Risicobeheersing en de rol van internal IT-auditing bij uitbesteding

Transcriptie

1 Risicobeheersing en de rol van internal IT-auditing bij uitbesteding Amand Veltmeijer Vrije Universiteit Amsterdam Postdoctorale opleiding IT Audit Scriptie oktober 2013, versie 1.1

2 Voorwoord Deze scriptie is geschreven als afsluiting van de postdoctorale opleiding IT Audit aan de Vrije Universiteit te Amsterdam. Het onderzoek dat in deze scriptie is vastgelegd betreft een actueel vraagstuk binnen zowel de organisatie waar ik zelf als IT en Information Security Officer werkzaam ben als de gehele accountancybranche. De ontwikkelingen binnen de IT maken het voor veel IT Security Officers een uitdaging om die zaken op te pakken die er daadwerkelijk toe doen. Binnen de accountantsorganisaties is de invloed van de IT-ontwikkelingen nog ingrijpender dan bij andere ondernemingen door de huidige discussies en ontwikkelingen in het accountancyvakgebied. Het onderzoek is ingegeven door de lastige risicoafwegingen die ik van dag tot dag moet maken in de uitvoering van mijn assurancerol. Het persoonlijke doel van het onderzoek is dan ook om meer duidelijkheid te verkrijgen over het beheersingssysteem van de organisatie en de ITauditrol daarbinnen, om zodoende meer grip te krijgen op de essentiële aspecten bij beheersing van IT-risico s. Om deze duidelijkheid en antwoorden op de daartoe opgestelde onderzoeksvragen te verkrijgen is literatuuronderzoek uitgevoerd en zijn interviews afgenomen met experts van de IAD s van Deloitte, KPMG en PwC, met experts van de internal audit-beroepsvereniging IIA en van de Accounting- en Assuranceopleiding ESAA van de Erasmus Universiteit Rotterdam. Hierbij wil ik hen van harte bedanken voor de verhelderende en open gesprekken en de onafhankelijke en vaak ook ontnuchterende kijk op zaken die ze mij gaven. Daarnaast heb ik een groot aantal gesprekken gevoerd met directe collega s die ik hierbij ook van harte wil bedanken. Ten slotte wil ik hierbij mijn afstudeerbegeleiders van de VU Abbas Shahim en René Matthijsse, en mijn bedrijfscoach van KPMG Jaap van Beek van harte bedanken voor de prettige en ondersteunende gesprekken die ik met hen mocht voeren. En last but not least wil ik mijn vrouw en kinderen bedanken voor het geduld dat ze met mij hadden gedurende de vele weekenden dat ik met dit onderzoek bezig was en er geen tijd voor hen overbleef. Juni 2013 (versie 1.0) 1, Amand Veltmeijer 1 In versie 1.1 van oktober 2013 zijn errata verwerkt. i

3 Inhoudsopgave 1 Managementsamenvatting 2 Inleiding 2.1 Onderzoeksvraag 2.2 Scope 2.3 Onderzoeksaanpak 2.4 Leeswijzer 3 Literatuuronderzoek 3.1 Bedrijfsdoelstellingen Accountancywetgeving 3.2 Outsourcing en IT-ontwikkelingen Sourcing Internet en Cloud services IT-ontwikkelingen 3.3 Internal IT-auditing IT-auditing Internal auditing IIA-grondbeginselen Ontwikkelingen binnen corporate governance Het drielagen-defensiemodel 3.4 IT-risicomanagement Terminologie Governance en risicomanagementraamwerken 4 Interviews, bevindingen en analyses 4.1 IT-ontwikkelingen IT-gerelateerde risico s Conclusies 4.2 Internal IT-auditing Organisatie van IT Bestuur en IAD IAD en IT-auditing IT-auditingaspecten Beheersingsorganisatie Grondbeginselen Internal Auditing Conclusies 4.3 Enterprise Risk Management Kenmerken van het IT-risicomanagementraamwerk Conclusies 5 Conclusies ii

4 6 Beantwoording onderzoeksvraag 6.1 Deelvragen 6.2 Centrale onderzoeksvraag A IT-auditingaspecten B Governance- en risicomanagementraamwerken B.1 COSO-raamwerken B.2 OECD Principles B.3 ISO/IEC-standaarden B.4 ISF Information Security Governance B.5 NIST SP800-standaarden B.6 ISACA s Business Framework C Referenties iii

