Van trust me naar show me

Vergelijkbare documenten
College Kwaliteitsonderzoek JAARVERSLAG 2016

College Kwaliteitsonderzoek CKO JAARVERSLAG 2018

NOTITIE. Aan : Leden NOREA. Van : College Kwaliteitsonderzoek (CKO) NOREA. Datum : 1 juni Betreft : Vragen en antwoorden Regiosessies RKON

B4 Reglement Kwaliteitsonderzoek NOREA (RKON) Preambule

Reglement externe kwaliteitstoetsing interne audit functies van IIA Nederland

Richtlijn 4401 Opdrachten tot het verrichten van overeengekomen specifieke werkzaamheden met betrekking tot informatietechnologie

Self assessment kwaliteitsonderzoek IT-auditorganisatie

Het bestuur heeft bij de bepaling van de reikwijdte van het kwaliteitsonderzoek het volgende in overweging

Reglement externe kwaliteitstoetsing interne audit functies van IIA Nederland

Het Bestuur legt deze versie voor aan de leden ten behoeve van de Algemene Ledenvergadering d.d. 9 december

Verslag van de werkzaamheden en 2009

IT-audit in vogelvlucht. Jeanot de Boer 24 april 2012

Algemene Vergadering. Voorjaar [ ]

Curriculum Verplichte Permanente Educatie professioneel-kritische instelling

Handboek Kwaliteitsonderzoek

ENSIA. Het audit perspectief. René IJpelaar Achmed Bouazza Werkgroep ENSIA. 4 juli 2017

MKB Cloudpartner Informatie TPM & ISAE

Handboek Kwaliteitsonderzoek

Inleiding 1. Opdrachtaanvaarding 2 t/m 7. Planning en uitvoering professionele dienst 8 t/m 12. Dossier 13 t/m 16. Rapportage 17 t/m 20

Reglement externe kwaliteitstoetsing interne audit functies van IIA Nederland

Jacques Herman 21 februari 2013

Format assurance over de juistheid van de collegeverklaring ENSIA 2017 van gemeente [naam gemeente]

Reglement Doorlopend Toezicht

GEMEENTELIJKE TELECOMMUNICATIE MOBIELE COMMUNICATIE. Bijlage 04 Kwaliteitsborging en auditing

Spreektekst Leraar register

Reflectieverslag Zonnepomp

Opening seminar 2015 door voorzitter Elly Blanksma

U wordt getoetst. Wat betekent dat? Wat kunt u verwachten?

Bob Alisic (NEN) Tweedeling in 'ISO land' dankzij ISO 9001:2015? Eindelijk!

Algemene Ledenvergadering (ALV) NOREA

INFORMATIEFOLDER. Advies op maat. Advies

Certificering HR Professional

B4.2 Stappenplan Kwaliteitsonderzoek NOREA

Reglement Permanente Educatie (PE) voor de Actuaris AG. Ingaande per 1 januari 2010

ISAE 3402: Externe auditor niet langer nodig!

image brochure.indd :02:22

WKCZ = Wet Klachtrecht Cliënten Zorgsector ligt ten grondslag aan deze regeling.

Wat is PDD-nos? VOORBEELDPAGINA S. Wat heb je dan? PDD-nos is net als Tourette een neurologische stoornis. Een stoornis in je hersenen.

Workshop Bouwend Nederland

Neem echt de tijd om de onderstaande vragen in te vullen!

A7 Richtlijn Permanente Educatie (wijzigingsvoorstel 2018, ter consultatie)

Commissie voor de bezwaarschriften. Jaarverslag 2013

KLACHTENREGELING VOOR CLIËNTEN VAN PAMEIJER HEB JE EEN KLACHT? JE KUNT ER IETS AAN DOEN!

II. VOORSTELLEN VOOR HERZIENING

Stichting Registered Tax Assurance Providers. Reglement toetreding register. Vastgesteld en in werking getreden op 12 september 2012

Handleiding uitvoering ICT-beveiligingsassessment

VIPP-assessments Handreiking voor de IT-auditor. Theo de Breed RE CISA Lid werkgroep ZekeRE Zorg, NOREA ( ) 15 november 2017

coach jezelf Dit boek is van:

ENSIA en Assurance. Ervaringen 2017 als basis voor uitvoering 2018 Drs. Ing. Peter D. Verstege RE RA. 31 oktober 2018

Commissie voor de bezwaarschriften NIVRA-NOvAA

Januari. Ik accepteer en waardeer mijn ( hoog) gevoeligheid.

