Van trust me naar show me

Transcriptie

1 interview MEt HEnk de ZWart, Frank kossen En WErnEr Van HaElst over de EErstE ErVaringEn MEt HEt kwaliteitsonderzoek Van trust me naar show me als beroepsorganisatie van professionals heeft norea de kwaliteit van de diensten die wij, re s, leveren hoog op de agenda staan. Enkele jaren geleden hebben de leden van norea in de algemene ledenvergadering het Reglement Kwaliteitsbeheersing NOREA (rkbn) en het Reglement Kwaliteitsonderzoek NOREA (rkon) vastgesteld. nu gaan de in die reglementen voorziene kwaliteitsonderzoeken van start. dit gebeurt onder verantwoordelijkheid van het College Kwaliteitsonderzoek (cko), dat in maart 2011 werd ingesteld. om te kijken of een werkbare weg is ingeslagen, heeft de cko in het najaar 2012 twee pilotonderzoeken georganiseerd. We spraken met Henk de Zwart, voorzitter van het cko en zijn twee proefkonijnen Frank kossen (duijnborgh audit) en Werner van Haelst (integrc) de twee directeuren van de organisaties waar de pilotonderzoeken zijn uitgevoerd. Het gesprek ging over hun ervaringen en leermomenten. THOMAS WIJSMAN EN THEA GERRITSE Henk, zou jij om te beginnen iets willen vertellen over de achtergronden? Henk: Norea heeft van meet af aan, dus al zo n twintig jaar, als doelstelling dat ze wil opereren en optreden als professionele beroepsorganisatie wat betekent dat je in staat bent de kwaliteit van je dienstverlening te garanderen aan huidige en potentiële afnemers. Dat heeft er toe geleid dat we in de statuten hebben opgenomen dat wij iets willen doen aan kwaliteitsborging door de IT-auditorganisaties van geleverde diensten en kwaliteitsbeoordeling van die borging. Het argument om als beroepsorganisatie kwaliteitsonderzoek te willen instellen, sluit aan op ontwikkelingen in beroepsorganisaties zoals die van artsen, notarissen, advocaten en, daar spiegelen we ons als NOREA natuurlijk heel erg aan, de NBA. Voor het bestuur was dat een aantal jaren geleden reden te besluiten om geaffilieerd lid te worden van IFAC en dat betekent dat de hele inrichting van het kwaliteitsonderzoek een internationale basis heeft, want die is, net zoals die van de NBA, gebaseerd op regelgeving van IFAC. Aandacht voor kwaliteit staat dus al twintig jaar in onze statuten en zo n twee jaar geleden hebben enkele bestuursleden het initiatief genomen om dat nu toch echt te gaan invullen. Een meer directe aanleiding daarvoor was dat NOREA bij het toenmalige NIVRA, nu de NBA, erkenning heeft gevraagd dat RE s als auditprofessionals assurance-opdachten mogen uitvoeren. Het NIVRA heeft als eis gesteld dat wij dan ook een stelsel moeten hebben dat voorziet in kwaliteitsonderzoeken en dat is het laatste stapje geweest waardoor het bestuur heeft gezegd nou moet het een keer echt gebeuren. En dat heeft toen geleid tot het RKBN, dat is geaccepteerd in juli Daarna hebben we het College Kwaliteitsonderzoek (CKO) ingericht en zijn we het hele onderzoeksstelsel gaan uitwerken. Overigens wil ik wel benadrukken dat het College Kwaliteitsonderzoek niet als doelstelling heeft om onvoldoendes uit te delen. Nee, we proberen op basis van onderzoek een oordeel te geven over de getroffen maatregelen voor kwaliteitsborging en koppelen dat zo mogelijk aan een advies en een stukje wijze raad: hoe kan die betreffende partij zijn leemte opvullen. Nou, en als het dan toevallig heel erg is, dan moeten we wel eens negatief oordelen, maar we zijn primair op zoek naar: wat is de kwaliteit, hoe kan ik die verbeteren en daar hoort dan, toevallig ja, ook een oordeel bij. Wat waren jullie uitgangspunten? Henk: Het stelsel van regelgeving is gebaseerd op de individuele verantwoordelijkheid van de RE. Nu hebben we ook doelmatigheid hoog in ons