5 1 Managementsamenvatting Als gevolg van de brede maatschappelijke discussie over de dienstverlening van accountants en als gevolg van de financieel-economische crisis moeten de accountantskantoren hun diensten tegen lagere kosten aanbieden, moet de kwaliteitsbeheersing verbeteren, moeten de diensten worden verbeterd en uitgebreid en zal een grotere inspanning moeten worden geleverd voor verwerving van opdrachten. De kantoren zullen meer toegevoegde waarde moeten leveren. Om aan de bedrijfsdoelstellingen te kunnen blijven voldoen is continue aanpassing, innovatie, en kwaliteitsverbetering noodzakelijk en om kosten te reduceren worden werkzaamheden uitbesteed. Informatietechnologie is hierbij een belangrijke Enabler. Als gevolg hiervan vinden er vele IT-ontwikkelingen plaats. De veranderingen in de IT-omgeving van de kantoren zijn omvangrijker dan bij andere ondernemingen en het belang van IT voor realisatie van de bedrijfsdoelstellingen neemt sterk toe. Door middel van literatuurstudie en interviews met experts is onderzoek verricht naar de rol van de interne IT-auditfunctie (IT-IAF) binnen accountantskantoren als gevolg van deze ontwikkelingen en de bijdrage van de IT-IAF aan de bedrijfsdoelstellingen. In het onderzoek zijn interviews afgenomen met experts binnen IAD s van Deloitte, KPMG en PwC en vertegenwoordigers van de internal audit-beroepsgroep IIA en de Accounting- en Assuranceopleiding ESAA van de Erasmus Universiteit Rotterdam. Verder is er literatuuronderzoek verricht naar verschillende IT-ontwikkelingen, naar de afzonderlijke deelvakgebieden internal audit en IT-audit, en naar verschillende raamwerken als hulpmiddel voor de interne IT-auditor. Het onderzoek bevestigt dat als gevolg van de hiervoor genoemde ontwikkelingen er veranderingen plaatsvinden in de IT-omgeving van de kantoren die voorheen ondenkbaar waren. Als gevolg daarvan verandert het IT-risicoprofiel sterk. Van de geconstateerde risico s zijn een niet goed functionerende IT-governance en een niet goed functionerend ITrisicomanagementproces de belangrijkste risico s. Beheersing van deze risico s vormt een voorwaarde voor beheersing van de overige geconstateerde risico s. Geconcludeerd kan worden dat het interne beheersingssysteem voor IT meer gelijkenis zal moeten vertonen met systemen bij andere commerciële en internationaal opererende ondernemingen. Dit vereist een interne IT-auditfunctie van gelijkwaardig volwassenheidsniveau (maturity level) als bij deze ondernemingen. Het onderzoek bevestigt de noodzaak hiertoe. Het blijkt dat de rol en betekenis van de interne auditfunctie (IAF) binnen de kantoren toeneemt maar dat de interne IT-auditfunctie (IT-IAF) nog te weinig aanwezig is. De rol van de IT-IAF beperkt zich nog te veel tot de controlerol ten behoeve van de financiële rapportage. Ook de rol van de IT-IAF zal op vergelijkbare wijze ingevuld moeten worden als bij andere commerciële ondernemingen. In het algemeen neemt het belang van IT voor ondernemingen toe. Door genoemde ontwikkelingen geldt dit in nog sterkere mate voor accountantskantoren. De IT-IAF zal het interne beheersingssysteem voor IT naar een hoger volwassenheidsniveau moeten brengen. De rol van de IT-IAF in het beheersingssysteem zal veel breder moeten zijn om IT-gerelateerde bedrijfsrisico s (onzekerheden) optimaal te kunnen beheersen. Deze rol omvat adviestaken en uitgebreidere beoordelende taken en controletaken als gevolg van bredere jaarrapportage (Integrated Reporting), de noodzaak tot inzicht in huidige risico s (operationele audits) en toekomstige risico s (risicoprofiel en strategieontwikkeling). 1