Audit. Margon Tuinstra (programmamanager VIPP GGZ) Theo de Breed (NOREA) 9 mei 2019

B2 Reglement Beroepsbeoefening IT-auditors

Stewardessen doen het beter

NBA t.a.v. P.J.A.M. Jongstra RA Postbus AD Amsterdam 19 april Betreft: Consultatiedocument Nadere Voorschriften Kwaliteitssystemen

FAQ - LIJST. 2. Vraag: Worden de auditors op de hoogte gehouden van ontzettingen uit het ambt en van waarnemingen? Antwoord: Nee.

Thema 7: Economie en werk

Doorlopend toezicht ACAM

Algemene Kwaliteitstoetsingen PAS Conferentie

REGLEMENT PERMANENTE EDUCATIE REGISTER OPERATIONAL AUDITORS

Veranderingen privacy wet- en regelgeving

Oordelen van en door RE s

Patiënt weigert medicijnen in te nemen. Probleemoplossend gesprek

2. Dit reglement geldt voor alle aspirant-leden en gewone leden van de NOB.

Reflectieverslag. Kevin de Ram

Uitvraag 2013: resultaten beschikbaar. September In deze nieuwsbrief. Uitvraag 2013: resultaten beschikbaar. Doorontwikkeling GBO-indicatoren

Agenda ALV-NOREA, 13 december 2018

NOREA Visie Brigitte Beugelaar. 14 september 2015

Onderwerp: Voorstel tot wijziging procedure rondom toetsing van accountantskantoren

DRAAIBOEK VERANDERING BINNENUIT. voor. van

WHITEPAPER Nl-ANALYSE

Examenwijzer Praktijkopleiding AA

Internal Audit Charter

Beleidsregels voor de toetsing van de realisatie van de eindtermen van de praktijkopleiding en het geven van een aanwijzing

Inhoud. Deel 1 Inleiding in professional organizing 9

Datum 16 september 2013 Onderwerp V62008 Verslag inspectiebezoek Convenant Veilige toepassing van medische technologie in het ziekenhuis

Federaal Agentschap voor de Veiligheid van de Voedselketen

Klaagster, is het bestuur van de Nederlandse Orde van Register EDP-Auditors, hierna mede

Hoofdstuk 3 Verordeningen en overige besluiten / 41. Hoofdstuk 4 De financiën van de beroepsorganisatie / 52

Wijkteams en informele zorg. 22 juni 2015 Inge Redeker (Vilans)

Bekwaamheidsdossier. februari 2006 O. OC0602_p8_12 Personeelsbeleid2.i :29:26

Handleiding 360 feedback. Informatie voor de gebruiker van het 360 feedback instrument bij de Avans gesprekkencyclus

Medische machtiging en volmacht geheel herzien. Column: Leuk! De Letselschade Raad op bezoek(audit)

Informatie is overal: Heeft u er grip op?

Auditstatuut. Systeemtoezicht Wegvervoer

Workshop Evenwicht, je leven in Balans Werkboek bijeenkomst 1

Onderzoeksvraag Uitkomst

Progressiegerichte coachingsdialoog Gwenda Schlundt Bodien

Zeker-OnLine is een onafhankelijk en transparant keurmerk voor online administratieve diensten (ook wel administratieve cloudoplossingen genoemd).

MEDIATION IN ARBEIDSCONFLICTEN

Niemand leest. Dus doe je best.

B4.8 Self assessment kwaliteitsonderzoek IT-auditorganisatie ingedeeld naar werkzaamheden en omvang organisatie

Internal Audit Charter BNG Bank

AVG-ondersteuning bij uw klant

WHITEPAPER. 5 principes voor een soepele ISO certificering

Toelichting op het SCOL normeringsonderzoek

ENSIA en Assurance. Van concept naar praktijk. Drs. ing. Peter D. Verstege RE RA. 31 oktober 2017

IIA Nederland Commissie Vaktechniek(CPP) Jaarplan Commissie Vaktechniek 2008

onderzoek bewonersadviesgroep Dienstverlening

IT Auditor en ENSIA. NOREA-werkgroep ENSIA (vice voorzitter) Drs. M.J.G. Mennen RA RE CRISC CISA. 31 oktober 2018

Transcriptie:

