strong>de</strong> assessm<strong>en</strong>ts<br />
<strong>en</strong> met continuous <strong>auditing</strong> <strong>van</strong> risico’s <strong>en</strong> cont<strong>rol</strong>s.<br />
Toepass<strong>en</strong>?<br />
Het succes <strong>van</strong> continuous monitoring <strong>en</strong> <strong>auditing</strong> hangt af <strong>van</strong><br />
gefaseer<strong>de</strong> invoering, technische integratie met bedrijfsapplicaties<br />
<strong>en</strong> <strong>van</strong> het begrip <strong>van</strong> <strong>de</strong> cont<strong>rol</strong>/auditfunctie in <strong>de</strong> organisatie.<br />
Is dui<strong>de</strong>lijk welke cont<strong>rol</strong>s<br />
er daadwerkelijk toe do<strong>en</strong>,<br />
welke gegev<strong>en</strong>s rele<strong>van</strong>t zijn<br />
bij het monitor<strong>en</strong> <strong>en</strong> welke<br />
gegev<strong>en</strong>s moet<strong>en</strong> word<strong>en</strong><br />
geaudit? Wat zijn rele<strong>van</strong>te<br />
business rules om sch<strong>en</strong>ding<strong>en</strong><br />
<strong>van</strong> cont<strong>rol</strong>s te id<strong>en</strong>tificer<strong>en</strong>,<br />
wanneer will<strong>en</strong> we e<strong>en</strong><br />
alert <strong>en</strong> wat is <strong>de</strong> gew<strong>en</strong>ste<br />
rapportage?4 Veelal k<strong>en</strong>nis die<br />
wel <strong>de</strong>gelijk goed voorhand<strong>en</strong><br />
is maar die efficiënt moet word<strong>en</strong><br />
ingezet.<br />
In <strong>de</strong> VS maakt ruim 30 proc<strong>en</strong>t<br />
<strong>van</strong> <strong>de</strong> midd<strong>en</strong>- <strong>en</strong> grote<br />
bedrijv<strong>en</strong> gebruik <strong>van</strong> continuous<br />
monitoring/<strong>auditing</strong>. De<br />
ervaring<strong>en</strong> lat<strong>en</strong> zi<strong>en</strong> dat op<br />
basis <strong>van</strong> e<strong>en</strong> bestaand of<br />
nieuw op te zett<strong>en</strong> cont<strong>rol</strong> framework<br />
e<strong>en</strong>voudig e<strong>en</strong> begin<br />
gemaakt kan word<strong>en</strong> met <strong>de</strong><br />
invoering. E<strong>en</strong> rele<strong>van</strong>t cont<strong>rol</strong>gebied<br />
wordt geselecteerd,<br />
voor dit gebied wordt bepaald wat vereiste monitoring- <strong>en</strong> <strong>auditing</strong>informatie<br />
is. Deze gegev<strong>en</strong>s word<strong>en</strong> door mid<strong>de</strong>l <strong>van</strong> ag<strong>en</strong>ts<br />
opgehaald uit beschikbare bron- of middlewaresystem<strong>en</strong>. De<br />
data word<strong>en</strong> in <strong>de</strong> GRC-omgeving opg<strong>en</strong>om<strong>en</strong>, soms gestandaardiseerd<br />
op XBRL <strong>en</strong> door mid<strong>de</strong>l <strong>van</strong> business rules continu<br />
geanalyseerd. Afwijking<strong>en</strong> op <strong>de</strong> data leid<strong>en</strong> tot alerts die aan het<br />
managem<strong>en</strong>t of <strong>de</strong> auditor word<strong>en</strong> gemaild. Uiteraard moet<strong>en</strong>
ook <strong>de</strong> ‘handmatige’ audits <strong>en</strong> auditsupport word<strong>en</strong> aangepast/vere<strong>en</strong>voudigd.<br />
Deze gefaseer<strong>de</strong> b<strong>en</strong>a<strong>de</strong>ring is relatief e<strong>en</strong>voudig<br />
in te voer<strong>en</strong> <strong>en</strong> leidt stap voor stap tot e<strong>en</strong> transparant<br />
systeem.<br />
Voorbeeld<strong>en</strong><br />
Hierna volg<strong>en</strong> voorbeeld<strong>en</strong> <strong>van</strong> business continuity managem<strong>en</strong>t,<br />
transaction monitoring <strong>en</strong> corporate legal compliance (CLC).<br />
Business continuity managem<strong>en</strong>t<br />
E<strong>en</strong> internationale verzekeraar heeft haar BCM-docum<strong>en</strong>tatie<br />
volledig op or<strong>de</strong>. Alle risico’s zijn beschrev<strong>en</strong> <strong>en</strong> word<strong>en</strong> elk<br />
kwartaal handmatig getoetst. De bijbehor<strong>en</strong><strong>de</strong> cont<strong>rol</strong>s word<strong>en</strong><br />
geaudit <strong>en</strong> er zijn plann<strong>en</strong> beschrev<strong>en</strong> (DRP’s) die moet<strong>en</strong> word<strong>en</strong><br />
uitgevoerd op het mom<strong>en</strong>t dat zich e<strong>en</strong> incid<strong>en</strong>t<br />
voordoet. Er zijn teams geformeerd <strong>en</strong> procedures<br />
zijn beschrev<strong>en</strong>.<br />
Het beheer <strong>van</strong> het cont<strong>rol</strong> framework <strong>en</strong> het<br />
audit<strong>en</strong> (test<strong>en</strong> in BCM-term<strong>en</strong>) <strong>van</strong> <strong>de</strong> cont<strong>rol</strong>s<br />
was echter erg tijdsint<strong>en</strong>sief. E<strong>en</strong> voorbeeld: bij<br />
verhuizing <strong>van</strong> e<strong>en</strong> teamlid naar e<strong>en</strong> an<strong>de</strong>re vestiging<br />
was het e<strong>en</strong> heel karwei om <strong>de</strong> veran<strong>de</strong>ring<br />
in alle docum<strong>en</strong>t<strong>en</strong> door te voer<strong>en</strong>. Daarom<br />
is er gekoz<strong>en</strong> voor het invoer<strong>en</strong> <strong>van</strong> e<strong>en</strong> continuous<br />
monitoring <strong>en</strong> <strong>auditing</strong>systeem voor business<br />
continuity managm<strong>en</strong>t (Bcon-PRO). Alle<br />
docum<strong>en</strong>tatie is on<strong>de</strong>rgebracht in één IT-platform<br />
waardoor wijziging<strong>en</strong> die op e<strong>en</strong> plaats doorgevoerd zijn<br />
direct op alle an<strong>de</strong>re rele<strong>van</strong>te plaats<strong>en</strong> geëffectueerd word<strong>en</strong>.<br />
De continuous monitoringfunctie verzamelt data <strong>van</strong> on<strong>de</strong>rligg<strong>en</strong><strong>de</strong><br />
system<strong>en</strong> (IT <strong>en</strong> niet-IT) <strong>en</strong> door mid<strong>de</strong>l <strong>van</strong> e<strong>en</strong> set <strong>van</strong><br />
business rules wordt op basis <strong>van</strong> <strong>de</strong>ze data <strong>de</strong> performance continu<br />
gemonitored. Naast dashboards lever<strong>en</strong> <strong>de</strong> business rules<br />
ook direct alerts als er e<strong>en</strong> situatie ontstaat die mogelijk <strong>de</strong> continuïteit<br />
<strong>van</strong> <strong>de</strong> bedrijfsvoering in gevaar kan br<strong>en</strong>g<strong>en</strong>. Op dat<br />
mom<strong>en</strong>t ont<strong>van</strong>gt <strong>de</strong> verantwoor<strong>de</strong>lijk manager via <strong>de</strong> mail e<strong>en</strong><br />
alert met bijbehor<strong>en</strong><strong>de</strong> risico-, cont<strong>rol</strong>- <strong>en</strong> actieplangegev<strong>en</strong>s.<br />
Alle stapp<strong>en</strong> <strong>van</strong> het actieplan word<strong>en</strong> door mid<strong>de</strong>l <strong>van</strong> workflow<br />
aan <strong>de</strong> verantwoor<strong>de</strong>lijk<strong>en</strong> aangebod<strong>en</strong> met <strong>de</strong> bijbehor<strong>en</strong><strong>de</strong> procedurebeschrijving.<br />
Het systeem bouwt e<strong>en</strong> audittrail om later na<br />
te kunn<strong>en</strong> gaan welke stapp<strong>en</strong> <strong>van</strong> het actieplan zijn uitgevoerd.<br />
Door <strong>de</strong> invoering <strong>van</strong> <strong>de</strong> continuous monitoringfunctie is <strong>de</strong><br />
audit op het BCM-systeem aanzi<strong>en</strong>lijk vere<strong>en</strong>voudigd.<br />
Gelukkig kom<strong>en</strong> incid<strong>en</strong>t<strong>en</strong> weinig voor. De risico’s, plann<strong>en</strong> <strong>en</strong><br />
cont<strong>rol</strong>s word<strong>en</strong> regelmatig getest. Het systeem biedt op geplan<strong>de</strong><br />
tijd<strong>en</strong> aan <strong>de</strong> verantwoor<strong>de</strong>lijk<strong>en</strong> assessm<strong>en</strong>tvrag<strong>en</strong> aan <strong>en</strong><br />
voert automatisch tests uit op verschill<strong>en</strong><strong>de</strong> cont<strong>rol</strong>s <strong>en</strong> plann<strong>en</strong>.<br />
Hiermee krijgt het IT-managem<strong>en</strong>t continu zicht op <strong>de</strong> beheersing<br />
<strong>van</strong> <strong>de</strong> IT-organisatie.<br />
Transaction monitoring<br />
E<strong>en</strong> overheidsinstelling wil<strong>de</strong> voortdur<strong>en</strong>d wet<strong>en</strong> of ze met haar<br />
project<strong>en</strong>, uitbesteding<strong>en</strong> <strong>en</strong> plann<strong>en</strong> op schema <strong>en</strong> binn<strong>en</strong> bud-<br />
<strong>Continuous</strong> <strong>auditing</strong><br />
get was. Uiteraard moest ze daarbij voldo<strong>en</strong> aan wet- <strong>en</strong> regelgeving.<br />
Er was al e<strong>en</strong> financiële <strong>en</strong> projectadminsitratie die gebruik<br />
maakt<strong>en</strong> <strong>van</strong> vier bedrijfsapplicaties. Na het opzett<strong>en</strong> <strong>van</strong> e<strong>en</strong><br />
cont<strong>rol</strong> framework is e<strong>en</strong> monitoringsysteem opgezet dat data<br />
haalt uit verschill<strong>en</strong><strong>de</strong> applicaties. Deze data word<strong>en</strong> automatisch<br />
geanalyseerd <strong>en</strong> lever<strong>en</strong> dashboards <strong>en</strong> alerts aan het verantwoor<strong>de</strong>lijke<br />
managem<strong>en</strong>t. Elke actie <strong>en</strong> transactie wordt gemonitored.<br />
Daarnaast is e<strong>en</strong> systeem <strong>van</strong> gestructureer<strong>de</strong> assessm<strong>en</strong>ts ingezet<br />
om <strong>de</strong> gegev<strong>en</strong>s ook te audit<strong>en</strong>. De verantwoor<strong>de</strong>lijke cont<strong>rol</strong>lers<br />
krijg<strong>en</strong> regelmatig via het systeem het verzoek om informatie<br />
aan te lever<strong>en</strong>. Deze informatie wordt gebruikt om <strong>de</strong> project<strong>en</strong><br />
<strong>en</strong> financiën te audit<strong>en</strong>. Uiteraard is het e<strong>en</strong> volledig transparant<br />
systeem. Dat houdt in dat per cont<strong>rol</strong> kan word<strong>en</strong> gezi<strong>en</strong><br />
welke sch<strong>en</strong>ding<strong>en</strong> er zijn geweest, wat <strong>de</strong> audit <strong>van</strong> <strong>de</strong>ze cont<strong>rol</strong><br />
We hebb<strong>en</strong> in Ne<strong>de</strong>rland e<strong>en</strong> voorsprong door<br />
<strong>de</strong> jar<strong>en</strong>lange ontwikkeling <strong>van</strong> AO <strong>en</strong><br />
risicobeheersing, we kunn<strong>en</strong> die sterke positie<br />
nu doorzett<strong>en</strong> in het continuous auditgebied<br />
in <strong>de</strong> afgelop<strong>en</strong> perio<strong>de</strong> heeft opgeleverd <strong>en</strong> welk project op tijd<br />
<strong>en</strong> binn<strong>en</strong> <strong>de</strong> financiële ruimte loopt. <strong>Continuous</strong> monitoring dus,<br />
gecombineerd met e<strong>en</strong> stevige auditfunctie.<br />
E<strong>en</strong> internationale bank wil <strong>van</strong> alle aan<strong>de</strong>l<strong>en</strong>transacties monitor<strong>en</strong><br />
of <strong>de</strong> transactie voldoet aan haar interne cont<strong>rol</strong>s. Hierbij<br />
moet voor ie<strong>de</strong>re transactie word<strong>en</strong> gecheckt of <strong>de</strong> betreff<strong>en</strong><strong>de</strong><br />
klant <strong>de</strong>ze transactie kan uitvoer<strong>en</strong>, of <strong>de</strong> financiële positie <strong>van</strong><br />
<strong>de</strong> klant <strong>de</strong> transactie toestaat <strong>en</strong> of <strong>de</strong> transactie voldoet aan <strong>de</strong><br />
bankspecifieke regels. Er was reeds e<strong>en</strong> transactiesupportsysteem.<br />
Nu word<strong>en</strong> tijd<strong>en</strong>s het invoer<strong>en</strong> <strong>van</strong> e<strong>en</strong> transactie door e<strong>en</strong><br />
continuous monitoringsysteem alle rele<strong>van</strong>te klant- <strong>en</strong> transactiedata<br />
opgehaald <strong>en</strong> gebruikt om te toets<strong>en</strong> of <strong>de</strong> nieuwe transactie<br />
binn<strong>en</strong> <strong>de</strong> door <strong>de</strong> bank gestel<strong>de</strong> cont<strong>rol</strong>s valt. In het geval <strong>van</strong><br />
Er wordt binn<strong>en</strong>kort e<strong>en</strong> on<strong>de</strong>rzoek gestart om met e<strong>en</strong> aantal<br />
auditors <strong>en</strong> cont<strong>rol</strong>lers e<strong>en</strong> g<strong>en</strong>erieke bibliotheek <strong>van</strong> business<br />
rules, alerts, KPI-dashboards <strong>en</strong> audits sam<strong>en</strong> te stell<strong>en</strong> <strong>en</strong> te<br />
publicer<strong>en</strong>. Dit proces wordt on<strong>de</strong>rsteund met GRC-software<br />
waardoor <strong>de</strong> <strong>de</strong>elnemers ook direct ervaring kunn<strong>en</strong> opdo<strong>en</strong> met<br />
continuous <strong>auditing</strong> <strong>en</strong> monitoring. Indi<strong>en</strong> u interesse hebt om<br />
mee te werk<strong>en</strong> aan het opstell<strong>en</strong>, toets<strong>en</strong> <strong>en</strong> publicer<strong>en</strong> <strong>van</strong> <strong>de</strong>ze<br />
business rules voor continuous monitoring & audit kunt u contact<br />
opnem<strong>en</strong> met <strong>de</strong> auteurs.<br />
AUDIT magazine<br />
nummer 5 <strong>de</strong>cember 2008<br />
29
<strong>Continuous</strong> <strong>auditing</strong><br />
e<strong>en</strong> cont<strong>rol</strong>sch<strong>en</strong>ding krijgt <strong>de</strong> bankme<strong>de</strong>werker direct informatie<br />
over het gesignaleer<strong>de</strong> probleem, <strong>de</strong> klant, <strong>de</strong> cont<strong>rol</strong>, <strong>de</strong> rele<strong>van</strong>te<br />
wet- <strong>en</strong> interne regelgeving.<br />
Corporate legal compliance (CLC)<br />
Voor <strong>de</strong> corporate lawyer/secretary speelt compliance rondom<br />
het beheer <strong>van</strong> alle vereiste corporate gegev<strong>en</strong>s: <strong>de</strong> corporate<br />
housekeeping. Gegev<strong>en</strong>s <strong>van</strong> aan<strong>de</strong>elhou<strong>de</strong>rs, aan<strong>de</strong>l<strong>en</strong>, notifications<br />
(bijvoorbeeld <strong>de</strong> 403-verklaring), bestuur<strong>de</strong>rs, verslaglegging,<br />
KvK-gegev<strong>en</strong>s, et cetera. Het beheer <strong>van</strong> <strong>de</strong>ze informatie<br />
kan word<strong>en</strong> on<strong>de</strong>rsteund door gestructureer<strong>de</strong> (digitale) vastlegging.<br />
Hierbij kunn<strong>en</strong> templates word<strong>en</strong> gebruikt voor specifieke<br />
jurisdicties zodat alle bedrijfs<strong>en</strong>titeit<strong>en</strong> <strong>de</strong> gegev<strong>en</strong>s op <strong>de</strong> juiste<br />
wijze repres<strong>en</strong>ter<strong>en</strong> <strong>en</strong> bijvoorbeeld aan <strong>de</strong> KvK beschikbaar<br />
stell<strong>en</strong>. Daarnaast bestaat op het gebied <strong>van</strong> corporate housekeeping<br />
behoefte aan e<strong>en</strong> risk & cont<strong>rol</strong> framework <strong>en</strong> zichtbaarheid<br />
<strong>van</strong> procedures <strong>en</strong> werkwijz<strong>en</strong> om zo <strong>de</strong> kans op fout<strong>en</strong> te minimaliser<strong>en</strong>.<br />
T<strong>en</strong> slotte is het w<strong>en</strong>selijk om op allerhan<strong>de</strong> legal<br />
issues continu te monitor<strong>en</strong>. Voorbeeld<strong>en</strong> hier<strong>van</strong> zijn het tijdig<br />
beschikbaar hebb<strong>en</strong> <strong>van</strong> cons<strong>en</strong>t statem<strong>en</strong>ts voor consolidatie<br />
on<strong>de</strong>r e<strong>en</strong> 403-verklaring of het tijdig aanmeld<strong>en</strong> of intrekk<strong>en</strong><br />
<strong>van</strong> bankautorisaties, aansprakelijkhed<strong>en</strong> <strong>en</strong> an<strong>de</strong>re notificaties.<br />
In sam<strong>en</strong>werking met advocat<strong>en</strong>kantoor Boekel <strong>de</strong> Neree is hiervoor<br />
e<strong>en</strong> applicatie ontwikkeld. On<strong>de</strong>rzoek heeft lat<strong>en</strong> zi<strong>en</strong> dat<br />
ruim 60 proc<strong>en</strong>t <strong>van</strong> alle in Ne<strong>de</strong>rland gevestig<strong>de</strong> bedrijv<strong>en</strong> met<br />
e<strong>en</strong> 403-verklaring e<strong>en</strong> of meer<strong>de</strong>re problem<strong>en</strong> heeft waardoor<br />
Tim Willems is me<strong>de</strong>-oprichter<br />
<strong>van</strong> BWise <strong>en</strong> heeft in 2006 Ba-<br />
PRO opgericht. Ba-PRO levert<br />
integrale GRC-applicaties. Naast<br />
het ontwikkel<strong>en</strong> <strong>van</strong> softwareconcept<strong>en</strong><br />
werkt Willems veel<br />
sam<strong>en</strong> met m<strong>en</strong>s<strong>en</strong> uit verschill<strong>en</strong><strong>de</strong><br />
disciplines (legal, financial,<br />
audit, IT, social reporting) om e<strong>en</strong><br />
bijdrage te kunn<strong>en</strong> lever<strong>en</strong> aan<br />
<strong>de</strong> integratie <strong>van</strong> <strong>de</strong> verschill<strong>en</strong><strong>de</strong> GRC-gebied<strong>en</strong>.<br />
Sjoerd Vred<strong>en</strong>berg is me<strong>de</strong><br />
oprichter <strong>van</strong> Bcon-PRO. Bcon-<br />
PRO richt zich op het sam<strong>en</strong>hang<strong>en</strong>d<br />
inricht<strong>en</strong> <strong>van</strong> het business<br />
continuity managem<strong>en</strong>tproces.<br />
Daarbij wordt <strong>de</strong> BCM-applicatie<br />
<strong>van</strong> Ba-PRO ingezet. Vred<strong>en</strong>burg<br />
beschikt als voormalig directeur<br />
<strong>van</strong> C<strong>IAD</strong> over ruime ervaring op<br />
het gebied <strong>van</strong> risk managem<strong>en</strong>t<br />
<strong>en</strong> hij heeft als interimmanager in verschill<strong>en</strong><strong>de</strong> omgeving<strong>en</strong> organisaties<br />
geholp<strong>en</strong> in-cont<strong>rol</strong>process<strong>en</strong> te verbeter<strong>en</strong>.<br />
AUDIT magazine<br />
nummer 5 <strong>de</strong>cember 2008<br />
30<br />
Conclusie<br />
Less<strong>en</strong> uit het verled<strong>en</strong> ler<strong>en</strong> dat losstaan<strong>de</strong> analyseoplossing<strong>en</strong> die<br />
continuous monitoring wel goed uitvoer<strong>en</strong> maar niet integrer<strong>en</strong> in het<br />
cont<strong>rol</strong> framework, niet het beoog<strong>de</strong> resultaat oplever<strong>en</strong>. De in dit<br />
artikel beschrev<strong>en</strong> voorbeeld<strong>en</strong> kunn<strong>en</strong> alle binn<strong>en</strong> één organisatie<br />
pass<strong>en</strong>. Het is juist daarom dat <strong>de</strong>ze sam<strong>en</strong> in één geïntegreer<strong>de</strong><br />
omgeving geplaatst moet<strong>en</strong> word<strong>en</strong>. E<strong>en</strong> primair proces (bijvoorbeeld<br />
facturatie) heeft zowel e<strong>en</strong> raakvlak met BCM – het systeem moet<br />
niet uitvall<strong>en</strong>; met compliance – <strong>de</strong> omzet moet op het juiste mom<strong>en</strong>t<br />
word<strong>en</strong> geboekt; <strong>en</strong> met corporate legal – er moet in het facturatieproces<br />
rek<strong>en</strong>ing word<strong>en</strong> gehoud<strong>en</strong> met <strong>de</strong> privacywetgeving.<br />
De inrichting vindt stapsgewijs plaats, bedrijv<strong>en</strong> beginn<strong>en</strong> altijd met<br />
één discipline, bijvoorbeeld financial audit & monitoring. Elke stap<br />
moet wel pass<strong>en</strong> in het e<strong>en</strong>malig opgezet raamwerk. De huidige<br />
GRC-oplossing<strong>en</strong> kunn<strong>en</strong> hier goe<strong>de</strong> on<strong>de</strong>rsteuning bied<strong>en</strong>. E<strong>en</strong>maal<br />
ingericht kunn<strong>en</strong> ze door <strong>de</strong> organisatie word<strong>en</strong> gevuld. Daarbij moet<br />
erop word<strong>en</strong> toegezi<strong>en</strong> dat <strong>de</strong> dataverwerking t<strong>en</strong> behoeve <strong>van</strong><br />
monitoring ge<strong>en</strong> belasting voor het operationele systeem (bijvoorbeeld<br />
ERP) vormt <strong>en</strong> dat <strong>de</strong> gekoz<strong>en</strong> oplossing voldo<strong>en</strong><strong>de</strong> flexibel is<br />
om e<strong>en</strong>voudig te word<strong>en</strong> aangepast aan <strong>de</strong> organisatie <strong>en</strong> bestaan<strong>de</strong><br />
informatie/system<strong>en</strong>.<br />
De huidige economische situatie sam<strong>en</strong> met <strong>de</strong> reeds sterk toeg<strong>en</strong>om<strong>en</strong><br />
wet- <strong>en</strong> regelgeving, maakt dat continuous monitoring <strong>en</strong> continuous<br />
<strong>auditing</strong> e<strong>en</strong> logische stap zijn. Het managem<strong>en</strong>t w<strong>en</strong>st risicobeheersing<br />
<strong>en</strong> <strong>de</strong> auditfunctie moet word<strong>en</strong> ontlast. De beschikbare<br />
technologie maakt e<strong>en</strong> goe<strong>de</strong>, integrale b<strong>en</strong>a<strong>de</strong>ring mogelijk waarbij<br />
risk & cont<strong>rol</strong> framework, dashboarding <strong>en</strong> alerting, business rules <strong>en</strong><br />
auditsupport hand in hand gaan. Hiermee zijn onmid<strong>de</strong>llijk efficiëncyvoor<strong>de</strong>l<strong>en</strong><br />
te hal<strong>en</strong>. Hergebruik <strong>van</strong> bestaan<strong>de</strong> informatie is uiteraard<br />
e<strong>en</strong> randvoorwaar<strong>de</strong>.<br />
aansprakelijkhed<strong>en</strong> vaak an<strong>de</strong>rs ligg<strong>en</strong> dan bestuur<strong>de</strong>rs <strong>en</strong> aan<strong>de</strong>elhou<strong>de</strong>rs<br />
d<strong>en</strong>k<strong>en</strong>.<br />
<strong>Continuous</strong> monitoring biedt hier, zeker voor grotere internationale<br />
organisaties, <strong>en</strong>orme voor<strong>de</strong>l<strong>en</strong> <strong>en</strong> beperkt juridische <strong>en</strong><br />
daarmee sam<strong>en</strong>hang<strong>en</strong><strong>de</strong> reputatierisico’s in hoge mate.<br />
Koppeling aan rele<strong>van</strong>te wetgeving (standaard integratie met<br />
Lexis Nexis) leidt vervolg<strong>en</strong>s ook tot directe beschikbaarheid<br />
<strong>van</strong> zog<strong>en</strong>oem<strong>de</strong> rules & regulations. Wijziging<strong>en</strong> in wetgeving<br />
of jurisdictie kunn<strong>en</strong> zo e<strong>en</strong>voudiger word<strong>en</strong> doorgevoerd voor<br />
up to date compliance.<br />
Literatuur<br />
1. Krass, P., ‘The Never-Ending Audit. Can software prev<strong>en</strong>t future<br />
Enrons?’, CFO Magazine, november, 2002.<br />
2. Taub, S., ‘<strong>Continuous</strong> Auditing Not Yet Automatic’, CFO.com, juni, 2006.<br />
3. Meyer, B., ‘GRC: Governance, Risk and Compliance belong together’,<br />
Audit Committee Institute KPMG Belgium, Audit Committee Quarterly,<br />
issue 10, 2008.<br />
4. Co<strong>de</strong>rre, D., <strong>Continuous</strong> Auditing: Implications for Assurance,<br />
Monitoring, and Risk Assessm<strong>en</strong>t, Gui<strong>de</strong> 3 , The Institute of Internal<br />
Auditors.
