For the English version, click here! Afgelopen maand gingen wij in gesprek met Jordi Kerckhaert, oud voorzitter van Asset-SBIT en inmiddels twee jaar werkzaam bij KPMG als IT consultant, en Wout van Kessel, 14 jaar werkzaam bij KPMG en inmiddels partner en tevens ook betrokken bij de IT audit opleiding van TIAS en Post-Master Accountancy aan Tilburg University. In dit interview vertellen Jordi en Wout kort meer over de werkzaamheden van een IT auditor, hoe IT auditing door de jaren heen is ontwikkeld en hoe nieuwe innovaties veranderingen binnenin het vakgebied teweeg kunnen brengen. Hoe ziet een gemiddelde werkweek er over het algemeen uit? Jordi: dat is wel een lastige vraag om te beantwoorden. Het voordeel en het leuke eraan om bij KPMG te werken is dat je meerdere klanten hebt. Om een werkweek te beschrijven is moeilijk te beantwoorden, omdat het er heel erg aan ligt aan met welke verschillende klanten je bezig bent. We hebben een relatief druk seizoen van ongeveer september tot ongeveer februari. Als ik naar mijzelf kijk heb ik ongeveer twee tot drie grote klanten gedaan, dan zit je te denken aan meer dan 250 tot 300 uur. Daarnaast heb ik ook nog een aantal kleinere klanten. Dus het is heel afhankelijk met welke klanten je werkt. Met grotere klanten werk je in een aantal waves, hierin heb je een stuk voorbereiding zoals planning en het bepalen van de scope. Vaak plannen we een aantal interviews met de klant in, en vragen we op voorhand bewijslast op die we vervolgens tijdens de interviews met de klant doornemen. Afhankelijk van wat daar uitkomt kunnen er wat extra interviews worden gepland. Gedurende de hele rit zorg je ook dat je project management op orde blijft en dat de communicatie goed blijft. Tijdens een IT audit is het daarbij ook belangrijk dat wij goed communiceren met onze audit collega’s. Gedurende dat traject zorg je verder ook dat alles netjes wordt gedocumenteerd. Als ik een interview week heb ben ik veel met dezelfde klant bezig, op een intensief niveau met veel interactie, maar dat heb je niet elke week. Als ik dan kort even terugspoel heb ik bijvoorbeeld op maandag thuisgewerkt voor een klant. Dinsdag ben ik een hele dag naar Rotterdam geweest naar een klant waar ik een adviesklus uitvoer. Op zo’n dag zit je dan veel in meetings met verschillende stakeholders en werk je tussendoor wat zaken uit. Op de woensdag zit ik dan weer op kantoor in Eindhoven waar ik een focusblok had ingepland voor mezelf voor een kleinere opdracht. Daarnaast had ik ook een feedbackgesprek gepland met een collega, waar je elkaar dus feedback geeft over hoe we het afgelopen jaar hebben gepresteerd, en of er eventueel tips en tops zijn. Donderdag hadden we nog een kick-off van een nieuwe klant in de ochtend, en op vrijdag zit ik dan nog op TIAS waar ik de post-master IT-auditing volg. Kunnen jullie uitleggen wat IT audit in de breedte inhoudt? Jordi: ‘Traditionele’ accountants doen een controle over de jaarrekening. Vroeger gingen de controles vanuit papier en archiefmappen. Met de jaren heen hebben deze controles steeds meer te maken met verschillende applicaties en systemen die impact hebben op de financiële jaarrekening. Dat heeft ervoor gezorgd dat ons vak uiteindelijk is ontstaan. Als het ware moeten wij ervoor zorgen dat onze accountant collega’s kunnen steunen op de systemen waar zij de financiële data uit halen voor hun controles. Wout: Wij geven dus zekerheid over de effectieve en betrouwbare werking van IT systemen en processen. Daarnaast kunnen wij klanten ook advies bieden met betrekking tot IT systemen en alles wat daar om heen zit. “Aan het harde IT betalingsverkeer is niet veel anders, alleen de schil eromheen is substantieel veranderd.” Hoe verschilt een audit in het heden hoofdzakelijk het meest met een audit van 10 jaar geleden? Wout: Hierbij moet wel een kleine kanttekening worden gemaakt, het antwoord verschilt namelijk per segment. Als je bijvoorbeeld kijkt naar de financiële sector is het harde IT betalingsverkeer niet substantieel veranderd, dat draait namelijk nog op mainframes of oudere IT omgevingen. Echter is de schil eromheen substantieel veranderd; als je bijvoorbeeld kijkt naar grotere organisaties als multinationals zie je dat zij hun IT infrastructuur zijn gaan centraliseren. Zo’n ontwikkeling van een organisatie kan je als auditor volgen. Dit betekent dat je niet een centrale audit kan uitvoeren wanneer een klant slechts op lokaal niveau is georganiseerd. Echter door deze ontwikkeling zijn de audits gaan transformeren. Door centralisatie en beschikbaarheid van IT middelen zijn we veel meer digitaal gaan auditen. 10 jaar geleden, wellicht beetje vertekend omdat we in Eindhoven toen al heel ver waren met data analyse, konden we dus bij bijvoorbeeld Philips en DSM centraal de procesgang toetsen. Zo hadden we inzage op het wereldwijde inkoopproces; de order was digitaal, de goederenontvangst is digitaal, de facturen ook. Hierdoor kon je dus het gehele proces integraal toetsen. Dat betekent dus dat je door middel van data analyse redelijke mate van zekerheid kan geven over enerzijds de procesgang, maar we kunnen anderzijds ook de afwijkingen identificeren. Zo kunnen we dus bijvoorbeeld een component auditor in de Filipijnen er van op de hoogte stellen dat 300 facturen niet conform het standaard proces zijn verwerkt. Dus met de opkomst van data analyse, process mining, en feitelijk nieuwe audit technieken kun je op grote populaties een veel hogere maat van zekerheid geven. 