interview MEt HEnk de ZWart, Frank kossen En WErnEr Van HaElst over de EErstE ErVaringEn MEt HEt kwaliteitsonderzoek Van trust me naar show me als beroepsorganisatie van professionals heeft norea de kwaliteit van de diensten die wij, re s, leveren hoog op de agenda staan. Enkele jaren geleden hebben de leden van norea in de algemene ledenvergadering het Reglement Kwaliteitsbeheersing NOREA (rkbn) en het Reglement Kwaliteitsonderzoek NOREA (rkon) vastgesteld. nu gaan de in die reglementen voorziene kwaliteitsonderzoeken van start. dit gebeurt onder verantwoordelijkheid van het College Kwaliteitsonderzoek (cko), dat in maart 2011 werd ingesteld. om te kijken of een werkbare weg is ingeslagen, heeft de cko in het najaar 2012 twee pilotonderzoeken georganiseerd. We spraken met Henk de Zwart, voorzitter van het cko en zijn twee proefkonijnen Frank kossen (duijnborgh audit) en Werner van Haelst (integrc) de twee directeuren van de organisaties waar de pilotonderzoeken zijn uitgevoerd. Het gesprek ging over hun ervaringen en leermomenten. THOMAS WIJSMAN EN THEA GERRITSE Henk, zou jij om te beginnen iets willen vertellen over de achtergronden? Henk: Norea heeft van meet af aan, dus al zo n twintig jaar, als doelstelling dat ze wil opereren en optreden als professionele beroepsorganisatie wat betekent dat je in staat bent de kwaliteit van je dienstverlening te garanderen aan huidige en potentiële afnemers. Dat heeft er toe geleid dat we in de statuten hebben opgenomen dat wij iets willen doen aan kwaliteitsborging door de IT-auditorganisaties van geleverde diensten en kwaliteitsbeoordeling van die borging. Het argument om als beroepsorganisatie kwaliteitsonderzoek te willen instellen, sluit aan op ontwikkelingen in beroepsorganisaties zoals die van artsen, notarissen, advocaten en, daar spiegelen we ons als NOREA natuurlijk heel erg aan, de NBA. Voor het bestuur was dat een aantal jaren geleden reden te besluiten om geaffilieerd lid te worden van IFAC en dat betekent dat de hele inrichting van het kwaliteitsonderzoek een internationale basis heeft, want die is, net zoals die van de NBA, gebaseerd op regelgeving van IFAC. Aandacht voor kwaliteit staat dus al twintig jaar in onze statuten en zo n twee jaar geleden hebben enkele bestuursleden het initiatief genomen om dat nu toch echt te gaan invullen. Een meer directe aanleiding daarvoor was dat NOREA bij het toenmalige NIVRA, nu de NBA, erkenning heeft gevraagd dat RE s als auditprofessionals assurance-opdachten mogen uitvoeren. Het NIVRA heeft als eis gesteld dat wij dan ook een stelsel moeten hebben dat voorziet in kwaliteitsonderzoeken en dat is het laatste stapje geweest waardoor het bestuur heeft gezegd nou moet het een keer echt gebeuren. En dat heeft toen geleid tot het RKBN, dat is geaccepteerd in juli 2011. Daarna hebben we het College Kwaliteitsonderzoek (CKO) ingericht en zijn we het hele onderzoeksstelsel gaan uitwerken. Overigens wil ik wel benadrukken dat het College Kwaliteitsonderzoek niet als doelstelling heeft om onvoldoendes uit te delen. Nee, we proberen op basis van onderzoek een oordeel te geven over de getroffen maatregelen voor kwaliteitsborging en koppelen dat zo mogelijk aan een advies en een stukje wijze raad: hoe kan die betreffende partij zijn leemte opvullen. Nou, en als het dan toevallig heel erg is, dan moeten we wel eens negatief oordelen, maar we zijn primair op zoek naar: wat is de kwaliteit, hoe kan ik die verbeteren en daar hoort dan, toevallig ja, ook een oordeel bij. Wat waren jullie uitgangspunten? Henk: Het stelsel van regelgeving is gebaseerd op de individuele verantwoordelijkheid van de RE. Nu hebben we ook doelmatigheid hoog in ons vaandel staan, dus willen we als NOREA voorkomen dat we doublures hebben. Daarom hebben we gezegd: Wat een ander doet hoeven wij niet over te doen. Dus als NBA, IIA.NL AFM of KOA 1 kwaliteitsonderzoek doet dat voldoet aan de regelgeving van NOREA, dan willen wij graag met die organisaties een overeenkomst sluiten en daarbij afspreken onder welke voorwaarden en op welke wijze zij de onderzoeken doen. Wij willen dan ook graag geïnformeerd worden over het aantal onderzoeken dat is uitgevoerd, hoeveel IT-auditors daarbij betrokken waren en of er afspraken zijn gemaakt over de oordelen van die organisaties die interview de IT-Auditor nummer 2 2013 5 IT Auditor_13_02.indd 5 23/05/13 10:19 PM