estafettecolumn<br />
In <strong>de</strong> rubriek ‘<strong>de</strong> estafettecolumn’ schrijft e<strong>en</strong> auditprofessional op persoonlijke titel e<strong>en</strong> stuk over e<strong>en</strong><br />
on<strong>de</strong>rwerp dat hem of haar bezighoudt, irriteert of verbaast. Dit op uitnodiging <strong>van</strong> <strong>de</strong> columnist uit e<strong>en</strong><br />
vorig nummer <strong>van</strong> Audit Magazine, om daarna zelf het stokje weer door te gev<strong>en</strong>. Dit keer Hans<br />
Nieuwlands, algeme<strong>en</strong> directeur <strong>van</strong> IIA Ne<strong>de</strong>rland.<br />
De nieuwe kler<strong>en</strong><br />
<strong>van</strong> <strong>de</strong> Keizer<br />
Hans <strong>en</strong> Daniela<br />
Nieuwlands wacht<strong>en</strong> op<br />
<strong>de</strong> uitreiking <strong>van</strong> <strong>de</strong><br />
Victor Z. Brink Award.<br />
Tijd<strong>en</strong>s mijn eerste hon<strong>de</strong>rd dag<strong>en</strong> als werknemer<br />
<strong>van</strong> het IIA werd het nieuws vooral beheerst door<br />
<strong>de</strong> kredietcrisis, die zo zoetjes aan e<strong>en</strong> bo<strong>de</strong>mloze<br />
put lijkt te word<strong>en</strong>. Ik vraag mij dan ook af in hoeverre<br />
internal auditors, risicomanagers, corporate<br />
governanceco<strong>de</strong>s, Sarbanes Oxley <strong>en</strong> COSO-ERM<br />
effectief zijn. Naar mijn m<strong>en</strong>ing communicer<strong>en</strong><br />
internal auditors <strong>en</strong> risk managers onvoldo<strong>en</strong><strong>de</strong><br />
over <strong>de</strong> echte risico’s naar <strong>de</strong> top <strong>van</strong> <strong>de</strong> organisatie.<br />
Misschi<strong>en</strong> begrijp<strong>en</strong> we het zelf niet meer,<br />
maar durv<strong>en</strong> we dat niet te zegg<strong>en</strong>. Het doet me<br />
d<strong>en</strong>k<strong>en</strong> aan het spookje De nieuwe kler<strong>en</strong> <strong>van</strong> <strong>de</strong><br />
keizer <strong>van</strong> Hans Christian An<strong>de</strong>rs<strong>en</strong>. Dat ging zo.<br />
Er was e<strong>en</strong>s e<strong>en</strong> keizer die zo veel <strong>van</strong> mooie nieuwe<br />
kler<strong>en</strong> hield, dat hij al zijn geld eraan uitgaf.<br />
Hij was zo druk met het uitzoek<strong>en</strong>, pass<strong>en</strong> <strong>en</strong> ton<strong>en</strong><br />
<strong>van</strong> zijn kleding dat hij aan reger<strong>en</strong> niet meer toe<br />
kwam. Op e<strong>en</strong> dag kwam<strong>en</strong> er twee bedriegers<br />
naar het paleis die beweerd<strong>en</strong> dat ze <strong>de</strong> allermooiste<br />
stoff<strong>en</strong> kond<strong>en</strong> wev<strong>en</strong> voor <strong>de</strong> keizer. De stoff<strong>en</strong><br />
hadd<strong>en</strong> <strong>de</strong> won<strong>de</strong>rbaarlijke eig<strong>en</strong>schap dat ze<br />
onzichtbaar war<strong>en</strong> voor ie<strong>de</strong>re<strong>en</strong> die niet voor zijn<br />
werk <strong>de</strong>ug<strong>de</strong> of onvergeeflijk dom was. Dit sprak<br />
<strong>de</strong> keizer aan omdat hij zo e<strong>en</strong>voudig te wet<strong>en</strong> kon<br />
kom<strong>en</strong> wie onbekwaam of oliedom was.<br />
Hij moest <strong>de</strong> wevers fors betal<strong>en</strong>, maar het doel<br />
heiligt <strong>de</strong> mid<strong>de</strong>l<strong>en</strong>. De wevers ging<strong>en</strong> direct aan<br />
<strong>de</strong> slag op lege weefgetouw<strong>en</strong>. De keizer was erg<br />
b<strong>en</strong>ieuwd naar <strong>de</strong> voortgang, maar durf<strong>de</strong> zelf niet<br />
te gaan kijk<strong>en</strong> omdat hij bang was als onbekwaam<br />
te word<strong>en</strong> ontmaskerd. Daarom stuur<strong>de</strong> hij zijn<br />
eerste minister. Uiteraard zag <strong>de</strong>ze helemaal ge<strong>en</strong><br />
stoff<strong>en</strong>, maar <strong>de</strong> wevers beschrev<strong>en</strong> hem het materiaal<br />
<strong>en</strong> <strong>de</strong> patron<strong>en</strong>. Met <strong>de</strong>ze k<strong>en</strong>nis ging <strong>de</strong><br />
minister terug naar <strong>de</strong> keizer. Deze kon niet wacht<strong>en</strong><br />
om zijn nieuwe kler<strong>en</strong> aan <strong>de</strong> bevolking te lat<strong>en</strong><br />
zi<strong>en</strong>.<br />
De keizer organiseer<strong>de</strong> e<strong>en</strong> optocht door <strong>de</strong> stad<br />
om zijn nieuwe kler<strong>en</strong> te ton<strong>en</strong>. Tot zijn schrik kon<br />
hijzelf <strong>de</strong> kleding niet zi<strong>en</strong>, maar alle ministers<br />
bevestigd<strong>en</strong> dat het bijzon<strong>de</strong>r fraai was. Gesterkt<br />
door <strong>de</strong>ze woord<strong>en</strong> begon <strong>de</strong> keizer vol zelfvertrouw<strong>en</strong><br />
aan <strong>de</strong> wan<strong>de</strong>ltocht. De bevolking wist<br />
inmid<strong>de</strong>ls <strong>van</strong> <strong>de</strong> bijzon<strong>de</strong>re eig<strong>en</strong>schapp<strong>en</strong> <strong>van</strong> het<br />
weefsel <strong>en</strong> ie<strong>de</strong>re<strong>en</strong> beaam<strong>de</strong> dan ook <strong>de</strong> pracht<br />
<strong>van</strong> <strong>de</strong> kleding. Plotseling riep e<strong>en</strong> klein meisje:<br />
‘maar <strong>de</strong> keizer heeft helemaal ge<strong>en</strong> kler<strong>en</strong> aan!’<br />
De rest <strong>van</strong> het volk begon dit nu ook te roep<strong>en</strong>. De<br />
keizer voltooi<strong>de</strong> zijn wan<strong>de</strong>ltocht terug naar zijn<br />
paleis. De wevers war<strong>en</strong> inmid<strong>de</strong>ls met <strong>de</strong> noor<strong>de</strong>rzon<br />
vertrokk<strong>en</strong>.<br />
Tot zover dit sprookje. Durv<strong>en</strong> wij als auditors of<br />
risk managers toe te gev<strong>en</strong> dat <strong>de</strong> risico’s inmid<strong>de</strong>ls<br />
zo complex zijn geword<strong>en</strong> dat niemand ze<br />
meer kan begrijp<strong>en</strong>? En durv<strong>en</strong> we dit dan ook te<br />
zegg<strong>en</strong> teg<strong>en</strong> <strong>de</strong> raad <strong>van</strong> bestuur <strong>en</strong> <strong>de</strong> auditcommissie?<br />
En kunn<strong>en</strong> we dat ook e<strong>en</strong>s in begrijpelijke<br />
taal do<strong>en</strong>, zoals het meisje in het sprookje?<br />
Graag draag ik het stokje over aan Peter Hartog<br />
<strong>van</strong> ACS.<br />
AUDIT magazine<br />
nummer 5 <strong>de</strong>cember 2008<br />
31
Interview met commissaris Gilles Izeboud:<br />
Gilles Izeboud is commissaris bij tal <strong>van</strong> bedrijv<strong>en</strong>, waaron<strong>de</strong>r Corporate Express, ENDEX <strong>en</strong> Robeco<br />
Groep. Zijn naam is onlosmakelijk verbond<strong>en</strong> met <strong>de</strong> commissie-Izeboud (voorhe<strong>en</strong> commissie-Peters),<br />
die adviseer<strong>de</strong> over <strong>de</strong> beloningsnorm<strong>en</strong> voor corporatiedirecteur<strong>en</strong>. Bov<strong>en</strong>di<strong>en</strong> was Izeboud als lid <strong>van</strong><br />
<strong>de</strong> commissie-Tabaksblat me<strong>de</strong>-auteur <strong>van</strong> e<strong>en</strong> eig<strong>en</strong>tijdse co<strong>de</strong> voor goed on<strong>de</strong>rnemingsbestuur. E<strong>en</strong><br />
gesprek met <strong>de</strong>ze <strong>de</strong>skundige bij uitstek over <strong>de</strong> verschuiv<strong>en</strong><strong>de</strong> <strong>rol</strong> <strong>en</strong> positie <strong>van</strong> <strong>de</strong> internal auditor.<br />
Interview: drs. D.L. Stabel RA CIA <strong>en</strong> C. Klumper RA CIA<br />
Tekst: A. Gras<br />
K<strong>en</strong>merk<strong>en</strong>d <strong>van</strong> Gilles<br />
Izeboud als het gaat om <strong>de</strong><br />
b<strong>en</strong>a<strong>de</strong>ring <strong>van</strong> het thema, is<br />
dat hij er ge<strong>en</strong> doekjes om<br />
windt. Als in <strong>de</strong> aanloop naar<br />
het gesprek <strong>de</strong> complexe<br />
structuur ter sprake komt<br />
waarin <strong>de</strong> internal auditor zijn<br />
werk doet <strong>en</strong> <strong>de</strong> op<strong>en</strong>ingsvraag<br />
is of het <strong>de</strong> afgelop<strong>en</strong> perio<strong>de</strong> niet veel lastiger is geword<strong>en</strong><br />
voor <strong>de</strong> internal auditor, dan liegt zijn reactie er niet om.<br />
“Als mij die vraag gesteld wordt dan geef ik daar steevast e<strong>en</strong><br />
tweeledig antwoord op. T<strong>en</strong> eerste, door wat er nu allemaal<br />
speelt is het beroep in<strong>de</strong>rdaad rele<strong>van</strong>ter <strong>en</strong> interessanter geword<strong>en</strong>,<br />
maar niet lastiger. En t<strong>en</strong> twee<strong>de</strong>, als je dat wél vindt dan zit<br />
je in het verkeer<strong>de</strong> métier.”<br />
De vraag wordt daarom aangepast.<br />
Er <strong>van</strong>uit gaan<strong>de</strong> dat we te mak<strong>en</strong> hebb<strong>en</strong> met <strong>de</strong> juiste man, wat is<br />
dan zijn juiste plaats?<br />
Izeboud: “In <strong>de</strong> gevall<strong>en</strong> waar ik mee te mak<strong>en</strong> heb – dat zijn er<br />
twee – zit <strong>de</strong> internal auditor rechtstreeks on<strong>de</strong>r <strong>de</strong> CEO. De chief<br />
internal audit woont alle verga<strong>de</strong>ring<strong>en</strong> <strong>van</strong> <strong>de</strong> auditcommissie uit<br />
<strong>de</strong> raad <strong>van</strong> commissariss<strong>en</strong> bij, standaard <strong>en</strong> volledig, behalve<br />
AUDIT magazine<br />
visie op internal audit<br />
“Ik b<strong>en</strong> zeer beducht voor internal auditors die<br />
e<strong>en</strong> eig<strong>en</strong> imperium prober<strong>en</strong> op te bouw<strong>en</strong>”<br />
natuurlijk <strong>de</strong> private sessies met <strong>de</strong> external auditors of met <strong>de</strong><br />
CEO/CFO. En er zijn dus ook private sessies met <strong>de</strong> internal auditors<br />
waarbij vrag<strong>en</strong> gesteld kunn<strong>en</strong> word<strong>en</strong> <strong>en</strong> ding<strong>en</strong> gezegd.”<br />
Zijn het dan standaard geplan<strong>de</strong> private sessies met <strong>de</strong> internal<br />
auditors?<br />
“Private sessies vind<strong>en</strong> minimaal e<strong>en</strong> keer per jaar plaats, maar<br />
vaker als daar red<strong>en</strong><strong>en</strong> voor zijn. Met <strong>de</strong> external auditors doe ik<br />
het altijd zo – dat vind ik wel prettig – dat elke verga<strong>de</strong>ring <strong>van</strong> <strong>de</strong><br />
auditcommissie begint met e<strong>en</strong> private sessie. Als je daarin iets<br />
hoort, heb je die verga<strong>de</strong>ring <strong>van</strong> <strong>de</strong> auditcommissie als manier om<br />
er iets mee te do<strong>en</strong>. Private sessies zijn niet voor <strong>de</strong> lol. Er kunn<strong>en</strong><br />
zakelijke ding<strong>en</strong> aan <strong>de</strong> or<strong>de</strong> kom<strong>en</strong> waarop zakelijk actie moet<br />
word<strong>en</strong> on<strong>de</strong>rnom<strong>en</strong> <strong>en</strong> dan kun je dat maar beter direct do<strong>en</strong>.<br />
Drs. Gilles Izeboud RA CPA<br />
• Voormalig partner <strong>en</strong> lid <strong>van</strong> <strong>de</strong> raad <strong>van</strong> bestuur <strong>van</strong> Coopers &<br />
Lybrand.<br />
• Voormalig lid <strong>van</strong> <strong>de</strong> commissie-Tabaksblat.<br />
• Commissaris <strong>en</strong> voorzitter <strong>van</strong> <strong>de</strong> auditcommissie bij Corporate<br />
Express, ENDEX (Energy Derivates Exchange) <strong>en</strong> Robeco Groep.<br />
• Commissaris bij Robeco, Rolinco <strong>en</strong> Ror<strong>en</strong>to.<br />
nummer 5 <strong>de</strong>cember 2008<br />
33
visie op internal audit<br />
Illustratie: Roel Ottow<br />
Met internal auditors is het e<strong>en</strong>maal per jaar. De ding<strong>en</strong> die we<br />
moet<strong>en</strong> do<strong>en</strong> hebb<strong>en</strong> we in <strong>de</strong> ag<strong>en</strong>da staan om te bewak<strong>en</strong> dat ze<br />
ook gebeur<strong>en</strong>. Het komt echter wel voor dat er in <strong>de</strong> verga<strong>de</strong>ring<strong>en</strong><br />
<strong>van</strong> <strong>de</strong> auditcommissie zoveel on<strong>de</strong>rwerp<strong>en</strong> aan <strong>de</strong> or<strong>de</strong><br />
Als je me vraagt of ik d<strong>en</strong>k dat je in <strong>de</strong> sfeer <strong>van</strong> <strong>de</strong><br />
financiële di<strong>en</strong>stverl<strong>en</strong>ing zon<strong>de</strong>r internal audit kan,<br />
dan is mijn antwoord: vermoe<strong>de</strong>lijk niet<br />
kom<strong>en</strong> dat je sommige ag<strong>en</strong>dapunt<strong>en</strong> niet haalt. Dan kiez<strong>en</strong> we<br />
er wel e<strong>en</strong>s voor dat <strong>de</strong> voorzitter apart praat met <strong>de</strong>g<strong>en</strong>e die e<strong>en</strong><br />
on<strong>de</strong>rwerp heeft aangedrag<strong>en</strong>.” Glimlach<strong>en</strong>d: “Dat is dan e<strong>en</strong>-<br />
AUDIT magazine<br />
nummer 5 <strong>de</strong>cember 2008<br />
34<br />
op-e<strong>en</strong>, dus dat is dan wel e<strong>en</strong> zeer private<br />
sessie.”<br />
Krijgt u <strong>de</strong> neiging organisaties die<br />
ge<strong>en</strong> internal auditaf<strong>de</strong>ling hebb<strong>en</strong><br />
te stimuler<strong>en</strong> er e<strong>en</strong> op te zett<strong>en</strong>?<br />
“Daar kan ik moeilijk algem<strong>en</strong>e<br />
ding<strong>en</strong> over zegg<strong>en</strong>.<br />
Bedrijv<strong>en</strong> zijn op die<br />
manier on<strong>de</strong>rling niet vergelijkbaar.<br />
De <strong>en</strong>e organisatie<br />
opereert lokaal,<br />
<strong>de</strong> an<strong>de</strong>re wereldwijd.<br />
Het is dus niet zo<br />
dat zodra je e<strong>en</strong><br />
bepaal<strong>de</strong> gr<strong>en</strong>s<br />
overschrijdt <strong>van</strong><br />
complexiteit of<br />
om<strong>van</strong>g, je automatisch<br />
naar e<strong>en</strong><br />
Internal Audit moet.<br />
Ik heb on<strong>de</strong>rneming<strong>en</strong><br />
goed zi<strong>en</strong> functioner<strong>en</strong>,<br />
ook in cont<strong>rol</strong>,<br />
zon<strong>de</strong>r dat ze e<strong>en</strong><br />
Internal Audit hadd<strong>en</strong>.<br />
Maar als je me vraagt, d<strong>en</strong>k<br />
je dat je in <strong>de</strong> financiële di<strong>en</strong>stverl<strong>en</strong>ing<br />
zon<strong>de</strong>r Internal Audit kan,<br />
dan is mijn antwoord: vermoe<strong>de</strong>lijk niet.<br />
Want financiële di<strong>en</strong>stverl<strong>en</strong>ing is ontzett<strong>en</strong>d complex<br />
in <strong>de</strong> zin <strong>van</strong> het aantal vorm<strong>en</strong> <strong>van</strong> regelgeving <strong>en</strong> toezichthou<strong>de</strong>rs,<br />
nationaal <strong>en</strong> internationaal, <strong>de</strong> diverse mogelijkhed<strong>en</strong><br />
<strong>van</strong> mid<strong>de</strong>lpuntvlied<strong>en</strong><strong>de</strong> kracht<strong>en</strong> – dan moet je dus zeker<br />
e<strong>en</strong> gediffer<strong>en</strong>tieer<strong>de</strong> <strong>en</strong>titeit hebb<strong>en</strong>, of je die nu Internal Audit<br />
of financial cont<strong>rol</strong> noemt, of wat dan ook.<br />
Er is ook e<strong>en</strong> an<strong>de</strong>re kant. Ik b<strong>en</strong> zeer beducht voor internal<br />
auditors die te veel silo-gedacht<strong>en</strong> hebb<strong>en</strong> <strong>en</strong> die te veel <strong>van</strong> die<br />
imperiummakers zijn, zo <strong>van</strong>: Internal Audit moet dit <strong>en</strong> Internal<br />
Audit moet dat. Ik heb internal<br />
auditaf<strong>de</strong>ling<strong>en</strong> gezi<strong>en</strong> <strong>van</strong><br />
zeer grote on<strong>de</strong>rneming<strong>en</strong><br />
waar<strong>van</strong> ik het i<strong>de</strong>e had dat ze<br />
totaal verkeerd bezig war<strong>en</strong><br />
omdat ze te veel cyclische<br />
audits <strong>de</strong>d<strong>en</strong>. Elk jaar weer,<br />
langer of korter, volg<strong>en</strong>s e<strong>en</strong><br />
standaardmo<strong>de</strong>l, e<strong>en</strong> jaar later<br />
e<strong>en</strong> sam<strong>en</strong>vatting <strong>van</strong> die ding<strong>en</strong><br />
voor <strong>de</strong> raad <strong>van</strong> commissariss<strong>en</strong><br />
– ge<strong>en</strong> hond die het<br />
las! Als je in zo’n situatie zit, zou ik zegg<strong>en</strong>: schaf <strong>de</strong> hele boel<br />
maar af. Maak e<strong>en</strong> c<strong>en</strong>trum <strong>van</strong> financiële tal<strong>en</strong>t<strong>en</strong> dat dicht<br />
on<strong>de</strong>r <strong>de</strong> CEO zit. Laat die rondkijk<strong>en</strong> <strong>en</strong> ding<strong>en</strong> rapporter<strong>en</strong> aan
<strong>de</strong> CEO zodat <strong>de</strong> stijl wat veran<strong>de</strong>rt. Dat heeft dan meer rele<strong>van</strong>tie.”<br />
In wez<strong>en</strong> betreft het organiser<strong>en</strong> <strong>van</strong> <strong>de</strong> internal auditfunctie dus het<br />
vind<strong>en</strong> <strong>van</strong> <strong>de</strong> juiste balans?<br />
“E<strong>en</strong> <strong>van</strong> <strong>de</strong> mooiste voorbeeld<strong>en</strong> <strong>van</strong> hoe het zou moet<strong>en</strong> werk<strong>en</strong><br />
heb ik meer dan twintig jaar geled<strong>en</strong> gezi<strong>en</strong> bij Monsanto.<br />
Daar had je e<strong>en</strong> Internal Audit die voor e<strong>en</strong> kwart bestond uit<br />
beroeps internal auditors <strong>en</strong> voor driekwart uit an<strong>de</strong>re personeelsled<strong>en</strong>,<br />
tij<strong>de</strong>lijk in het ka<strong>de</strong>r <strong>van</strong> hun managem<strong>en</strong>t <strong>de</strong>velopm<strong>en</strong>ttraject.<br />
Daardoor bereikte je twee ding<strong>en</strong>, a. <strong>de</strong> Internal<br />
Audit verkoker<strong>de</strong> niet, hield zich niet met zelfbevrediging bezig,<br />
<strong>en</strong> b. <strong>de</strong> auditappreciatie bij <strong>de</strong> rest <strong>van</strong> het managem<strong>en</strong>t nam toe.<br />
Allebei elem<strong>en</strong>t<strong>en</strong> om het goed te do<strong>en</strong>. Of het nu Internal Audit<br />
heet of iets an<strong>de</strong>rs, of je certificat<strong>en</strong> hebt of dat je drie, vier titels<br />
achter je naam zet – <strong>van</strong> het imperium opbouw<strong>en</strong> word ik altijd<br />
e<strong>en</strong> beetje kriegel. Ess<strong>en</strong>tieel is dat je toegevoeg<strong>de</strong> waar<strong>de</strong> hebt<br />
in cont<strong>rol</strong>esituaties. I<strong>de</strong>aliter, afhankelijk <strong>van</strong> <strong>de</strong> situatie, d<strong>en</strong>k ik<br />
dat er e<strong>en</strong> bepaal<strong>de</strong> balans moet zijn tuss<strong>en</strong> cyclische <strong>en</strong> adhocaudits,<br />
in <strong>de</strong> zin <strong>van</strong> kortetermijnverzoek<strong>en</strong><br />
<strong>van</strong> het<br />
managem<strong>en</strong>t of an<strong>de</strong>rszins<br />
naar iets speciaals.”<br />
Wat vindt u <strong>van</strong> <strong>de</strong> verschuiving<br />
tuss<strong>en</strong> operational <strong>en</strong><br />
financial audit?<br />
“Als financial audit niet<br />
meer aanwezig is, dan is het<br />
niet goed. Er moet<strong>en</strong> financial<br />
audit skills binn<strong>en</strong> Internal Audit zijn omdat je <strong>de</strong> taal <strong>van</strong> <strong>de</strong><br />
financiële rapportage moet kunn<strong>en</strong> verstaan, an<strong>de</strong>rs loop je het<br />
risico om te veel in <strong>de</strong> silo te kom<strong>en</strong>. Door SOx zie je <strong>de</strong> weg<br />
terug. E<strong>en</strong> beweging <strong>van</strong> operational naar financial audit. En<br />
terecht! Het gaat ook om <strong>de</strong> balans tuss<strong>en</strong> operational <strong>en</strong> financial<br />
audit. Ik b<strong>en</strong> bang voor al die te veel gemoduleer<strong>de</strong>, te veel apart<br />
optred<strong>en</strong><strong>de</strong> clubs. Je hebt e<strong>en</strong> veel sterkere compliance-af<strong>de</strong>ling<br />
dan ti<strong>en</strong> jaar geled<strong>en</strong>. Je hebt e<strong>en</strong> aparte operation risk managem<strong>en</strong>tclub<br />
– ook in verband met Basel II – je hebt e<strong>en</strong> financiële<br />
administratie <strong>en</strong> <strong>de</strong> cont<strong>rol</strong>e die daar bij past <strong>en</strong> je hebt e<strong>en</strong> internal<br />
auditteam. Als die gezelschapp<strong>en</strong> niet op <strong>de</strong> e<strong>en</strong> of an<strong>de</strong>re<br />
manier sam<strong>en</strong>werk<strong>en</strong> of ding<strong>en</strong> afstemm<strong>en</strong> of soms ding<strong>en</strong><br />
sam<strong>en</strong> do<strong>en</strong>, dan krijg je e<strong>en</strong> gedrocht <strong>van</strong> e<strong>en</strong> organisatie. Maar<br />
alsjeblieft ge<strong>en</strong> aparte lijn<strong>en</strong> zoals in <strong>de</strong> medische wereld waar<br />
specialist<strong>en</strong> god zijn in hun eig<strong>en</strong> koninkrijk, want dan loop je<br />
grote risico’s als <strong>de</strong> patiënt meer<strong>de</strong>re problem<strong>en</strong> heeft, <strong>de</strong> e<strong>en</strong><br />
geeft je dit, <strong>de</strong> an<strong>de</strong>r iets dat daar averechts op werkt... Daar<br />
word je niet beter <strong>van</strong>.”<br />
Wat is <strong>de</strong> <strong>rol</strong> <strong>van</strong> <strong>de</strong> commissaris in het stur<strong>en</strong> <strong>van</strong> <strong>de</strong> internal auditfunctie?<br />
“Ik hoor altijd hetzelf<strong>de</strong> verhaal, dat <strong>de</strong> auditcommissie <strong>de</strong> baas<br />
<strong>van</strong> <strong>de</strong> internal auditors moet zijn omdat ze in <strong>de</strong> hele organisatie<br />
zitt<strong>en</strong>. Onzin! In <strong>de</strong> situaties waar ik mee te mak<strong>en</strong> heb zijn<br />
AUDIT magazine<br />
visie op internal audit<br />
auditcommissies <strong>en</strong> voorzitters daar<strong>van</strong> niet <strong>de</strong> baas <strong>van</strong> <strong>de</strong> internal<br />
auditors. Het feit dat <strong>de</strong> internal auditor bij <strong>de</strong> auditcommissie<br />
zit betek<strong>en</strong>t natuurlijk toch dat <strong>de</strong> auditcommissie meebepaalt<br />
hoe hij werkt <strong>en</strong> wat er met hem gebeurt. Kwartaalverslag<strong>en</strong> <strong>van</strong><br />
internal audits die toegepast zijn, resultat<strong>en</strong> daar<strong>van</strong>, het jaarplan,<br />
<strong>de</strong> risicogebied<strong>en</strong> waarnaar gekek<strong>en</strong> wordt, soms suggesties<br />
die opkom<strong>en</strong> naar aanleiding <strong>van</strong> ad hoc internal audits – het<br />
is allemaal in <strong>de</strong> auditcommissie aan <strong>de</strong> or<strong>de</strong>. Overig<strong>en</strong>s zit wat<br />
mij betreft <strong>de</strong> CEO ook altijd bij <strong>de</strong> auditcommissie, t<strong>en</strong>zij er<br />
conflicter<strong>en</strong><strong>de</strong> ding<strong>en</strong> zijn.”<br />
Hoe kan voorkom<strong>en</strong> word<strong>en</strong> dat ondui<strong>de</strong>lijkheid ontstaat over het<br />
opdrachtgeverschap <strong>van</strong> <strong>de</strong> internal auditfunctie?<br />
“Er is e<strong>en</strong>heid <strong>van</strong> leiding in <strong>de</strong> organisatie nodig <strong>en</strong> dat betek<strong>en</strong>t<br />
dat internal auditors ge<strong>en</strong> twee baz<strong>en</strong> moet<strong>en</strong> hebb<strong>en</strong>. Dus je<br />
moet ook als commissaris je plaats wet<strong>en</strong>. Maar <strong>de</strong> manier waarop<br />
je dan functioneert hoeft niet te betek<strong>en</strong><strong>en</strong> dat je als auditcommissie<br />
ge<strong>en</strong> invloed hebt. Ik vind dat je <strong>de</strong> zak<strong>en</strong> niet altijd<br />
te principieel of te orthodox moet b<strong>en</strong>a<strong>de</strong>r<strong>en</strong>. Als je bijvoorbeeld<br />
Het feit dat <strong>de</strong> internal auditor bij <strong>de</strong> auditcommissie<br />
zit betek<strong>en</strong>t natuurlijk toch dat <strong>de</strong> auditcommissie<br />
meebepaalt hoe hij werkt <strong>en</strong> wat er met hem gebeurt<br />
in <strong>de</strong> verga<strong>de</strong>ring <strong>van</strong> <strong>de</strong> auditcommissie constateert dat e<strong>en</strong> aantal<br />
ding<strong>en</strong> niet zo lekker gelop<strong>en</strong> is – in e<strong>en</strong> acquisitie bijvoorbeeld<br />
– dan moet daar iets aan gebeur<strong>en</strong>. E<strong>en</strong> <strong>van</strong> <strong>de</strong> pot<strong>en</strong>tiële<br />
instrum<strong>en</strong>t<strong>en</strong> die je hebt is <strong>de</strong> internal auditor erop af stur<strong>en</strong>.<br />
E<strong>en</strong> an<strong>de</strong>r voorbeeld. Je weet <strong>van</strong> e<strong>en</strong> meerjarig IT-project waar<strong>van</strong><br />
je in <strong>de</strong> loop <strong>de</strong>r jar<strong>en</strong> al hebt gezi<strong>en</strong> dat het meer kost <strong>en</strong><br />
pot<strong>en</strong>tieel min<strong>de</strong>r oplevert dan geraamd. Laat dan <strong>de</strong> internal<br />