vaandel staan, dus willen we als NOREA voorkomen dat we doublures hebben. Daarom hebben we gezegd: Wat een ander doet hoeven wij niet over te doen. Dus als NBA, IIA.NL AFM of KOA 1 kwaliteitsonderzoek doet dat voldoet aan de regelgeving van NOREA, dan willen wij graag met die organisaties een overeenkomst sluiten en daarbij afspreken onder welke voorwaarden en op welke wijze zij de onderzoeken doen. Wij willen dan ook graag geïnformeerd worden over het aantal onderzoeken dat is uitgevoerd, hoeveel IT-auditors daarbij betrokken waren en of er afspraken zijn gemaakt over de oordelen van die organisaties die interview de IT-Auditor nummer IT Auditor_13_02.indd 5 23/05/13 10:19 PM

2 interview negatief zijn. Dit heeft inmiddels geleid tot een accreditatieovereenkomst met IIA; met de andere organisaties die ik noemde, zijn of gaan we in gesprek. En dat betekent dat grote IT-auditorganisaties in de operationele uitvoering van de kwaliteitsonderzoeken niet onder het CKO vallen omdat IIA NL, NBA of AFM, dat zijn de drie grote clubs, daar kwaliteitsonderzoeken uitvoeren. Dat betekent dat er relatief kleine organisaties overblijven, waaronder heel veel kleintjes, de zogenoemde éénpitters. Zoals gezegd is individuele verantwoordelijkheid de basis, maar als een RE binnen een IT-auditorganisatie werkt, dan kijken wij als service en vanuit het oogpunt van doelmatigheid naar de IT-auditorganisatie. Want als er vijf werken dan doen we onderzoek naar één organisatie, en dan hebben we daarmee een oordeel over het functioneren van vijf RE s. Een IT-auditorganisatie is zo gedefinieerd dat een zelfstandige RE tevens een IT-auditorganisatie is. Daar zitten nog wel wat misverstanden, want dan zeggen de collegae: wij doen geen assurance, nee, ze doen advies, in de een of andere vorm. En dat betekent dat ze werkzaamheden doen die NOREA als professionele dienstverlening definieert. Daarom zijn ze per definitie een IT-auditorganisatie, die dus onder het kwaliteitsonderzoek van NOREA valt. Jaarlijks doen wij op grond van de ledenlijst een uitvraag, een vragenlijst waarmee we in principe alle individuele leden aanschrijven om te vragen: wat heb je afgelopen jaar gedaan? Alleen, we clusteren dat door het naar de leiding van elke IT-auditorganisatie te sturen en ook zo creëren we doelmatigheid. De organisaties die niet door een van de andere partijen die op kwaliteit letten worden onderzocht, onderzoekt NOREA eens in de vier jaar. Dat zijn toch nog altijd zo n 300 IT-auditorganisaties, hoor. Maar mogelijk valt dit aantal wat lager uit omdat er ook IT-auditors in business tussen zitten. Wie betaalt het onderzoek? Henk: De kosten voor het onderzoek zijn voor rekening van de IT-auditorganisatie. Frank: Je kunt die kosten over vier jaar uitsmeren. Dat is een belangrijk punt. Want die die het ongeveer kost voor een zzp er die zijn zaken op orde heeft, kost m dan maar 250 per jaar. En als je daarmee nog beter de concurrentie aankunt.... kijken jullie alleen naar assurance of ook naar adviesopdrachten? Henk: IT-auditdiensten zijn niet alleen als op assurance gerichte audits gedefinieerd maar ook als op advies gerichte audits. Dat We hebben doelmatigheid hoog in ons vaandel staan is immers een van de belangrijkste taken waar onze collega s zich mee bezig houden. Het is lastig dat het begrip advies nergens is gedefinieerd, wereldwijd niet daarom heeft de commissie Beroepsregels het initiatief genomen om uit te zoeken: wat is advies? Daar ligt nu een eerste rapport over en het is nu aan het bestuur om vast te stellen: wij vinden dat dit het is of niet. We hebben in de CKO geconstateerd dat de begrippen assurance en advies zoals die nu in de statuten staan eigenlijk wat te grof zijn en daarom