interview negatief zijn. Dit heeft inmiddels geleid tot een accreditatieovereenkomst met IIA; met de andere organisaties die ik noemde, zijn of gaan we in gesprek. En dat betekent dat grote IT-auditorganisaties in de operationele uitvoering van de kwaliteitsonderzoeken niet onder het CKO vallen omdat IIA NL, NBA of AFM, dat zijn de drie grote clubs, daar kwaliteitsonderzoeken uitvoeren. Dat betekent dat er relatief kleine organisaties overblijven, waaronder heel veel kleintjes, de zogenoemde éénpitters. Zoals gezegd is individuele verantwoordelijkheid de basis, maar als een RE binnen een IT-auditorganisatie werkt, dan kijken wij als service en vanuit het oogpunt van doelmatigheid naar de IT-auditorganisatie. Want als er vijf werken dan doen we onderzoek naar één organisatie, en dan hebben we daarmee een oordeel over het functioneren van vijf RE s. Een IT-auditorganisatie is zo gedefinieerd dat een zelfstandige RE tevens een IT-auditorganisatie is. Daar zitten nog wel wat misverstanden, want dan zeggen de collegae: wij doen geen assurance, nee, ze doen advies, in de een of andere vorm. En dat betekent dat ze werkzaamheden doen die NOREA als professionele dienstverlening definieert. Daarom zijn ze per definitie een IT-auditorganisatie, die dus onder het kwaliteitsonderzoek van NOREA valt. Jaarlijks doen wij op grond van de ledenlijst een uitvraag, een vragenlijst waarmee we in principe alle individuele leden aanschrijven om te vragen: wat heb je afgelopen jaar gedaan? Alleen, we clusteren dat door het naar de leiding van elke IT-auditorganisatie te sturen en ook zo creëren we doelmatigheid. De organisaties die niet door een van de andere partijen die op kwaliteit letten worden onderzocht, onderzoekt NOREA eens in de vier jaar. Dat zijn toch nog altijd zo n 300 IT-auditorganisaties, hoor. Maar mogelijk valt dit aantal wat lager uit omdat er ook IT-auditors in business tussen zitten. Wie betaalt het onderzoek? Henk: De kosten voor het onderzoek zijn voor rekening van de IT-auditorganisatie. Frank: Je kunt die kosten over vier jaar uitsmeren. Dat is een belangrijk punt. Want die 1.000 die het ongeveer kost voor een zzp er die zijn zaken op orde heeft, kost m dan maar 250 per jaar. En als je daarmee nog beter de concurrentie aankunt.... kijken jullie alleen naar assurance of ook naar adviesopdrachten? Henk: IT-auditdiensten zijn niet alleen als op assurance gerichte audits gedefinieerd maar ook als op advies gerichte audits. Dat We hebben doelmatigheid hoog in ons vaandel staan is immers een van de belangrijkste taken waar onze collega s zich mee bezig houden. Het is lastig dat het begrip advies nergens is gedefinieerd, wereldwijd niet daarom heeft de commissie Beroepsregels het initiatief genomen om uit te zoeken: wat is advies? Daar ligt nu een eerste rapport over en het is nu aan het bestuur om vast te stellen: wij vinden dat dit het is of niet. We hebben in de CKO geconstateerd dat de begrippen assurance en advies zoals die nu in de statuten staan eigenlijk wat te grof zijn en daarom hebben we nu een nuancering aangebracht in de soorten werkzaamheden. We kennen naast assurance en advies nu ook de begrippen detachering en ITauditor in business. De statuten kennen formeel niet de IT-auditor in business, maar alleen het onderscheid actief en niet-actief. Niet-actief kan zijn: in business, maar kan ook zijn gepensioneerd. Het begrip in business hebben we ingevoerd omdat we zeggen: de RE s die in business zijn vallen buiten het onderzoek, want die geven geen oordeel en ook geen advies en treden niet op als RE, dus die filteren we er ook uit. En verder hebben we een nuancering aangebracht als het gaat om detachering: een IT-auditor die zichzelf detacheert die wordt niet inhoudelijk onderzocht qua dossier, want die is werkzaam bij een IT-auditorganisatie en wordt dus meegenomen in het kwaliteitsonderzoek van die organisatie door NOREA of een van de beroepsorganisaties waarmee NOREA een overeenkomst heeft gesloten voor het uitvoeren van kwaliteitsonderzoeken. Detachering houdt in dat je de RE wel onderzoekt, maar dat is een heel klein onderzoek. Dan vragen we naar de organisatie waar hij werkt en naar het contract met die organisatie. In dat contract willen wij aantreffen dat de betreffende RE heeft veilig gesteld dat hij aan de kwaliteitseisen van NOREA kan voldoen. Frank: Ik wil hier graag op inhaken. Wat ik een beetje proef is dat het wel eens zo zou kunnen zijn dat de organisatie van Werner en mijn organisatie zowat de enige zijn die overblijven als het afpellen klaar is. Het lijkt er toch wel op dat er telkens wat regels bij komen of dat regels worden aangevuld of geconcretiseerd, waardoor steeds meer partijen de dans ontspringen. De gedetacheerde RE bijvoorbeeld, daar was eerst geen sprake van in mijn optiek. Dat afpellen moet nou wel eens klaar zijn. We zijn allemaal professionals en ik vind gewoon: we moeten aan de kwaliteitseisen voldoen en dat mag best gecontroleerd worden. Als je daar heel moeilijk over gaat doen, moet je misschien eens bij jezelf te rade gaan of je kwalitatief gezien je werk wel eigenlijk goed doet. Werner: Die discussie zien wij ook in het CKO-overleg (Werner zit ook in het CKO, red.). Het is inderdaad wel een relevante discussie, zoals je net zegt. Er zijn lieden die proberen de dans te ontspringen met allerlei redenen als ik ben niet meer ingeschreven, of ik wou me net uitschrijven, ik doe dit soort werk niet meer en dan hebben we daar discussies over wat we daar mee moeten. En tot nu toe zijn we van de harde hand. Henk: Dat klopt, daar gaan we niet zo maar in mee. Ook al ben je maar een eenling en heb je misschien wat kleinere opdrachten gedaan, je bent ingeschreven in het register en dus kom je in aanmerking voor het kwaliteitsonderzoek. Wat was voor jullie aanleiding om ja te zeggen tegen de pilot? Frank: Ik ben er vooral in het begin behoorlijk sceptisch over geweest. Dat 6 de IT-Auditor nummer 2 2013 IT Auditor_13_02.indd 6 23/05/13 10:19 PM

