Interview met Hans Verkruijsse

‘Het is een idee-fixe dat onze standaarden en richtlijnen zo strikt zijn’

30 januari 2018 Rocco Jacobs en Wilfried Olthof
PDF
In dit artikel:

We interviewen Hans Verkruijsse. Sinds de oprichting van Norea in 1992 is Hans als secretaris, respectievelijk voorzitter van de Raad voor Beroepsethiek actief betrokken geweest bij de beroepsorganisatie. Na vijfentwintig jaar zal hij dit jaar zijn rol als voorzitter van de Raad neerleggen. Verder heeft Hans in zijn rol als IT-auditpartner, hoofd Vaktechniek Assurance van Ernst & Young (EY) en hoogleraar Bestuurlijke Informatieverzorging en IT-Auditing aan de Universiteit van Tilburg een belangrijke bijdrage geleverd aan de bekendheid en profilering van het vakgebied IT-auditing en de beroepsorganisatie in het maatschappelijk verkeer. Daarom is hem afgelopen voorjaar tijdens het lustrumsymposium in het Louwmanmuseum het erelidmaatschap van Norea toegekend. Ook is hij het afgelopen jaar benoemd tot voorzitter van de Toezichtsraad van het Bureau ICT-toetsing (BIT) voor grote IT-projecten van de Rijksoverheid. Een goede aanleiding voor een interview om ons deelgenoot te maken van zijn observaties over de ontwikkelingen in en om het vakgebied. 

Hans, in je talrijke publicaties van de afgelopen decennia, zoals artikelen in het Maandblad voor Accountancy en Bedrijfseconomie (MAB), je proefschrift, colleges en oratieteksten, keren steeds de volgende thema’s terug als rode draad: het veronderstelde professional judgement van de auditor, de impact van technische en maatschappelijke ontwikkelingen op de informatieverzorging en de mogelijkheden van elektronische gegevensuitwisseling voor continuous monitoring en continuous auditing, data level assurance en business reporting (XBRL/SBR).

Op welke beroepsgroep is de impact van deze ontwikkelingen het grootst: op IT-auditors of accountants?

‘Dat onderscheid is moeilijk te maken, want zowel bij de IT-auditor als de accountant wordt juist een groot beroep gedaan op zijn of haar professional judgement. Hij of zij moet de noodzakelijke verbinding in de redenering of argumentatie leggen om de ‘materialiteit’ van het oordeel en de argumentatie te onderbouwen. Daarbij moeten ze ook de risico’s van de gebruikte technologie meewegen. Onlangs zag ik een presentatie van Inge Philips, tegenwoordig werkzaam voor Deloitte, die voorheen leiding gaf aan de divisie van de Landelijke Recherche die cybercrime bestrijdt. Deze cybercrime ontwikkelt zich zo geavanceerd dat zich voortdurend nieuwe dreigingen voordoen. Hoe lastig ook, een IT-auditor moet ook dat kunnen doorgronden en meewegen. De accountant moet in zijn wettelijk vereiste verslag over de controle van de jaarrekening, het accountantsverslag, rapporteren over de continuïteit en de betrouwbaarheid van de geautomatiseerde gegevensverwerking en dus ook deze risico’s in de overweging betrekken. Daarbij vraag ik me af: is de accountant daar tegenwoordig nog toe in staat? Zonder diepgaande kennis van de IT-omgeving is er geen plaats meer voor hem. Je ziet nu al dat de ‘samenstelpraktijk’, dus het opstellen van de jaarrekening, geheel verschuift naar de softwareleveranciers. Er is bovendien een grote behoefte aan online en realtime assurance in plaats van eens per jaar een verklaring over het afgelopen jaar. Dit leidt tot continuous auditing die steeds meer richting data-level assurance gaat: het draait allemaal om de betrouwbaarheid van de data. De XBRL-technologie biedt in dat verband ook ongekende mogelijkheden omdat met behulp van de taxonomie in de tag, die als het ware de barcode is, veel informatie kan worden toegevoegd. Vanaf dit boekjaar, 2017, is deponering van de jaarrekening in XBRL-formaat ook verplicht voor middelgrote ondernemingen maar dat gaat zeer moeizaam omdat de noodzakelijke expertise nog niet voldoende voorhanden is. Continuous monitoring impliceert dat elke transactie real-time gecontroleerd wordt. Data-analyse, processmining en gebruik van neurale netwerken zijn daarvoor belangrijke instrumenten. De normstelling daarbij zal niet een statische zijn zoals we nu hanteren, maar een dynamische, ontwikkeld vanuit de techniek.’

Edo Roos Lindgreen van KMPG ging tijdens zijn slotpresentatie tijdens het lustrumsymposium in op het verschuivende paradigma van de auditdisciplines, waaronder IT-audit, als gevolg van de enorme ontwikkeling in datagebruik en data-analyse. Opvallend daarbij is dat big data voor zeer geavanceerde analyses in verschillende domeinen wordt gebruikt, maar dat auditors daarbij naar zijn oordeel zijn achtergebleven. Deel je zijn observatie en conclusie?

‘Ja, ik vrees dat hij gelijk heeft. Daarom zal deze ontwikkeling op het gebied van data-science ook voldoende in het opleidingscurriculum van zowel de accountant als de IT-auditor aan bod moeten komen. Daarnaast worden we door de impact van de technologische mogelijkheden voortdurend voor nieuwe uitdagingen geplaatst waar we als auditors antwoorden op moeten bedenken. Door de ontwikkelingen op het gebied van fintech en blockchain is het niet denkbeeldig dat de bankensector over pakweg vijf jaar niet meer relevant is. Daarnaast zien we een razendsnelle ontwikkeling op het gebied van robotisering en artificial intelligence. Kunstmatige intelligentie dreigt het menselijk intellect te evenaren of zelfs in te halen.’