6 Het blijkt dat het door de kantoren gehanteerde organisatiemodel voor interne beheersing van oudsher sterk afwijkt van het drielagen-defensiemodel. Met de toenemende rol van de IAF neemt het denken in lagen wel toe maar implementatie van het model voor beheersing van ITrisico s wordt bemoeilijkt door de bestaande structuren voor beheersing van beroepsrisico s, de invloed daarop van toezichthouders en het ontbreken van een wettelijke vereiste voor een IAF binnen accountantsorganisaties. Door haar kennis, ervaring en onafhankelijke positie kan de IT-IAF een goede bijdrage leveren aan de realisatie van bedrijfsdoelstellingen door als interne partij samen te werken met tweedeen eerstelijnsfuncties. Door een juiste scoping en afbakening van advieswerkzaamheden blijft haar onafhankelijke positie gewaarborgd. Als hulpmiddel voor gebruik binnen het IT-beheersingssysteem dient de IT-IAF gebruik te maken van een raamwerk dat op principes is gebaseerd, dat duidelijke relaties aangeeft tussen bedrijfsdoelstellingen en IT-doelstellingen, dat alle middelen in beschouwing neemt die bijdragen aan doelstellingen (holistisch), dat alle IT-activiteiten binnen de organisatie beschouwt en dat een risicomanagementproces omvat gericht op risico s én kansen, en waarin duidelijkheid over de risicoacceptatiegraad wordt vereist. 2

7 2 Inleiding Ontwikkeling van de accountantsdienstverlening Vanaf het begin van deze eeuw wordt de dienstverlening van accountantskantoren in toenemende mate breed maatschappelijk bediscussieerd. De rol van de accountant wordt kritisch bekeken, vooral die van de grote accountantskantoren Deloitte, Ernst&Young, KPMG en PwC. De schandalen rond bedrijven als Worldcom en Enron in 2002 en Parmalat en Ahold in 2003 de vormden de aanleiding hiervoor. Door de financieel-economische crisis is de discussie vanaf 2008 versterkt en staan de kantoren regelmatig in de schijnwerpers. Kritische vragen die gesteld worden treffen essentiële pijlers van het accountantsberoep dat is verankerd in de wetgeving, de Wet toezicht accountantsorganisaties (Wta). De betekenis van de accountantsverklaring in de jaarrekening wordt ter discussie gesteld. Een gevolg van de brede maatschappelijke discussie en de crisis is dat cliënten (of klanten 2 ) de kwaliteit en kosten van de dienstverlening kritisch bekijken. Binnen de beroepsgroep is en wordt gediscussieerd over noodzakelijke veranderingen. De kantoren beseffen dat de kwaliteitsbeheersing en een professioneel-kritische houding verbetering behoeven (Majoor, 2010). In de nieuwe Wet op het accountantsberoep (Wab) worden ook beperkingen opgelegd aan niet-controlewerkzaamheden bij controlecliënten en een verplichte kantoorroulatie. Als gevolg van deze maatschappelijke ontwikkelingen moet de accountant zijn diensten tegen lagere kosten aanbieden, moet zijn kwaliteitsbeheersing verbeteren, moeten de diensten die hij levert worden verbeterd en uitgebreid en zal hij een grotere inspanning moeten leveren voor verwerving van opdrachten. De kantoren zullen meer toegevoegde waarde moeten leveren (zie o.a. ING Economisch Bureau, oktober 2012). De accountants kijken dan ook kritisch naar hun kosten, de efficiëntie, en in het algemeen de kwaliteit, van hun processen. Dit geldt niet alleen voor de interne ondersteunende processen maar ook voor de primaire bedrijfsprocessen. Sinds decennia is de opzet en uitvoering van het financiële controleproces in hoofdlijnen ongewijzigd. Als gevolg van de veranderende omstandigheden zullen de bedrijfsprocessen worden aangepast en meer gelijkenis vertonen met processen bij andere commerciële en internationaal opererende ondernemingen. De processen zullen net als de bedrijfsprocessen bij andere commerciële ondernemingen continu aan verandering onderhevig zijn. Continue aanpassing en innovatie, maar ook kwaliteitsverbetering en robuustheid zijn een noodzaak om te overleven, ook voor de grote accountantskantoren. Reactie van accountantsorganisaties Momenteel worden binnen de accountantskantoren wijzigingen doorgevoerd die voorheen ondenkbaar waren, zoals het uitbesteden en offshoren van controleactiviteiten, en worden er initiatieven opgezet om invulling te geven aan veranderingen in de markt en in de maatschappij. Daarnaast leveren de kantoren nieuwe en additionele adviesdiensten en ondersteunende diensten op financieel en niet-financieel gebied om de financiële bedrijfsdoelstellingen te kunnen blijven realiseren. 2 In accountantsliteratuur wordt veelal gesproken over cliënten, maar in veel referenties worden de termen klant en cliënt door elkaar gebruikt. In dit document wordt de term cliënt gebruikt. 3