auditor ernaar kijk<strong>en</strong>: hoe zit dat in elkaar? Welke vrag<strong>en</strong> er ook<br />
zijn t<strong>en</strong> aanzi<strong>en</strong> <strong>van</strong> e<strong>en</strong> bepaald project, ik vind het niet verkeerd<br />
om <strong>de</strong> internal auditor te vrag<strong>en</strong> om daar iemand bij te zett<strong>en</strong><br />
die via e<strong>en</strong> bepaal<strong>de</strong> monitoring scant: is dat in cont<strong>rol</strong>, wat<br />
is <strong>de</strong> governance <strong>van</strong> dat project, hoe is het ingebed, wat gebeurt<br />
er met <strong>de</strong> product<strong>en</strong> die er uitkom<strong>en</strong>, et cetera.”<br />
Kunn<strong>en</strong> internal auditors ook nog wat ler<strong>en</strong> <strong>van</strong> <strong>de</strong> manier <strong>van</strong> werk<strong>en</strong><br />
<strong>van</strong> <strong>de</strong> auditcommissie?<br />
“Zeker, e<strong>en</strong> goed elem<strong>en</strong>t <strong>van</strong> <strong>de</strong> praktijk <strong>van</strong> <strong>de</strong> auditcommissie is<br />
dat ‘we’ daar allemaal sam<strong>en</strong> om tafel zitt<strong>en</strong> <strong>en</strong> dat je gewoon<br />
praat over <strong>de</strong> problem<strong>en</strong> <strong>en</strong> wat daar aan te do<strong>en</strong> is. Dat maakt dat<br />
e<strong>en</strong> <strong>de</strong>el <strong>van</strong> die ou<strong>de</strong> gebied<strong>en</strong>strijd verdwijnt. Niemand aan tafel,<br />
ook <strong>de</strong> internal auditor niet, kan het zich nog permitter<strong>en</strong> om te<br />
weiger<strong>en</strong> om sam<strong>en</strong> te werk<strong>en</strong>. Ontsnapp<strong>en</strong> kan niet meer.”<br />
nummer 5 <strong>de</strong>cember 2008<br />
35
soft cont<strong>rol</strong>s<br />
Soft cont<strong>rol</strong>s relatief meetbaar<br />
Risicomanagem<strong>en</strong>t is niet meer uit <strong>de</strong> bedrijfsvoering weg te d<strong>en</strong>k<strong>en</strong>. Langzamerhand ontstaat er<br />
steeds meer cons<strong>en</strong>sus dat het succes <strong>van</strong> risicomanagem<strong>en</strong>t sterk afhangt <strong>van</strong> het gedrag <strong>van</strong> m<strong>en</strong>-<br />
s<strong>en</strong>. Soft cont<strong>rol</strong>s zijn <strong>de</strong> beheersmaatregel<strong>en</strong> die zich richt<strong>en</strong> op het gedrag <strong>van</strong> m<strong>en</strong>s<strong>en</strong>. De vraag<br />
voor <strong>de</strong> internal auditor is welke <strong>rol</strong> hij hierin kan vervull<strong>en</strong> <strong>en</strong> hoe gedrag getoetst kan word<strong>en</strong>.<br />
J. Bisseling EMIA RO <strong>en</strong> J. <strong>van</strong> Harskamp MSc<br />
In <strong>de</strong> literatuur is veel geschrev<strong>en</strong> over <strong>de</strong> beantwoording <strong>van</strong><br />
één vraag: gedraagt het personeel zich pass<strong>en</strong>d? Veel managers<br />
beantwoord<strong>en</strong> <strong>de</strong>ze vraag met ‘ja’. De vraag is echter of dit altijd<br />
terecht is. Uit diverse on<strong>de</strong>rzoek<strong>en</strong> blijkt namelijk dat <strong>de</strong> grootste<br />
problem<strong>en</strong> zich niet voordo<strong>en</strong> bij het <strong>de</strong>finiër<strong>en</strong> <strong>van</strong> e<strong>en</strong> strategie,<br />
<strong>de</strong> <strong>rol</strong> die het managem<strong>en</strong>t graag op zich neemt, maar bij het<br />
implem<strong>en</strong>ter<strong>en</strong> <strong>van</strong> strategie (managem<strong>en</strong>tcont<strong>rol</strong>vraagstuk). De<br />
schandal<strong>en</strong> uit het rec<strong>en</strong>te verled<strong>en</strong> ton<strong>en</strong> e<strong>en</strong>s te meer aan dat<br />
e<strong>en</strong> goe<strong>de</strong> implem<strong>en</strong>tatie <strong>van</strong> e<strong>en</strong> cont<strong>rol</strong>structuur moeilijk is. Ze<br />
ton<strong>en</strong> ook aan dat het probleem niet alle<strong>en</strong> <strong>de</strong> inrichting <strong>van</strong> <strong>de</strong><br />
beheersmaatregel<strong>en</strong> betreft, maar juist dat er niet a<strong>de</strong>quaat wordt<br />
gereageerd op <strong>de</strong> signal<strong>en</strong> <strong>van</strong>uit <strong>de</strong> organisatie. M<strong>en</strong>s<strong>en</strong> gedrag<strong>en</strong><br />
zich dus niet altijd volg<strong>en</strong>s het boekje.<br />
Risicomanagem<strong>en</strong>t kan goed <strong>van</strong> pas kom<strong>en</strong> bij <strong>de</strong> <strong>de</strong>finiëring <strong>en</strong><br />
implem<strong>en</strong>tatie <strong>van</strong> strategie. Het succesvol implem<strong>en</strong>ter<strong>en</strong> <strong>van</strong><br />
risicomanagem<strong>en</strong>t komt feitelijk neer op twee ding<strong>en</strong> heel goed<br />
do<strong>en</strong>:<br />
1. zorg<strong>en</strong> voor het juiste proces;<br />
2. zorg<strong>en</strong> voor <strong>de</strong> juiste inhoud.<br />
Het juiste proces<br />
Voor het proces di<strong>en</strong>t er e<strong>en</strong> afstemming te zijn over <strong>de</strong> beoog<strong>de</strong><br />
strategie <strong>en</strong> het uitvoer<strong>en</strong> <strong>van</strong> <strong>de</strong>ze strategie in <strong>de</strong> tactische <strong>en</strong><br />
operationele process<strong>en</strong>. De internal auditor kan <strong>van</strong>uit zijn toets<strong>en</strong><strong>de</strong><br />
verantwoor<strong>de</strong>lijkheid, zoals <strong>de</strong> managem<strong>en</strong>tcyclus<br />
beschrijft, <strong>de</strong> <strong>rol</strong> <strong>van</strong> procesbegelei<strong>de</strong>r oppakk<strong>en</strong> <strong>en</strong> het risicomanagem<strong>en</strong>tproces<br />
faciliter<strong>en</strong>. E<strong>en</strong> belangrijk on<strong>de</strong>r<strong>de</strong>el daar<strong>van</strong><br />
vormt <strong>de</strong> assessm<strong>en</strong>t over <strong>de</strong> afstemming tuss<strong>en</strong> strategie <strong>en</strong> uitvoering<br />
(zie figuur 1). Lachotzki <strong>en</strong> Noteboom (2005) beschrij-<br />
AUDIT magazine<br />
nummer 5 <strong>de</strong>cember 2008<br />
36<br />
v<strong>en</strong> dit hel<strong>de</strong>r in Managing Beyond Cont<strong>rol</strong>. Bij <strong>de</strong>ze afstemming<br />
di<strong>en</strong><strong>en</strong> drie partij<strong>en</strong> aanwezig te zijn:<br />
1. managem<strong>en</strong>t;<br />
2. uitvoer<strong>en</strong>d<strong>en</strong>;<br />
3. Internal Audit.<br />
De taak <strong>van</strong> <strong>de</strong> internal auditor is het begeleid<strong>en</strong> <strong>van</strong> <strong>de</strong> afstemming<br />
(die overig<strong>en</strong>s kan plaatsvind<strong>en</strong> in verschill<strong>en</strong><strong>de</strong> lag<strong>en</strong> <strong>van</strong><br />
<strong>de</strong> organisatie) tuss<strong>en</strong> ‘wat’ er moet gebeur<strong>en</strong>, ‘hoe’ het moet<br />
gebeur<strong>en</strong>, ‘wie’ het gaat uitvoer<strong>en</strong>, ‘wanneer’ <strong>de</strong> activiteit<strong>en</strong><br />
plaatsvind<strong>en</strong> <strong>en</strong> ‘hoe’ er verantwoording afgelegd wordt over<br />
<strong>de</strong>ze activiteit<strong>en</strong>. Het faciliter<strong>en</strong> <strong>van</strong> <strong>de</strong>ze afstemming heeft als<br />
voor<strong>de</strong>el dat er veel transparanter gewerkt wordt. Wel is het aan<br />
te bevel<strong>en</strong> dat <strong>de</strong> internal auditor in <strong>de</strong> <strong>rol</strong> <strong>van</strong> procesbegelei<strong>de</strong>r<br />
blijft <strong>en</strong> niet op <strong>de</strong> spreekwoor<strong>de</strong>lijke stoel <strong>van</strong> het managem<strong>en</strong>t<br />
gaat zitt<strong>en</strong>. Hierdoor blijft <strong>de</strong> onafhankelijke positie <strong>van</strong> <strong>de</strong> inter-<br />
Figuur 1. Afstemming tuss<strong>en</strong> strategie <strong>en</strong> uitvoering
nal auditor gewaarborgd. Afstemming tuss<strong>en</strong> <strong>de</strong>ze drie partij<strong>en</strong><br />
heeft <strong>de</strong> volg<strong>en</strong><strong>de</strong> voor<strong>de</strong>l<strong>en</strong>:<br />
• <strong>de</strong> doelstelling<strong>en</strong> zijn dui<strong>de</strong>lijk voor alle betrokk<strong>en</strong> partij<strong>en</strong>;<br />
• <strong>de</strong> knelpunt<strong>en</strong> bij het uitvoer<strong>en</strong> <strong>van</strong> <strong>de</strong> beoog<strong>de</strong> strategie word<strong>en</strong><br />
transparant <strong>en</strong> bespreekbaar;<br />
• ie<strong>de</strong>re<strong>en</strong> weet waarvoor hij accountable is.<br />
Door <strong>de</strong> beoog<strong>de</strong> strategie <strong>en</strong> <strong>de</strong> implem<strong>en</strong>tatie er<strong>van</strong> op<strong>en</strong> te<br />
besprek<strong>en</strong>, word<strong>en</strong> <strong>de</strong> grootste risico’s zichtbaar. Niet alle<strong>en</strong><br />
neemt het bewustzijn over <strong>de</strong> organisatorische doelstelling<strong>en</strong> toe,<br />
maar ook het bewustzijn over <strong>de</strong> risico’s. Het is <strong>van</strong> belang dat<br />
<strong>de</strong> onzekerhed<strong>en</strong> die bestaan word<strong>en</strong> besprok<strong>en</strong>. Transparantie<br />
over elkaars onzekerhed<strong>en</strong> vergroot het oploss<strong>en</strong>d vermog<strong>en</strong> <strong>van</strong><br />
<strong>de</strong> organisatie. Het managem<strong>en</strong>t kan on<strong>de</strong>rsteuning bied<strong>en</strong> bij<br />
onzekerhed<strong>en</strong> die bestaan bij <strong>de</strong> uitvoering. Uitvoer<strong>en</strong>d<strong>en</strong> biedt<br />
het <strong>de</strong> geleg<strong>en</strong>heid om goe<strong>de</strong> suggesties te do<strong>en</strong> betreff<strong>en</strong><strong>de</strong> <strong>de</strong><br />
onzekerhed<strong>en</strong> die bestaan bij het managem<strong>en</strong>t. Dit sam<strong>en</strong> creëert<br />
meer draagvlak voor het behal<strong>en</strong> <strong>van</strong> <strong>de</strong> organisatorische doelstelling<strong>en</strong>.<br />
Het gecreëer<strong>de</strong> draagvak voorkomt<br />
dat er doelstelling<strong>en</strong> opgelegd word<strong>en</strong> die te<br />
veel of te weinig ambitieus zijn, waardoor niet<br />
het pass<strong>en</strong><strong>de</strong> gedrag op kan tred<strong>en</strong>.<br />
De internal auditor speelt e<strong>en</strong> zeer belangrijke<br />
<strong>rol</strong> in <strong>de</strong>ze afstemming. De internal auditor<br />
overziet het risicospectrum <strong>van</strong> <strong>de</strong> organisatie<br />
<strong>en</strong> kan help<strong>en</strong> vaststell<strong>en</strong> wat <strong>de</strong> belangrijkste<br />
risico’s zijn. Tev<strong>en</strong>s is <strong>de</strong> context voor <strong>de</strong> auditor transparanter<br />
<strong>en</strong> is hij beter in staat om <strong>de</strong> afweging<strong>en</strong> die gemaakt zijn om tot<br />
<strong>de</strong> juiste uitvoering <strong>van</strong> <strong>de</strong> strategie te kom<strong>en</strong>, te integrer<strong>en</strong> in<br />
het auditjaarplan. De auditor kan nu vooraf besprek<strong>en</strong> welke process<strong>en</strong><br />
getoetst gaan word<strong>en</strong> <strong>en</strong> hoe <strong>de</strong>ze process<strong>en</strong> getoetst gaan<br />
word<strong>en</strong>. Dit draagt bij aan meer draagvlak voor <strong>de</strong> uitkomst<strong>en</strong><br />
<strong>van</strong> e<strong>en</strong> audit. Hierdoor word<strong>en</strong> onnodige <strong>en</strong> tijdrov<strong>en</strong><strong>de</strong> discussies<br />
na het uitvoer<strong>en</strong> <strong>van</strong> e<strong>en</strong> audit vermed<strong>en</strong> <strong>en</strong> zal <strong>de</strong> internal<br />
auditor meer toegevoeg<strong>de</strong> waar<strong>de</strong> kunn<strong>en</strong> bied<strong>en</strong> aan <strong>de</strong> organisatie.<br />
Kortom, <strong>de</strong> transparantie <strong>en</strong> <strong>de</strong> accountability word<strong>en</strong> vergroot<br />
binn<strong>en</strong> <strong>de</strong> organisatie.<br />
Door het goed faciliter<strong>en</strong> <strong>van</strong> <strong>de</strong> afstemming word<strong>en</strong> method<strong>en</strong><br />
zoals self assessm<strong>en</strong>ts <strong>en</strong> embed<strong>de</strong>d testing bruikbaar, waar ze<br />
zon<strong>de</strong>r <strong>de</strong>ze afstemming e<strong>en</strong> te groot risico voor <strong>de</strong> organisatie<br />
vorm<strong>en</strong>. Door e<strong>en</strong> goed risicomanagem<strong>en</strong>tproces kan <strong>de</strong> strategie<br />
Uitvoering<br />
strategie<br />
Figuur 2. E<strong>en</strong> optimale afstemming tuss<strong>en</strong> strategie <strong>en</strong> uitvoering is <strong>van</strong> groot belang<br />
AUDIT magazine<br />
soft cont<strong>rol</strong>s<br />
optimaal afgestemd word<strong>en</strong> met <strong>de</strong> operationele uitvoering <strong>en</strong><br />
wordt opportunisme (in casu het niet nakom<strong>en</strong> <strong>van</strong> gemaakte<br />
afsprak<strong>en</strong>) geminimaliseerd (zie figuur 2).<br />
De juiste inhoud<br />
Hiervoor is toegelicht dat e<strong>en</strong> juiste inrichting <strong>van</strong> het risicomanagem<strong>en</strong>tproces<br />
kan help<strong>en</strong> bij het positief beïnvloed<strong>en</strong> <strong>van</strong> het<br />
gedrag <strong>van</strong> <strong>de</strong> me<strong>de</strong>werkers. Echter, net zo belangrijk is het<br />
inhoud gev<strong>en</strong> aan risicomanagem<strong>en</strong>t. Inhoud gev<strong>en</strong> kan met soft<br />
cont<strong>rol</strong>s. Soft cont<strong>rol</strong>s kunn<strong>en</strong> word<strong>en</strong> omschrev<strong>en</strong> als beheersmaatregel<strong>en</strong><br />
die invloed hebb<strong>en</strong> op het gedrag <strong>van</strong> m<strong>en</strong>s<strong>en</strong>. Er is<br />
veel geschrev<strong>en</strong> over hoe managers het gedrag <strong>van</strong> <strong>de</strong> me<strong>de</strong>werkers<br />
kunn<strong>en</strong> beïnvloed<strong>en</strong>. Hierbij kan gedacht word<strong>en</strong> aan <strong>de</strong><br />
Four levers of cont<strong>rol</strong> <strong>van</strong> Simons (1995) of aan <strong>de</strong> Result cont<strong>rol</strong>s<br />
<strong>en</strong> Action cont<strong>rol</strong>s <strong>van</strong> Merchant & Van <strong>de</strong>r Ste<strong>de</strong> (2003).<br />
Echter, voor <strong>de</strong> internal auditor zijn <strong>de</strong>ze theorieën lastiger<br />
bruikbaar. Gedrag is namelijk moeilijk kwantificeerbaar. Het is<br />
wel te met<strong>en</strong>, maar het is lastig om daar conclusies uit te trekk<strong>en</strong>,<br />
M<strong>en</strong>s<strong>en</strong> gedrag<strong>en</strong> zich niet altijd volg<strong>en</strong>s<br />
het boekje<br />
want wat wordt er precies gemet<strong>en</strong>? Meestal blijft m<strong>en</strong> stek<strong>en</strong> op<br />
het b<strong>en</strong>oem<strong>en</strong> <strong>van</strong> bepaal<strong>de</strong> k<strong>en</strong>merk<strong>en</strong> <strong>van</strong> bijvoorbeeld <strong>de</strong> cultuur<br />
<strong>van</strong> <strong>de</strong> organisatie. De vraag of <strong>de</strong> cultuur bijdraagt aan het<br />
optimaal uitvoer<strong>en</strong> <strong>van</strong> tak<strong>en</strong> blijft vaak onbeantwoord.<br />
Te constater<strong>en</strong> valt wel dat er vaak e<strong>en</strong> ‘gap’ is tuss<strong>en</strong> <strong>de</strong> beleving<br />
<strong>van</strong> het managem<strong>en</strong>t <strong>en</strong> <strong>de</strong> beleving <strong>van</strong> <strong>de</strong> me<strong>de</strong>werkers.<br />
Door mid<strong>de</strong>l <strong>van</strong> het hiervoor beschrev<strong>en</strong> proces kan <strong>de</strong>ze gap<br />
vermin<strong>de</strong>rd word<strong>en</strong>. De gap wordt niet alle<strong>en</strong> veroorzaakt door<br />
gebrek aan k<strong>en</strong>nis over wat <strong>de</strong> organisatorische doelstelling<strong>en</strong><br />
zijn, maar met name ook door het gebrek aan informatie over <strong>de</strong><br />
huidige conditie <strong>van</strong> <strong>de</strong> organisatie. Is <strong>de</strong> organisatie klaar om <strong>de</strong><br />
beoog<strong>de</strong> strategie uit te voer<strong>en</strong>? Op het gebied <strong>van</strong> gedrag is dit<br />
e<strong>en</strong> moeilijke vraag om te beantwoord<strong>en</strong>. Toch will<strong>en</strong> we maar al<br />
te graag wet<strong>en</strong> of het gedrag <strong>van</strong> managers <strong>en</strong> me<strong>de</strong>werkers pass<strong>en</strong>d<br />
is, aangezi<strong>en</strong> dit ess<strong>en</strong>tieel is voor het kunn<strong>en</strong> behal<strong>en</strong> <strong>van</strong><br />
<strong>de</strong> doelstelling<strong>en</strong>. Het is dus gew<strong>en</strong>st dat er inzicht verkreg<strong>en</strong><br />
wordt in hoe effectief <strong>en</strong> efficiënt <strong>de</strong> op het gedrag gerichte<br />
beheersmaatregel<strong>en</strong> (= soft cont<strong>rol</strong>s) zijn.<br />
Met<strong>en</strong> <strong>van</strong> <strong>de</strong> impact<br />
Het absoluut met<strong>en</strong> <strong>van</strong> <strong>de</strong> impact <strong>van</strong> <strong>de</strong> soft cont<strong>rol</strong>s is complex.<br />
Door relatief te met<strong>en</strong>, kunn<strong>en</strong> <strong>de</strong> uitkomst<strong>en</strong> veel beter<br />
word<strong>en</strong> geïnterpreteerd. Aan <strong>de</strong> hand <strong>van</strong> e<strong>en</strong> voorbeeld met e<strong>en</strong><br />
stelling kan dit word<strong>en</strong> toegelicht.<br />
De stelling is ‘mijn manager stimuleert op<strong>en</strong> <strong>en</strong> eerlijke communicatie’.<br />
Aan <strong>de</strong>ze stelling moet e<strong>en</strong> me<strong>de</strong>werker e<strong>en</strong> waar<strong>de</strong>ring<br />
gev<strong>en</strong> op e<strong>en</strong> schaal <strong>van</strong> bijvoorbeeld e<strong>en</strong> tot ti<strong>en</strong>. Stel dat er e<strong>en</strong><br />
nummer 5 <strong>de</strong>cember 2008<br />
37
soft cont<strong>rol</strong>s<br />
waar<strong>de</strong>ring (getal) <strong>van</strong> zes (6) wordt gegev<strong>en</strong> door <strong>de</strong> me<strong>de</strong>werker.<br />
Welke conclusie kan er dan getrokk<strong>en</strong> word<strong>en</strong>?<br />
Het interpreter<strong>en</strong> <strong>van</strong> <strong>de</strong>ze waar<strong>de</strong>ring kan vele verschill<strong>en</strong><strong>de</strong> uit-<br />
Door <strong>de</strong> soft cont<strong>rol</strong>s relatief te met<strong>en</strong>, kunn<strong>en</strong><br />
<strong>de</strong> uitkomst<strong>en</strong> veel beter word<strong>en</strong> geïnterpreteerd<br />
komst<strong>en</strong> gev<strong>en</strong>. Met het relatief met<strong>en</strong> krijg<strong>en</strong> we veel meer<br />
informatie. Met het relatief met<strong>en</strong> will<strong>en</strong> we <strong>de</strong> <strong>de</strong>lta (∆) bepal<strong>en</strong><br />
<strong>van</strong> <strong>de</strong> gew<strong>en</strong>ste score <strong>en</strong> <strong>de</strong> geconstateer<strong>de</strong> score. Stel dat <strong>de</strong><br />
gew<strong>en</strong>ste waar<strong>de</strong>ring acht (8) is <strong>en</strong> <strong>de</strong> geconstateer<strong>de</strong> waar<strong>de</strong>ring<br />
zes (6). Nu wordt direct zichtbaar dat er e<strong>en</strong> gap is <strong>van</strong> twee (2)<br />
(zie figuur 3). De conclusie is dan dat <strong>de</strong> me<strong>de</strong>werker vindt dat<br />
wat hij constateert niet overe<strong>en</strong>komt met wat hij nodig acht.<br />
Gerelateerd aan <strong>de</strong> organisatorische doelstelling<strong>en</strong> geeft <strong>de</strong>ze<br />
relatieve meting twee ding<strong>en</strong> weer:<br />
1. hoe goed <strong>de</strong> huidige organisatie in staat is om <strong>de</strong> doelstelling<strong>en</strong><br />
te behal<strong>en</strong>;<br />
2. het ambiti<strong>en</strong>iveau <strong>van</strong> <strong>de</strong> betreff<strong>en</strong><strong>de</strong> me<strong>de</strong>werker(s).<br />
10 Wordt er e<strong>en</strong> gap geconstateerd, dan<br />
di<strong>en</strong>t er e<strong>en</strong> oplossing gezocht te<br />
word<strong>en</strong> om <strong>de</strong>ze te vermin<strong>de</strong>r<strong>en</strong> of<br />
helemaal te lat<strong>en</strong> verdwijn<strong>en</strong>. De<br />
oplossingsrichting kan organisatorisch<br />
<strong>van</strong> aard zijn, maar kan ook in<br />
het herijk<strong>en</strong> <strong>van</strong> het ambiti<strong>en</strong>iveau<br />
gezocht word<strong>en</strong>. In het voorbeeld<br />
zou <strong>de</strong> manager <strong>van</strong> <strong>de</strong> me<strong>de</strong>werker<br />
getraind kunn<strong>en</strong> word<strong>en</strong> in <strong>de</strong> wijze<br />
waarop e<strong>en</strong> op<strong>en</strong> <strong>en</strong> eerlijke communicatie<br />
gestimuleerd kan word<strong>en</strong>.<br />
Figuur 3. Relatief met<strong>en</strong> E<strong>en</strong> an<strong>de</strong>re oplossing zou kunn<strong>en</strong><br />
zijn het ambiti<strong>en</strong>iveau <strong>van</strong> <strong>de</strong> me<strong>de</strong>werker<br />
te verlag<strong>en</strong>, soms is e<strong>en</strong> zes goed g<strong>en</strong>oeg.<br />
Gew<strong>en</strong>st<br />
Geconstateerd GAP<br />
Effectiviteit <strong>van</strong> soft cont<strong>rol</strong>s<br />
E<strong>en</strong> organisatie is nu heel goed in staat om bijvoorbeeld door het<br />
afnem<strong>en</strong> <strong>van</strong> (anonieme) <strong>en</strong>quêtes inzicht te krijg<strong>en</strong> in <strong>de</strong> effectiviteit<br />
<strong>van</strong> <strong>de</strong> soft cont<strong>rol</strong>s. Het relatief met<strong>en</strong> kan het inzicht in<br />
<strong>de</strong> volg<strong>en</strong><strong>de</strong> gebied<strong>en</strong> verhog<strong>en</strong>:<br />
• integriteit <strong>van</strong> <strong>de</strong> managers <strong>en</strong> me<strong>de</strong>werkers;<br />
• stur<strong>en</strong>d vermog<strong>en</strong> <strong>van</strong> <strong>de</strong> organisatie;<br />
• sam<strong>en</strong>werking binn<strong>en</strong> <strong>de</strong> organisatie;<br />
• interne communicatie;<br />
• cultuur <strong>van</strong> <strong>de</strong> organisatie;<br />
• waard<strong>en</strong> <strong>en</strong> norm<strong>en</strong>.<br />
AUDIT magazine<br />
nummer 5 <strong>de</strong>cember 2008<br />
38<br />
Het relatief met<strong>en</strong> <strong>van</strong> <strong>de</strong> soft cont<strong>rol</strong>s geeft inhoud aan het hiervoor<br />
beschrev<strong>en</strong> proces <strong>van</strong> risicomanagem<strong>en</strong>t. Het risicomanagem<strong>en</strong>tproces<br />
kan door mid<strong>de</strong>l <strong>van</strong> self assessm<strong>en</strong>ts <strong>en</strong><br />
embed<strong>de</strong>d testing vormgegev<strong>en</strong> word<strong>en</strong>. Door<br />
het incorporer<strong>en</strong> (integrer<strong>en</strong>) <strong>van</strong> soft cont<strong>rol</strong>s<br />
in het risicomanagem<strong>en</strong>tproces word<strong>en</strong> <strong>de</strong> gaps<br />
zichtbaar. De internal auditor di<strong>en</strong>t wel zorg te<br />
drag<strong>en</strong> voor afstemming over <strong>de</strong> gaps. Dit<br />
vormt het vertrekpunt voor het proces <strong>van</strong> continue<br />
verbetering. Tev<strong>en</strong>s is dit e<strong>en</strong> efficiënte<br />
manier om het gedrag <strong>van</strong> managers te monitor<strong>en</strong>.<br />
Als e<strong>en</strong> manager ge<strong>en</strong> pass<strong>en</strong>d gedrag vertoont,<br />
komt dat tot uiting in <strong>de</strong> beoor<strong>de</strong>ling door <strong>de</strong> me<strong>de</strong>werkers.<br />
Waarschijnlijk is dit niet <strong>de</strong> oplossing teg<strong>en</strong> alle schandal<strong>en</strong>,<br />
maar is e<strong>en</strong> organisatie wel beter in cont<strong>rol</strong>.<br />
Literatuur<br />
• Charan, R. <strong>en</strong> G. Colvin ‘Why CEOs Fail’, Fortune, 21 juni, 1999.<br />
• Cobbold, I. <strong>en</strong> G. Lawrie, Why do only one third of UK companies achieve<br />
strategic success?, 2GC Ltd., mei 2001.<br />
• Lachotzki, F. <strong>en</strong> R. Noteboom, Managing Beyond Cont<strong>rol</strong>: De weg naar strategie-implem<strong>en</strong>tatie,<br />
Scriptum.<br />
• Simones, R., Four levers of cont<strong>rol</strong>: How managers use innovative cont<strong>rol</strong> systems<br />
to drive strategic r<strong>en</strong>ewal, 1995.<br />
• Merchant, K.A. <strong>en</strong> W.A. <strong>van</strong> <strong>de</strong>r Ste<strong>de</strong>, Managem<strong>en</strong>t cont<strong>rol</strong> system:<br />
Performance measurem<strong>en</strong>t, evaluation and inc<strong>en</strong>tives, Pierson Education<br />
Limited, 2003<br />
Jero<strong>en</strong> Bisseling is s<strong>en</strong>ior consultant bij <strong>de</strong> vakgroep Audit & Risk <strong>van</strong><br />
ConQuaestor Consulting. Hij houdt zich specifiek bezig met internal<br />
<strong>auditing</strong> <strong>en</strong> risk managem<strong>en</strong>t in diverse branches.<br />
Joost <strong>van</strong> Harskamp is consultant bij <strong>de</strong> vakgroep Audit & Risk <strong>van</strong><br />
ConQuaestor Consulting. Hij houdt zich bezig met risicomanagem<strong>en</strong>t<strong>en</strong><br />
IT-cont<strong>rol</strong>vraagstukk<strong>en</strong>.