We kennen inmiddels privacy by design en security by design. Is het in de toekomst denkbaar dat we ook te maken krijgen met ethiek by design als antwoord op de vraagstukken waar we door robotisering en artificial intelligence voor worden geplaatst?

‘Ja, daar worden al wetenschappelijk onderzoek en publicaties aan gewijd. Als IT-auditors kunnen we proberen om ons daarvoor de normstelling en uitgangspunten eigen te maken.’

In welke mate gaan de auditors gebukt onder het spanningsveld tussen professional judgement, wat een zekere bandbreedte of vrijheidsgraad in de oordeelsvorming veronderstelt, en de gedetailleerde standaarden en richtlijnen waaraan de auditors gebonden zijn?

‘Het is een idee-fixe dat onze richtlijnen en standaarden zo strikt zijn. Het zijn in beginsel principle-based geformuleerde uitgangspunten, die je op basis van je professional judgement kunt toepassen in de specifieke omgeving waarover je oordeel wordt gevraagd. Daarvoor is maatwerk geboden en die ruimte wordt juist geboden door de wijze waarop de richtlijnen en standaarden zijn geformuleerd. Het probleem is echter dat deze principle-based uitgangspunten veelal door de toezichthouders te strikt als rule-based worden geïnterpreteerd. Daarom zijn we zelf heden ten dage ook te sterk gefixeerd op een strikte toepassing van die standaarden. Maar eigenlijk zouden we veel meer de ruimte moeten benutten om een afwijkende benadering, specifieke beoordeling of onderbouwing, bijvoorbeeld op basis van een steekproef, te documenteren in het dossier.’

De onderzoeksrapporten van het Bureau ICT Toetsing worden in eerste instantie uitgebracht aan de minister, die het advies binnen vier weken openbaar moet maken door het naar de Tweede Kamer te sturen. Daarmee krijgt het ‘BIT-advies’ op voorhand een belangrijke politieke lading. Draagt dit bij aan de beoogde slagvaardige bijsturing en meer ‘grip op ICT’ of vormt dit juist een complicerende factor?

‘Daarbij moet ik eerst de kanttekening maken dat de Toezichtsraad geen invloed heeft of kan hebben op de richting van de uitgebrachte adviezen. Het is met name onze taak om de randvoorwaarden te bewaken, zodat het Bureau ICT-Toetsing de werkzaamheden met voldoende kwaliteit, onafhankelijkheid en effectiviteit kan uitvoeren. De onderzoeken die het Bureau uitvoert vinden plaats bij de start van een project. Het is ten zeerste aan te raden dat andere toezichthouders zoals de Algemene Rekenkamer en de Auditdienst Rijk, de uitkomsten van die onderzoeken bij hun werkzaamheden in een later stadium meenemen. Inmiddels heeft het Bureau negentien onderzoeken afgerond. Soms ontstaat inderdaad een politieke discussie naar aanleiding van het advies, maar de conclusies blijven overeind. De rapporten geven soms aanleiding tot bijsturing en soms zelf stopzetting als het risico van het project te groot is. Daarnaast zie je dat er ook een positieve werking uitgaat van de mogelijkheid dat een project aan een BIT-onderzoek onderworpen zou kunnen worden: Ontwikkelaars en projectmanagers geven zich meer nadrukkelijk rekenschap van de haalbaarheid van de projectdoelstellingen.’

We besluiten het interview met de vaststelling dat Hans de afgelopen vijfentwintig jaar op een zeer constante wijze als pleitbezorger voor de IT-auditprofessional is opgetreden en ons daarnaast veelvuldig ‘gevraagd en ongevraagd’ op deskundige en plezierige wijze met vakinhoudelijke adviezen en beroepsethische reflecties terzijde heeft gestaan.

Nawoord Hans Verkruijsse 

Graag benut ik deze gelegenheid om u allen te bedanken voor het vertrouwen dat u de afgelopen vijfentwintig jaar in mij heeft gesteld. Met zeer veel plezier heb ik met velen van u mogen samenwerken en samen hebben we een mooi beroep weten neer te zetten dat niet meer weg te denken is in de huidige digitale maatschappij. De IT-auditor heb ik voor altijd in mijn hart gesloten en de verworvenheden van het beroep zal ik ook in de toekomst blijven uitdragen. Ongetwijfeld zal ik velen van u nog treffen in de toekomst.

Het ga u allen goed!

Geen categorie

Drs. W. (Wilfried) J.A. Olthof | Directeur bij NOREA

Wilfried Olthof is directeur van NOREA en heeft daarvoor functies vervuld bij de Perscombinatie, het ministerie van VROM en de Vrije Universiteit Amsterdam. Hij heeft Politicologie en Bestuurswetenschappen gestudeerd.

Drs. C.L.J.C. (Rocco) Jacobs RE EMIA | Clustermanager bij Auditdienst Rijk

Rocco Jacobs is werkzaam bij de Auditdienst Rijk als clustermanager. Daarnaast is hij secretaris van het NOREA-bestuur en contactpersoon tussen bestuur en de redactie van ‘de IT-Auditor’.