8 Als naar de diensten wordt gekeken die de grote kantoren momenteel aanbieden lijkt het in eerste instantie alsof deze sterk verschillen per kantoor, maar onder de hoofdindelingen van diensten komen veel vergelijkbare termen terug. De meer van oudsher geboden diensten zijn audit, assurance, compliance, sustainability en transactions services. Mede onder invloed van genoemde ontwikkelingen worden nieuwe diensten opgezet en worden nieuwe markten ontgonnen, zoals Integrated Reporting en Big Data. Bij de verschillende kantoren is er ook bij deze nieuwe diensten een sterke overlap te constateren bijvoorbeeld op het gebied van duurzaamheid en innovatie. Uit de jaarverslagen en overige publieke informatie blijkt dat ook in de doelstellingen van de verschillende kantoren een sterke overlap is te constateren. De primaire doelstelling van de kantoren blijft als commerciële onderneming het uitvoeren van diensten om winst te genereren. Daarnaast worden echter doelstellingen aangegeven als innovatie, duurzaamheid, kwaliteit focus / verbetering / excellence, marktfocus, verantwoord ondernemen, community of choice / leadership, diversiteit/samenwerking. De betekenis van informatietechnologie en de interne IT-auditfunctie Voor elke organisatie geldt dat het belang van IT voor realisatie van haar doelstellingen blijft toenemen. Realisatie van bedrijfsdoelstellingen wordt sterker afhankelijk van IT. Door de hiervoor geschetste ontwikkelingen geldt dit in nog sterkere mate voor accountantskantoren. Het gebruik van IT en van nieuwe technieken neemt sterk toe. Bedrijfsprocessen worden meer en meer gedreven door, en afhankelijk van IT. De IT-omgeving van de kantoren verandert snel en sterk. IT is een belangrijke Enabler voor realisatie van de veranderde eisen voor kwaliteitsverbetering en kostenreductie. Deze realisatie vindt plaats door meer en intensiever gebruik van IT in primaire processen en ondersteunende processen. Met het toenemen van het belang van IT voor realisatie van de bedrijfsdoelstelling neemt ook het belang toe van ITauditing binnen het interne controlesysteem, de interne IT-auditfunctie. Van oudsher was de belangrijkste taak van de interne IT-auditfunctie het toetsen van de geautomatiseerde systemen in het kader van de interne controle voor het financiële jaarverslag. Door de veranderingen zal de interne IT-auditfunctie een wezenlijker onderdeel dienen te zijn van het interne beheersingssysteem van accountantskantoren. De vraag is dan ook wat de nieuwe rol is van de interne IT-audit binnen het interne beheersingssysteem. IT-ontwikkelingen en uitbesteding De vereiste kwaliteitsverbeteringen en kostenreducties worden voor een aanzienlijk deel bereikt door processen uit te besteden die geen of weinig toegevoegde waarde bieden voor de organisatie. Niet primaire processen zoals veel IT-processen, worden uitbesteed; een voorbeeld hiervan is het gebruik van shared service centra voor ondersteunende diensten. Tevens worden primaire processen waarvoor dat mogelijk is uitbesteed, bijvoorbeeld het uitbesteden van eenvoudige of repeterende controletaken naar lagelonenlanden. Voor uitbesteding van deze processen is IT veelal ook een belangrijke Enabler. Voor realisatie van de primaire bedrijfsdoelstelling toegevoegde waarde leveren aan de stakeholders is innovatie belangrijk. Innovatie van de diensten en van de processen is dan ook een belangrijk aandachtspunt van de kantoren. Ook bij innovatie is IT een belangrijke Enabler. Daarbij wordt op andere of intensievere wijze gebruikgemaakt van bestaande (geoutsourcete) IT of door invoering van nieuwe technieken. Invoering van nieuwe technieken gaat veelal gepaard 4