C. Klumper RA CIA<br />
column e<strong>en</strong> case voor Cees<br />
Meer continuïteit door e<strong>en</strong><br />
dynamische auditplanning!<br />
<strong>Continuous</strong> <strong>auditing</strong> is mom<strong>en</strong>teel e<strong>en</strong> buzzword.<br />
Het wordt meestal in e<strong>en</strong> a<strong>de</strong>m g<strong>en</strong>oemd met continuous<br />
monitoring. Het IIA heeft er e<strong>en</strong> Global<br />
Technology Gui<strong>de</strong> aan gewijd (GTAG 3), gepubliceerd<br />
in 2005, die continuous <strong>auditing</strong> <strong>de</strong>finieert als<br />
e<strong>en</strong> metho<strong>de</strong> om beheersmaatregel<strong>en</strong> <strong>en</strong> risico’s op<br />
doorlop<strong>en</strong><strong>de</strong> in plaats <strong>van</strong> op intervalbasis te audit<strong>en</strong>.<br />
Daarbij kan <strong>de</strong> auditor gebruikmak<strong>en</strong> <strong>van</strong><br />
<strong>de</strong>zelf<strong>de</strong> techniek<strong>en</strong> <strong>en</strong> method<strong>en</strong> die het managem<strong>en</strong>t<br />
voor continuous monitoring kan toepass<strong>en</strong>.<br />
<strong>Continuous</strong> monitoring wordt dan ge<strong>de</strong>finieerd als<br />
e<strong>en</strong> proces dat er – we<strong>de</strong>rom doorlop<strong>en</strong>d – voor<br />
zorgt dat beheersmaatregel<strong>en</strong> effectief zijn.<br />
On<strong>de</strong>rsteun<strong>en</strong><strong>de</strong> data-analysetools zijn, in <strong>de</strong> visie<br />
<strong>van</strong> <strong>de</strong>ze GTAG, hiervoor <strong>van</strong> ess<strong>en</strong>tieel belang.<br />
Voorzover ik heb kunn<strong>en</strong> vaststell<strong>en</strong> is er sinds het<br />
verschijn<strong>en</strong> <strong>van</strong> <strong>de</strong> GTAG in <strong>de</strong> literatuur niet veel<br />
aan <strong>de</strong>ze concept<strong>en</strong> gesleuteld: gebruik <strong>van</strong> geautomatiseer<strong>de</strong><br />
data-analysetools zou het managem<strong>en</strong>t<br />
<strong>en</strong> <strong>de</strong> internal auditor in staat moet<strong>en</strong> stell<strong>en</strong> om<br />
beter <strong>en</strong> actueler zicht te houd<strong>en</strong> op risico’s <strong>en</strong> <strong>de</strong><br />
effectiviteit <strong>van</strong> <strong>de</strong> interne beheersing er<strong>van</strong>.<br />
Dat klinkt goed, maar ik zie om me he<strong>en</strong> dat <strong>de</strong><br />
praktische toepassing <strong>van</strong> <strong>de</strong>ze concept<strong>en</strong> tot nu toe<br />
relatief beperkt is geblev<strong>en</strong>. Daar zijn goe<strong>de</strong> red<strong>en</strong><strong>en</strong><br />
voor. T<strong>en</strong> eerste is het zo dat veel – zo niet <strong>de</strong> meer<strong>de</strong>rheid<br />
– <strong>van</strong> <strong>de</strong> belangrijkste risico’s zich buit<strong>en</strong> <strong>de</strong><br />
wat ik noem ‘bulkprocess<strong>en</strong>’ <strong>en</strong> bijbehor<strong>en</strong><strong>de</strong> datastrom<strong>en</strong><br />
voordo<strong>en</strong>, namelijk in <strong>de</strong> handmatige cont<strong>rol</strong>s.<br />
En die lat<strong>en</strong> zich niet of nauwelijks in e<strong>en</strong><br />
geautomatiseer<strong>de</strong> data-analysetool <strong>van</strong>g<strong>en</strong>. T<strong>en</strong><br />
twee<strong>de</strong> vind ik dat als e<strong>en</strong> nuttige geautomatiseer<strong>de</strong><br />
check kan word<strong>en</strong> bedacht om mogelijke risico’s <strong>en</strong><br />
fout<strong>en</strong> te voorkom<strong>en</strong> of op te spor<strong>en</strong>, die check maar<br />
beter direct structureel door het managem<strong>en</strong>t in <strong>de</strong><br />
process<strong>en</strong> ingebouwd kan word<strong>en</strong> in plaats <strong>van</strong> als<br />
(internal) audit tool te word<strong>en</strong> gebruikt.<br />
COSO heeft rec<strong>en</strong>t ook iets over continuous monitoring<br />
gezegd <strong>en</strong> wel in hun uitgebrei<strong>de</strong> Monitoring<br />
Guidance (juni 2008). Van <strong>de</strong> ongeveer 190 pagina’s<br />
die <strong>de</strong>ze guidance beslaat gaan er slechts twee over<br />
het begrip continuous monitoring. Ook daarin wordt<br />
geconclu<strong>de</strong>erd dat veel <strong>van</strong> <strong>de</strong> techniek<strong>en</strong> <strong>en</strong> tools<br />
die regelmatig on<strong>de</strong>r <strong>de</strong> vlagg<strong>en</strong> <strong>van</strong> continuous<br />
monitoring <strong>en</strong> <strong>auditing</strong> word<strong>en</strong> g<strong>en</strong>oemd, structureel<br />
word<strong>en</strong> ingebouwd als on<strong>de</strong>r<strong>de</strong>el <strong>van</strong> <strong>de</strong> reguliere<br />
beheersmaatregel<strong>en</strong>. Kortom, geautomatiseer<strong>de</strong><br />
data-analysetools zijn zeker nuttig <strong>en</strong> dan met name<br />
als on<strong>de</strong>r<strong>de</strong>el <strong>van</strong> <strong>de</strong> set <strong>van</strong> beheersmaatregel<strong>en</strong> die<br />
in <strong>de</strong> process<strong>en</strong> aanwezig di<strong>en</strong><strong>en</strong> te zijn, maar niet<br />
zozeer als vaan<strong>de</strong>ldragers <strong>van</strong> e<strong>en</strong> ‘nieuw’ begrip als<br />
continuous monitoring. Laat ‘continuous’ dan ook<br />
maar weg, <strong>en</strong> pas <strong>de</strong> nieuwe COSO Monitoring<br />
Guidance in <strong>de</strong> breedte, toe is mijn dring<strong>en</strong><strong>de</strong> advies.<br />
En continuous <strong>auditing</strong> dan? Wel, mijn i<strong>de</strong>e is altijd<br />
geweest dat e<strong>en</strong> auditor zich niet primair moet richt<strong>en</strong><br />
op het vind<strong>en</strong> <strong>van</strong> fout<strong>en</strong> <strong>en</strong> risico’s maar dat hij<br />
moet toets<strong>en</strong> of het managem<strong>en</strong>t daar a<strong>de</strong>quaat mee<br />
bezig is. Waarom zou internal audit doorlop<strong>en</strong>d uitgebrei<strong>de</strong><br />
data-analysetools in will<strong>en</strong> zett<strong>en</strong> als dat<br />
e<strong>en</strong> managem<strong>en</strong>ttaak is?<br />
Wel kunn<strong>en</strong> internal auditors nad<strong>en</strong>k<strong>en</strong> over hoe ze<br />
het internal auditproces veel meer kunn<strong>en</strong> dynamiser<strong>en</strong>,<br />
bijvoorbeeld hoe te kom<strong>en</strong> tot e<strong>en</strong> doorlop<strong>en</strong><strong>de</strong><br />
risicoanalyse in plaats <strong>van</strong> e<strong>en</strong> periodieke (soms<br />
alle<strong>en</strong> jaarlijkse!) <strong>en</strong> hoe te kom<strong>en</strong> tot e<strong>en</strong> dynamische<br />
auditplanning, waarbij continu bijvoorbeeld zes<br />
maand<strong>en</strong> vooruit wordt gepland in plaats <strong>van</strong> te werk<strong>en</strong><br />
met statische jaarplann<strong>en</strong>? Die vorm <strong>van</strong> continuous<br />
<strong>auditing</strong> spreekt mij in elk geval e<strong>en</strong> stuk<br />
meer aan. En internal audit kan natuurlijk het<br />
managem<strong>en</strong>t help<strong>en</strong> bij het inregel<strong>en</strong> <strong>van</strong> <strong>de</strong> juiste<br />
monitoringactiviteit<strong>en</strong>, inclusief het gebruik <strong>van</strong> <strong>de</strong><br />
juiste data-analysetools.<br />
AUDIT magazine<br />
nummer 5 <strong>de</strong>cember 2008<br />
39
IT-governance<br />
Cultuur <strong>en</strong> gedrag: on<strong>de</strong>rbelichte IT-aspect<strong>en</strong><br />
Hoewel in <strong>de</strong> markt diverse frameworks beschikbaar zijn die organisaties kunn<strong>en</strong> help<strong>en</strong> bij het opzett<strong>en</strong>, uitvoer<strong>en</strong> <strong>en</strong><br />
monitor<strong>en</strong> <strong>van</strong> project<strong>en</strong>, blijk<strong>en</strong> in <strong>de</strong> praktijk toch nog veel IT-project<strong>en</strong> te ‘mislukk<strong>en</strong>’, dat wil zegg<strong>en</strong> dat ze te laat, te<br />
duur <strong>en</strong>/of niet <strong>de</strong> gew<strong>en</strong>ste kwaliteit hebb<strong>en</strong>. Hierbij nem<strong>en</strong> <strong>de</strong> factor<strong>en</strong> cultuur <strong>en</strong> gedrag e<strong>en</strong> promin<strong>en</strong>te plaats in. In dit<br />
artikel wordt het ka<strong>de</strong>r beschrev<strong>en</strong> waarbinn<strong>en</strong> <strong>de</strong> beoor<strong>de</strong>ling <strong>van</strong> IT-project<strong>en</strong> plaats kan vind<strong>en</strong>.<br />
Drs. I. Kouters <strong>en</strong> drs. J. <strong>de</strong> Vries<br />
De red<strong>en</strong> voor het mislukk<strong>en</strong> <strong>van</strong> IT-project<strong>en</strong> is dat veel zog<strong>en</strong>aam<strong>de</strong><br />
IT-project<strong>en</strong> ge<strong>en</strong> IT-project<strong>en</strong> zijn, maar wel als zodanig<br />
beschouwd word<strong>en</strong>. Zij rak<strong>en</strong> vaak e<strong>en</strong> groot <strong>de</strong>el <strong>van</strong> <strong>de</strong><br />
gehele organisatie <strong>en</strong> moet<strong>en</strong> daarom niet alle<strong>en</strong> tot het domein<br />
<strong>van</strong> IT gerek<strong>en</strong>d word<strong>en</strong>. Als zulke zog<strong>en</strong>aam<strong>de</strong> IT-project<strong>en</strong><br />
fal<strong>en</strong> hebb<strong>en</strong> <strong>de</strong> oorzak<strong>en</strong> dan ook vaak niet alle<strong>en</strong> maar met IT<br />
te mak<strong>en</strong>. De oorzak<strong>en</strong> moet<strong>en</strong> gezocht word<strong>en</strong> in <strong>de</strong> volledige<br />
IT-ket<strong>en</strong> die begint bij <strong>de</strong> formulering <strong>van</strong> <strong>de</strong> strategische doelstelling<strong>en</strong><br />
<strong>van</strong> e<strong>en</strong> organisatie <strong>en</strong> eindigt bij <strong>de</strong> operationele ITprocess<strong>en</strong>.<br />
Zoals g<strong>en</strong>oemd blijk<strong>en</strong> <strong>de</strong> factor<strong>en</strong> cultuur <strong>en</strong> gedrag<br />
hierbij e<strong>en</strong> promin<strong>en</strong>te plaats in te nem<strong>en</strong>.<br />
Projectgovernance<br />
IT-project<strong>en</strong> spel<strong>en</strong> zich veelal af in dynamische <strong>en</strong> complexe<br />
omgeving<strong>en</strong> waardoor het succesvol afrond<strong>en</strong> e<strong>en</strong> forse inspanning<br />
vergt. In <strong>de</strong> praktijk blijkt echter dat in veel gevall<strong>en</strong> <strong>de</strong><br />
Starting<br />
up a<br />
project<br />
Figuur 1. Het Prince2 procesmo<strong>de</strong>l<br />
AUDIT magazine<br />
Initiating<br />
a<br />
project<br />
nummer 5 <strong>de</strong>cember 2008<br />
Directing a project<br />
Cont<strong>rol</strong>ing<br />
a<br />
stage<br />
Managing<br />
product<br />
<strong>de</strong>livery<br />
40<br />
Planning<br />
Managing<br />
stage<br />
boundaries<br />
gelever<strong>de</strong> inspanning niet leidt tot het bereik<strong>en</strong> <strong>van</strong> het oorspronkelijke<br />
doel. Hierbij is vaak sprake <strong>van</strong> tekortkoming<strong>en</strong> in <strong>de</strong><br />
gehanteer<strong>de</strong> projectaanpak <strong>en</strong> <strong>de</strong> besturing <strong>van</strong> project<strong>en</strong>, <strong>de</strong><br />
zog<strong>en</strong>aam<strong>de</strong> projectgovernance. E<strong>en</strong> a<strong>de</strong>quaat ingerichte projectgovernance<br />
omvat <strong>de</strong> inrichting <strong>van</strong> process<strong>en</strong> <strong>en</strong> beheersmaatregel<strong>en</strong><br />
gericht op het succesvol afrond<strong>en</strong> <strong>van</strong> project<strong>en</strong>. E<strong>en</strong> <strong>van</strong><br />
<strong>de</strong> meest bek<strong>en</strong><strong>de</strong> <strong>en</strong> gebruikte geformaliseer<strong>de</strong> methodiek<strong>en</strong><br />
voor projectgovernance is Prince2 (zie figuur 1). E<strong>en</strong> standaard<br />
projectmethodiek als Prince2 is geschikt voor projectbesturing,<br />
maar biedt alle<strong>en</strong> ge<strong>en</strong> waarborg voor succesvolle IT-project<strong>en</strong>.<br />
De aandacht moet ook uitgaan naar het beheers<strong>en</strong> <strong>van</strong> <strong>de</strong> volledige<br />
IT-ket<strong>en</strong>.<br />
IT-Governance<br />
Het in <strong>de</strong> greep hebb<strong>en</strong> <strong>en</strong> houd<strong>en</strong> <strong>van</strong> <strong>de</strong> volledige IT-ket<strong>en</strong>, die<br />
begint bij <strong>de</strong> formulering <strong>van</strong> <strong>de</strong> strategische doelstelling<strong>en</strong> <strong>van</strong><br />
e<strong>en</strong> organisatie <strong>en</strong> eindigt bij <strong>de</strong> operationele IT process<strong>en</strong>,<br />
Closing<br />
a<br />
project<br />
Prince2 (PRojects IN Cont<strong>rol</strong>led Environm<strong>en</strong>ts) is e<strong>en</strong><br />
gestructureer<strong>de</strong> projectmanagem<strong>en</strong>tmetho<strong>de</strong>, ontwikkeld<br />
<strong>en</strong> geïntroduceerd in 1989 door het Britse Office<br />
of Governm<strong>en</strong>t Commerce. De methodiek is gebaseerd<br />
op bestaan<strong>de</strong> method<strong>en</strong> voor projectmanagem<strong>en</strong>t <strong>en</strong><br />
e<strong>en</strong> groot aantal casestudies in Groot-Brittannië.<br />
Prince2 is daardoor e<strong>en</strong> integrale <strong>en</strong> universeel bruikbare<br />
bun<strong>de</strong>ling <strong>van</strong> best practices voor het manag<strong>en</strong><br />
<strong>van</strong> zowel IT-project<strong>en</strong> als niet-IT-project<strong>en</strong>.<br />
Prince2 hanteert e<strong>en</strong> procesgeoriënteer<strong>de</strong> b<strong>en</strong>a<strong>de</strong>ring,<br />
waarbij elk proces is ge<strong>de</strong>finieerd op basis <strong>van</strong><br />
input <strong>en</strong> output, gecombineerd met <strong>de</strong> specifiek te<br />
behal<strong>en</strong> doel<strong>en</strong> <strong>en</strong> activiteit<strong>en</strong> die moet<strong>en</strong> word<strong>en</strong> uitgevoerd<br />
om <strong>de</strong>ze doel<strong>en</strong> te bereik<strong>en</strong>. De metho<strong>de</strong><br />
beschrijft hoe e<strong>en</strong> project is ver<strong>de</strong>eld in beheersbare<br />
fas<strong>en</strong>, waardoor efficiënt gebruik <strong>van</strong> mid<strong>de</strong>l<strong>en</strong> <strong>en</strong><br />
regelmatige monitoring <strong>van</strong> <strong>de</strong> voortgang gedur<strong>en</strong><strong>de</strong><br />
het project mogelijk is.
maak ik in<br />
later stadia na!<br />
Figuur 2. Het CobiT-framework<br />
wordt IT-governance g<strong>en</strong>oemd. Cruciaal daarbij is business<br />
alignm<strong>en</strong>t: <strong>de</strong> aansluiting tuss<strong>en</strong> <strong>en</strong>erzijds <strong>de</strong> w<strong>en</strong>s<strong>en</strong> <strong>van</strong> <strong>de</strong><br />
business <strong>en</strong> an<strong>de</strong>rzijds <strong>de</strong> IT-operatie binn<strong>en</strong> e<strong>en</strong> organisatie. Het<br />
CobiT framework (zie figuur 2) <strong>en</strong> het 9-vlaksmo<strong>de</strong>l (zie figuur 3)<br />
zijn handige hulpmid<strong>de</strong>l<strong>en</strong> bij het realiser<strong>en</strong> <strong>en</strong> beoor<strong>de</strong>l<strong>en</strong> <strong>van</strong><br />
IT-governancevraagstukk<strong>en</strong>. Het CobiT framework wordt gezi<strong>en</strong><br />
als IT-specifieke invulling <strong>van</strong> het COSO framework (corporate<br />
governancemo<strong>de</strong>l) <strong>en</strong> is e<strong>en</strong> doemo<strong>de</strong>l. Het 9-vlaksmo<strong>de</strong>l of het<br />
Amsterdams Informatiemanagem<strong>en</strong>t Mo<strong>de</strong>l is e<strong>en</strong> praktisch toepasbaar<br />
<strong>en</strong> ka<strong>de</strong>rschepp<strong>en</strong>d mo<strong>de</strong>l. In teg<strong>en</strong>stelling tot CobiT is<br />
Beleid<br />
Inrichting<br />
Uitvoering<br />
Figuur 3. Het 9-vlaksmo<strong>de</strong>l<br />
Organisatie<br />
Organisatiebeleid<br />
Organisatieinrichting<br />
Dagelijkse<br />
werkzaamhed<strong>en</strong><br />
Informatie<br />
voorzi<strong>en</strong>ing<br />
Informatiebeleid<br />
Inrichting<br />
informatievoorzi<strong>en</strong>ing<br />
Gebruik<br />
informatie<br />
ICT<br />
ICTbeleid<br />
ICTinrichting<br />
ICTuitvoering<br />
AUDIT magazine<br />
IT-governance<br />
Het IT-governance framework CobiT<br />
(Cont<strong>rol</strong> Objectives for Information and<br />
related Technology) is e<strong>en</strong> internationaal<br />
gehanteer<strong>de</strong> standaard voor het<br />
gestructureerd inricht<strong>en</strong> <strong>en</strong> beoor<strong>de</strong>l<strong>en</strong><br />
<strong>van</strong> <strong>de</strong> geautomatiseer<strong>de</strong> informatievoorzi<strong>en</strong>ing.<br />
CobiT is <strong>van</strong>af 1992 ontwikkeld<br />
door <strong>de</strong> Information Systems<br />
Audit and Cont<strong>rol</strong> Association (ISACA)<br />
<strong>en</strong> het IT Governance Institute. In <strong>de</strong><br />
huidige vier<strong>de</strong> versie <strong>van</strong> het CobiTraamwerk<br />
word<strong>en</strong> 318 beheersdoelstelling<strong>en</strong><br />
on<strong>de</strong>rscheid<strong>en</strong> die zijn gerangschikt<br />
naar vier beheerdomein<strong>en</strong> (die<br />
weer zijn on<strong>de</strong>rver<strong>de</strong>eld in 34 aandachtsgebied<strong>en</strong>):<br />
Plan and Organise,<br />
Acquire and Implem<strong>en</strong>t, Deliver and<br />
Support <strong>en</strong> Monitor and Evaluate. In<br />
<strong>de</strong>cember 2005 is e<strong>en</strong> nieuwe versie<br />
(4.0) uitgebracht, waarin <strong>de</strong> overlap<br />
met ITIL (Information Technology<br />
Infrastructure Library) is wegg<strong>en</strong>om<strong>en</strong><br />
door aan te sluit<strong>en</strong> bij <strong>de</strong> ITIL-uitgangspunt<strong>en</strong>.<br />
Ook is voor <strong>de</strong> aspect<strong>en</strong> op het<br />
gebied <strong>van</strong> informatiebeveiliging aansluiting<br />
gevond<strong>en</strong> bij <strong>de</strong> Co<strong>de</strong> voor<br />
Informatiebeveiliging. ITIL wordt in<br />
Ne<strong>de</strong>rland veruit het meest gebruikt als<br />
metho<strong>de</strong> voor exploitatie <strong>van</strong> IT-voorzi<strong>en</strong>ing<strong>en</strong><br />
(IT-managem<strong>en</strong>t).<br />
dit e<strong>en</strong> d<strong>en</strong>kmo<strong>de</strong>l. Gelet op het complem<strong>en</strong>taire karakter <strong>van</strong><br />
bei<strong>de</strong> mo<strong>de</strong>ll<strong>en</strong> hanter<strong>en</strong> wij <strong>de</strong>ze in <strong>de</strong> praktijk op e<strong>en</strong> gecombineer<strong>de</strong><br />
wijze.<br />
Succesfactor<strong>en</strong> in <strong>de</strong> theorie<br />
De vraag die nu rijst is welke succesfactor<strong>en</strong> on<strong>de</strong>rk<strong>en</strong>d word<strong>en</strong><br />
voor het slag<strong>en</strong> <strong>van</strong> IT-project<strong>en</strong>. Uit <strong>de</strong> literatuur blijkt dat in<br />
diverse on<strong>de</strong>rzoek<strong>en</strong> e<strong>en</strong> drietal succesfactor<strong>en</strong> word<strong>en</strong> on<strong>de</strong>rk<strong>en</strong>d,<br />
te wet<strong>en</strong>: planning <strong>en</strong> fasering, projectorganisatie <strong>en</strong> besturing,<br />
cultuur <strong>en</strong> gedrag. De succesfactor planning <strong>en</strong> fasering is<br />
gericht op <strong>de</strong> projectinrichting <strong>en</strong> e<strong>en</strong> voorwaar<strong>de</strong> voor a<strong>de</strong>quate<br />
besturing <strong>en</strong> beheersing <strong>van</strong> project<strong>en</strong>. De succesfactor projectorganisatie<br />
<strong>en</strong> besturing betreft het e<strong>en</strong>duidig <strong>de</strong>finiër<strong>en</strong> <strong>van</strong> <strong>rol</strong>-<br />
Het 9-vlaksmo<strong>de</strong>l (ook wel het Amsterdamse Informatiemanagem<strong>en</strong>t Mo<strong>de</strong>l, <strong>van</strong><br />
prof. ir. Rik Maes <strong>van</strong> <strong>de</strong> Universiteit <strong>van</strong> Amsterdam) is e<strong>en</strong> praktisch hulpmid<strong>de</strong>l<br />
om verantwoor<strong>de</strong>lijkhed<strong>en</strong>, <strong>rol</strong>l<strong>en</strong>, process<strong>en</strong> <strong>en</strong> relaties tuss<strong>en</strong> vraag <strong>en</strong> aanbod in<br />
<strong>de</strong> IT-ket<strong>en</strong> in ruime zin in kaart te br<strong>en</strong>g<strong>en</strong>. Het mo<strong>de</strong>l zoals wij het nu hanter<strong>en</strong><br />
stamt uit 2003 (Abcouwer, Gels <strong>en</strong> Truij<strong>en</strong>s, 2006). In ruime zin wil in dit verband zegg<strong>en</strong><br />
dat het hele domein <strong>van</strong>af bedrijfsstrategie via <strong>de</strong> verbind<strong>en</strong><strong>de</strong> informatiemanagem<strong>en</strong>tfunctie<br />
tot <strong>en</strong> met operationele IT-process<strong>en</strong> wordt afge<strong>de</strong>kt.<br />
Het mo<strong>de</strong>l on<strong>de</strong>rscheidt drie besturingsdomein<strong>en</strong> (dit zijn <strong>de</strong> kolomm<strong>en</strong> in het<br />
mo<strong>de</strong>l): organisatie, informatievoorzi<strong>en</strong>ing <strong>en</strong> ICT. Ver<strong>de</strong>r on<strong>de</strong>rscheidt het mo<strong>de</strong>l<br />
drie besturingsniveaus (dit zijn <strong>de</strong> rij<strong>en</strong> in het mo<strong>de</strong>l): strategisch (beleid), tactisch<br />
(inrichting) <strong>en</strong> operationeel (uitvoering). Door <strong>de</strong>ze rij<strong>en</strong> <strong>en</strong> kolomm<strong>en</strong> in e<strong>en</strong> matrix<br />
te plaats<strong>en</strong> ontstaan neg<strong>en</strong> vlakk<strong>en</strong>. Het 9-vlaksmo<strong>de</strong>l maakt dui<strong>de</strong>lijk dat veran<strong>de</strong>ring<strong>en</strong><br />