hebben we nu een nuancering aangebracht in de soorten werkzaamheden. We kennen naast assurance en advies nu ook de begrippen detachering en ITauditor in business. De statuten kennen formeel niet de IT-auditor in business, maar alleen het onderscheid actief en niet-actief. Niet-actief kan zijn: in business, maar kan ook zijn gepensioneerd. Het begrip in business hebben we ingevoerd omdat we zeggen: de RE s die in business zijn vallen buiten het onderzoek, want die geven geen oordeel en ook geen advies en treden niet op als RE, dus die filteren we er ook uit. En verder hebben we een nuancering aangebracht als het gaat om detachering: een IT-auditor die zichzelf detacheert die wordt niet inhoudelijk onderzocht qua dossier, want die is werkzaam bij een IT-auditorganisatie en wordt dus meegenomen in het kwaliteitsonderzoek van die organisatie door NOREA of een van de beroepsorganisaties waarmee NOREA een overeenkomst heeft gesloten voor het uitvoeren van kwaliteitsonderzoeken. Detachering houdt in dat je de RE wel onderzoekt, maar dat is een heel klein onderzoek. Dan vragen we naar de organisatie waar hij werkt en naar het contract met die organisatie. In dat contract willen wij aantreffen dat de betreffende RE heeft veilig gesteld dat hij aan de kwaliteitseisen van NOREA kan voldoen. Frank: Ik wil hier graag op inhaken. Wat ik een beetje proef is dat het wel eens zo zou kunnen zijn dat de organisatie van Werner en mijn organisatie zowat de enige zijn die overblijven als het afpellen klaar is. Het lijkt er toch wel op dat er telkens wat regels bij komen of dat regels worden aangevuld of geconcretiseerd, waardoor steeds meer partijen de dans ontspringen. De gedetacheerde RE bijvoorbeeld, daar was eerst geen sprake van in mijn optiek. Dat afpellen moet nou wel eens klaar zijn. We zijn allemaal professionals en ik vind gewoon: we moeten aan de kwaliteitseisen voldoen en dat mag best gecontroleerd worden. Als je daar heel moeilijk over gaat doen, moet je misschien eens bij jezelf te rade gaan of je kwalitatief gezien je werk wel eigenlijk goed doet. Werner: Die discussie zien wij ook in het CKO-overleg (Werner zit ook in het CKO, red.). Het is inderdaad wel een relevante discussie, zoals je net zegt. Er zijn lieden die proberen de dans te ontspringen met allerlei redenen als ik ben niet meer ingeschreven, of ik wou me net uitschrijven, ik doe dit soort werk niet meer en dan hebben we daar discussies over wat we daar mee moeten. En tot nu toe zijn we van de harde hand. Henk: Dat klopt, daar gaan we niet zo maar in mee. Ook al ben je maar een eenling en heb je misschien wat kleinere opdrachten gedaan, je bent ingeschreven in het register en dus kom je in aanmerking voor het kwaliteitsonderzoek. Wat was voor jullie aanleiding om ja te zeggen tegen de pilot? Frank: Ik ben er vooral in het begin behoorlijk sceptisch over geweest. Dat 6 de IT-Auditor nummer IT Auditor_13_02.indd 6 23/05/13 10:19 PM

3 Van links naar rechts Frank Kossen, Henk de Zwart en Werner van Haelst. Henk de Zwart ondertekent de eerste kwaliteitsonderzoeksrapportages kwam met name doordat vanaf dag één al duidelijk was dat de NBA-leden buiten de scope van de CKO zouden moeten vallen. En dat zijn natuurlijk alle grote kantoren en dan is er een gat tussen de hele grote en de éénpitters, daar zitten nog een paar kleine kantoren zoals dat van Werner en mijzelf. Als dat er vijf zijn houdt het denk ik wel op. Dus ik voelde aankomen dat wij daar onevenredig mee belast zouden worden. Dat gevoel is er weliswaar nog steeds een beetje, maar gaandeweg mijn werkzaamheden in de Commissie Beroepsregels is wel het bewustzijn gegroeid dat we als RE s echt aantoonbaar iets moeten doen aan onze kwaliteit. Daarnaast