9 met een of andere vorm van uitbesteding, bijvoorbeeld doordat voor de nieuwe applicaties (of apps) gebruik wordt gemaakt van (private) clouds of andere internetdiensten. Eerder is uitbesteding van controle activiteiten al aangegeven als voorbeeld van de huidige veranderingen. Hetzelfde geldt voor uitbesteding van IT. In tegenstelling tot het beleid van voor de geschetste ontwikkelingen (5-10 jaar geleden) is uitbesteding van IT door accountantskantoren nu meer gebruikelijk geworden, vergelijkbaar met het uitbesteden van deze IT-diensten bij andere commerciële organisaties. De veranderingen in de IT-omgeving van de kantoren komen dus voort uit verschillende ontwikkelingen waarbij uitbesteding een belangrijke IT-ontwikkeling is. Uitbesteding van ITdiensten en -processen is een belangrijke bron van risico s, IT-gerelateerde risico s. Uitbesteding is dan ook een belangrijk aspect van het interne beheersingssysteem waar ITauditing zich op moet richten. In het onderzoek ligt de focus op deze uitbestedingsrisico s. Andere ontwikkelingen in de IT-omgeving van de organisatie worden wel meegenomen om te kunnen beoordelen of deze van invloed zijn op de rol van de interne IT-auditfunctie. Risicomanagementraamwerk Internal IT-auditing is onderdeel van het interne beheersingssysteem voor IT. Aan interne beheersingssystemen van organisaties worden sinds het begin van deze eeuw eisen gesteld vanuit de wetgeving voor corporate governance die is opgesteld naar aanleiding van financiële schandalen. Deze wetgeving is op haar beurt weer sterk gebaseerd op raamwerken voor interne controle en voor risicomanagement; COSO ICF (1992), COSO ERM (2004) en de OECD Principles (2004). Huidige raamwerken voor ondersteuning bij beheersing van IT-risico s bouwen voort op deze basisraamwerken. Risicomanagementraamwerken zijn een belangrijk hulpmiddel voor het systematisch en gestructureerd opzetten, invoeren en onderhouden van het interne beheersingssysteem. Daarom omvat dit onderzoek ook de keuzes voor een geschikt risicomanagementraamwerk waarmee een organisatie een eigen specifiek raamwerk kan opzetten als hulpmiddel voor de interne ITauditfunctie. Om de onderzoeksvraag waaraan een risicomanagementraamwerk dient te voldoen te kunnen beantwoorden zijn naast genoemde basisraamwerken de meest relevante raamwerken onderzocht van de organisaties ISO, NIST, ISF en ISACA. De resultaten zijn weergegeven in paragraaf 3.4. Beschrijvingen van de specifieke raamwerken zijn weergegeven in bijlage B. 5

10 2.1 Onderzoeksvraag Op basis van de hiervoor aangegeven ontwikkelingen en aandachtspunten is de onderzoeksvraag als volgt bepaald: Welke rol kan internal IT-auditing vervullen voor risicomanagement van een grote accountantsorganisatie in geval van uitbesteding? Om een antwoord te kunnen geven op de onderzoeksvraag is deze opgesplitst in de volgende deelvragen zijn: 1) Welke veranderingen heeft het uitbesteden tot gevolg voor de IT-omgeving en het risicomanagement daarbij? 2) Welke bijdrage kan internal IT-auditing leveren aan het risicomanagement van een groot accountantskantoor? 3) Waaraan dient het risicomanagement te voldoen om de IT-gerelateerde bedrijfsrisico s evenwichtig (integraal) te kunnen beheersen? 2.2 Scope Het onderzoek richt zich op de interne IT-auditfunctie bij grote accountantsorganisaties. In het onderzoek zijn expliciet 3 van de Big-4 accountantskantoren in Nederland meegenomen. De resultaten zouden ook van toepassing kunnen zijn op andere accountantskantoren of andere organisatie,s maar deze zijn niet in het onderzoek meegenomen. Het onderzoek richt zich verder op die aspecten van risicobeheersing die van belang zijn voor de interne IT-auditfunctie bij de ontwikkelingen zoals hiervoor geschetst. Daarbij wordt specifiek gekeken naar de wijzigingen in de IT-omgeving als gevolg van uitbesteding van bedrijfsprocessen en ondersteunende processen en wijzigingen ten opzichte van de situatie van voor de financieel-economische crisis. In het onderzoek worden andere functies binnen het beheersingssysteem meegenomen voor zover ze van belang zijn voor het bepalen van de rol van internal IT-auditing. De rol van andere assurancefuncties, zoals de IT-securityfuncties, valt buiten de scope van dit onderzoek. In het onderzoek worden de meest bekende raamwerken beschouwd die ondersteuning kunnen bieden voor de interne IT-auditfunctie. 2.3 Onderzoeksaanpak Om antwoord te kunnen geven op de onderzoekvragen dient duidelijkheid verkregen te worden over en inzicht verkregen te worden in de gebieden die in de vraagstelling worden benoemd. Dit zijn: de veranderingen in de IT-omgeving van accountants; het vakgebied van internal auditing en IT-auditing; Enterprise Risk Management-raamwerken. 6