in <strong>de</strong> bedrijfsstrategie vaak veran<strong>de</strong>ring<strong>en</strong> in <strong>de</strong> informatiebehoefte teweeg<br />
br<strong>en</strong>g<strong>en</strong> <strong>en</strong> dat hierdoor veran<strong>de</strong>ring<strong>en</strong> noodzakelijk kunn<strong>en</strong> zijn in <strong>de</strong> inrichting <strong>van</strong><br />
<strong>de</strong> IT. Nadrukkelijk wordt aandacht geschonk<strong>en</strong> aan <strong>de</strong> zog<strong>en</strong>aam<strong>de</strong> koppelvlakk<strong>en</strong>.<br />
Dit betek<strong>en</strong>t dat tuss<strong>en</strong> aangr<strong>en</strong>z<strong>en</strong><strong>de</strong> af<strong>de</strong>ling<strong>en</strong> goe<strong>de</strong> afsprak<strong>en</strong> moet<strong>en</strong> word<strong>en</strong><br />
gemaakt over <strong>de</strong> afbak<strong>en</strong>ing <strong>van</strong> tak<strong>en</strong> <strong>en</strong> verantwoor<strong>de</strong>lijkhed<strong>en</strong>.<br />
nummer 5 <strong>de</strong>cember 2008<br />
41
IT-governance<br />
l<strong>en</strong> in het project <strong>en</strong> het toewijz<strong>en</strong> <strong>van</strong> tak<strong>en</strong> <strong>en</strong> belegg<strong>en</strong> <strong>van</strong><br />
verantwoor<strong>de</strong>lijkhed<strong>en</strong>. De succesfactor cultuur <strong>en</strong> gedrag is <strong>van</strong><br />
belang omdat <strong>de</strong> (informele) machtsstructuur, het lei<strong>de</strong>rschapspatroon<br />
<strong>en</strong> <strong>de</strong> sam<strong>en</strong>werking, al dan niet versterkt door externe<br />
me<strong>de</strong>werkers, <strong>van</strong> invloed kunn<strong>en</strong> zijn op het al dan niet behal<strong>en</strong><br />
<strong>van</strong> <strong>de</strong> uitein<strong>de</strong>lijke projectdoel<strong>en</strong>.<br />
Faalfactor<strong>en</strong> in <strong>de</strong> praktijk<br />
Naast succesfactor<strong>en</strong> is tev<strong>en</strong>s aandacht vereist voor risico’s <strong>en</strong><br />
aandachtsgebied<strong>en</strong> (hierna faalfactor<strong>en</strong> g<strong>en</strong>oemd). Vanuit onze<br />
ervaring met het beoor<strong>de</strong>l<strong>en</strong> <strong>van</strong> IT-project<strong>en</strong> is <strong>de</strong> volg<strong>en</strong><strong>de</strong> top<br />
twintig <strong>van</strong> meest voorkom<strong>en</strong><strong>de</strong> faalfactor<strong>en</strong> sam<strong>en</strong>gesteld.<br />
1. Onvoldo<strong>en</strong><strong>de</strong> overe<strong>en</strong>stemming over het doel <strong>van</strong> het project<br />
<strong>en</strong> het ontbrek<strong>en</strong> <strong>van</strong> e<strong>en</strong> breed gedrag<strong>en</strong> plan <strong>van</strong> aanpak<br />
met voldo<strong>en</strong><strong>de</strong> diepgang.<br />
2. Het uit hand<strong>en</strong> gev<strong>en</strong> <strong>van</strong> het opdrachtgeverschap zodra het<br />
project begint <strong>en</strong> te veel extern<strong>en</strong> op cruciale posities in het<br />
project.<br />
3. Optimisme over het aantal veran<strong>de</strong>ring<strong>en</strong> dat <strong>de</strong> organisatie<br />
in e<strong>en</strong> perio<strong>de</strong> kan adopter<strong>en</strong>.<br />
4. On<strong>de</strong>rschatting <strong>van</strong> weerstand teg<strong>en</strong> veran<strong>de</strong>ring.<br />
5. Softwareontwikkeling op basis <strong>van</strong> docum<strong>en</strong>t<strong>en</strong> die niet overe<strong>en</strong>kom<strong>en</strong><br />
met <strong>de</strong> w<strong>en</strong>s<strong>en</strong> <strong>van</strong> <strong>de</strong> business <strong>van</strong>wege e<strong>en</strong><br />
geringe betrokk<strong>en</strong>heid <strong>van</strong> <strong>de</strong> business.<br />
6. Niet stur<strong>en</strong> door <strong>de</strong> stuurgroep door het ontber<strong>en</strong> <strong>van</strong> ‘gereedschap’.<br />
7. Het niet werk<strong>en</strong> <strong>van</strong> werkgroep<strong>en</strong> door te veel overleg <strong>en</strong> te<br />
weinig sturing hierop.<br />
8. On<strong>de</strong>rschatting <strong>van</strong> <strong>de</strong> teg<strong>en</strong>gestel<strong>de</strong> belang<strong>en</strong>, resulter<strong>en</strong>d in<br />
e<strong>en</strong> slechte sam<strong>en</strong>werking.<br />
9. E<strong>en</strong> zwakke on<strong>de</strong>rbouwing <strong>van</strong> <strong>de</strong> kwantitatieve inschatting<strong>en</strong>.<br />
10. Onvoldo<strong>en</strong><strong>de</strong> communicatie binn<strong>en</strong> het project.<br />
11. Het slecht belegg<strong>en</strong> <strong>van</strong> tak<strong>en</strong>, bevoegdhed<strong>en</strong> <strong>en</strong> verantwoor<strong>de</strong>lijkhed<strong>en</strong><br />
binn<strong>en</strong> het project.<br />
12. Te weinig tijd beschikbaar voor projectme<strong>de</strong>werkers, het<br />
moet er ev<strong>en</strong> bij.<br />
13. Te veel optimisme over <strong>de</strong> voortgang door het inbouw<strong>en</strong> <strong>van</strong><br />
te weinig ‘slack’.<br />
14. Het onvoldo<strong>en</strong><strong>de</strong> uitvoer<strong>en</strong> <strong>van</strong> risicoanalyses op het gew<strong>en</strong>ste<br />
procesverloop <strong>van</strong> key process<strong>en</strong>.<br />
15. Het ontbrek<strong>en</strong> <strong>van</strong> e<strong>en</strong> doecultuur om het project tot goed<br />
ein<strong>de</strong> te br<strong>en</strong>g<strong>en</strong>.<br />
16. Onvoldo<strong>en</strong><strong>de</strong> aanwezigheid <strong>van</strong> k<strong>en</strong>nis <strong>en</strong> ervaring in <strong>de</strong><br />
organisatie om IT-project<strong>en</strong> goed uit te voer<strong>en</strong>.<br />
17. Verstoring <strong>van</strong> project<strong>en</strong> door aanvull<strong>en</strong><strong>de</strong> w<strong>en</strong>s<strong>en</strong> zon<strong>de</strong>r dat<br />
<strong>de</strong> consequ<strong>en</strong>ties goed word<strong>en</strong> overzi<strong>en</strong>.<br />
18. Projectlei<strong>de</strong>rs blijk<strong>en</strong> projectme<strong>de</strong>werkers te zijn.<br />
19. Contract<strong>en</strong> met leveranciers die e<strong>en</strong> inspanningsverplichting<br />
in plaats <strong>van</strong> e<strong>en</strong> resultaatverplichting inhoud<strong>en</strong>.<br />
20. Door e<strong>en</strong> informele sfeer <strong>en</strong> vage besluit<strong>en</strong> elkaar onvoldo<strong>en</strong><strong>de</strong><br />
aansprek<strong>en</strong> op gedrag.<br />
AUDIT magazine<br />
nummer 5 <strong>de</strong>cember 2008<br />
42<br />
Het Cultuur <strong>en</strong> Gedragmo<strong>de</strong>l<br />
In <strong>de</strong> loop <strong>de</strong>r jar<strong>en</strong> is het steeds dui<strong>de</strong>lijker geword<strong>en</strong> dat veel<br />
faalfactor<strong>en</strong> te mak<strong>en</strong> hebb<strong>en</strong> met <strong>de</strong> cultuur <strong>en</strong> het gedrag binn<strong>en</strong><br />
<strong>de</strong> organisatie. Iets waar<strong>van</strong> het managem<strong>en</strong>t <strong>van</strong> <strong>de</strong> organisatie<br />
<strong>en</strong> het projectmanagem<strong>en</strong>t zich vaak onvoldo<strong>en</strong><strong>de</strong> bewust<br />
blijk<strong>en</strong> te zijn.<br />
Daarnaast reik<strong>en</strong> projectmanagem<strong>en</strong>tmethodiek<strong>en</strong> <strong>en</strong> IT-governancemo<strong>de</strong>ll<strong>en</strong><br />
vooral handvatt<strong>en</strong> aan voor het beïnvloed<strong>en</strong> <strong>van</strong><br />
<strong>de</strong> succesfactor<strong>en</strong> planning <strong>en</strong> fasering <strong>en</strong> projectorganisatie <strong>en</strong><br />
besturing. T<strong>en</strong> aanzi<strong>en</strong> <strong>van</strong> <strong>de</strong> succesfactor cultuur <strong>en</strong> gedrag word<strong>en</strong><br />
<strong>van</strong>uit <strong>de</strong> g<strong>en</strong>oem<strong>de</strong> mo<strong>de</strong>ll<strong>en</strong> echter ge<strong>en</strong> of weinig handreiking<strong>en</strong><br />
gedaan om <strong>de</strong> faalfactor<strong>en</strong> die bij <strong>de</strong>ze factor behor<strong>en</strong>, in<br />
voldo<strong>en</strong><strong>de</strong> mate te kunn<strong>en</strong> beheers<strong>en</strong>. De factor cultuur <strong>en</strong> gedrag<br />
blijkt dus on<strong>de</strong>rbelicht te zijn. E<strong>en</strong> nieuw door ons op basis <strong>van</strong><br />
praktijkervaring ontwikkeld mo<strong>de</strong>l dat zich richt op <strong>de</strong> aspect<strong>en</strong><br />
cultuur <strong>en</strong> gedrag vult <strong>de</strong>ze leemte op (zie figuur 4).<br />
In <strong>de</strong> praktijk word<strong>en</strong> IT-auditors vaak betrokk<strong>en</strong> bij IT-project<strong>en</strong><br />
die niet goed verlop<strong>en</strong>. Zij hanter<strong>en</strong> bij het in kaart br<strong>en</strong>g<strong>en</strong> <strong>van</strong><br />
<strong>de</strong> oorzak<strong>en</strong> gereedschapp<strong>en</strong> die normatief <strong>van</strong> karakter zijn.<br />
M<strong>en</strong>selijk gedrag is echter e<strong>en</strong> niet-tastbaar f<strong>en</strong>ome<strong>en</strong> <strong>en</strong> is daarom<br />
niet in norm<strong>en</strong> te vervatt<strong>en</strong> <strong>en</strong> met g<strong>en</strong>oem<strong>de</strong> gereedschapp<strong>en</strong><br />
te on<strong>de</strong>r<strong>van</strong>g<strong>en</strong>. Hier wordt het gebied <strong>van</strong> <strong>de</strong> gedragswet<strong>en</strong>schapp<strong>en</strong><br />
zoals sociologie, psychologie, <strong>en</strong> sociale psychologie<br />
(andragogie) betred<strong>en</strong>.<br />
Geblek<strong>en</strong> is dat veel <strong>van</strong> wat misgaat in (project)organisaties<br />
veroorzaakt wordt doordat individu<strong>en</strong> contraproductief gedrag<br />
Het Cultuur <strong>en</strong> Gedragmo<strong>de</strong>l is door <strong>de</strong> auteurs <strong>van</strong> dit artikel ontwikkeld <strong>en</strong> is net<br />
als het 9-vlaksmo<strong>de</strong>l e<strong>en</strong> d<strong>en</strong>kmo<strong>de</strong>l. In het mo<strong>de</strong>l wordt e<strong>en</strong> achttal aandachtsgebied<strong>en</strong><br />
on<strong>de</strong>rk<strong>en</strong>d binn<strong>en</strong> e<strong>en</strong> organisatie die bepal<strong>en</strong>d zijn voor <strong>de</strong> organisatiecultuur<br />
<strong>en</strong> het gedrag <strong>van</strong> m<strong>en</strong>s<strong>en</strong>, zowel individueel als in groep<strong>en</strong>. Ze kom<strong>en</strong> voort uit<br />
<strong>de</strong> on<strong>de</strong>rk<strong>en</strong><strong>de</strong> factor<strong>en</strong> die in <strong>de</strong> praktijk t<strong>en</strong> grondslag ligg<strong>en</strong> aan het fal<strong>en</strong> <strong>van</strong><br />
project<strong>en</strong>.<br />
Acceptatie<br />
Professionele<br />
attitu<strong>de</strong><br />
Realisme<br />
Figuur 4. Het Cultuur <strong>en</strong> Gedragmo<strong>de</strong>l<br />
Communicatie<br />
Cultuur<br />
<strong>en</strong><br />
gedrag<br />
Focus<br />
Sam<strong>en</strong>werking<br />
Executie<br />
Lei<strong>de</strong>rschap
verton<strong>en</strong> <strong>en</strong> dat <strong>de</strong> heers<strong>en</strong><strong>de</strong> cultuur binn<strong>en</strong> e<strong>en</strong> organisatie e<strong>en</strong><br />
klimaat schept waardoor <strong>de</strong> kans op het succesvol kunn<strong>en</strong> afrond<strong>en</strong><br />
<strong>van</strong> project<strong>en</strong> klein is. Zo kunn<strong>en</strong> verschill<strong>en</strong> bestaan tuss<strong>en</strong><br />
<strong>de</strong> doelstelling<strong>en</strong> <strong>van</strong> het individu <strong>en</strong> die <strong>van</strong> <strong>de</strong> (project)organisatie.<br />
Deze verschill<strong>en</strong> leid<strong>en</strong> uitein<strong>de</strong>lijk tot voor <strong>de</strong> (project)organisatie<br />
ongew<strong>en</strong>st gedrag.<br />
Bij het implem<strong>en</strong>ter<strong>en</strong> <strong>van</strong> e<strong>en</strong> nieuw systeem speelt bijvoorbeeld<br />
mee dat m<strong>en</strong>s<strong>en</strong> vaak niet will<strong>en</strong> veran<strong>de</strong>r<strong>en</strong>. M<strong>en</strong> ontbeert<br />
e<strong>en</strong> professionele attitu<strong>de</strong> <strong>en</strong> laat zich leid<strong>en</strong> door het eig<strong>en</strong><br />
gevoel. Acceptatie <strong>van</strong> veran<strong>de</strong>ring is hierbij ook e<strong>en</strong> belangrijke<br />
factor. An<strong>de</strong>re aandachtsgebied<strong>en</strong> betreff<strong>en</strong> <strong>de</strong> vaak slechte communicatie<br />
<strong>en</strong> sam<strong>en</strong>werking on<strong>de</strong>rling waardoor ondui<strong>de</strong>lijkhed<strong>en</strong><br />
<strong>en</strong> interpretatieverschill<strong>en</strong> kunn<strong>en</strong> ontstaan. Weinig efficiënt<br />
<strong>en</strong> het heeft tot gevolg dat het project gevaar loopt.<br />
E<strong>en</strong> an<strong>de</strong>r veel voorkom<strong>en</strong>d f<strong>en</strong>ome<strong>en</strong> is dat <strong>de</strong> organisatie bij<br />
aan<strong>van</strong>g <strong>van</strong> e<strong>en</strong> project zeer <strong>en</strong>thousiast is <strong>en</strong> zich bij <strong>de</strong> <strong>de</strong>finitie<br />
<strong>van</strong> het project voornamelijk door dit <strong>en</strong>thousiasme laat leid<strong>en</strong><br />
in plaats <strong>van</strong> door realisme. Overschatting <strong>van</strong> bijvoorbeeld<br />
het aantal veran<strong>de</strong>ring<strong>en</strong> dat <strong>de</strong> organisatie in e<strong>en</strong> bepaal<strong>de</strong> perio<strong>de</strong><br />
aan kan <strong>en</strong> e<strong>en</strong> te breed georiënteer<strong>de</strong> focus <strong>en</strong> scope <strong>van</strong> het<br />
project, drag<strong>en</strong> bij aan het creër<strong>en</strong> <strong>van</strong> e<strong>en</strong> situatie waarin het<br />
succesvol afrond<strong>en</strong> <strong>van</strong> het project moeizaam zal zijn. Effectief<br />
lei<strong>de</strong>rschap <strong>van</strong> zowel <strong>de</strong> projectleiding als het managem<strong>en</strong>t <strong>van</strong><br />
<strong>de</strong> organisatie, on<strong>de</strong>r an<strong>de</strong>re goed opdrachtgeverschap, is <strong>van</strong><br />
groot belang <strong>en</strong> randvoorwaar<strong>de</strong>lijk voor het a<strong>de</strong>quaat kunn<strong>en</strong><br />
stur<strong>en</strong> <strong>van</strong> project<strong>en</strong>.<br />
Het laatste aandachtsgebied is het hebb<strong>en</strong> <strong>van</strong> e<strong>en</strong> doecultuur<br />
binn<strong>en</strong> <strong>de</strong> organisatie. Veelal komt m<strong>en</strong> met grootse plann<strong>en</strong><br />
maar ontbreekt het vermog<strong>en</strong> om tot executie <strong>van</strong> <strong>de</strong>ze plann<strong>en</strong><br />
over te gaan.<br />
Conclusie<br />
Literatuur<br />
• Abcouwer, T., H. Gels <strong>en</strong> J. Truij<strong>en</strong>s, Informatiemanagem<strong>en</strong>t <strong>en</strong> beleid, Aca<strong>de</strong>mic Service, 2006.<br />
• Anthony, R. <strong>en</strong> V. Govindarajan, Managem<strong>en</strong>t Cont<strong>rol</strong> Systems, McGraw-Hill, 1995.<br />
• Gremberg<strong>en</strong>, W. <strong>van</strong> <strong>en</strong> S. <strong>de</strong> Haes, IT Governance mechanism<strong>en</strong>, Kluwer, 2004.<br />
• Horn, L.A. t<strong>en</strong>, Psychologische aspect<strong>en</strong> <strong>van</strong> <strong>de</strong> organisatie, Samsom Bedrijfsinformatie, 1994.<br />
• Onna, M. <strong>van</strong> <strong>en</strong> A. Koning, De Kleine Prince2, Aca<strong>de</strong>mic Service, 2007.<br />
AUDIT magazine<br />
IT-governance<br />
On<strong>de</strong>rzoek naar <strong>de</strong> oorzaak <strong>van</strong> het fal<strong>en</strong> <strong>van</strong> zog<strong>en</strong>aam<strong>de</strong> IT-project<strong>en</strong><br />
wordt veelal gedaan door te kijk<strong>en</strong> naar IT. Het blijkt echter dat<br />
het mislukk<strong>en</strong> vaak niet alle<strong>en</strong> maar met IT te mak<strong>en</strong> heeft, maar e<strong>en</strong><br />
veel bre<strong>de</strong>r karakter heeft. Om IT-project<strong>en</strong> met succes uit te kunn<strong>en</strong><br />
voer<strong>en</strong> is het <strong>van</strong> belang <strong>de</strong> volledige IT-ket<strong>en</strong> te beheers<strong>en</strong> <strong>en</strong> daarbij<br />
aandacht te bested<strong>en</strong> aan <strong>de</strong> succesfactor cultuur <strong>en</strong> gedrag.<br />
Ervaring met organisatievraagstukk<strong>en</strong> is <strong>de</strong>rhalve onmisbaar om <strong>de</strong><br />
volledige IT-ket<strong>en</strong> te beheers<strong>en</strong>.<br />
T<strong>en</strong> aanzi<strong>en</strong> <strong>van</strong> het slag<strong>en</strong> <strong>van</strong> IT-project<strong>en</strong> word<strong>en</strong> <strong>de</strong> succesfactor<strong>en</strong><br />
planning <strong>en</strong> fasering, projectorganisatie <strong>en</strong> besturing, <strong>en</strong> cultuur<br />
<strong>en</strong> gedrag on<strong>de</strong>rk<strong>en</strong>d. Vanuit traditionele governancemo<strong>de</strong>ll<strong>en</strong> als<br />
Prince2 <strong>en</strong> CobiT word<strong>en</strong> handvatt<strong>en</strong> aangereikt om te voorkom<strong>en</strong><br />
dat <strong>de</strong> faalfactor<strong>en</strong> gerelateerd aan <strong>de</strong> succesfactor planning <strong>en</strong><br />
fasering <strong>en</strong> projectorganisatie <strong>en</strong> besturing, zich manifester<strong>en</strong>. Voor<br />
<strong>de</strong> succesfactor cultuur <strong>en</strong> gedrag word<strong>en</strong> <strong>van</strong>uit <strong>de</strong> g<strong>en</strong>oem<strong>de</strong><br />
mo<strong>de</strong>ll<strong>en</strong> echter ge<strong>en</strong> of onvoldo<strong>en</strong><strong>de</strong> handreiking<strong>en</strong> gedaan om te<br />
voorkom<strong>en</strong> dat <strong>de</strong> faalfactor<strong>en</strong> die sam<strong>en</strong>hang<strong>en</strong> met <strong>de</strong>ze succesfactor<br />
manifest word<strong>en</strong>.<br />
T<strong>en</strong> aanzi<strong>en</strong> <strong>van</strong> <strong>de</strong> succesfactor cultuur <strong>en</strong> gedrag kunn<strong>en</strong> IT-auditors<br />
<strong>van</strong>uit e<strong>en</strong> IT-perspectief nauwelijks e<strong>en</strong> constructieve bijdrage<br />
lever<strong>en</strong>. Waar het gaat om gedrag <strong>van</strong> individu<strong>en</strong>, zowel zelfstandig<br />
als in groep<strong>en</strong>, wordt het terrein betred<strong>en</strong> <strong>van</strong> <strong>de</strong> gedragswet<strong>en</strong>schapp<strong>en</strong>.<br />
Het is bij governance <strong>van</strong> IT-project<strong>en</strong> dan ook noodzakelijk<br />
k<strong>en</strong>nis <strong>van</strong> gedragswet<strong>en</strong>schapp<strong>en</strong> <strong>en</strong> ervaring met organisatievraagstukk<strong>en</strong>,<br />
waarbij <strong>de</strong> succesfactor cultuur <strong>en</strong> gedrag e<strong>en</strong> c<strong>en</strong>trale<br />
<strong>rol</strong> speelt, te betrekk<strong>en</strong>.<br />
Het ontwikkel<strong>de</strong> Cultuur <strong>en</strong> Gedragmo<strong>de</strong>l kan e<strong>en</strong> bijdrage lever<strong>en</strong><br />
aan het beheers<strong>en</strong> <strong>van</strong> het totale spectrum <strong>van</strong> faalfactor<strong>en</strong> die zich<br />
in <strong>de</strong> praktijk bij IT-project<strong>en</strong> kunn<strong>en</strong> voordo<strong>en</strong>.<br />
Ivo Kouters (l) <strong>en</strong> Jasper <strong>de</strong> Vries zijn beid<strong>en</strong> werkzaam bij<br />
Ernst & Young Advisory <strong>en</strong> houd<strong>en</strong> zich voornamelijk bezig<br />
met IT-governance- <strong>en</strong> program assurancevraagstukk<strong>en</strong>.<br />
✉ ivo.kouters@nl.ey.com<br />
✉ jasper.<strong>de</strong>.vries@nl.ey.com.<br />
nummer 5 <strong>de</strong>cember 2008<br />
43
INTERNAL AUDITOR<br />
THE HAGUE, THE NETHERLANDS<br />
APM Terminals, a world lea<strong>de</strong>r in container terminal<br />
<strong>de</strong>velopm<strong>en</strong>t and operations, and a division of<br />
global <strong>en</strong>ergy and transportation conglomerate A.P.<br />
Moller–Maersk Group, is seeking an experi<strong>en</strong>ced<br />
Internal Audit professional. The position reports to the<br />
Director, Business Audit and is located at the company<br />
headquarters in The Hague, Netherlands.<br />
Responsibilities inclu<strong>de</strong>:<br />
• Planning and coordination of business audits of the<br />
50+ facilities in the APM Terminals Global Terminal<br />
Network.<br />
• Developm<strong>en</strong>t and maint<strong>en</strong>ance of standardized<br />
procedures, gui<strong>de</strong>lines, manuals, reporting<br />
templates, and other facets of audit and accounting<br />
reporting.<br />
• Participation in <strong>de</strong>veloping APM Terminals’ internal<br />
audit strategy.<br />
Requirem<strong>en</strong>ts:<br />
• 5-10 years of external/internal audit experi<strong>en</strong>ce.<br />
• Rele<strong>van</strong>t <strong>de</strong>gree in Accounting or Finance.<br />
• Strong analytical skills.<br />
• Flu<strong>en</strong>cy in both writt<strong>en</strong> and spok<strong>en</strong> English.<br />
The successful candidate will possess empathy,<br />
personal tact, multicultural s<strong>en</strong>sitivity and the strong<br />
interpersonal skills required for effective lea<strong>de</strong>rship and<br />
communication in a large, dynamic and rapidly expanding<br />
international business <strong>en</strong>vironm<strong>en</strong>t.<br />
The position involves approximately 75 days of<br />
international travel per year.<br />