100% zal nooit lukken, dat durft geen enkele accountant af te tekenen. Echter kom je op deze manier wel heel dicht tot dat punt. Verwacht je dat deze ontwikkeling en transformatie van het vakgebied alleen maar zal versnellen als we rekening houden met nieuwe innovaties als bijvoorbeeld Artificial Intelligence en Deep Learning? Wout: Dat kan zeker een rol spelen, al moet ik wel zeggen dat veel klanten daar in hun financiële administratie niet mee bezig zijn. Als je ziet hoe RPA wordt ingezet, wordt dat vaak gedaan met betrekking tot inkoopfacturen. Feitelijk is dat niks anders dan een application control op een geautomatiseerd
Wel gedaan en niet gezien of wel gezien en niets mee gedaan? – Column Ron Dohmen
Het zal je maar gebeuren: Je bent net op kantoor in overleg over controleperikelen bij één van je klanten en er staan opeens twee opsporingsambtenaren bij de receptie om het dossier van een goede klant waar jij werkzaamheden voor verricht op te halen. Het blijkt dat je cliënt van belastingfraude wordt verdacht. Al snel vraag je je af hoe dit kan. Wat heb ik gemist? Als ik het niet heb gezien, had ik het dan moeten of kunnen zien? Wat betekent dit voor mij? Meerdere keren per week maken openbaar accountants dit mee en dat is per definitie een confronterende ervaring. Het spreekwoord ‘gelegenheid maakt de dief’ is helaas nog steeds actueel. Het is niet voor niets dat gelegenheid een onderdeel is van de alom bekende fraudedriehoek. Dat onderdeel is voor accountants extra van belang, omdat dit eigenlijk de enige van de drie dimensies is waar een accountant er zelf aan kan bijdragen dat fraude wordt tegengegaan. Een kritische accountant kan er namelijk voor zorgen dat de gelegenheid om te frauderen wordt verkleind. Wanneer de fraude toch al heeft plaatsgevonden, is het onder voorwaarden de taak van de accountant om dit zo snel mogelijk bij de autoriteiten te melden, zodat de financiële gevolgen zo spoedig mogelijk worden beëindigd en teruggedraaid. “Uit mijn eigen werkveld blijkt dat het er vaak niet zo zeer om gaat wat een accountant tijdens zijn werkzaamheden had moeten of kunnen zien maar onverhoopt toch heeft gemist, maar vooral om wat hij wel heeft gezien maar niets of te weinig mee heeft gedaan.“ Accountants zijn niet helderziend. Ze zijn geen opsporingsambtenaren en ook geen fraudedeskundigen. Toch verwacht de buitenwereld steeds meer van accountants bij de bestrijding en voorkoming van fraude. Vaak zijn die verwachtingen niet terecht, maar soms ook wel. Uit mijn eigen werkveld blijkt dat het er vaak niet zo zeer om gaat wat een accountant tijdens zijn werkzaamheden had moeten of kunnen zien maar onverhoopt toch heeft gemist, maar vooral om wat hij wel heeft gezien maar niets of te weinig mee heeft gedaan. Dat is de kern van een professioneel-kritische instelling, dat is het kenmerk van een rechte rug. En dat is waar het maatschappelijk verkeer moeite mee heeft en ook waarom financiële en juridische dienstverleners zoals accountants in de slipstream van een strafrechtelijk onderzoek soms op hun werkzaamheden worden aangesproken. Openbaar accountants hebben te maken met een grote werkdruk en periodes waarbij het onvermijdelijk blijkt dat het privéleven iets meer naar achteren wordt gedrukt. Deadlines moeten worden gehaald en daarbij moet ook nog binnen de grenzen van het budget worden gewerkt. Regelmatig krijg ik van studenten te horen dat om die reden soms keuzes worden gemaakt waar ze diep van binnen niet achter staan. Een factuur die in de steekproef valt en die niet aan de eisen voldoet, wordt terzijde geschoven en daar wordt een andere voor in de plaats genomen. Daarnaast krijgen ze ook niet de tijd om eens met een andere blik naar de jaarrekening te kijken. De Belastingdienst kijkt bijvoorbeeld met een ander doel naar de jaarrekening en hanteert om die reden voor sommige jaarrekeningposten een andere controlerichting. Deze andere blik levert soms verrassende ontdekkingen op. Het is goed om je als accountant af en toe de tijd te gunnen om je af te vragen: is het eigenlijk niet heel vreemd wat hier gebeurt? Wanneer er twijfels ontstaan, is het belangrijk dat je iets doet met die twijfels. Ga vooral niet meteen akkoord met het meest voor de hand liggende antwoord, zonder dat je dat hebt geverifieerd. Dat je niet alles kunt zien wat er zich binnen een bedrijf afspeelt is logisch en neemt niemand je kwalijk. Maar als je zaken hebt geconstateerd die (in onderling verband en samenhang) om een verklaring schreeuwen, maar daar niets of te weinig mee hebt gedaan is dit wel een kwalijke zaak. Geef je verbazing de ruimte en verklein de gelegenheid voor je cliënt om te kunnen frauderen. Het is belangrijk dat je jouw klant aanspreekt op zaken die je vreemd voorkomen, voordat jij hier op wordt aangesproken.