11 Middels een literatuurstudie is het gewenste inzicht en duidelijkheid verkregen op deze gebieden. De resultaten daarvan zijn beschreven in hoofdstuk 3. Begonnen is met een literatuurstudie van de veranderingen in de IT-omgeving en van internal IT-auditing, en een oriënterende studie van bestaande governance- en risk managementraamwerken (zie figuur 2.1). Figuur 2.1 Onderzoeksaanpak Daarna zijn gesprekken gevoerd met experts uit de Internal Audit-afdeling van drie grote accountantskantoren (Deloitte, KPMG en PwC), de beroepsvereniging van internal auditors (IIA) en de universitaire Accounting- en Assuranceopleiding (ESAA) aan de Erasmus Universiteit Rotterdam. De onderzoeker is zelf al jaren werkzaam binnen één van de grote accountantskantoren als de IT en Information Security Officer. Vanuit die functie is hij direct betrokken bij IT, risk management en interne auditwerkzaamheden binnen de eigen organisatie. Vanuit die rol heeft hij ook voorafgaand aan en tijdens het onderzoek diverse gesprekken gevoerd met assurancefuncties en andere experts binnen de eigen organisatie. Hierdoor konden de gesprekken met externen al in een vroeg stadium worden gevoerd (oktober tot en met december 2012). De gesprekken zijn gebruikt om een beeld te krijgen van de huidige situatie ten aanzien van ontwikkelingen en de onderzoeksgebieden bij de grote accountantskantoren en om inzichten, meningen en visies van buiten de eigen organisatie te verkrijgen. De gesprekken zijn tevens gebruikt om de scope van het onderzoek nog duidelijker te krijgen en waar mogelijk verder af te bakenen. Na de gesprekken is de literatuurstudie verder uitgevoerd en zijn de resultaten daarvan uitwerkt. Vervolgens zijn de resultaten van de gesprekken en van de literatuurstudie geëvalueerd, vastgelegd, zijn daar conclusies uit getrokken en zijn de onderzoeksvragen beantwoord. 7

12 2.4 Leeswijzer Hoofdstuk 3 - Literatuuronderzoek In hoofdstuk 3 zijn de resultaten weergegeven van de literatuurstudies naar de aangegeven onderwerpen: ontwikkelingen binnen de IT-omgeving, de vakgebieden IT-auditing en internal auditing en Enterprise Risk Management-raamwerken. De beschrijvingen worden voorafgegaan door een korte beschouwing van vereisten aan het interne beheersingssysteem vanuit de wetgeving (paragraaf 3.1). Het accountantsberoep is immers bij wet bepaald. Naast de genoemde commerciële doelstelling is het voldoen aan de accountancywetgeving dan ook een essentiële bedrijfsdoelstelling. Alle activiteiten binnen de organisatie, ook die van de interne IT-auditfunctie hebben tot doel deze bedrijfsdoelstellingen te realiseren. In paragraaf 3.2 worden ontwikkelingen binnen de IT-omgeving besproken. Primair ligt de nadruk op uitbesteding. De ontwikkelingen die daaraan gerelateerd zijn worden eerst benoemd; sourcing en internet en Cloud services. Andere IT-ontwikkelingen die ook veranderingen van de IT-omgeving tot gevolg hebben, maar niet specifiek gerelateerd zijn aan de geschetste ontwikkeling bij accountantskantoren worden daarna benoemd. In paragraaf 3.3 zijn de resultaten weergegeven van het onderzoek naar de afzonderlijke vakgebieden IT-auditing (gedetailleerd weergegeven in bijlage A) en internal auditing. In paragraaf 3.4 zijn de resultaten beschreven van onderzoek naar bestaande raamwerken die ondersteuning kunnen bieden aan de interne IT-auditfunctie bij beheersing van IT-risico s. Dit zijn raamwerken voor interne controle, voor risicobeheersing en voor (IT/Risk) governance. Hoofdstuk 4 Interviews, bevindingen en analyses In hoofdstuk 4 zijn de resultaten uit de interviews opgenomen, worden beschouwingen gegeven per ontwerp, worden deelvragen beantwoord en per onderdeel conclusies getrokken. Paragraaf 4.1 geeft de situatie ten aanzien van genoemde IT-ontwikkelingen bij de kantoren en benoemt IT-gerelateerde risico s. Paragraaf 4.2 beschrijft internal (IT-)auditing bij de kantoren in dezelfde termen zoals benoemd in paragraaf 3.3 (en bijlage A) met specifieke aandacht voor de organisatie van IT, de IAD, interne IT-auditing, de beheersingsorganisatie en grondbeginselen van de IIA (IIA, 2008). In paragraaf 4.3 worden kenmerken benoemd waar een risicobeheersingsraamwerk aan dient te voldoen om IT-gerelateerde bedrijfsrisico s evenwichtig en integraal te kunnen beheersen. Hoofdstuk 5 Conclusies In hoofdstuk 5 worden de resultaten en deelconclusies gecombineerd en worden de eindconclusies getrokken. Hoofdstuk 6 Beantwoording onderzoeksvraag In hoofdstuk 6 wordt uitgebreid antwoord gegeven op de deelvragen. Aan deze beantwoordingen wordt vervolgens gerefereerd in de definitieve beantwoording van de onderzoeksvraag. 8