For immediate consi<strong>de</strong>ration, please e-mail your CV to<br />
Rex.Jackson@apmterminals.com
Iemand heeft het bankrek<strong>en</strong>ingnummer <strong>van</strong><br />
e<strong>en</strong> <strong>van</strong> uw leveranciers aangepast <strong>en</strong><br />
heeft vervolg<strong>en</strong>s <strong>en</strong>kele factur<strong>en</strong> voor <strong>de</strong>ze<br />
leverancier ingevoerd <strong>en</strong> betaalbaar<br />
gesteld. Natuurlijk wilt u hier als managem<strong>en</strong>t of<br />
als internal auditor meer <strong>van</strong> wet<strong>en</strong>, dit kan<br />
immers duid<strong>en</strong> op het doorbrek<strong>en</strong> <strong>van</strong> <strong>de</strong> in <strong>de</strong><br />
organisatie ingebouw<strong>de</strong> functiescheiding. En het<br />
liefst zo snel mogelijk, zodat kordaat opgetred<strong>en</strong><br />
kan word<strong>en</strong>. Echter, <strong>de</strong> huidige (interne) cont<strong>rol</strong>e(aanpak)<br />
is meestal nog niet (in)gericht op het<br />
tijdig signaler<strong>en</strong> <strong>van</strong> dit soort situaties. Het antwoord<br />
hierop: continuous monitoring.<br />
Met continuous monitoring wordt e<strong>en</strong> bedrijf in<br />
staat gesteld <strong>de</strong> werking <strong>van</strong> het systeem <strong>van</strong><br />
interne cont<strong>rol</strong>e continu te verifiër<strong>en</strong>. Indi<strong>en</strong> e<strong>en</strong><br />
cont<strong>rol</strong> niet effectief werkt wordt onmid<strong>de</strong>llijk e<strong>en</strong><br />
signaal afgegev<strong>en</strong> aan het managem<strong>en</strong>t. Hierbij<br />
di<strong>en</strong>t te word<strong>en</strong> opgemerkt dat het bij continuous<br />
monitoring niet alle<strong>en</strong> gaat om het beperk<strong>en</strong> <strong>van</strong><br />
financiële risico’s, maar natuurlijk ook om operationele<br />
<strong>en</strong> strategische risico’s.<br />
Doordat bij continuous monitoring het verifiër<strong>en</strong><br />
geautomatiseerd gebeurt, is er niet alle<strong>en</strong> sprake<br />
<strong>van</strong> e<strong>en</strong> efficiënte <strong>en</strong> effectieve aanpak, maar ook<br />
<strong>van</strong> e<strong>en</strong> diepgaan<strong>de</strong> <strong>en</strong> uitgebrei<strong>de</strong> aanpak, aangezi<strong>en</strong><br />
m<strong>en</strong> zich niet hoeft te beperk<strong>en</strong> tot <strong>de</strong>elwaarneming<strong>en</strong><br />
<strong>en</strong> steekproev<strong>en</strong> <strong>en</strong> aldus gehele<br />
populaties on<strong>de</strong>r <strong>de</strong> loep g<strong>en</strong>om<strong>en</strong> kunn<strong>en</strong> word<strong>en</strong>.<br />
E<strong>en</strong> <strong>de</strong>rgelijke aanpak leidt ertoe dat op ie<strong>de</strong>r<br />
mom<strong>en</strong>t <strong>van</strong> <strong>de</strong> dag vastgesteld kan word<strong>en</strong> hoe<br />
het interne cont<strong>rol</strong>esysteem ervoor staat. Voeg<br />
daaraan toe e<strong>en</strong> (internal) auditor die vaststelt<br />
dat dit nieuwe interne beheersingsinstrum<strong>en</strong>t<br />
goed werkt <strong>en</strong> je hebt continuous <strong>auditing</strong> <strong>en</strong><br />
continuous assurance. Maar om e<strong>en</strong> <strong>de</strong>rgelijk<br />
intern beheersingsinstrum<strong>en</strong>t te kunn<strong>en</strong> gebruik<strong>en</strong><br />
zijn er wel <strong>en</strong>kele randvoorwaard<strong>en</strong>. Evid<strong>en</strong>t<br />
is natuurlijk dat om risico’s te kunn<strong>en</strong> beheers<strong>en</strong>,<br />
je <strong>de</strong>ze geïd<strong>en</strong>tificeerd moet hebb<strong>en</strong> <strong>en</strong> periodiek<br />
column <strong>van</strong> <strong>de</strong> sponsor<br />
<strong>Continuous</strong> <strong>auditing</strong>:sci<strong>en</strong>ce fiction?<br />
Drs. A. Lucass<strong>en</strong> RE CISA*<br />
moet evaluer<strong>en</strong>. Dus e<strong>en</strong> goed risicomanagem<strong>en</strong>tproces<br />
<strong>en</strong> borging hier<strong>van</strong> in <strong>de</strong> organisatie<br />
is ess<strong>en</strong>tieel.<br />
Voor e<strong>en</strong> <strong>de</strong>el <strong>van</strong> <strong>de</strong> bedrijv<strong>en</strong> is dit al het geval,<br />
omdat zij moet<strong>en</strong> voldo<strong>en</strong> aan allerlei wet- <strong>en</strong><br />
regelgeving. Daarnaast is continuous monitoring<br />
alle<strong>en</strong> mogelijk als <strong>de</strong> bedrijfsprocess<strong>en</strong> die hierin<br />
word<strong>en</strong> betrokk<strong>en</strong> in hoge mate geautomatiseerd<br />
zijn, dan kunn<strong>en</strong> <strong>de</strong> analyses op continue<br />
basis word<strong>en</strong> uitgevoerd zon<strong>de</strong>r m<strong>en</strong>selijke tuss<strong>en</strong>komst.<br />
Ook dit geldt al voor het mer<strong>en</strong><strong>de</strong>el <strong>van</strong><br />
<strong>de</strong> bedrijv<strong>en</strong> aangezi<strong>en</strong> veel bedrijv<strong>en</strong> vaak geïntegreer<strong>de</strong><br />
oplossing<strong>en</strong> gebruik<strong>en</strong> zoals ERP-system<strong>en</strong>.<br />
Is continuous monitoring <strong>en</strong> continuous <strong>auditing</strong><br />
(i.e. assurance) sci<strong>en</strong>ce fiction? Nee, zeker niet<br />
nu <strong>de</strong> technologie die dit moet on<strong>de</strong>rsteun<strong>en</strong><br />
meer <strong>en</strong> meer volwass<strong>en</strong> wordt. Zijn bedrijv<strong>en</strong><br />
hier op korte termijn al klaar voor? Nee, waarschijnlijk<br />
nog niet voor alle bedrijfsprocess<strong>en</strong>,<br />
aangezi<strong>en</strong> er nog veel han<strong>de</strong>ling<strong>en</strong> handmatig <strong>en</strong><br />
buit<strong>en</strong> <strong>de</strong> geautomatiseer<strong>de</strong> system<strong>en</strong> om word<strong>en</strong><br />
uitgevoerd, maar voor bepaal<strong>de</strong> process<strong>en</strong><br />
<strong>en</strong> on<strong>de</strong>r<strong>de</strong>l<strong>en</strong> ligg<strong>en</strong> hier wel <strong>de</strong>gelijk kans<strong>en</strong>.<br />
Moet je dit als internal auditor omarm<strong>en</strong>?<br />
Absoluut! Natuurlijk moet er e<strong>en</strong> vinger aan <strong>de</strong><br />
pols gehoud<strong>en</strong> word<strong>en</strong> hoe continuous monitoring<br />
wordt ingericht, maar e<strong>en</strong>maal ingericht<br />
geeft het <strong>de</strong> internal auditor <strong>de</strong>zelf<strong>de</strong> zekerheid<br />
als voorhe<strong>en</strong>. Zelfs nog meer, omdat ge<strong>en</strong> gebruik<br />
wordt gemaakt <strong>van</strong> <strong>de</strong>elwaarneming<strong>en</strong>. En doordat<br />
het geautomatiseerd gebeurt heb je als internal<br />
auditor nog meer ruimte <strong>en</strong> aandacht voor<br />
an<strong>de</strong>re, min<strong>de</strong>r structurele on<strong>de</strong>rwerp<strong>en</strong> <strong>en</strong> kun<br />
je nog meer waar<strong>de</strong> toevoeg<strong>en</strong>.<br />
Dus continuous monitoring <strong>en</strong> continuous <strong>auditing</strong><br />
zijn zeker ge<strong>en</strong> bedreiging<strong>en</strong> maar juist welkome<br />
aanvulling<strong>en</strong> op het ‘ars<strong>en</strong>aal’ <strong>van</strong> e<strong>en</strong><br />
internal auditor.<br />
* Antoine Lucass<strong>en</strong> is director Deloitte ERS<br />
AUDIT magazine<br />
nummer 4 september 2008<br />
45
oekbespreking<br />
En daar wan<strong>de</strong>l je dan…<br />
R.J. Klamer<br />
Ope<strong>en</strong>s is het zover. Dan wan<strong>de</strong>l je op<br />
e<strong>en</strong> door<strong>de</strong>weekse dinsdagmorg<strong>en</strong> door<br />
e<strong>en</strong> park. Zon<strong>de</strong>r je schuldig te voel<strong>en</strong>.<br />
Zon<strong>de</strong>r je blij te voel<strong>en</strong>. Je voelt eig<strong>en</strong>lijk<br />
niks. Alle<strong>en</strong> e<strong>en</strong> totaal onvermog<strong>en</strong>. Niet<br />
in staat te werk<strong>en</strong>, niet in staat thuis te<br />
zitt<strong>en</strong>. Leeg.<br />
Ik k<strong>en</strong> e<strong>en</strong> paar m<strong>en</strong>s<strong>en</strong> die dit hebb<strong>en</strong><br />
meegemaakt. En het lijkt erop of steeds<br />
meer m<strong>en</strong>s<strong>en</strong> het op e<strong>en</strong> of an<strong>de</strong>re manier<br />
ervar<strong>en</strong>. E<strong>en</strong> burn-out. Natuurlijk, achteraf<br />
kun je het best aanwijz<strong>en</strong>. Te veel<br />
werk, te veel ding<strong>en</strong> tegelijk, te veel<br />
moeite, maar eig<strong>en</strong>lijk kon alles best wel.<br />
Bov<strong>en</strong>di<strong>en</strong> wist je het toch zelf het allerbest.<br />
Uitlegg<strong>en</strong> <strong>en</strong> overdrag<strong>en</strong> zou wel<br />
kunn<strong>en</strong>, maar dan do<strong>en</strong> ze het toch niet<br />
helemaal goed <strong>en</strong> voor jou… ach, het was<br />
niet zo moeilijk. Nog ev<strong>en</strong> dit <strong>en</strong> dan mete<strong>en</strong><br />
maar ev<strong>en</strong> dat do<strong>en</strong>. Ev<strong>en</strong> et<strong>en</strong> kok<strong>en</strong>,<br />
ev<strong>en</strong> voorbereid<strong>en</strong> voor <strong>de</strong> verga<strong>de</strong>ring,<br />
ev<strong>en</strong> naar <strong>de</strong> verga<strong>de</strong>ring, ev<strong>en</strong> naprat<strong>en</strong><br />
<strong>en</strong> jij kon dat toch wel ev<strong>en</strong> do<strong>en</strong>. Straks<br />
neem je wel ev<strong>en</strong> e<strong>en</strong> beetje rust, ev<strong>en</strong><br />
e<strong>en</strong> glaasje wijn erbij...<br />
Opvall<strong>en</strong>d is dat het woordje ‘ev<strong>en</strong>’ ongelooflijk<br />
vaak terugkomt in het vocabulaire<br />
<strong>van</strong> iemand op <strong>de</strong> rand <strong>van</strong> e<strong>en</strong> burn-out.<br />
T<strong>en</strong>slotte zijn <strong>de</strong> meeste ding<strong>en</strong> die we<br />
do<strong>en</strong> niet zo moeilijk <strong>en</strong> lijk<strong>en</strong> ze maar<br />
korte tijd <strong>de</strong> aandacht te vrag<strong>en</strong>.<br />
In e<strong>en</strong> rec<strong>en</strong>te training over omgaan met<br />
stress heb ik <strong>de</strong> <strong>de</strong>elnemers gevraagd e<strong>en</strong><br />
brief aan zichzelf te schrijv<strong>en</strong> waarin ze<br />
zichzelf aanmoedig<strong>en</strong> om het geleer<strong>de</strong><br />
(opnieuw, na zes wek<strong>en</strong>) in <strong>de</strong> praktijk te<br />
br<strong>en</strong>g<strong>en</strong>. Wat mij opviel in die briev<strong>en</strong> –<br />
ik mocht ze ook lez<strong>en</strong> – is dat <strong>de</strong> schrijvers<br />
zichzelf meer rust toew<strong>en</strong>s<strong>en</strong>. Meer<br />
tijd <strong>en</strong> geleg<strong>en</strong>heid om zak<strong>en</strong> af te mak<strong>en</strong>.<br />
AUDIT magazine<br />
Bart Verkuijl <strong>en</strong> Arnold <strong>van</strong> Emmerik • Omgaan met stress <strong>en</strong> burnout • Bohn Stafleu <strong>van</strong> Loghum • ISBN 978903143911<br />
nummer 5 <strong>de</strong>cember 2008<br />
46<br />
En dat ze zichzelf toew<strong>en</strong>s<strong>en</strong> wat vaker<br />
e<strong>en</strong> afgewog<strong>en</strong> ‘nee’ te kunn<strong>en</strong> lat<strong>en</strong><br />
hor<strong>en</strong>. Ontroer<strong>en</strong><strong>de</strong> briev<strong>en</strong> die, naar ik<br />
hoop, echt e<strong>en</strong> functie hebb<strong>en</strong> voor <strong>de</strong><br />
<strong>de</strong>elnemers.<br />
Het boek Omgaan met stress <strong>en</strong> burnout<br />
is e<strong>en</strong> dun boek: 126 pagina’s. Qua<br />
om<strong>van</strong>g i<strong>de</strong>aal om in huis te hebb<strong>en</strong> <strong>en</strong><br />
e<strong>en</strong>s door te lez<strong>en</strong>. Om te ler<strong>en</strong> hoe dat nu<br />
ontstaat, zo’n burn-out. Om mee te d<strong>en</strong>k<strong>en</strong><br />
over pot<strong>en</strong>tiële oplossing<strong>en</strong>. Als leidinggev<strong>en</strong><strong>de</strong><br />
<strong>van</strong> iemand die dreigt om te<br />
vall<strong>en</strong>. Maar wellicht ook voor jezelf als<br />
je in <strong>de</strong> afgelop<strong>en</strong> week wel erg vaak e<strong>en</strong><br />
lege wijnfles hebt opgeruimd.<br />
E<strong>en</strong> <strong>van</strong> <strong>de</strong> leukste tips die ie<strong>de</strong>re<strong>en</strong> kan<br />
gebruik<strong>en</strong> is het instell<strong>en</strong> <strong>van</strong> e<strong>en</strong> piekerhalfuur.<br />
Per dag e<strong>en</strong> half uur in te ruim<strong>en</strong><br />
om lekker te pieker<strong>en</strong>. Daardoor kun je<br />
het pieker<strong>en</strong> op an<strong>de</strong>re mom<strong>en</strong>t<strong>en</strong> kanaliser<strong>en</strong><br />
naar dat piekerhalfuur. Neem er e<strong>en</strong><br />
vaste rustige plek in huis voor (je piekerplek)<br />
op e<strong>en</strong> vaste tijd. Daarmee wordt <strong>de</strong><br />
rest <strong>van</strong> het huis piekervrij. Plan het niet<br />
vlak voor het naar bed gaan...<br />
Zoals op ie<strong>de</strong>r boek is ook op dit boek<br />
wel wat aan te merk<strong>en</strong>. Ik merkte dat ik<br />
bij bepaal<strong>de</strong> on<strong>de</strong>rwerp<strong>en</strong> eig<strong>en</strong>lijk wel<br />
meer wil<strong>de</strong> wet<strong>en</strong>. Wat meer teg<strong>en</strong>gas<br />
verwachtte of e<strong>en</strong> wat diepere uitwerking.<br />
Dat is soms e<strong>en</strong> gemis. Uiteraard wordt in<br />
<strong>de</strong> paragraaf over doel<strong>en</strong> stell<strong>en</strong> <strong>de</strong><br />
SMART-regel opgevoerd. Dat <strong>de</strong>ze regel<br />
op zichzelf al e<strong>en</strong> red<strong>en</strong> voor veel stress<br />
kan zijn (‘Hoe bedoel je dat ik e<strong>en</strong> realistisch<br />
doel moet opschrijv<strong>en</strong>, ik bak er<br />
toch niks <strong>van</strong>’, is e<strong>en</strong> vaak voorkom<strong>en</strong><strong>de</strong><br />
belemmer<strong>en</strong><strong>de</strong> overtuiging) wordt niet<br />
g<strong>en</strong>oemd. E<strong>en</strong> <strong>de</strong>rgelijke nuancering kun<br />
je wel opzoek<strong>en</strong> in <strong>de</strong> bijgelever<strong>de</strong> literatuurlijst<br />
<strong>en</strong> website-adress<strong>en</strong>.<br />
To<strong>en</strong> ik het boek las moest ik sterk d<strong>en</strong>k<strong>en</strong><br />
aan e<strong>en</strong> zakelijke relatie die mij uitvoerig<br />
verslag <strong>de</strong>ed <strong>van</strong> hoe <strong>de</strong> relatie tuss<strong>en</strong><br />
hem <strong>en</strong> zijn beste me<strong>de</strong>werkster binn<strong>en</strong><br />
e<strong>en</strong> paar maand<strong>en</strong> volledig was verwoest.<br />
De me<strong>de</strong>werkster was emotioneel<br />
geknakt door <strong>en</strong>orme drukte op het werk<br />
gecombineerd met e<strong>en</strong> sterfgeval, relatieproblematiek<br />
<strong>en</strong> nog zo wat onvolkom<strong>en</strong>hed<strong>en</strong>.<br />
En hij had daar begrip voor, stel<strong>de</strong><br />
hij. Maar ze moest na drie maand<strong>en</strong> toch<br />
wel e<strong>en</strong> keer terugkom<strong>en</strong>... Uiteraard probeer<strong>de</strong><br />
ze het. Maar het mislukte compleet,<br />
want er was nog niets verbeterd.<br />
Behalve wan<strong>de</strong>l<strong>en</strong> in het park had ze nauwelijks<br />
professionele on<strong>de</strong>rsteuning<br />
gehad.<br />
Deze baas had er veel aan gehad als hij<br />
dit boekje had gelez<strong>en</strong>. Hij zou echt<br />
begrip hebb<strong>en</strong> kunn<strong>en</strong> ton<strong>en</strong>, hebb<strong>en</strong> aangedrong<strong>en</strong><br />
op echte hulp <strong>en</strong> hij had beter<br />
begrep<strong>en</strong> dat <strong>de</strong> emotionele uitsprak<strong>en</strong><br />
e<strong>en</strong> an<strong>de</strong>re oorzaak hadd<strong>en</strong>. Bov<strong>en</strong>di<strong>en</strong><br />
had het hem e<strong>en</strong> ell<strong>en</strong>dige <strong>en</strong> kostbare<br />
ontslagprocedure bespaard.<br />
Want e<strong>en</strong> ding is zeker. Je w<strong>en</strong>st je ergste<br />
vijand ge<strong>en</strong> burn-out toe. De gevolg<strong>en</strong><br />
zijn altijd scha<strong>de</strong>lijk <strong>en</strong> zo lev<strong>en</strong>sveran<strong>de</strong>r<strong>en</strong>d<br />
dat je maar beter e<strong>en</strong> boekje <strong>van</strong> 126<br />
bladzijd<strong>en</strong> kunt lez<strong>en</strong>. Dan kun je daarna<br />
t<strong>en</strong>minste gewoon wan<strong>de</strong>l<strong>en</strong> in het park.<br />
Op zaterdag of zondag.<br />
R<strong>en</strong>ze J. Klamer is managem<strong>en</strong>t<br />
consultant bij S<strong>en</strong>tle bv<br />
(www.s<strong>en</strong>tle.nl)<br />
Duinvoet 8, 8242 RB Lelystad,<br />
0320-231280,<br />
✉ klamer@s<strong>en</strong>tle.nl
E x p e r i e n c e S h o w s .<br />
Als u e<strong>en</strong> Jefferson Wells team inhuurt, hoeft u ze niet<br />
eerst wegwijs te mak<strong>en</strong>. Ze do<strong>en</strong> het al jar<strong>en</strong> - <strong>en</strong> dat<br />
merk je. Niet alle<strong>en</strong> aan hun gezicht, maar vooral aan<br />
hun werkwijze. Ze wet<strong>en</strong> wat ze do<strong>en</strong> <strong>en</strong> dus behal<strong>en</strong><br />
ze sneller resultaat. We hebb<strong>en</strong> alle<strong>en</strong> ervar<strong>en</strong><br />
professionals, die we bij u aan het werk zett<strong>en</strong>.<br />
Plaza Ar<strong>en</strong>a, gebouw Apollo<br />
Herikerbergweg 9<br />
1101 CN Amsterdam Z.O.<br />
Tel: +31 20 346 89 00<br />
www.jeffersonwellsnl.nl<br />
Internal Audit • Technology Risk • Tax • Finance & Accounting<br />
©2006 Jefferson Wells International, Inc. All rights reserved.
<strong>de</strong> overstap<br />
AUDIT magazine<br />
nummer 5 <strong>de</strong>cember 2008<br />
48<br />
Internal auditors vertell<strong>en</strong> over hun overstap naar e<strong>en</strong> an<strong>de</strong>re functie aan Shilpa<br />
Bantwal Rao<br />
Jurg<strong>en</strong> Schaerlaeck<strong>en</strong>s vertelt dit keer in <strong>de</strong> rubriek De Overstap over zijn<br />
carrièreswitch naar het vak <strong>van</strong> internal auditor. Na vijf jaar als accountmanager bij ING gewerkt te<br />
hebb<strong>en</strong> is hij nu internal auditor bij Interpolis/Achmea.<br />
“Ik heb e<strong>en</strong> nieuwe uitdaging gevond<strong>en</strong><br />
<strong>en</strong> daar b<strong>en</strong> ik nog wel ev<strong>en</strong> zoet mee”<br />
Als accountmanager bij ING bestond<strong>en</strong><br />
<strong>de</strong> werkzaamhed<strong>en</strong> <strong>van</strong> Jurg<strong>en</strong> on<strong>de</strong>r<br />
meer uit het beher<strong>en</strong> <strong>van</strong> kredietportefeuilles,<br />
het beoor<strong>de</strong>l<strong>en</strong> <strong>van</strong> kredietaanvrag<strong>en</strong><br />
<strong>en</strong> het opstell<strong>en</strong> <strong>van</strong> kredietvoorstell<strong>en</strong><br />
voor <strong>de</strong> zakelijke markt. In het<br />
begin vond Jurg<strong>en</strong> <strong>de</strong>ze functie zeer uitdag<strong>en</strong>d<br />
<strong>en</strong> afwissel<strong>en</strong>d, maar <strong>de</strong> functie<br />
werd steeds commerciëler. Daardoor bleef<br />
er min<strong>de</strong>r ruimte over voor <strong>de</strong> inhou<strong>de</strong>lijke<br />
kant <strong>van</strong> het vak. Dat stond hem steeds<br />
meer teg<strong>en</strong>.<br />
Zijn herinnering<strong>en</strong> aan zijn tijd bij ING<br />
beschrijft hij als volgt: “Het eerste jaar<br />
was erg zwaar. Veel ziek<strong>en</strong> <strong>en</strong> afwezig<strong>en</strong><br />
waardoor ik nauwelijks b<strong>en</strong> ingewerkt. Ik<br />
zat vaak alle<strong>en</strong> <strong>en</strong> <strong>de</strong> targets liep<strong>en</strong><br />
gewoon door. Uitein<strong>de</strong>lijk is het toch e<strong>en</strong><br />
goed jaar geword<strong>en</strong>. Daarnaast b<strong>en</strong> ik<br />
trots op e<strong>en</strong> hele grote <strong>de</strong>al die we hebb<strong>en</strong><br />
geslot<strong>en</strong>. Met het team – <strong>de</strong> relatiemanager,<br />
<strong>de</strong> assist<strong>en</strong>t <strong>en</strong> ik – zijn we me<strong>de</strong><br />
daarvoor g<strong>en</strong>omineerd voor het beste verkoopteam<br />
<strong>van</strong> <strong>de</strong> maand (<strong>van</strong> het land).”<br />
Ge<strong>en</strong> uitdaging meer<br />
Omdat hij toe was aan e<strong>en</strong> nieuwe uitdaging<br />
ging hij op zoek naar e<strong>en</strong> an<strong>de</strong>re<br />
baan. Over zijn keuze voor het vakgebied<br />
internal <strong>auditing</strong> zegt hij: “De voornaamste<br />
red<strong>en</strong> was het gevoel ge<strong>en</strong> echte uitdaging<br />
meer te zi<strong>en</strong>. Het vak werd steeds<br />
commerciëler <strong>en</strong> e<strong>en</strong> volg<strong>en</strong><strong>de</strong> stap zou<br />
buit<strong>en</strong>di<strong>en</strong>stme<strong>de</strong>werker zijn (relatiemanager).<br />
Dat zag ik absoluut niet zitt<strong>en</strong>. Ik<br />
heb goed nagedacht over wat ik leuk zou<br />
vind<strong>en</strong> <strong>en</strong> waar mijn sterke kant<strong>en</strong> ligg<strong>en</strong>.<br />
Dui<strong>de</strong>lijk was dat ik e<strong>en</strong> analytische functie<br />
wil<strong>de</strong> met veel afwisseling <strong>en</strong> e<strong>en</strong><br />
bre<strong>de</strong> scope. Het risicod<strong>en</strong>k<strong>en</strong> bij <strong>de</strong> bank<br />
sprak me altijd al aan. Daarnaast wil<strong>de</strong> ik<br />
werkzaam zijn binn<strong>en</strong> e<strong>en</strong> grote organisatie,<br />
het liefst e<strong>en</strong> financiële di<strong>en</strong>stverl<strong>en</strong>er,<br />
<strong>en</strong> bij voorkeur in het zuid<strong>en</strong> <strong>van</strong> het land.<br />
Zo b<strong>en</strong> ik bij <strong>de</strong> functie <strong>van</strong> internal auditor<br />
bij Achmea/Interpolis uitgekom<strong>en</strong>.”
In zijn nieuwe functie als internal auditor<br />
houdt hij zich naast operational audits<br />
bezig met audits waarin financial <strong>en</strong> ITauditaspect<strong>en</strong><br />
naar vor<strong>en</strong> kom<strong>en</strong>. “Tot op<br />
hed<strong>en</strong> heb ik vooral werkzaamhed<strong>en</strong> uitgevoerd<br />
voor het vaststell<strong>en</strong> <strong>van</strong> <strong>de</strong> mate<br />
<strong>van</strong> beheersing <strong>van</strong> diverse process<strong>en</strong> <strong>en</strong><br />
<strong>de</strong> uitgevoer<strong>de</strong> systeemconversies binn<strong>en</strong><br />
mijn aandachtsgebied, <strong>de</strong> divisie<br />
P<strong>en</strong>sio<strong>en</strong><strong>en</strong>. Daarnaast b<strong>en</strong> ik als auditor<br />
betrokk<strong>en</strong> geweest bij het internal cont<strong>rol</strong><br />
statem<strong>en</strong>t dat <strong>de</strong> organisatie jaarlijks<br />
afgeeft. Ook werkzaamhed<strong>en</strong> voor <strong>de</strong><br />
vaststelling <strong>van</strong> <strong>de</strong> betrouwbaarheid <strong>van</strong><br />
e<strong>en</strong> specifiek on<strong>de</strong>r<strong>de</strong>el <strong>van</strong> <strong>de</strong> administratie<br />
heb ik het afgelop<strong>en</strong> jaar uitgevoerd.”<br />
Verwachting<strong>en</strong><br />
Over <strong>de</strong> verwachting<strong>en</strong> die hij heeft <strong>van</strong><br />
zijn nieuwe functie <strong>en</strong> in het bijzon<strong>de</strong>r<br />
over <strong>de</strong> switch naar het vak <strong>van</strong> internal<br />
auditor, zegt hij: “Omdat ik er goed over<br />
heb nagedacht <strong>en</strong> me uitgebreid heb voorbereid,<br />
b<strong>en</strong> ik weinig verrassing<strong>en</strong> teg<strong>en</strong>-<br />
IIA Young Professionals<br />
ING<br />
Op 5 november jl. bezocht<strong>en</strong> we ING. Op <strong>de</strong> 37ste verdieping<br />
<strong>van</strong> het ING-pand is het thema Getting the most out<br />
of ERM behan<strong>de</strong>ld. C<strong>en</strong>traal stond het integrale karakter<br />
<strong>van</strong> risicomanagem<strong>en</strong>t in het bedrijfsproces. Aan <strong>de</strong> hand<br />
<strong>van</strong> e<strong>en</strong> casus on<strong>de</strong>rvond<strong>en</strong> we het belang hier<strong>van</strong> in <strong>de</strong><br />
praktijk. De <strong>de</strong>elnemers war<strong>en</strong> na afloop <strong>en</strong>thousiast <strong>en</strong><br />
on<strong>de</strong>r het g<strong>en</strong>ot <strong>van</strong> e<strong>en</strong> borrel <strong>en</strong> buffet werd gezellig<br />
nagepraat. Kortom, e<strong>en</strong> geslaag<strong>de</strong> middag!<br />
Vooruitblik 2009<br />
De tot nu toe georganiseer<strong>de</strong> kick off IIA YP-bedrijfsbezoek<strong>en</strong><br />
bij De Telegraaf <strong>en</strong> ING <strong>en</strong> <strong>de</strong> <strong>en</strong>thousiaste reacties<br />
op het initiatief hebb<strong>en</strong> ervoor gezorgd dat commissie<br />
IIA YP voor 2009 alweer vele nieuwe i<strong>de</strong>eën heeft om<br />
het platform <strong>en</strong> netwerk voor jonge auditors te vergrot<strong>en</strong>.<br />
Voor 2009 staat het volg<strong>en</strong><strong>de</strong> c<strong>en</strong>traal:<br />
• <strong>de</strong> bek<strong>en</strong>dheid <strong>van</strong> IIA YP vergrot<strong>en</strong>;<br />
• <strong>de</strong> activiteit<strong>en</strong> lat<strong>en</strong> aansluit<strong>en</strong> op <strong>de</strong> behoefte <strong>en</strong> w<strong>en</strong>s<strong>en</strong><br />
<strong>van</strong> <strong>de</strong> jonge auditors;<br />
gekom<strong>en</strong>. Ik volg naast mijn werk <strong>de</strong><br />
opleiding internal/operational <strong>auditing</strong><br />
aan <strong>de</strong> Erasmus te Rotterdam. De combinatie<br />
werk/studie bevalt me goed. Vooral<br />
het herk<strong>en</strong>n<strong>en</strong> <strong>van</strong> praktijksituaties in <strong>de</strong><br />
theorie <strong>en</strong> an<strong>de</strong>rsom spreekt me erg aan.<br />
Daar leer je meer <strong>van</strong> dan tijd<strong>en</strong>s je reguliere<br />
studie.”<br />
Het belangrijkste verschil tuss<strong>en</strong> zijn<br />
ou<strong>de</strong> <strong>en</strong> huidige functie is dat e<strong>en</strong><br />
accountmanager direct met <strong>de</strong> (eind)klant<br />
te mak<strong>en</strong> heeft. “Je merkt aan alles dat je<br />
in e<strong>en</strong> commerciële omgeving werkzaam<br />
b<strong>en</strong>t.” De belangrijkste overe<strong>en</strong>komst<br />
betreft volg<strong>en</strong>s Schaerlaeck<strong>en</strong>s het in cont<strong>rol</strong><br />
zijn. “Als accountmanager di<strong>en</strong> je<br />
continu aan te kunn<strong>en</strong> ton<strong>en</strong> hoe <strong>en</strong> waarom<br />
je op e<strong>en</strong> bepaal<strong>de</strong> wijze hebt gehan<strong>de</strong>ld.<br />
Ie<strong>de</strong>re keuze die je maakt di<strong>en</strong>t in<br />
het dossier verantwoord te word<strong>en</strong>. Als<br />
internal auditor doe je eig<strong>en</strong>lijk niet<br />
an<strong>de</strong>rs, hoewel dat wel op e<strong>en</strong> an<strong>de</strong>r<br />
niveau is. Daarnaast zie ik als belangrijke<br />
overe<strong>en</strong>komst het risicod<strong>en</strong>k<strong>en</strong> <strong>en</strong> het<br />
<strong>de</strong> overstap<br />
analyser<strong>en</strong>. Wat kan er misgaan, wat is<br />
het maximale risico, restrisico, wat zijn<br />
specifieke <strong>de</strong>kking/cont<strong>rol</strong>s?”<br />
Doorontwikkel<strong>en</strong><br />
Schaerlaeck<strong>en</strong>s wil zich <strong>de</strong> kom<strong>en</strong><strong>de</strong><br />
jar<strong>en</strong> doorontwikkel<strong>en</strong> tot ervar<strong>en</strong> auditor.<br />
Daarna ziet hij weer ver<strong>de</strong>r. “Ik b<strong>en</strong> opgehoud<strong>en</strong><br />
met het mak<strong>en</strong> <strong>van</strong> e<strong>en</strong> langetermijnplanning.<br />
Het allerbelangrijkste is dat<br />
je het naar je zin hebt, <strong>de</strong> rest komt dan<br />
<strong>van</strong>zelf. Dat wil overig<strong>en</strong>s niet zegg<strong>en</strong> dat<br />
ik niet ambitieus b<strong>en</strong>. Ik wil er het beste<br />
<strong>van</strong> mak<strong>en</strong>, eruit hal<strong>en</strong> wat er in zit.”<br />
Het thuisfront ervaart <strong>de</strong> overstap als zeer<br />
positief. “Mijn vri<strong>en</strong>din vindt het ’t belangrijkste<br />
dat ik e<strong>en</strong> baan heb die ik leuk<br />
vind. Daarnaast heb ik nog voldo<strong>en</strong><strong>de</strong> tijd<br />
voor onze tweeling.” Zelf beschouwt<br />
Schaerlaeck<strong>en</strong>s zijn overstap nu al als e<strong>en</strong><br />
succes. “Mijn voornaamste red<strong>en</strong> voor <strong>de</strong><br />
overstap was het vind<strong>en</strong> <strong>van</strong> e<strong>en</strong> nieuwe<br />
uitdaging. Die heb ik gevond<strong>en</strong> <strong>en</strong> daar<br />
b<strong>en</strong> ik nog wel ev<strong>en</strong> zoet mee.”<br />
• het organiser<strong>en</strong> <strong>van</strong> activiteit<strong>en</strong> met e<strong>en</strong> balans tuss<strong>en</strong><br />
netwerk<strong>en</strong> <strong>en</strong> het vergrot<strong>en</strong> <strong>en</strong> <strong>de</strong>l<strong>en</strong> <strong>van</strong> k<strong>en</strong>nis.<br />
Op <strong>de</strong> planning staat e<strong>en</strong> bedrijfsbezoek aan KPN, e<strong>en</strong><br />
kijkje in <strong>de</strong> keuk<strong>en</strong> <strong>van</strong> DNB <strong>en</strong> e<strong>en</strong> exclusieve Young<br />
Professionals Aca<strong>de</strong>my. Ook will<strong>en</strong> wij volg<strong>en</strong>d jaar e<strong>en</strong><br />
aantal informele bije<strong>en</strong>komst<strong>en</strong> organiser<strong>en</strong> waarbij het<br />
netwerk<strong>en</strong> c<strong>en</strong>traal staat.<br />
2009 Belooft e<strong>en</strong> jaar te word<strong>en</strong> waarin jullie nog meer<br />
zull<strong>en</strong> hor<strong>en</strong> <strong>van</strong> IIA YP. E<strong>en</strong> jaar waarvoor wij onszelf tot<br />
doel hebb<strong>en</strong> gesteld om aansprek<strong>en</strong><strong>de</strong> activiteit<strong>en</strong> te<br />
organiser<strong>en</strong> zodat IIA YP het platform is waar wij voor<br />
will<strong>en</strong> staan.<br />
Voor meer informatie: bezoek <strong>de</strong> website of stuur e<strong>en</strong><br />
✉ naar yp@iia.nl.<br />
Heb je zelf suggesties die aansluit<strong>en</strong> bij <strong>de</strong> c<strong>en</strong>trale thema’s<br />
<strong>van</strong> IIA YP voor 2009, dan kun je ook mail<strong>en</strong> naar<br />
yp@iia.nl.<br />
AUDIT magazine<br />
nummer 5 <strong>de</strong>cember 2008<br />
49
oekalert<br />
Gepast <strong>en</strong> ongepast geld<br />
Hans Ludo <strong>van</strong> Mierlo • Scriptum • ISBN 9789055946242 • € 19,95<br />
Sinds begin 2008 wordt er op<strong>en</strong>lijk<br />
gesprok<strong>en</strong> over e<strong>en</strong> bank<strong>en</strong>crisis.<br />
Bank<strong>en</strong> over <strong>de</strong> hele<br />
wereld hebb<strong>en</strong> in e<strong>en</strong> jaar tijd al<br />
meer dan 500 miljard euro moet<strong>en</strong><br />
afboek<strong>en</strong> op riskante l<strong>en</strong>ing<strong>en</strong><br />
<strong>en</strong> dreigd<strong>en</strong> als dominost<strong>en</strong><strong>en</strong><br />
om te vall<strong>en</strong>. Overhed<strong>en</strong>,<br />
c<strong>en</strong>trale bank<strong>en</strong> <strong>en</strong> Chinese<br />
staatsfonds<strong>en</strong> moest<strong>en</strong> te hulp<br />
schiet<strong>en</strong>.<br />
Maar het gaat <strong>van</strong>daag niet meer<br />
alle<strong>en</strong> om e<strong>en</strong> financiële crisis, er<br />
is tegelijk ook sprake <strong>van</strong> e<strong>en</strong><br />
morele crisis. Miljo<strong>en</strong><strong>en</strong> m<strong>en</strong>s<strong>en</strong><br />
proce<strong>de</strong>r<strong>en</strong> teg<strong>en</strong> bank<strong>en</strong> <strong>en</strong> verzekeraars <strong>van</strong>wege slechte voorlichting<br />
over riskante <strong>en</strong> veel te dure product<strong>en</strong>. Financiële instelling<strong>en</strong><br />
moet<strong>en</strong> miljard<strong>en</strong> scha<strong>de</strong>vergoeding betal<strong>en</strong> aan b<strong>en</strong>a<strong>de</strong>el<strong>de</strong> klant<strong>en</strong>.<br />
Maatschappelijke organisaties verwijt<strong>en</strong> bankiers <strong>en</strong> beleggers<br />
gebrek aan aandacht voor <strong>de</strong> sociale <strong>en</strong> ecologische gevolg<strong>en</strong> <strong>van</strong><br />
hun financiering<strong>en</strong>, dichtbij <strong>en</strong> ver weg. Er is ergernis over topsalariss<strong>en</strong>.<br />
Bank<strong>en</strong> vertrouw<strong>en</strong> elkaar niet meer.<br />
Wat is dat voor e<strong>en</strong> industrie, die zichzelf zo in <strong>de</strong> problem<strong>en</strong><br />
br<strong>en</strong>gt? Hebb<strong>en</strong> bankiers eig<strong>en</strong>lijk wel e<strong>en</strong> gewet<strong>en</strong>? Hoe<br />
onmaatschappelijk of maatschappelijk zijn ze? Gepast <strong>en</strong> ongepast<br />
geld geeft op prikkel<strong>en</strong><strong>de</strong> wijze e<strong>en</strong> g<strong>en</strong>uanceerd beeld <strong>van</strong><br />
<strong>de</strong> werkelijkheid.<br />
AUDIT magazine<br />
nummer 5 <strong>de</strong>cember 2008<br />
50<br />
Het Rabbit-Hill mo<strong>de</strong>l<br />
Arco <strong>van</strong> <strong>de</strong> V<strong>en</strong> • ACN Managem<strong>en</strong>t Consultants • ISBN<br />
9789081084826 • € 40,00<br />
Interne beheersing <strong>van</strong> organisaties<br />
staat volop in <strong>de</strong> belangstelling.<br />
De laatste jar<strong>en</strong> zijn<br />
veel methodiek<strong>en</strong>, zoals COSO<br />
ERM, Business Balanced<br />
Scorecard, Levers of Cont<strong>rol</strong>,<br />
INK-mo<strong>de</strong>l, Economic Value<br />
Ad<strong>de</strong>d <strong>en</strong> Activity Based<br />
Costing ontwikkeld om hier<br />
inhoud aan te gev<strong>en</strong>. Het aanbod<br />
is echter zo groot <strong>en</strong> <strong>de</strong><br />
uitgangspunt<strong>en</strong> <strong>van</strong> <strong>de</strong> methodiek<strong>en</strong><br />
zo divers, dat <strong>de</strong> keuze<br />
voor e<strong>en</strong> bij <strong>de</strong> organisatie pass<strong>en</strong><strong>de</strong><br />
methodiek <strong>van</strong> cruciaal<br />
belang is voor e<strong>en</strong> a<strong>de</strong>quate beheersing.<br />
De auteur introduceert het zog<strong>en</strong>aam<strong>de</strong> Rabbit-Hill mo<strong>de</strong>l. Het is<br />
e<strong>en</strong> synthesemo<strong>de</strong>l dat bestaan<strong>de</strong> method<strong>en</strong> <strong>en</strong> techniek<strong>en</strong> selecteert<br />
<strong>en</strong> combineert om e<strong>en</strong> optimale sturing <strong>en</strong> beheersing te<br />
creër<strong>en</strong> voor organisaties. Met <strong>de</strong> uitwerking <strong>van</strong> het Rabbit-Hill<br />
mo<strong>de</strong>l geeft het boek e<strong>en</strong> goed <strong>en</strong> up-to-date overzicht <strong>van</strong><br />
belangrijk geachte methodiek<strong>en</strong> voor interne beheersing.<br />
Het boek wordt bij diverse opleiding<strong>en</strong> gehanteerd. Omdat het<br />
mo<strong>de</strong>l in <strong>de</strong> praktijk zijn waar<strong>de</strong> reeds heeft bewez<strong>en</strong>, is het ook<br />
buit<strong>en</strong> <strong>de</strong> formele opleiding<strong>en</strong> zeer bruikbaar voor cont<strong>rol</strong>lers,<br />
auditors, adviseurs <strong>en</strong> accountants.<br />
Operational <strong>auditing</strong>. E<strong>en</strong> managem<strong>en</strong>tkundige b<strong>en</strong>a<strong>de</strong>ring <strong>van</strong><br />
internal <strong>auditing</strong><br />
A.J.G. Driess<strong>en</strong>, A. Mol<strong>en</strong>kamp • Kluwer • ISBN 9789013019063 • € 72,50<br />
De wijze waarop organisaties word<strong>en</strong> bestuurd, beheerst <strong>en</strong> verantwoording aflegg<strong>en</strong> wordt<br />
mom<strong>en</strong>teel sterk beïnvloed door ontwikkeling<strong>en</strong> als <strong>de</strong> Sarbanes-Oxley Act, <strong>de</strong> corporate governanceco<strong>de</strong><br />
(Tabaksblat), verscherping <strong>van</strong> toezicht op organisaties <strong>en</strong> risk managem<strong>en</strong>t. Deze ontwikkeling<strong>en</strong><br />
hebb<strong>en</strong> e<strong>en</strong> grote impact op <strong>de</strong> functie <strong>van</strong> operational <strong>auditing</strong> <strong>en</strong> dat is voor <strong>de</strong> auteurs<br />
dan ook e<strong>en</strong> belangrijke red<strong>en</strong> geweest om het boek geheel te herzi<strong>en</strong>.<br />
Ook uit het oogpunt <strong>van</strong> interne beheersing bestaat er bij het verantwoor<strong>de</strong>lijke managem<strong>en</strong>t in to<strong>en</strong>em<strong>en</strong><strong>de</strong><br />
mate <strong>de</strong> behoefte om beleidsontwikkeling, planvorming <strong>en</strong> bedrijfsvoering proactief te<br />
toets<strong>en</strong> aan <strong>de</strong> daarvoor gestel<strong>de</strong> ka<strong>de</strong>rs. Teg<strong>en</strong> die achtergrond installer<strong>en</strong> meer <strong>en</strong> meer organisaties,<br />
zowel in <strong>de</strong> markt- als in <strong>de</strong> publieke sector, <strong>de</strong> operational auditfunctie.<br />
Dit boek beschrijft operational <strong>auditing</strong> <strong>van</strong>uit e<strong>en</strong> managem<strong>en</strong>tkundig standpunt. Dat wil zegg<strong>en</strong><br />
dat <strong>de</strong> auteurs operational <strong>auditing</strong> beschouw<strong>en</strong> als <strong>de</strong> toets<strong>en</strong><strong>de</strong> schakel in <strong>de</strong> managem<strong>en</strong>tcyclus.<br />
De operational auditfunctie houdt het topmanagem<strong>en</strong>t op <strong>de</strong> hoogte <strong>van</strong> <strong>de</strong> kwaliteit <strong>van</strong> het functioner<strong>en</strong><br />
<strong>van</strong> <strong>de</strong> organisatie in relatie tot <strong>de</strong> strategische uitgangspunt<strong>en</strong> <strong>en</strong> <strong>de</strong> geld<strong>en</strong><strong>de</strong> beheersingska<strong>de</strong>rs.<br />
Daarmee manifesteert operational <strong>auditing</strong> zich als e<strong>en</strong> noodzakelijk beheersingsinstrum<strong>en</strong>t<br />
voor het managem<strong>en</strong>t <strong>en</strong> levert het e<strong>en</strong> bijdrage aan <strong>de</strong> (verbetering <strong>van</strong> <strong>de</strong>) doeltreff<strong>en</strong>dheid <strong>en</strong><br />
doelmatigheid <strong>van</strong> zowel <strong>de</strong> strategie- <strong>en</strong> beleidsontwikkeling als <strong>de</strong> bedrijfsvoering.
Training Adding Value Using Risk-based Auditing<br />
Op 15 <strong>en</strong> 16 <strong>de</strong>cember 2008 wordt er e<strong>en</strong> training georganiseerd met als on<strong>de</strong>rwerp ‘Adding<br />
value using risk-based <strong>auditing</strong>’. Deze training is bedoeld voor auditdirecteur<strong>en</strong>, auditmanagers,<br />
teamlei<strong>de</strong>rs, interne auditors die richting will<strong>en</strong> gev<strong>en</strong> aan <strong>de</strong> implem<strong>en</strong>tatie <strong>en</strong> uitvoering<br />
<strong>van</strong> risk-based <strong>auditing</strong> in hun organisatie <strong>en</strong> voor auditors <strong>en</strong> consultants die hun vaardighed<strong>en</strong><br />
op het gebied <strong>van</strong> risk-based <strong>auditing</strong> will<strong>en</strong> verbeter<strong>en</strong>.<br />
Inhoud training<br />
Aan <strong>de</strong> hand <strong>van</strong> casusmateriaal <strong>en</strong> groepsdiscussie zal <strong>de</strong>ze training auditmanagers, teamlei<strong>de</strong>rs<br />
<strong>en</strong> an<strong>de</strong>re professionals op (audit)managem<strong>en</strong>tniveau help<strong>en</strong> <strong>de</strong> doelstelling<strong>en</strong> <strong>van</strong><br />
hun organisatie in lijn te br<strong>en</strong>g<strong>en</strong> met het internal auditproces. Daarnaast zal aandacht word<strong>en</strong><br />
geschonk<strong>en</strong> aan het belang <strong>van</strong> corporate governance <strong>en</strong> <strong>en</strong>terprise risk managem<strong>en</strong>t.<br />
Meer informatie over <strong>de</strong>ze training vindt u in <strong>de</strong> activiteit<strong>en</strong>kal<strong>en</strong><strong>de</strong>r op onze website.<br />
Seminar mvo: update voor internal auditors<br />
In 2008 is e<strong>en</strong> aantal belangrijke studies gedaan naar <strong>de</strong> huidige situatie <strong>en</strong> tr<strong>en</strong>ds wat<br />
betreft maatschappelijk verantwoord on<strong>de</strong>rnem<strong>en</strong> (mvo) in Ne<strong>de</strong>rland. Ook het kabinet<br />
heeft zijn visie bepaald <strong>en</strong> beleid neergezet voor duurzaam inkop<strong>en</strong> door <strong>de</strong> overheid. Dit<br />
alles raakt <strong>de</strong> organisaties waarvoor internal auditors werk<strong>en</strong>, zowel in <strong>de</strong> private als in <strong>de</strong><br />
publieke sector.<br />
Actuele stand<br />
Na het bijwon<strong>en</strong> <strong>van</strong> <strong>de</strong>ze update b<strong>en</strong>t u weer op <strong>de</strong> hoogte <strong>van</strong> <strong>de</strong> actuele stand <strong>van</strong> zak<strong>en</strong><br />
inzake mvo, <strong>en</strong> <strong>van</strong> <strong>de</strong> mogelijke kans<strong>en</strong> <strong>en</strong> bedreiging<strong>en</strong> voor uw organisatie. Aan <strong>de</strong> hand<br />
<strong>van</strong> e<strong>en</strong> tweetal casestudies leert u hoe <strong>de</strong> internal auditdi<strong>en</strong>st<strong>en</strong> <strong>van</strong> Rabobank <strong>en</strong> TNT<br />
betrokk<strong>en</strong> zijn bij het verstrekk<strong>en</strong> <strong>van</strong> assurance over mvo.<br />
Het seminar vindt plaats op 17 <strong>de</strong>cember 2008 <strong>en</strong> is bedoeld voor hoofd<strong>en</strong> <strong>van</strong> <strong>IAD</strong>’s, internal<br />
auditors die betrokk<strong>en</strong> zijn bij het uitvoer<strong>en</strong> <strong>van</strong> mvo-audits, externe CSR Assurance<br />
Provi<strong>de</strong>rs, CFO’s, cont<strong>rol</strong>lers <strong>en</strong> directeur<strong>en</strong> die verantwoor<strong>de</strong>lijk zijn voor het realiser<strong>en</strong><br />
<strong>van</strong> het mvo-beleid in hun organisatie.<br />
AUDIT magazine<br />
ver<strong>en</strong>igingsnieuws<br />
Meer informatie over dit seminar vindt u<br />
in <strong>de</strong> activiteit<strong>en</strong>kal<strong>en</strong><strong>de</strong>r op onze website.<br />
Activiteit<strong>en</strong>kal<strong>en</strong><strong>de</strong>r 2008<br />
Februari<br />
11-12 Audit<strong>en</strong> <strong>van</strong> compliance <strong>en</strong> integriteit<br />
25-26 Skills for the new auditor in charge<br />
Maart<br />
18-19 Frau<strong>de</strong><strong>de</strong>tectie <strong>en</strong> on<strong>de</strong>rzoek<br />
3-4 COSO ERM: what’s new, what’s next<br />
3-4 Audit<strong>en</strong> <strong>van</strong> contract<strong>en</strong><br />
24-26 Introduction CSA<br />
April<br />
6-7 Audit<strong>en</strong> <strong>van</strong> project<strong>en</strong><br />
6-7 Soft cont<strong>rol</strong>s<br />
9 <strong>en</strong> 16 Creativiteit: onmisbaar voor auditors<br />
Mei<br />
6-8 Introductie IT-<strong>auditing</strong><br />
19-20 Consulting: activities, skills & attitu<strong>de</strong>s<br />
19-20 IT-governance<br />
21 <strong>en</strong> 28 Basiscoachingsvaardighed<strong>en</strong> voor<br />
auditors<br />
Juni<br />
2-3 Tools & Techniques for the beginning<br />
auditor<br />
9-10 Introductie SAP internal Cont<strong>rol</strong><br />
Auditing<br />
17-18 Introductie Operational Auditing<br />
16 <strong>en</strong> 23 Voortgezette coachingsvaardighed<strong>en</strong><br />
23-24 Tools & Techniques for the beginning<br />
auditor<br />
Wijziging<strong>en</strong> voorbehoud<strong>en</strong>. E<strong>en</strong> actueel<br />
cursusaanbod is beschikbaar op www.iia.nl.<br />
nummer 5 <strong>de</strong>cember 2008<br />
51
nieuws <strong>van</strong> <strong>de</strong> universiteit<strong>en</strong><br />
Ron<strong>de</strong>tafelbije<strong>en</strong>komst PAS over kwaliteitstoetsing bij kleine auditaf<strong>de</strong>ling<strong>en</strong><br />
Auditaf<strong>de</strong>ling<strong>en</strong> di<strong>en</strong><strong>en</strong> teg<strong>en</strong>woordig e<strong>en</strong>maal in <strong>de</strong> vijf jaar getoetst te word<strong>en</strong> aan <strong>de</strong> hand <strong>van</strong> <strong>de</strong> IIA Standards. De ervaring<br />
leert dat dit <strong>de</strong> nodige vraagtek<strong>en</strong>s <strong>en</strong> onzekerhed<strong>en</strong> oproept, vooral bij kleine auditaf<strong>de</strong>ling<strong>en</strong>.<br />
In hoeverre kunn<strong>en</strong> kleine auditaf<strong>de</strong>ling<strong>en</strong> aan alle standards voldo<strong>en</strong>? Wat zijn <strong>de</strong> consequ<strong>en</strong>ties als m<strong>en</strong> e<strong>en</strong> of meer standards<br />
niet kan navolg<strong>en</strong>? Wat is <strong>de</strong> positie <strong>van</strong> e<strong>en</strong> auditaf<strong>de</strong>ling als <strong>de</strong> directie <strong>van</strong> <strong>de</strong> betreff<strong>en</strong><strong>de</strong> organisatie (of <strong>de</strong> auditaf<strong>de</strong>ling zelf)<br />
niet t<strong>en</strong> volle wil meewerk<strong>en</strong> aan <strong>de</strong> toetsing?<br />
De groep PAS (Professionele Audit Solist<strong>en</strong>) heeft het on<strong>de</strong>rwerp al eer<strong>de</strong>r in e<strong>en</strong> themabije<strong>en</strong>komst behan<strong>de</strong>ld; e<strong>en</strong> overleg<br />
waarin ook het bestuur <strong>van</strong> het IIA participeer<strong>de</strong>. Op basis <strong>van</strong> <strong>de</strong> bij dat overleg opgedane ervaring<strong>en</strong> heeft PAS, in afstemming<br />
met het CPP (<strong>de</strong> Commissie Professional Practices <strong>van</strong> het IIA), na<strong>de</strong>r on<strong>de</strong>rzoek gedaan naar <strong>de</strong> toepasbaarheid <strong>van</strong> <strong>de</strong> standards<br />
voor kleine auditaf<strong>de</strong>ling<strong>en</strong>.<br />
E<strong>en</strong> tweetal werkgroepjes heeft zich vervolg<strong>en</strong>s over <strong>de</strong> standards gebog<strong>en</strong>. De resultat<strong>en</strong> <strong>van</strong> dat on<strong>de</strong>rzoek zijn in e<strong>en</strong> docum<strong>en</strong>t<br />
uitgewerkt, waarbij per standard is aangegev<strong>en</strong> in hoeverre <strong>de</strong>ze att<strong>en</strong>tie- of discussiepunt<strong>en</strong> voor kleine <strong>IAD</strong>’s oproep<strong>en</strong><br />
<strong>en</strong> hoe kleine <strong>IAD</strong>’s hier mee om zoud<strong>en</strong> moet<strong>en</strong> gaan.<br />
Discussie<br />
Op 16 oktober jl. vond aan <strong>de</strong> UvA e<strong>en</strong> ron<strong>de</strong>tafelbije<strong>en</strong>komst plaats waarin PAS haar opvatting<strong>en</strong> <strong>en</strong> aanbeveling<strong>en</strong> <strong>van</strong> <strong>de</strong> twee<br />
werkgroep<strong>en</strong> over <strong>de</strong> IIA Standards pres<strong>en</strong>teer<strong>de</strong> aan <strong>de</strong> <strong>de</strong>elnemers, waaron<strong>de</strong>r ook verteg<strong>en</strong>woordigers <strong>van</strong> het IIA-bestuur<br />
<strong>en</strong> <strong>de</strong> Commissie Kwaliteitstoetsing. Aan <strong>de</strong> hand <strong>van</strong> <strong>de</strong> resultat<strong>en</strong> <strong>van</strong> het on<strong>de</strong>rzoek <strong>en</strong> e<strong>en</strong> aantal stelling<strong>en</strong> vond e<strong>en</strong> discussie<br />
plaats met het doel te kom<strong>en</strong> tot uitsprak<strong>en</strong> over kwaliteitstoetsing bij kleine auditaf<strong>de</strong>ling<strong>en</strong> <strong>en</strong> aanpal<strong>en</strong><strong>de</strong> on<strong>de</strong>rwerp<strong>en</strong> als<br />
accreditatie <strong>en</strong> zelfevaluatie.<br />