Van links naar rechts Frank Kossen, Henk de Zwart en Werner van Haelst. Henk de Zwart ondertekent de eerste kwaliteitsonderzoeksrapportages kwam met name doordat vanaf dag één al duidelijk was dat de NBA-leden buiten de scope van de CKO zouden moeten vallen. En dat zijn natuurlijk alle grote kantoren en dan is er een gat tussen de hele grote en de éénpitters, daar zitten nog een paar kleine kantoren zoals dat van Werner en mijzelf. Als dat er vijf zijn houdt het denk ik wel op. Dus ik voelde aankomen dat wij daar onevenredig mee belast zouden worden. Dat gevoel is er weliswaar nog steeds een beetje, maar gaandeweg mijn werkzaamheden in de Commissie Beroepsregels is wel het bewustzijn gegroeid dat we als RE s echt aantoonbaar iets moeten doen aan onze kwaliteit. Daarnaast gaf de pilot mij de mogelijkheid om mee te denken over de daadwerkelijke invulling van het onderzoek. Werner: Voor onze organisatie ging het er eigenlijk vooral om, van het onderzoek te leren, want kwaliteit is voor ons bijzonder belangrijk. We zeiden dus: Laat ze maar komen. Het ging natuurlijk om een oud jaar, 2011, van voor de fusie, Integrc is begin 2012 ontstaan door een fusie tussen CSI en het Engelse su53 Solutions. En dan is eigenlijk alle input welkom. Je kunt er alleen maar van leren en de ervaringen kun je gebruiken om een nog beter handboek te maken. En heeft deelname aan de pilot dat effect ook gehad? Frank: Jawel, je moet ook wel blind zijn als je uit dit soort dingen geen lessen voor jezelf trekt. Wij waren op zich redelijk overtuigd van ons eigen systeem, maar dat wil niet zeggen dat er geen verbeteringen mogelijk zijn. Kijk, de meeste mensen die binnen Duijnborgh Audit werken voeren ook werkzaamheden uit voor Duijnborgh Certification. En daar hebben we een managementkwaliteitssysteem dat jaarlijks door de Raad voor Accreditatie wordt getoetst. Dat soort systemen kunnen makkelijk papieren tijgers worden, maar wij dachten het in ieder geval prima op de IT-Auditor nummer 2 2013 7 IT Auditor_13_02.indd 7