gaf de pilot mij de mogelijkheid om mee te denken over de daadwerkelijke invulling van het onderzoek. Werner: Voor onze organisatie ging het er eigenlijk vooral om, van het onderzoek te leren, want kwaliteit is voor ons bijzonder belangrijk. We zeiden dus: Laat ze maar komen. Het ging natuurlijk om een oud jaar, 2011, van voor de fusie, Integrc is begin 2012 ontstaan door een fusie tussen CSI en het Engelse su53 Solutions. En dan is eigenlijk alle input welkom. Je kunt er alleen maar van leren en de ervaringen kun je gebruiken om een nog beter handboek te maken. En heeft deelname aan de pilot dat effect ook gehad? Frank: Jawel, je moet ook wel blind zijn als je uit dit soort dingen geen lessen voor jezelf trekt. Wij waren op zich redelijk overtuigd van ons eigen systeem, maar dat wil niet zeggen dat er geen verbeteringen mogelijk zijn. Kijk, de meeste mensen die binnen Duijnborgh Audit werken voeren ook werkzaamheden uit voor Duijnborgh Certification. En daar hebben we een managementkwaliteitssysteem dat jaarlijks door de Raad voor Accreditatie wordt getoetst. Dat soort systemen kunnen makkelijk papieren tijgers worden, maar wij dachten het in ieder geval prima op de IT-Auditor nummer IT Auditor_13_02.indd 7

4 interview orde te hebben. Maar toen gingen we nog eens goed kijken voordat de commissie kwam en dat heeft mij wel bevestigd in de opvatting dat je wel een systeem kunt opzetten, maar dat is het makkelijkste deel van het hele spel. Je moet het ook nog eens een keer implementeren en doen en mijn leermoment nu is dat je het moet blíjven doen. Werner: Een van de vragen in het onderzoek is: houd je als IT-auditorganisatie de PE registratie van je RE s bij. Nee, dat doen wij niet, dat is de eigen verantwoordelijkheid van de RE. In onze jaarlijkse beoordelingsgesprekken komt het onderwerp opleiding aan de orde. We vragen dan wat heb je aan opleiding gedaan en we zeggen zorg dat je je PE-punten bijhoudt. Dat wordt vastgelegd, maar ik vraag niemand een lijst van laat me eens zien wat je hebt ingevuld. Dus toen kreeg ik een opmerking wordt door de IT-auditorganisatie niet bijgehouden. Maar moet dat dan? Waar is de regel die zegt dat je dat als IT-auditorganisatie bij moet houden? Dat staat er dus niet formeel. Zo komen er door die pilots dus ook specifieke dingen naar boven. Frank: Wat Werner net schetst, zit volgens mij in de controlesystematiek die we gekozen hebben. De IT-auditorganisatie wordt gecontroleerd, dus niet de RE. De RE s hoeven niet eens aanwezig te zijn bij het onderzoek en dan ontstaat het probleem dat de kwaliteitsonderzoekers die PE punten willen zien en dan zeggen: ITauditorganisatie toon eens aan dat die RE s aan de PE verplichting voldoen. Maar ik vind dat eigenlijk geen taak voor de werkgever. Henk: We hebben dat voor 2013 als volgt opgelost. Bij dat regeltje hebben we nu een toelichting geschreven dat een PE-administratie door de IT-auditorganisatie weliswaar niet verplicht is maar dat de leiding van de IT-auditorganisatie moet kunnen aantonen dat de medewerkers die zij in dienst hebben of bij hen werken voldoen aan de vaktechnische vereisten en leg maar uit hoe je dat dan doet. Werner heeft het uitgelegd en gezegd: luister het zit bij ons in het jaarlijkse personeelsgesprek, dat kan ik aantonen. Dan is het heel makkelijk: de IT-auditorganisatie stelt vast dat de kwaliteit van de mensen voldoet aan de eisen. Het helpt zeker om je scherp te houden op de kwaliteit van je werkzaamheden Werner: Dit soort normdiscussies komt ook doordat we als NOREA natuurlijk ook gebruik hebben gemaakt van de kwaliteitsonderzoeken die al uitgevoerd worden door NBA en IIA NL en we hebben ook die materialen. Dat soort instanties, die ook kwaliteitsonderzoeken