13 Bijlage A IT-auditingaspecten In bijlage A zijn de belangrijkste aspecten van IT-auditing samengevat vanuit Fijneman R. et al. (2011). Bijlage B Governance- en risk management-raamwerken In bijlage B (punt B.1 tot en met B.5) zijn uitgebreidere beschrijvingen weergegeven van de verschillende governance- en risicomanagementraamwerken. In bijlage B (punt B.6) worden enkele aspecten benoemd voor het opzetten van een risicomanagementraamwerk op basis van de onderzoeksgegevens. Dit valt buiten de scope van het onderzoek maar is opgenomen ter verduidelijking van het gebruik van de onderzoeksgegevens binnen het COBIT5-raamwerk. Figuur 2.2 Leeswijzer. 9

14 3 Literatuuronderzoek In dit hoofdstuk worden de resultaten van de volgende literatuuronderzoeken weergegeven die zijn uitgevoerd om de onderzoeksvraag en deelvragen te beantwoorden. Bedrijfsdoelstellingen Accountancywetgeving De onderzoeksvraag omvat de bijdrage van de interne IT-auditor aan realisatie van de bedrijfsdoelstellingen. Bedrijfsdoelstellingen zijn ook het doel van risicobeheersing en staan centraal binnen het ondersteunende risicomanagementraamwerk zoals dat is aangegeven in de onderzoeksvraag. Voor accountants is het voldoen aan de accountancywetgeving een essentiële bedrijfsdoelstelling. Daarom worden in paragraaf 3.1 vanuit deze wetgeving de vereisten benoemd voor het stelsel van kwaliteitsbeheersing. Outsourcing en IT-ontwikkelingen Als gevolg van de brede maatschappelijke discussie over de dienstverlening en als gevolg van de financieel-economische crisis is het voor de kantoren noodzakelijk continu processen aan te passen, te innoveren, kwaliteitsverbetering door te voeren en kosten te reduceren. Informatietechnologie is daarbij een belangrijke Enabler. Daarom is onderzoek uitgevoerd naar belangrijke IT-ontwikkelingen. De resultaten daarvan zijn in paragraaf 3.2 weergegeven. Voor beantwoording van de onderzoeksvraag ligt de nadruk op uitbesteding. De ontwikkelingen die daaraan gerelateerd zijn worden eerst benoemd: sourcing en internet en Cloud services. Andere IT-ontwikkelingen die ook veranderingen van de IT-omgeving tot gevolg hebben maar niet specifiek gerelateerd zijn aan geschetste ontwikkeling bij accountantskantoren worden daarna benoemd. Internal IT-auditing Om de onderzoeksvraag naar de rol van internal IT-auditing te kunnen beantwoorden is onderzoek verricht naar de afzonderlijke vakgebieden IT-auditing en internal auditing. Voor ITauditing zijn de belangrijkste aspecten samengevat in bijlage A vanuit Fijneman R. et al. (2011). Voor een beschrijving van de positie, rol en activiteiten van internal audit is gebruikgemaakt van de Position Paper van de IIA (2008), aangevuld met aspecten uit andere literatuur waaronder Sawyer s Internal Auditing (2005). Raamwerken voor IT-risicobeheersing Internal IT-auditing is onderdeel van het interne beheersingssysteem voor IT. De interne beheersingssystemen van organisaties zijn sinds het begin van deze eeuw aangepast aan vereisten vanuit de wetgeving voor corporate governance die is opgesteld naar aanleiding van financiële schandalen rond bedrijven als Worldcom en Enron in 2002 en Parmalat en Ahold in Deze wetgeving is op haar beurt weer sterk gebaseerd op raamwerken voor interne controle en voor risicomanagement; COSO ICF (1992), COSO ERM (2004) en de OECD Principles (2004). Raamwerken voor ondersteuning bij beheersing van IT-risico s bouwen voort op deze basis raamwerken. 10

15 Om de onderzoeksvraag te kunnen beantwoorden waaraan een risicomanagementraamwerk dient te voldoen zijn daarom deze raamwerken ook onderzocht. Daarnaast zijn de meest relevante raamwerken onderzocht van de organisaties ISO, NIST, ISF en ISACA. De resultaten zijn weergegeven in paragraaf 3.4. Beschrijvingen van de specifieke raamwerken zijn weergegeven in bijlage B. 3.1 Bedrijfsdoelstellingen Accountancywetgeving Accountantskantoren zijn niet-beursgenoteerde ondernemingen en vallen daarom niet onder de SOx-wetgeving of de Nederlandse corporate governance code (Monitoring Commissie Corporate Governance Code, 2009) en zijn niet verplicht hun systeem voor interne beheersing conform deze wetten in te richten (zie ook Commissie Corporate Governance (2003), Houwelingen (2005) en Nederlandse Vereniging van Banken (2009)). Echter, omdat veel cliënten van accountantskantoren wel deze verplichtingen hebben leggen zij zichzelf veelal wel vergelijkbare eisen op. Binnen de eigen interne controlesystemen zijn onderdelen sterk gebaseerd op vereisten uit de SOx-wetgeving. Ook wetgeving die specifiek voor hun cliënten geldt, zoals de Code Banken (Nederlandse Vereniging van Banken, 2009), zal invloed hebben op de interne controlesystemen van accountantskantoren. Het interne beheersingssysteem van accountantskantoren in Nederland dient wel invulling te geven aan vereisten vanuit de van toepassing zijnde wetgeving. Dit zijn naast de algemene wetgevingen, zoals de privacywetgeving en de Wet op de computercriminaliteit, de specifieke accountancywetgeving, de Wta (Wet toezicht accountantsorganisaties) en Bta (Besluit toezicht accountantsorganisaties), en de daaraan gelieerde uitwerkingen en bepalingen, en voor een belangrijk deel ook de Wft (Wet op het financieel toezicht). De Wta en Bta zijn specifiek van toepassing voor accountantsdiensten zelf en de Wft voor financiële adviesdiensten. In de genoemde wetten wordt gesproken over een stelsel van kwaliteitsbeheersing. De interne controle is een belangrijk element van het kwaliteitssysteem. Wetsartikelen met betrekking tot kwaliteitsbeheersing zijn onder andere: Wta Art.18, lid De accountantsorganisatie beschikt over een stelsel van kwaliteitsbeheersing. 2. Het stelsel van kwaliteitsbeheersing is zodanig ingericht dat de werkzaamheden betreffende een wettelijke controle te allen tijde plaatsvinden onder de verantwoordelijkheid van een externe accountant. 3. Bij of krachtens algemene maatregel van bestuur worden met het oog op de bevordering van het vertrouwen in de financiële markten, de waarborging van het publieke belang van de accountantsverklaring en het toezicht op de naleving van de bij of krachtens deze wet gestelde regels, regels gesteld ten aanzien van de kwaliteitsbeheersing en het stelsel van kwaliteitsbeheersing. De maatregelen van bestuur zoals genoemd in Art.18 lid 3 zijn onder andere uitgewerkt in: Bta Art Een accountantsorganisatie voert een beleid ten aanzien van het stelsel van kwaliteitsbeheersing. 2.Het stelsel van kwaliteitsbeheersing bevat procedures, beschrijvingen en standaarden als bedoeld in de artikelen 11, tweede lid, en 16, die ten doel hebben de naleving door de accountantsorganisatie te waarborgen van de bij en krachtens de artikelen 14 tot en met 24 van de wet gestelde regels. 3.De accountantsorganisatie legt het in het eerste lid bedoelde beleid en het stelsel van kwaliteitsbeheersing schriftelijk vast. 4.De accountantsorganisatie bewaart het stelsel van kwaliteitsbeheersing en de schriftelijke vastlegging van het beleid, bedoeld in het eerste lid gedurende ten minste zeven jaren nadat zij zijn vastgelegd. 11