interview orde te hebben. Maar toen gingen we nog eens goed kijken voordat de commissie kwam en dat heeft mij wel bevestigd in de opvatting dat je wel een systeem kunt opzetten, maar dat is het makkelijkste deel van het hele spel. Je moet het ook nog eens een keer implementeren en doen en mijn leermoment nu is dat je het moet blíjven doen. Werner: Een van de vragen in het onderzoek is: houd je als IT-auditorganisatie de PE registratie van je RE s bij. Nee, dat doen wij niet, dat is de eigen verantwoordelijkheid van de RE. In onze jaarlijkse beoordelingsgesprekken komt het onderwerp opleiding aan de orde. We vragen dan wat heb je aan opleiding gedaan en we zeggen zorg dat je je PE-punten bijhoudt. Dat wordt vastgelegd, maar ik vraag niemand een lijst van laat me eens zien wat je hebt ingevuld. Dus toen kreeg ik een opmerking wordt door de IT-auditorganisatie niet bijgehouden. Maar moet dat dan? Waar is de regel die zegt dat je dat als IT-auditorganisatie bij moet houden? Dat staat er dus niet formeel. Zo komen er door die pilots dus ook specifieke dingen naar boven. Frank: Wat Werner net schetst, zit volgens mij in de controlesystematiek die we gekozen hebben. De IT-auditorganisatie wordt gecontroleerd, dus niet de RE. De RE s hoeven niet eens aanwezig te zijn bij het onderzoek en dan ontstaat het probleem dat de kwaliteitsonderzoekers die PE punten willen zien en dan zeggen: ITauditorganisatie toon eens aan dat die RE s aan de PE verplichting voldoen. Maar ik vind dat eigenlijk geen taak voor de werkgever. Henk: We hebben dat voor 2013 als volgt opgelost. Bij dat regeltje hebben we nu een toelichting geschreven dat een PE-administratie door de IT-auditorganisatie weliswaar niet verplicht is maar dat de leiding van de IT-auditorganisatie moet kunnen aantonen dat de medewerkers die zij in dienst hebben of bij hen werken voldoen aan de vaktechnische vereisten en leg maar uit hoe je dat dan doet. Werner heeft het uitgelegd en gezegd: luister het zit bij ons in het jaarlijkse personeelsgesprek, dat kan ik aantonen. Dan is het heel makkelijk: de IT-auditorganisatie stelt vast dat de kwaliteit van de mensen voldoet aan de eisen. Het helpt zeker om je scherp te houden op de kwaliteit van je werkzaamheden Werner: Dit soort normdiscussies komt ook doordat we als NOREA natuurlijk ook gebruik hebben gemaakt van de kwaliteitsonderzoeken die al uitgevoerd worden door NBA en IIA NL en we hebben ook die materialen. Dat soort instanties, die ook kwaliteitsonderzoeken uitvoeren, hebben checklists en ze komen vooral bij de grote organisaties, bij de big four, bij de grote IAD s. En daar heb je wel dat soort systemen dat het intern wordt bijgehouden. Daardoor sluipt dat als impliciete normen in de kwaliteitsonderzoeken terwijl wij juist gaandeweg geleerd hebben dat sommige dingen niet van toepassing zijn voor ons en zeker niet voor de kleinere IT-auditorganisaties. Henk: Dat betekent overigens niet dat we gaan voorstellen om het RKBN aan te passen. We laten dat intact om één op één met IFAC te lopen, anders krijg je daar weer allerlei discussies over. Dat betekent dat wij de slag intern moeten maken, bij de uitvoering van de kwaliteitsonderzoeken. Frank: Ik vind dat we daar wel scherp in moeten zijn, of, liever gezegd nóg scherper in moeten blíjven. De IFAC is tenslotte primair een organisatie voor accountants. Niets mis mee, maar we komen er steeds meer achter dat IT-audit een wezenlijk ander vakgebied is dan financial audit. Als je dus affliliated lid wilt zijn van een organisatie als IFAC, waar je niet helemaal mee matcht, dan moet je je wel continu bewust blijven van de kenmerkende verschillen en kun je niet één op één de IFAC-regels kopiëren. Hebben jullie organisaties zelf iets aan het onderzoek gehad? Werner: Belangrijk voor ons was dat we de zwaarte van ons handboek hebben kunnen spiegelen aan de eisen van NOREA. Daar worstelden we in het begin wel even mee. Uit het onderzoek kwam bijvoorbeeld naar voren dat wij ons kwaliteitshandboek veel te zwaar hadden aangezet. En dat matchte eigenlijk niet met het werk dat wij doen. Wij zitten meer in de adviesfunctie dan in de attestfunctie. En bij ons is er een grijs gebied tussen wat je beschouwt als attest en wat advies is. Ons handboek was echt geschreven vanuit de attestfunctie, dus heel strak, en dat werd naast de meetlat gelegd. En, dat was eigenlijk heel grappig, op de dag van het onderzoek kwamen wij erachter dat wij het onszelf te moeilijk, te zwaar hadden gemaakt. We doen immers geen zuivere attest. Wat wij doen zijn IT-audits, vooral van SAP-systemen: assessments, nulmetingen, scans, hoe je het ook noemen wil. Die onderzoeken doen we naar de letter van de eisen voor IT-audits: we hebben een normenkader waar we aan toetsen, de rapportage stellen we ook precies op conform de richtlijnen: doel, afbakening, aanpak, conclusies, heel die riedel staat er allemaal in. Op die manier wil de klant het ook hebben. Die rapportage presenteren we vervolgens aan de klant in de vorm van een Powerpointpresentatie en voor hem is het dan klaar. Er is dus geen maatschappelijke, brede werking aan verbonden. De klant heeft ons gevraagd om ernaar te kijken, om een foto te maken, vanwege je onafhankelijkheid. En dan vraag ik me af, is dat attest? Ik teken geen rapport af, bijvoorbeeld. Frank: Dat bevestigt mijn beeld dat terminologie niet altijd even duidelijk is onder de beroepscollega s. Volgens mij is binnen NOREA zelf pas sinds een jaar of twee wat meer duidelijk geworden waar bijvoorbeeld de exacte grenzen liggen tussen typen onderzoeken. En of dat toen al tussen de oren van onze leden zat, dat is nog maar de vraag. En, hebben jullie ook gekeken of de kwaliteitsonderzoeken zelf beter kunnen? dat was immers ook een van de doelstellingen van de cko. Werner: Een van de dingen die we bijvoorbeeld niet zo duidelijk vonden is of alles nu 8 de IT-Auditor nummer 2 2013 IT Auditor_13_02.indd 8