uitvoeren, hebben checklists en ze komen vooral bij de grote organisaties, bij de big four, bij de grote IAD s. En daar heb je wel dat soort systemen dat het intern wordt bijgehouden. Daardoor sluipt dat als impliciete normen in de kwaliteitsonderzoeken terwijl wij juist gaandeweg geleerd hebben dat sommige dingen niet van toepassing zijn voor ons en zeker niet voor de kleinere IT-auditorganisaties. Henk: Dat betekent overigens niet dat we gaan voorstellen om het RKBN aan te passen. We laten dat intact om één op één met IFAC te lopen, anders krijg je daar weer allerlei discussies over. Dat betekent dat wij de slag intern moeten maken, bij de uitvoering van de kwaliteitsonderzoeken. Frank: Ik vind dat we daar wel scherp in moeten zijn, of, liever gezegd nóg scherper in moeten blíjven. De IFAC is tenslotte primair een organisatie voor accountants. Niets mis mee, maar we komen er steeds meer achter dat IT-audit een wezenlijk ander vakgebied is dan financial audit. Als je dus affliliated lid wilt zijn van een organisatie als IFAC, waar je niet helemaal mee matcht, dan moet je je wel continu bewust blijven van de kenmerkende verschillen en kun je niet één op één de IFAC-regels kopiëren. Hebben jullie organisaties zelf iets aan het onderzoek gehad? Werner: Belangrijk voor ons was dat we de zwaarte van ons handboek hebben kunnen spiegelen aan de eisen van NOREA. Daar worstelden we in het begin wel even mee. Uit het onderzoek kwam bijvoorbeeld naar voren dat wij ons kwaliteitshandboek veel te zwaar hadden aangezet. En dat matchte eigenlijk niet met het werk dat wij doen. Wij zitten meer in de adviesfunctie dan in de attestfunctie. En bij ons is er een grijs gebied tussen wat je beschouwt als attest en wat advies is. Ons handboek was echt geschreven vanuit de attestfunctie, dus heel strak, en dat werd naast de meetlat gelegd. En, dat was eigenlijk heel grappig, op de dag van het onderzoek kwamen wij erachter dat wij het onszelf te moeilijk, te zwaar hadden gemaakt. We doen immers geen zuivere attest. Wat wij doen zijn IT-audits, vooral van SAP-systemen: assessments, nulmetingen, scans, hoe je het ook noemen wil. Die onderzoeken doen we naar de letter van de eisen voor IT-audits: we hebben een normenkader waar we aan toetsen, de rapportage stellen we ook precies op conform de richtlijnen: doel, afbakening, aanpak, conclusies, heel die riedel staat er allemaal in. Op die manier wil de klant het ook hebben. Die rapportage presenteren we vervolgens aan de klant in de vorm van een Powerpointpresentatie en voor hem is het dan klaar. Er is dus geen maatschappelijke, brede werking aan verbonden. De klant heeft ons gevraagd om ernaar te kijken, om een foto te maken, vanwege je onafhankelijkheid. En dan vraag ik me af, is dat attest? Ik teken geen rapport af, bijvoorbeeld. Frank: Dat bevestigt mijn beeld dat terminologie niet altijd even duidelijk is onder de beroepscollega s. Volgens mij is binnen NOREA zelf pas sinds een jaar of twee wat meer duidelijk geworden waar bijvoorbeeld de exacte grenzen liggen tussen typen onderzoeken. En of dat toen al tussen de oren van onze leden zat, dat is nog maar de vraag. En, hebben jullie ook gekeken of de kwaliteitsonderzoeken zelf beter kunnen? dat was immers ook een van de doelstellingen van de cko. Werner: Een van de dingen die we bijvoorbeeld niet zo duidelijk vonden is of alles nu 8 de IT-Auditor nummer IT Auditor_13_02.indd 8

5 Werner van Haelst en Frank Kossen nemen het rapport in ontvangst verplicht is of niet. Iets staat in het lijstje, maar is daar dan ook een verplichting aan verbonden? En ik heb zelf nog een opmerking gemaakt over het aantal deelwaarnemingen. Eén dossier mag je zelf aandragen in de praktijk zal dat een voorbeelddossier zijn waar niks in zit en eentje wordt genomen uit de lijst die je aanlevert. Gezien de omvang van de organisatie denk ik dat er best meer dossiers getrokken hadden mogen worden om recht te doen aan de uitspraak die de commissie doet. Bij grote organisaties heb je vele tientallen of honderdtallen opdrachten zitten. Henk: Dat hebben we inderdaad aangepast. We hebben het aantal te onderzoeken dossier geconcretiseerd in een lijstje. Werner: Het hele proces van voorbereiding, daar waren we echt tevreden over. Wel vinden we dat er heel veel documenten over de mail worden gestuurd. En verder is het misschien goed om het onderzoeksteam van te voren, voordat ze daadwerkelijk in huis komen, een soort intakegesprek te laten voeren. Dat kan telefonisch. Dat zij dus goed snappen wat voor organisatie je bent en dat ze een beeld hebben wat voor soort werk je doet. Dat ze een gevoel krijgen van: oké, dit zijn twee organisaties die gefuseerd zijn, hoe werkt dat dan precies, en hoe ligt de verhouding tussen typen werkzaamheden eigenlijk. Voor het onderzoeksteam zou dat helpen denk ik. Dat had bij ons allerlei discussies voorkomen. Bovendien, als je vooraf een beetje meer communiceert dan weet je iets preciezer wat de onderzoekers aan informatie nodig hebben. En dan kunnen we de functionaris erbij vragen van wie wij verwachten dat die antwoord kan geven op die vraag. Dan faciliteer je ons als geaudite partij enorm. Hoe zit het met de eenduidigheid van de onderzoeken? Frank: Wanneer moeten de kwaliteitsonderzoekers wel en wanneer niet naar evidence vragen? Wij vinden dat daar wel meer eenduidigheid over mag komen. Nu hebben wij geconstateerd dat de twee onderzoekers die bij ons kwamen kijken de IT-Auditor nummer IT Auditor_13_02.indd 9

6 interview het ook wel eens met elkaar oneens leken te zijn. Er zijn zestien kwaliteitsonderzoekers, dat zijn er best veel. Als je op zestien verschillende manieren die onderzoeken zou gaan doen, zou daar onnodig rumoer over komen denk ik. Collega s praten nu eenmaal veel met elkaar. We hebben verder gemerkt dat de commissie ook nog wat zoekende is. Dat getuigt overigens van een open instelling, en dat heb ik als heel positief ervaren. Henk: We werken op een aantal manieren aan eenduidigheid. Bijvoorbeeld door een jaarlijkse terugkomdag voor kwaliteitsonderzoekers, workshop of hoe je het ook maar wilt noemen. Tijdens die dag laten we de ervaringen aan de hand van anoniem omschreven casussen onderling uitwisselen. Let wel: uitwisselen, dus niet alleen laten roepen wij vonden dit..., maar de mensen er ook met elkaar over laten praten. Daarnaast is het zo dat elk onderzoek een begeleidend lid van de CKO heeft. Dat clubje is al wat kleiner, want dat zijn er zes. In dat kleinere verband kom je gemakkelijker tot eenduidigheid. Ten slotte is het ook nog zo dat de voorzitter CKO wordt geacht om alle rapporten na te lezen, juist om zoveel mogelijk eenduidigheid en eenvormigheid in de rapportages te bevorderen. Frank: Als wij zelf soortgelijke onderzoeken doen, bij een brancheorganisatie of bijvoorbeeld bij verschillende ziekenhuizen in opdracht van de Inspectie Gezondheidszorg, dan maken we altijd werkprogramma s. Dat doen we juist om te voorkomen dat het ene ziekenhuis net een andere behandeling krijgt, omdat er een andere auditor op bezoek komt. Zo n werkprogramma, dat is niet altijd fijn, natuurlijk. De meeste auditors vinden het veel leuker om het vak zelfstandig in te vullen in plaats van dat je met een lijstje op pad gestuurd wordt. Maar vanuit het gezichtspunt van professionaliteit vind ik het erg goed om het wel te doen. Dat zou de CKO ook kunnen overwegen. Ja, dan wordt het inderdaad van wat is dan de evidence die bij die maatregel hoort?. Wanneer is het goed en wanneer niet? Dan kun je het gevoel van willekeur voorkomen. Overigens heb ik het feit dat er niet gewerkt is met een werkprogramma niet ervaren als een tekortkoming. Henk: Tja, een werkprogramma, daar hebben we nog niet zo over nagedacht. Wel beschikt de onderzoeker over een controleprogramma waarin de uit te Je moet ook wel blind zijn als je uit dit soort dingen geen lessen voor jezelf trekt voeren werkzaamheden zijn vermeld, een eventueel werkprogramma zou in aanvulling daarop een gedetailleerde uitwerking bevatten. Wat we ook gedaan hebben, is dat we begonnen zijn met normering. Die is ook te vinden op de website. Daar staat, geanonimiseerd, wat in de pilots is aangetroffen en welke consequentie dat had voor het oordeel. En dat betekent dat we dus op die manier begonnen zijn jurisprudentie op te bouwen waar uiteindelijk de onderzoekers uit kunnen putten: Gut, het is dit, ja dat lijkt wel op..., dat betekent dat ik als volgt moet oordelen. Werner: Misschien toch ook nog een opmerking over de onderzoekers. Het is wel belangrijk dat het echt onafhankelijke onderzoekers zijn. Frank: Ik denk dat het voor heel veel leden wel belangrijk is. Wij hebben in dat licht ook een in eerste instantie door de CKO voorgedragen onderzoeker gewraakt. Dat had niets met de persoon zelf te maken, maar was ingegeven door het feit dat hij in een organisatie werkte die dezelfde diensten levert als onze organisatie. Om dan zo n persoon in onze keuken te laten kijken, ging ons net iets te ver. De CKO is overigens prima met ons bezwaar omgegaan en heeft een andere onderzoeker voorgedragen. Henk: We luisteren naar eventuele bezwaren op dit gebied van de organisatie die geaudit zal worden en een van de dingen die we vooraf doen is vragen aan de betrokken personen uit de onderzoeksgroep: Als je naar die organisatie gaat, levert dat, denk je, een probleem op? Ook kan de IT-auditorganisatie zoals Frank al aangaf een onderzoeker wraken. Overigens, alle documenten van het kwaliteitsonderzoek zijn voor de leden beschikbaar op het besloten deel de website van NOREA. de cruciale vraag is natuurlijk: helpt het? Werner: Ja, het helpt zeker om je scherp te houden op de kwaliteit van je werkzaamheden. Frank: Daar ben ik het mee eens, maar natuurlijk ligt ook altijd het risico op de loer van bureaucratie, dat de regels het doel voorbij streven. Maar als we dat met z n allen voortdurend blijven zien, ook de commissie die de onderzoeken doet, dan is dat risico daarmee volgens mij voor het belangrijkste deel al gemitigeerd. Dit aspect moet in ieder geval altijd onder de aandacht blijven. Niet alleen nu, maar ook in de komende jaren. En je moet heel scherp blijven met elkaar en altijd de vraag blijven stellen of het nog steeds een nuttig instrument is. Anders gezegd: de leden van NOREA zelf moeten bewaken dat het ook een nuttig instrument blijft en die vraag moet ook permanent aan alle leden worden voorgelegd. tot slot: vinden jullie het eigenlijk niet raar dat het nodig is, je bent toch re? Frank: Nee, helemaal niet. Het is pure noodzaak geworden. De tijd van trust me op m n blauwe ogen, die is echt voorbij. Je kunt niet meer zeggen: vertrouw maar op ons, want we zijn RE. Nu is het show me. Wat we doen blijft mensenwerk. En het wordt steeds belangrijker dat we kunnen aantonen dat we als leden van NOREA daadwerkelijk voldoen aan allerlei richtlijnen die de kwaliteit van onze werkzaamheden waarborgen. Want anders zeggen onze klanten toch: wat is dit voor schimmige beroepsclub die met elkaar allerlei dingetjes bedenkt? Noot 1 KOA is het samenwerkingsverband Kwaliteitstoetsingen Overheidsaccountants. 10 de IT-Auditor nummer IT Auditor_13_02.indd 10