De discussie conc<strong>en</strong>treer<strong>de</strong> zich on<strong>de</strong>r meer op het vraagstuk <strong>van</strong> <strong>de</strong> veelzijdigheid <strong>van</strong> activiteit<strong>en</strong> die kleine of beginn<strong>en</strong><strong>de</strong><br />
auditdi<strong>en</strong>st<strong>en</strong> uitvoer<strong>en</strong>, met daarbij <strong>de</strong> vraag in hoeverre dit conflicteert met <strong>de</strong> IIA Standards. Unaniem werd herk<strong>en</strong>d dat veel<br />
cont<strong>rol</strong>-initiatiev<strong>en</strong> binn<strong>en</strong> <strong>de</strong> organisatie uit <strong>de</strong> koker <strong>van</strong> beginn<strong>en</strong><strong>de</strong> <strong>IAD</strong>’s kom<strong>en</strong> <strong>en</strong> dat auditors, als verme<strong>en</strong><strong>de</strong> <strong>de</strong>skundig<strong>en</strong><br />
op het gebied <strong>van</strong> cont<strong>rol</strong>, word<strong>en</strong> ‘uitg<strong>en</strong>odigd’ om werkzaamhed<strong>en</strong> in dit ka<strong>de</strong>r uit te voer<strong>en</strong>. Deze werkzaamhed<strong>en</strong> omvatt<strong>en</strong><br />
veelal het introducer<strong>en</strong> <strong>van</strong> risk managem<strong>en</strong>t, compliance <strong>en</strong> CRSA.<br />
Volg<strong>en</strong>s <strong>de</strong> standards zoud<strong>en</strong> <strong>de</strong>ze activiteit<strong>en</strong> in <strong>de</strong> lijn of bij an<strong>de</strong>re stafdi<strong>en</strong>st<strong>en</strong> moet<strong>en</strong> word<strong>en</strong> belegd. De opvatting was dat<br />
<strong>de</strong> <strong>IAD</strong> weliswaar input kan lever<strong>en</strong> voor nieuwe initiatiev<strong>en</strong> bij inrichtingsvraagstukk<strong>en</strong>, maar <strong>de</strong> <strong>IAD</strong> blijft <strong>de</strong> third line of <strong>de</strong>f<strong>en</strong>ce,<br />
waarbij ook het audit<strong>en</strong> <strong>van</strong> <strong>de</strong> second line of <strong>de</strong>f<strong>en</strong>ce tot <strong>de</strong> scope <strong>van</strong> audit behoort.<br />
Groeimo<strong>de</strong>l<br />
Bre<strong>de</strong> steun was er voor het i<strong>de</strong>e om het IIA e<strong>en</strong> groeimo<strong>de</strong>l te lat<strong>en</strong> ontwikkel<strong>en</strong>, e<strong>en</strong> mo<strong>de</strong>l waaraan kleine <strong>IAD</strong>’s getoetst kunn<strong>en</strong><br />
word<strong>en</strong>. Vanzelfsprek<strong>en</strong>d zou dat mo<strong>de</strong>l moet<strong>en</strong> bevor<strong>de</strong>r<strong>en</strong> dat <strong>de</strong> kleinere <strong>IAD</strong> binn<strong>en</strong> e<strong>en</strong> perio<strong>de</strong> <strong>van</strong> e<strong>en</strong> aantal jar<strong>en</strong> <strong>de</strong><br />
status ‘voldoet aan <strong>de</strong> standards’ zou moet<strong>en</strong> kunn<strong>en</strong> bereik<strong>en</strong>.<br />
E<strong>en</strong> an<strong>de</strong>re stellingname <strong>van</strong> het PAS was of <strong>de</strong> quality assessm<strong>en</strong>ts wel door het IIA uitgevoerd zoud<strong>en</strong> moet<strong>en</strong> word<strong>en</strong>. De<br />
opvatting daarbij is dat het IIA niet zelf moet toets<strong>en</strong>, maar <strong>de</strong> daarvoor in aanmerking kom<strong>en</strong><strong>de</strong> instanties zou di<strong>en</strong><strong>en</strong> te accrediter<strong>en</strong>.<br />
Bij dit on<strong>de</strong>rwerp kwam naar vor<strong>en</strong> of ook ‘e<strong>en</strong>pitters’ praktisch gezi<strong>en</strong> wel aan alle standards kunn<strong>en</strong> voldo<strong>en</strong>. E<strong>en</strong> <strong>van</strong> <strong>de</strong> praktische<br />
problem<strong>en</strong> daarbij is bijvoorbeeld <strong>de</strong> interne kwaliteitstoetsing <strong>van</strong> <strong>de</strong> auditwerkzaamhed<strong>en</strong>. Het lat<strong>en</strong> beoor<strong>de</strong>l<strong>en</strong> <strong>van</strong> <strong>de</strong><br />
kwaliteit <strong>van</strong> uitgevoer<strong>de</strong> werkzaamhed<strong>en</strong> door extern<strong>en</strong> of peers werd daarbij als mogelijke oplossing naar vor<strong>en</strong> gebracht.<br />
Aan het eind <strong>van</strong> <strong>de</strong> bije<strong>en</strong>komst werd het resultaat <strong>van</strong> het door PAS uitgevoer<strong>de</strong> on<strong>de</strong>rzoek aan het IIA-bestuur overgedrag<strong>en</strong>.<br />
Ver<strong>de</strong>re uitwerking daar<strong>van</strong> zal door <strong>de</strong> Commissie Vaktechniek ter hand word<strong>en</strong> g<strong>en</strong>om<strong>en</strong>.<br />
AUDIT magazine<br />
nummer 5 <strong>de</strong>cember 2008<br />
52
Terugblik ESAA-symposium<br />
‘De commissaris:<br />
<strong>de</strong> zwakste<br />
schakel in corporategovernance?’<br />
was<br />
het thema voor<br />
<strong>de</strong> op<strong>en</strong>ingsbije<strong>en</strong>komst<br />
<strong>van</strong> het collegejaar 2008-2009 <strong>van</strong> <strong>de</strong> Erasmus School of<br />
Accounting & Assurance. Het door meer dan vierhon<strong>de</strong>rd stud<strong>en</strong>t<strong>en</strong><br />
<strong>en</strong> alumni bezochte symposium vond plaats op vrijdag 5 september<br />
2008 aan <strong>de</strong> Erasmus Universiteit Rotterdam.<br />
Sprekers<br />
Prof.dr. S.J. Maijoor (Autoriteit Financiële Markt<strong>en</strong>) gaf zijn visie<br />
op <strong>de</strong> ontwikkeling<strong>en</strong> in corporate governance. Prof.dr. J.A. <strong>van</strong><br />
Man<strong>en</strong> (PwC) ging in op <strong>de</strong> relatie tuss<strong>en</strong> <strong>de</strong> raad <strong>van</strong> commissariss<strong>en</strong><br />
<strong>en</strong> <strong>de</strong> externe accountant tijd<strong>en</strong>s e<strong>en</strong> crisissituatie. Prof.dr.<br />
M.N. Hoog<strong>en</strong>doorn RA besprak casuïstiek met betrekking tot goed<br />
bestuur zoals <strong>de</strong>ze bij <strong>de</strong> On<strong>de</strong>rnemingskamer aan <strong>de</strong> or<strong>de</strong> komt.<br />
Ook <strong>de</strong> relatie tuss<strong>en</strong> CFO <strong>en</strong> <strong>de</strong> commissaris (mr.drs. C.M.J.<strong>van</strong><br />
Rijn, CFO Nutreco) <strong>en</strong> <strong>de</strong> relatie tuss<strong>en</strong> private equity <strong>en</strong> <strong>de</strong> commissaris<br />
(drs, H.P.M. Stolker, kernteamlid Programma voor<br />
Commissariss<strong>en</strong> <strong>en</strong> Toezichthou<strong>de</strong>rs ESAA) kwam<strong>en</strong> aan <strong>de</strong> or<strong>de</strong>.<br />
De middag werd afgeslot<strong>en</strong> met e<strong>en</strong> lev<strong>en</strong>dige paneldiscussie<br />
on<strong>de</strong>r leiding <strong>van</strong> prof. J.C.A. Gortemaker RA, directeur ESAA.<br />
Module BIV/AO<br />
In januari 2009 start weer e<strong>en</strong> nieuwe serie colleges BIV/AO. De<br />
module BIV/AO maakt <strong>de</strong>el uit <strong>van</strong> het curriculum <strong>van</strong> <strong>de</strong> opleiding<br />
I/OA <strong>en</strong> IT-<strong>auditing</strong>. De module kan echter ook los word<strong>en</strong> gevolgd<br />
op vrijdag overdag.<br />
Voor na<strong>de</strong>re informatie: www.esaa.nl of via tel.nr. 010-4082217.<br />
Feestelijke buluitreiking<br />
Op 28 oktober jl. vond <strong>de</strong> <strong>de</strong>r<strong>de</strong> gezam<strong>en</strong>lijke buluitreiking plaats<br />
voor afgestu<strong>de</strong>erd<strong>en</strong> <strong>van</strong> <strong>de</strong> postinitiële masteropleiding<strong>en</strong><br />
Internal/Operational Auditing <strong>en</strong> IT-Auditing in hotel New York in<br />
Rotterdam.<br />
Stud<strong>en</strong>t<strong>en</strong> die in <strong>de</strong> perio<strong>de</strong> juni tot <strong>en</strong> met oktober 2008 zijn<br />
afgestu<strong>de</strong>erd, kond<strong>en</strong> in daar hun bul in ont<strong>van</strong>gst nem<strong>en</strong>. De<br />
voorzitter <strong>van</strong> het curatorium <strong>van</strong> <strong>de</strong> bei<strong>de</strong> opleiding<strong>en</strong>, Lex <strong>van</strong><br />
<strong>de</strong>r Drift, richtte nam<strong>en</strong>s het curatorium het woord tot <strong>de</strong> stud<strong>en</strong>t<strong>en</strong><br />
<strong>en</strong> gaf on<strong>de</strong>r an<strong>de</strong>re het belang aan <strong>van</strong> <strong>de</strong> aandacht voor<br />
soft cont<strong>rol</strong>s in mo<strong>de</strong>rne organisaties.<br />
nieuws <strong>van</strong> <strong>de</strong> universiteit<strong>en</strong><br />
Afgestu<strong>de</strong>erd in september <strong>en</strong> oktober 2008<br />
In september <strong>en</strong> oktober 2008 hebb<strong>en</strong> <strong>de</strong> volg<strong>en</strong><strong>de</strong> stud<strong>en</strong>t<strong>en</strong><br />
slotexam<strong>en</strong> afgelegd voor <strong>de</strong> opleiding I/OA:<br />
Carlo Bavius Eneco Energie<br />
Gerrit Elsinga Aegon nv<br />
Gabriëlle ter Hart Ernst & Young Advisory<br />
Miranda Hesselink ABN Amro Bank nv<br />
Roy Jans<strong>en</strong> Ministerie <strong>van</strong> Def<strong>en</strong>sie<br />
Arie <strong>van</strong> Krimp<strong>en</strong> KPMG<br />
Ca<strong>rol</strong>ine Meun Klaverblad Verzekering<strong>en</strong><br />
Patrick Pershad ANWB bv<br />
Marijke <strong>van</strong> <strong>de</strong>r Ploeg Interpolis Verzekering<strong>en</strong> nv<br />
Erik Pothast EDP Audit-Pool<br />
Ashwin Ramcharan ING Bank<br />
Gerrit-Jan Spruijt Quion<br />
Reinier <strong>de</strong> Vries Syng<strong>en</strong>ta Seeds bv<br />
Sam<strong>en</strong>werking kopjar<strong>en</strong> ESAA <strong>en</strong> NIVRA-<br />
Ny<strong>en</strong>ro<strong>de</strong><br />
De Erasmus School of Accounting & Assurance <strong>en</strong> NIVRA-Ny<strong>en</strong>ro<strong>de</strong><br />
School of Accountancy & Cont<strong>rol</strong>ling gaan sam<strong>en</strong>werk<strong>en</strong>. Ze zijn overe<strong>en</strong>gekom<strong>en</strong><br />
om <strong>de</strong> kopjar<strong>en</strong> Executive Master in IT-Auditing <strong>en</strong> Executive<br />
Master in Internal Auditing sam<strong>en</strong> aan te bied<strong>en</strong>. Dit betek<strong>en</strong>t dat er voor<br />
stud<strong>en</strong>t<strong>en</strong> <strong>de</strong> mogelijkheid bestaat om zowel in Rotterdam als in Breukel<strong>en</strong><br />
e<strong>en</strong> <strong>van</strong> <strong>de</strong>ze kopjar<strong>en</strong> te volg<strong>en</strong>. De kom<strong>en</strong><strong>de</strong> tijd zal er ver<strong>de</strong>r vorm word<strong>en</strong><br />
gegev<strong>en</strong> aan <strong>de</strong>ze sam<strong>en</strong>werking.<br />
AUDIT magazine<br />
De feestelijke buluitreiking<br />
nummer 5 <strong>de</strong>cember 2008<br />
53
column <strong>de</strong> toestand in <strong>de</strong> auditwereld<br />
AUDIT magazine<br />
nummer 5 <strong>de</strong>cember 2008<br />
De financiële crisis:<br />
door het ijs gezakt?<br />
Dr. J.R. <strong>van</strong> Kuijck*<br />
In <strong>de</strong> vorige column gaf ik aan dat Europa op <strong>de</strong><br />
rand <strong>van</strong> e<strong>en</strong> recessie balanceert. Maar na <strong>de</strong><br />
ontwikkeling<strong>en</strong> in <strong>de</strong> herfst <strong>van</strong> 2008 is het<br />
dui<strong>de</strong>lijk; niet alle<strong>en</strong> <strong>de</strong> VS <strong>en</strong> Europa stort<strong>en</strong> zich<br />
in e<strong>en</strong> recessie, ook an<strong>de</strong>re <strong>de</strong>l<strong>en</strong> <strong>van</strong> <strong>de</strong> wereld. Het<br />
vertrouw<strong>en</strong> in <strong>de</strong> financiële wereld is compleet zoek<br />
<strong>en</strong> dat heeft e<strong>en</strong> verlamm<strong>en</strong>d effect op <strong>de</strong> geldstrom<strong>en</strong><br />
tuss<strong>en</strong> alle marktpartij<strong>en</strong>. Als goudspuit<strong>en</strong><br />
voor reumapatiënt<strong>en</strong> word<strong>en</strong> wereldwijd geldinjecties<br />
aan grote bank<strong>en</strong> <strong>en</strong> an<strong>de</strong>re financiële instelling<strong>en</strong><br />
toegedi<strong>en</strong>d. Ze moet<strong>en</strong> <strong>de</strong> patiënt weer op <strong>de</strong><br />
be<strong>en</strong> help<strong>en</strong>. Maar het lijkt tevergeefs <strong>en</strong> <strong>de</strong> beurz<strong>en</strong><br />
lat<strong>en</strong> e<strong>en</strong> jojo-effect met e<strong>en</strong> negatieve tr<strong>en</strong>d zi<strong>en</strong>.<br />
De afgelop<strong>en</strong> tijd is <strong>de</strong> beurswaar<strong>de</strong> <strong>van</strong> on<strong>de</strong>rneming<strong>en</strong><br />
verdampt <strong>en</strong> dal<strong>en</strong> <strong>de</strong>kkingsperc<strong>en</strong>tages <strong>van</strong><br />
p<strong>en</strong>sio<strong>en</strong>fonds<strong>en</strong>. Langzaam maar zeker wordt <strong>de</strong><br />
om<strong>van</strong>g <strong>en</strong> het effect <strong>van</strong> <strong>de</strong> crisis dui<strong>de</strong>lijker. Wie<br />
had vooraf kunn<strong>en</strong> bed<strong>en</strong>k<strong>en</strong> dat NINJA-hypothek<strong>en</strong><br />
<strong>en</strong> opportunistische bankiers zoud<strong>en</strong> kunn<strong>en</strong> zorg<strong>en</strong><br />
voor het op <strong>de</strong> kop zett<strong>en</strong> <strong>van</strong> <strong>de</strong> financiële wereld<br />
<strong>en</strong> <strong>de</strong> reële economie?<br />
Je zult net in die perio<strong>de</strong> e<strong>en</strong> sabbatical plann<strong>en</strong>. En<br />
ook nog e<strong>en</strong>s e<strong>en</strong> <strong>de</strong>el <strong>van</strong> je spaartegoed parker<strong>en</strong><br />
bij Icesave dat door het ijs zakt. Dom om te spar<strong>en</strong><br />
bij Icesave? Sommig<strong>en</strong> zegg<strong>en</strong>: <strong>de</strong> spaar<strong>de</strong>rs war<strong>en</strong><br />
te hebberig <strong>en</strong> hadd<strong>en</strong> dit aan kunn<strong>en</strong> zi<strong>en</strong> kom<strong>en</strong>.<br />
Immers, zo’n hoge r<strong>en</strong>te kon je bij ge<strong>en</strong> <strong>en</strong>kele<br />
an<strong>de</strong>re Ne<strong>de</strong>rlandse bank krijg<strong>en</strong>. Dat er concurr<strong>en</strong>tie<br />
bestaat <strong>en</strong> <strong>de</strong> hoogte <strong>van</strong> <strong>de</strong> r<strong>en</strong>te op spaartegoed<strong>en</strong><br />
door Ne<strong>de</strong>rlandse bank<strong>en</strong> op e<strong>en</strong> structurele<br />
wijze wordt getemperd, verget<strong>en</strong> we gemakshalve<br />
maar ev<strong>en</strong>. Maar gelukkig was niet alle<strong>en</strong> <strong>de</strong> individuele<br />
spaar<strong>de</strong>r dom geweest. Naar later bleek<br />
war<strong>en</strong> dat ook lagere overhed<strong>en</strong> zoals provincies <strong>en</strong><br />
geme<strong>en</strong>t<strong>en</strong>. Nu zijn ine<strong>en</strong>s alle Ne<strong>de</strong>rlandse burgers<br />
door het ijs gezakt!<br />
Weer an<strong>de</strong>r<strong>en</strong> zegg<strong>en</strong> dat IJsland financieel gezi<strong>en</strong><br />
het wil<strong>de</strong> West<strong>en</strong> was <strong>en</strong> op omvall<strong>en</strong> stond. Maar<br />
mag je niet meer vertrouw<strong>en</strong> op garanties die e<strong>en</strong><br />
54<br />
c<strong>en</strong>trale bank <strong>van</strong> e<strong>en</strong> geciviliseerd land afgeeft, laat<br />
staan op <strong>de</strong> overheid? K<strong>en</strong>nelijk niet meer! Waar<br />
was onze DNB eig<strong>en</strong>lijk? Hadd<strong>en</strong> zij <strong>de</strong> vergunning<br />
moet<strong>en</strong> gev<strong>en</strong> aan Icesave, e<strong>en</strong> bijkantoor <strong>van</strong> <strong>de</strong><br />
Landskibank? Natuurlijk, zij war<strong>en</strong> verplicht, conform<br />
Europese regelgeving, <strong>de</strong> eerste ver<strong>de</strong>digingslinie<br />
<strong>van</strong> DNB. Het bijkantoor viel keurig on<strong>de</strong>r het<br />
toezicht <strong>van</strong> IJsland <strong>en</strong> er was e<strong>en</strong> <strong>de</strong>positogarantie<br />
<strong>van</strong> kracht. Maar <strong>de</strong> DNB is in haar toezicht tekortgeschot<strong>en</strong><br />
omdat <strong>de</strong> bank ook on<strong>de</strong>r e<strong>en</strong> aanvull<strong>en</strong><strong>de</strong><br />
Ne<strong>de</strong>rlandse <strong>de</strong>positogarantie viel. Volg<strong>en</strong>s<br />
econoom Swe<strong>de</strong>r <strong>van</strong> Wijnberg<strong>en</strong> verschafte DNB<br />
Icesave impliciet e<strong>en</strong> verklaring <strong>van</strong> goedgedrag<br />
to<strong>en</strong> <strong>de</strong> toezichthou<strong>de</strong>r <strong>de</strong> vergunning verle<strong>en</strong><strong>de</strong> aan<br />
<strong>de</strong> verme<strong>en</strong><strong>de</strong> cowboys om op <strong>de</strong> Ne<strong>de</strong>rlandse<br />
spaarmarkt te operer<strong>en</strong>. Kunn<strong>en</strong> we nog vertrouw<strong>en</strong><br />
op DNB of <strong>de</strong> Staat <strong>de</strong>r Ne<strong>de</strong>rland<strong>en</strong>?<br />
Managers, toezichthou<strong>de</strong>rs, c<strong>en</strong>trale bank<strong>en</strong>, rating<br />
ag<strong>en</strong>cies, auditors <strong>en</strong> overhed<strong>en</strong> zijn <strong>de</strong> afgelop<strong>en</strong><br />
maand<strong>en</strong> door het ijs gezakt. M<strong>en</strong>s<strong>en</strong> voel<strong>en</strong> zich<br />
bedrog<strong>en</strong> <strong>en</strong> met e<strong>en</strong> kluitje in het riet gestuurd.<br />
Veel internal auditors <strong>van</strong> financiële instelling<strong>en</strong><br />
vrag<strong>en</strong> zich op<strong>en</strong>lijk af of zij ook niet hebb<strong>en</strong><br />
gefaald. Dat zijn zij ook aan hun stand verplicht.<br />
Het antwoord op <strong>de</strong>ze vraag zal help<strong>en</strong> om <strong>de</strong><br />
nieuwe toekomst te bouw<strong>en</strong>.<br />
Lat<strong>en</strong> we ook positief zijn. Wij hebb<strong>en</strong> mooi ABN<br />
Amro weer terug, g<strong>en</strong>ationaliseerd <strong>en</strong> wel, dus wat<br />
kan er nog misgaan!? Bov<strong>en</strong>di<strong>en</strong> hebb<strong>en</strong> we<br />
Rijkman-Gro<strong>en</strong>ink nog die k<strong>en</strong>baar heeft gemaakt<br />
De Bank – <strong>en</strong> daarmee volk <strong>en</strong> va<strong>de</strong>rland – te will<strong>en</strong><br />
di<strong>en</strong><strong>en</strong>. Net wat we nodig hebb<strong>en</strong>!? Op langere termijn<br />
komt het ook goed. Lees het boek The Asc<strong>en</strong>t<br />
of Money – a Financial History of the World <strong>van</strong><br />
Niall Ferguson <strong>en</strong> u zult zi<strong>en</strong> dat alles goed komt.<br />
Vertrouw me!<br />
* G<strong>en</strong>iet thans <strong>van</strong> e<strong>en</strong> sabbatical. Voorhe<strong>en</strong> CAE bij<br />
VION Food Group (<strong>van</strong>kuijck.bob@hetnet.nl).
����������������<br />
���<br />
���������<br />
�������� �����<br />
������<br />
�� ����� ���� ����� ��� ���������� ��������� �� �� �������� � ��������������<br />
������� �� �� ��� ��� �� �� �� ���� �����������������������<br />
���� ����� ���� ������� ��<br />
�������� ���� ���������� ���� �������� �����<br />
���� ���������� ��������� ����������� �� ��� ������ �������� �� ��� ����������� ���������<br />
���������� �������<br />
� �������� � ������� ���������� ��� ���� ����� ����<br />
� ����������� ��� ����� ������� ���� ���� ���������� ������� ���������<br />
� �������� ���������� ��� ��� ����� ��������� ���� ����������<br />
��� ���������<br />
� �������� ����� ����������� �������� ��� ������� ������� ��������<br />
��������� ��� ������� ��������<br />
� ���������� ���������� ���� ��� ��������������� ����������� ���� ���<br />
���� ���������� ������� �� ���� � �������� ������� �� ����������<br />
© 2008 Protiviti Inc.<br />
An Equal Opportunity Employer. Protiviti is not lic<strong>en</strong>sed or registered as a public accounting firm and does not issue opinions on financial statem<strong>en</strong>ts or offer attestation services. 1006
It’s all about<br />
right<br />
pushing the right buttons.<br />
Carrière mak<strong>en</strong> e<strong>en</strong> kwestie <strong>van</strong> e<strong>en</strong> druk op <strong>de</strong> juiste knop? Niet dus, dat weet jij inmid<strong>de</strong>ls ook wel. Carrière mak<strong>en</strong> vergt heel wat meer. Ambitie, gedrev<strong>en</strong>heid.<br />
Vakk<strong>en</strong>nis. Passie voor je vak. Sociale kwaliteit<strong>en</strong>. En natuurlijk: tal<strong>en</strong>t. Maar groei<strong>en</strong>, vooruit kom<strong>en</strong>, jezelf ontwikkel<strong>en</strong> – het vraagt nog meer: e<strong>en</strong> omgeving<br />
waarin je tal<strong>en</strong>t<strong>en</strong> ook werkelijk tot hun recht kunn<strong>en</strong> kom<strong>en</strong>. Waarin veelbelov<strong>en</strong><strong>de</strong> professionals als jij herk<strong>en</strong>d word<strong>en</strong> <strong>en</strong> <strong>de</strong> ruimte krijg<strong>en</strong> om hun<br />
knowhow, hun gevoel voor het vak <strong>en</strong> affiniteit met klant<strong>en</strong> voortdur<strong>en</strong>d te scherp<strong>en</strong>. E<strong>en</strong> omgeving zoals Deloitte dus.<br />
Deloitte is met ruim 6.000<br />
me<strong>de</strong>werkers <strong>en</strong> kantor<strong>en</strong> in<br />
heel Ne<strong>de</strong>rland <strong>de</strong> grootste<br />
organisatie op het gebied <strong>van</strong><br />
Belastingadvies, Accountancy,<br />
Consultancy <strong>en</strong> Financieel<br />
Advies. ERS houdt zich bezig<br />
met di<strong>en</strong>stverl<strong>en</strong>ing voor<br />
on<strong>de</strong>rneming<strong>en</strong>, gericht op <strong>de</strong><br />
cont<strong>rol</strong>e <strong>van</strong> <strong>de</strong> process<strong>en</strong> <strong>en</strong> <strong>de</strong><br />
IT-architectuur achter <strong>de</strong> cijfers.<br />
Dat betek<strong>en</strong>t het signaler<strong>en</strong>,<br />
analyser<strong>en</strong>, beoor<strong>de</strong>l<strong>en</strong><br />
<strong>en</strong> manag<strong>en</strong> <strong>van</strong> risico’s.<br />
Variër<strong>en</strong>d <strong>van</strong> boardroomrisico’s<br />
op strategisch niveau<br />
tot technische risico’s op<br />
netwerkniveau, zowel in e<strong>en</strong><br />
adviser<strong>en</strong><strong>de</strong> als cont<strong>rol</strong>er<strong>en</strong><strong>de</strong><br />
<strong>rol</strong>. Buit<strong>en</strong>gewoon uitdag<strong>en</strong>d<br />
<strong>en</strong> afwissel<strong>en</strong>d werk voor<br />
ambitieus tal<strong>en</strong>t. Voor iemand<br />
als jij dus!<br />
TreasuringTal<strong>en</strong>t.com<br />
Voor Deloitte Enterprise Risk Services zoek<strong>en</strong> we wo-ers met e<strong>en</strong> bedrijfskundige of IT-gerelateer<strong>de</strong> studie <strong>en</strong> werkervaring<br />
<strong>van</strong>af 3 jaar. Met interesse in e<strong>en</strong> <strong>van</strong> <strong>de</strong> volg<strong>en</strong><strong>de</strong> werkgebied<strong>en</strong>:<br />
IT-Auditors<br />
Specialist<strong>en</strong> die zich bezighoud<strong>en</strong> met on<strong>de</strong>rzoek naar <strong>de</strong><br />
kwaliteit <strong>van</strong> <strong>de</strong> beheersing <strong>van</strong> IT-risico’s <strong>en</strong> vraagstukk<strong>en</strong> op<br />
het gebied <strong>van</strong> Corporate <strong>en</strong> IT Governance.<br />
Applicatiespecialist<strong>en</strong><br />
Consultants die betrokk<strong>en</strong> zijn bij het adviser<strong>en</strong>, cont<strong>rol</strong>er<strong>en</strong><br />
<strong>en</strong> implem<strong>en</strong>ter<strong>en</strong> <strong>van</strong> cont<strong>rol</strong> frameworks <strong>en</strong> beveiliging <strong>van</strong><br />
ERP-applicaties (SAP, Oracle, JD Edwards, Peoplesoft).<br />
Security-specialist<strong>en</strong><br />
Professionals die adviser<strong>en</strong> over complexe security-system<strong>en</strong><br />
<strong>en</strong> bijbehor<strong>en</strong><strong>de</strong> process<strong>en</strong> (beveiliging, netwerk<strong>en</strong>, hacking,<br />
privacy) <strong>en</strong> <strong>de</strong>ze cont<strong>rol</strong>er<strong>en</strong> <strong>en</strong> implem<strong>en</strong>ter<strong>en</strong>.<br />
Data-specialist<strong>en</strong><br />
Je richt je o.a. op frau<strong>de</strong><strong>de</strong>tectie in databestand<strong>en</strong>; on<strong>de</strong>rsteuning<br />
bij accountantscont<strong>rol</strong>e m.b.v. data-analyse; econometrische<br />
mo<strong>de</strong>lbouw <strong>en</strong> research om specifieke klantvraagstukk<strong>en</strong><br />
op te loss<strong>en</strong>; conversie <strong>en</strong> opschoning <strong>van</strong> data in<br />
IT-system<strong>en</strong> als SAP, Oracle, JD Edwards.<br />
Softwarespecialist<strong>en</strong><br />
Je ontwerpt <strong>en</strong> bouwt internettoepassing<strong>en</strong> met <strong>de</strong> nieuwste<br />
Microsoft-technologie. En je werkt in e<strong>en</strong> multidisciplinair<br />
team <strong>van</strong> specialist<strong>en</strong> aan web-oplossing<strong>en</strong> om Deloitte <strong>en</strong><br />
haar cliënt<strong>en</strong> te on<strong>de</strong>rsteun<strong>en</strong>.<br />
Riskconsultants/internal auditors<br />
Je werkt aan opdracht<strong>en</strong> op het gebied <strong>van</strong> <strong>en</strong>terprise-wi<strong>de</strong><br />
risk managem<strong>en</strong>t <strong>en</strong> internal audit, die je in multidisciplinaire<br />
teams uitvoert bij onze grote internationale klant<strong>en</strong>.<br />
Deloitte biedt je e<strong>en</strong> ruime mate aan afwisseling <strong>en</strong> uitstek<strong>en</strong><strong>de</strong> doorgroeimogelijkhed<strong>en</strong>. Internationale training<strong>en</strong>,<br />
postdoctorale opleidingsmogelijkhed<strong>en</strong>, e<strong>en</strong> informele werksfeer: dat is typisch Deloitte. We vrag<strong>en</strong> veel <strong>van</strong> je, maar<br />
gev<strong>en</strong> je ook veel ruimte. Meer wet<strong>en</strong> over onze vacatures binn<strong>en</strong> ERS of solliciter<strong>en</strong>? Ga dan naar onze website<br />
www.careers.<strong>de</strong>loitte.com. Je kunt ook contact opnem<strong>en</strong> met Mina Bahaj, telefoonnummer 020 - 454 74 34, e-mail:<br />
mbahaj@<strong>de</strong>loitte.nl.