Werner van Haelst en Frank Kossen nemen het rapport in ontvangst verplicht is of niet. Iets staat in het lijstje, maar is daar dan ook een verplichting aan verbonden? En ik heb zelf nog een opmerking gemaakt over het aantal deelwaarnemingen. Eén dossier mag je zelf aandragen in de praktijk zal dat een voorbeelddossier zijn waar niks in zit en eentje wordt genomen uit de lijst die je aanlevert. Gezien de omvang van de organisatie denk ik dat er best meer dossiers getrokken hadden mogen worden om recht te doen aan de uitspraak die de commissie doet. Bij grote organisaties heb je vele tientallen of honderdtallen opdrachten zitten. Henk: Dat hebben we inderdaad aangepast. We hebben het aantal te onderzoeken dossier geconcretiseerd in een lijstje. Werner: Het hele proces van voorbereiding, daar waren we echt tevreden over. Wel vinden we dat er heel veel documenten over de mail worden gestuurd. En verder is het misschien goed om het onderzoeksteam van te voren, voordat ze daadwerkelijk in huis komen, een soort intakegesprek te laten voeren. Dat kan telefonisch. Dat zij dus goed snappen wat voor organisatie je bent en dat ze een beeld hebben wat voor soort werk je doet. Dat ze een gevoel krijgen van: oké, dit zijn twee organisaties die gefuseerd zijn, hoe werkt dat dan precies, en hoe ligt de verhouding tussen typen werkzaamheden eigenlijk. Voor het onderzoeksteam zou dat helpen denk ik. Dat had bij ons allerlei discussies voorkomen. Bovendien, als je vooraf een beetje meer communiceert dan weet je iets preciezer wat de onderzoekers aan informatie nodig hebben. En dan kunnen we de functionaris erbij vragen van wie wij verwachten dat die antwoord kan geven op die vraag. Dan faciliteer je ons als geaudite partij enorm. Hoe zit het met de eenduidigheid van de onderzoeken? Frank: Wanneer moeten de kwaliteitsonderzoekers wel en wanneer niet naar evidence vragen? Wij vinden dat daar wel meer eenduidigheid over mag komen. Nu hebben wij geconstateerd dat de twee onderzoekers die bij ons kwamen kijken de IT-Auditor nummer 2 2013 9 IT Auditor_13_02.indd 9

