Digitalisering dwingt tot samenwerking accountant en IT-auditor
Lees ook: Lector René Matthijsse: “Ketenauditing is beroep van de toekomst”
Wanneer een controlerend accountant een IT-auditor inschakelt, toetst de IT-auditor in veel gevallen de beheersing en compliance van de IT omgeving. De accountant maakt vervolgens weer een afweging op welke oordelen van de IT-auditor hij gaat steunen. Dit is een opeenstapeling van professionele oordeelsvorming. Het kennisniveau van de accountant omtrent IT moet voldoende zijn om dit zorgvuldig te kunnen beoordelen. Om de samenwerking tussen accountant en IT-auditor goed te laten verlopen dient aan verschillende voorwaarden te worden voldaan. Deze bijdrage noemt enkele concrete aanbevelingen.
Digitalisering dendert door
Digitale connectie, mobiele toepassingen, sociale media en cloud vormen krachtige instrumenten waardoor informatie een onmiddellijk effect krijgt. De digitalisering dendert door. Samenwerking tussen accountant en IT-auditor wordt steeds meer een dringende noodzaak. Digitalisering betekent, dat meer informatie beschikbaar komt (big data), dat informatie sneller verwerkt kan worden (fast-close) en dat betere analyses gemaakt kunnen worden (business intelligence). De explosie aan data betekent ook, dat organisaties zich moeten afvragen wat ze eigenlijk willen meten en weten. Informatiewaarde houdt immers verband met waardecreatie.
Ketensamenwerking, ecosystemen en informatieketens staan momenteel volop in de aandacht. Bedrijfsleven en overheden maken massaal gebruik van informatiestromen en hebben hun informatiebeleid, uitvoering en toezicht daarop aangepast. Door het koppelen en uitwisselen van data vervagen de traditionele grenzen tussen marktsectoren en overheidsorganisaties. De verantwoordelijkheid voor de kwaliteit van gegevens is bij wet geregeld, maar daarin is niet de betrouwbaarheid van informatieketens geregeld. De toename van digitalisering leidt in toenemende mate tot integratie van de bedrijfsprocessen tussen organisaties onderling en met hun belangrijkste stakeholders. Door deze samenwerking en digitale connectie wordt het geheel meer dan de som der delen, met serieuze gevolgen voor beide beroepsgroepen.
Professionele oordeelsvorming blijft vereist
De mate van digitalisering en ketensamenwerking hebben wezenlijke gevolgen voor de accountantscontrole. De accountant dient een professioneel oordeel te geven over de mate van digitalisering voordat hij zijn controle goed kan plannen en inrichten. Om deze mate van digitalisering te bepalen zijn in de afgelopen jaren diverse methoden ontwikkeld, maar bij elk model dient de accountant een professionele afweging te maken.
SRA heeft een model ontwikkeld dat de mate van digitalisering bepaalt op basis van zes factoren: integratie, complexiteit, afhankelijkheid, gevoeligheid, managementinformatie en accountantscontrole. SRA schrijft verder dat deze factoren een samenhang hebben. Er zijn nog vele andere manieren om de digitaliseringsgraad te bepalen. Deze komen niet altijd op dezelfde uitkomst. De accountant moet dus op basis van professionele oordeelsvorming hierin een keuze maken en te bepalen welke informatiesystemen relevant zijn voor de controle. Hoe de accountant dit moet doen, wordt echter niet beantwoord in de COS. Schellevis en Van Dijk geven een P6-model waarmee de accountant een handvat heeft. Bijvoorbeeld bij technische platformen wordt aangeraden dit door een IT auditor te laten doen, omdat er anders wellicht geen volledige beschrijving is.
Kernwoorden: educatie, organisatie en cultuur
De leiding van een accountantsorganisatie moet ervoor zorgen dat de juiste condities en instrumenten voor professionele samenwerking en oordeelsvorming aanwezig zijn. Zoals prof. A.W. Niesingh RE RA al in zijn afscheidscollege in 2002 aangaf: “Accountantscontrole en informatietechnologie: ze passen niet bij elkaar, maar kunnen niet zonder elkaar”.
Het is allereerst van cruciaal belang, dat vanuit het management de juiste houding en betrokkenheid worden getoond. Als directie en management uitdragen, dat zij samenwerking tussen expertisegebieden zeer belangrijk vinden en daartoe de grote lijnen uitzetten, dan werkt dit door in de rest van de organisatie. Het management zal een actieve rol moeten (willen) spelen. De stappen zullen eventueel vertaald moeten worden naar compenserende controlemaatregelen, gegevensgerichte werkzaamheden en adviespunten voor de klant.
De leiding van de accountantsorganisatie moet een vast stramien voor samenwerking tussen accountant en IT-auditor voorschrijven. De IT-auditor dient binnen de jaarrekeningcontrole altijd als actief teamlid ingezet te worden en niet als een extern deskundige. Daardoor is de IT-auditor meer betrokken bij het proces in plaats van dat hij zijn werk van de controlewerkzaamheden apart van de jaarrekeningcontrole uitvoert. Hierdoor wordt voorkomen, dat er een onduidelijke opdracht ontstaat voor de IT-auditor.
De accountant zou een geaccepteerd model moeten hebben om de digitaliseringsgraad (en daarmee de impact op de jaarrekeningcontrole) van een organisatie te bepalen, ook als de accountant de werkzaamheden laat uitvoeren door een IT auditor. Het werken met een vast model geeft meer houvast voor beide professionals en levert meer eenduidigheid op tussen diverse IT omgevingen.
Kennisdeling tussen de accountant en de IT-auditor is van groot belang voor een betere samenwerking en effectievere controle. De meeste IT-auditors zijn goed in staat om een bijdrage leveren aan de beschrijving van de interne controle. Zij kunnen meer doen dan alleen het testen van de ITGC en application controls. De accountant kan vaak zelf delen van de ITGC onderzoek uitvoeren en application controls testen. Door uitwisseling van taken kunnen dergelijke werkzaamheden voor beide partijen leerzaam en uitdagend gemaakt worden. En wellicht ontstaat vanzelf meer begrip voor elkaars werkwijze en daardoor een betere samenwerking.
Het is noodzakelijk om als accountant meer van IT modellen en concepten te weten. Voor de nieuwe generatie accountants is dat onontkoombaar. In de opleiding van accountants dient IT terminologie te worden opgenomen, zodat de accountant de taal van het IT-landschap kent. Hierdoor kunnen accountants en IT-auditors beter met elkaar praten. Voor reeds afgestudeerde accountants dient educatie te komen in IT terminologie en de gevolgen van digitalisering. Inmiddels zijn bij diverse accountantskantoren trajecten gestart om accountants cursussen in ‘digital auditing’ te geven.
De controlerend accountant zal ook in de toekomst eindverantwoordelijk blijven. De komst van joint audits wordt nog lang niet ondersteund door de praktijk. Voorlopig moet er dus een intensieve samenwerking tot stand worden gebracht, waarbij de accountant eindverantwoordelijk blijft. Hierbij wordt niet voorgesteld, dat de twee vakgebieden uiteindelijk zullen samensmelten. Daarvoor zijn beide vakgebieden te veelomvattend.
Dr. René Matthijsse RE, lector Keteninformatiemanagement en Control aan Fontys Hogescholen en tevens associate professor IT Auditing aan de Vrije Universiteit Amsterdam, onderzoekt hoe ketensamenwerking, procesintegratie en technologie het vakgebied veranderen.