interview het ook wel eens met elkaar oneens leken te zijn. Er zijn zestien kwaliteitsonderzoekers, dat zijn er best veel. Als je op zestien verschillende manieren die onderzoeken zou gaan doen, zou daar onnodig rumoer over komen denk ik. Collega s praten nu eenmaal veel met elkaar. We hebben verder gemerkt dat de commissie ook nog wat zoekende is. Dat getuigt overigens van een open instelling, en dat heb ik als heel positief ervaren. Henk: We werken op een aantal manieren aan eenduidigheid. Bijvoorbeeld door een jaarlijkse terugkomdag voor kwaliteitsonderzoekers, workshop of hoe je het ook maar wilt noemen. Tijdens die dag laten we de ervaringen aan de hand van anoniem omschreven casussen onderling uitwisselen. Let wel: uitwisselen, dus niet alleen laten roepen wij vonden dit..., maar de mensen er ook met elkaar over laten praten. Daarnaast is het zo dat elk onderzoek een begeleidend lid van de CKO heeft. Dat clubje is al wat kleiner, want dat zijn er zes. In dat kleinere verband kom je gemakkelijker tot eenduidigheid. Ten slotte is het ook nog zo dat de voorzitter CKO wordt geacht om alle rapporten na te lezen, juist om zoveel mogelijk eenduidigheid en eenvormigheid in de rapportages te bevorderen. Frank: Als wij zelf soortgelijke onderzoeken doen, bij een brancheorganisatie of bijvoorbeeld bij verschillende ziekenhuizen in opdracht van de Inspectie Gezondheidszorg, dan maken we altijd werkprogramma s. Dat doen we juist om te voorkomen dat het ene ziekenhuis net een andere behandeling krijgt, omdat er een andere auditor op bezoek komt. Zo n werkprogramma, dat is niet altijd fijn, natuurlijk. De meeste auditors vinden het veel leuker om het vak zelfstandig in te vullen in plaats van dat je met een lijstje op pad gestuurd wordt. Maar vanuit het gezichtspunt van professionaliteit vind ik het erg goed om het wel te doen. Dat zou de CKO ook kunnen overwegen. Ja, dan wordt het inderdaad van wat is dan de evidence die bij die maatregel hoort?. Wanneer is het goed en wanneer niet? Dan kun je het gevoel van willekeur voorkomen. Overigens heb ik het feit dat er niet gewerkt is met een werkprogramma niet ervaren als een tekortkoming. Henk: Tja, een werkprogramma, daar hebben we nog niet zo over nagedacht. Wel beschikt de onderzoeker over een controleprogramma waarin de uit te Je moet ook wel blind zijn als je uit dit soort dingen geen lessen voor jezelf trekt voeren werkzaamheden zijn vermeld, een eventueel werkprogramma zou in aanvulling daarop een gedetailleerde uitwerking bevatten. Wat we ook gedaan hebben, is dat we begonnen zijn met normering. Die is ook te vinden op de website. Daar staat, geanonimiseerd, wat in de pilots is aangetroffen en welke consequentie dat had voor het oordeel. En dat betekent dat we dus op die manier begonnen zijn jurisprudentie op te bouwen waar uiteindelijk de onderzoekers uit kunnen putten: Gut, het is dit, ja dat lijkt wel op..., dat betekent dat ik als volgt moet oordelen. Werner: Misschien toch ook nog een opmerking over de onderzoekers. Het is wel belangrijk dat het echt onafhankelijke onderzoekers zijn. Frank: Ik denk dat het voor heel veel leden wel belangrijk is. Wij hebben in dat licht ook een in eerste instantie door de CKO voorgedragen onderzoeker gewraakt. Dat had niets met de persoon zelf te maken, maar was ingegeven door het feit dat hij in een organisatie werkte die dezelfde diensten levert als onze organisatie. Om dan zo n persoon in onze keuken te laten kijken, ging ons net iets te ver. De CKO is overigens prima met ons bezwaar omgegaan en heeft een andere onderzoeker voorgedragen. Henk: We luisteren naar eventuele bezwaren op dit gebied van de organisatie die geaudit zal worden en een van de dingen die we vooraf doen is vragen aan de betrokken personen uit de onderzoeksgroep: Als je naar die organisatie gaat, levert dat, denk je, een probleem op? Ook kan de IT-auditorganisatie zoals Frank al aangaf een onderzoeker wraken. Overigens, alle documenten van het kwaliteitsonderzoek zijn voor de leden beschikbaar op het besloten deel de website van NOREA. de cruciale vraag is natuurlijk: helpt het? Werner: Ja, het helpt zeker om je scherp te houden op de kwaliteit van je werkzaamheden. Frank: Daar ben ik het mee eens, maar natuurlijk ligt ook altijd het risico op de loer van bureaucratie, dat de regels het doel voorbij streven. Maar als we dat met z n allen voortdurend blijven zien, ook de commissie die de onderzoeken doet, dan is dat risico daarmee volgens mij voor het belangrijkste deel al gemitigeerd. Dit aspect moet in ieder geval altijd onder de aandacht blijven. Niet alleen nu, maar ook in de komende jaren. En je moet heel scherp blijven met elkaar en altijd de vraag blijven stellen of het nog steeds een nuttig instrument is. Anders gezegd: de leden van NOREA zelf moeten bewaken dat het ook een nuttig instrument blijft en die vraag moet ook permanent aan alle leden worden voorgelegd. tot slot: vinden jullie het eigenlijk niet raar dat het nodig is, je bent toch re? Frank: Nee, helemaal niet. Het is pure noodzaak geworden. De tijd van trust me op m n blauwe ogen, die is echt voorbij. Je kunt niet meer zeggen: vertrouw maar op ons, want we zijn RE. Nu is het show me. Wat we doen blijft mensenwerk. En het wordt steeds belangrijker dat we kunnen aantonen dat we als leden van NOREA daadwerkelijk voldoen aan allerlei richtlijnen die de kwaliteit van onze werkzaamheden waarborgen. Want anders zeggen onze klanten toch: wat is dit voor schimmige beroepsclub die met elkaar allerlei dingetjes bedenkt? Noot 1 KOA is het samenwerkingsverband Kwaliteitstoetsingen Overheidsaccountants. 10 de IT-Auditor nummer 2 2013 IT Auditor_13_02.indd 10

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback