Interview met CKO-voorzitter Jaap Boukens

‘Om te kunnen voetballen moet je de spelregels kennen’

11 maart 2020 Arnold Westgeest en Wilfried Olthof
PDF
In dit artikel:

Jaap Boukens is freelance IT-auditor en vier jaar geleden is hij gevraagd voorzitter te worden van het NOREA College Kwaliteitsonderzoek (CKO). Als voormalig partner IT-audit van BDO bracht hij een schat aan praktijkervaring in het vakgebied mee.

Waarom juist jij?

‘Ze zochten iemand met pragmatisme: er waren weliswaar uitvoerige reglementen en checklists vastgesteld en er waren onderzoekers aangesteld, maar met het CKO moesten we in het begin nog wel onze weg vinden in de feitelijke uitvoering van het kwaliteitsonderzoek. Onze doelstelling was de hele RE-populatie te onderzoeken, voor zover de leden inderdaad als RE professionele diensten uitvoeren. Daarvoor zijn onder meer accreditatieafspraken gemaakt met het IIA en het Samenwerkingsverband Kwaliteitstoets Overheidsauditors (KOA), zodat ook de IT-auditors bij interne auditdiensten en de overheidsauditors namens NOREA onderzocht zouden worden.’

Wat is de essentie van jullie kwaliteitsonderzoeken?

‘Kwaliteitsonderzoek is niets anders dan uitleggen hoe je je aan de spelregels van de beroepsorganisatie houdt. Om te voetballen moet je de spelregels kennen, dat geldt ook voor het uitvoeren van IT-auditwerkzaamheden. We moeten met elkaar proberen te voorkomen dat collega’s publiekelijk de fout ingaan. Daar is niemand bij gebaat. Bovendien, als je een opdrachtgever kunt overtuigen dat je goede kwaliteit levert, dan moet je op basis van dezelfde professionele instelling ook het College Kwaliteitsonderzoek kunnen overtuigen.’

Hoe hebben jullie het aangepakt?

‘Naar aanleiding van de antwoorden op de uitgestuurde vragenlijsten of de aanschrijvingen en opdrachtbevestigingen voor het kwaliteitsonderzoek ontstond veel discussie en onbegrip. Hierdoor stagneerde de feitelijke uitvoering van het onderzoek in de beginfase aanzienlijk en maakten we te weinig progressie. Het bestuur besloot toen om in eerste aanleg te focussen op de RE’s die assurance-opdrachten uitvoeren, dus RE’s in auditfirma’s, RE’s van automatiseringsbedrijven en de zzp’ers die als RE optreden. Immers, de daadwerkelijke uitvoering van kwaliteitsonderzoek was een voorwaarde van NBA aan NOREA bij de erkenning als beroepsorganisatie van “andere professionals”. Die andere professionals zijn, naast de RA’s, ook bevoegd om assurance-opdrachten uit te voeren. Bovendien vormt deze publieke taak van de RE ook het grootste risicogebied, wanneer zou blijken dat de kwaliteit onvoldoende is. Door deze inperking van de scope, plus de aanstelling van Jan de Heer als projectmanager kwaliteitsonderzoek in 2016, zijn sindsdien goede resultaten geboekt en werd de opgelopen achterstand goedgemaakt. Daardoor konden we eind 2018 de eerste vierjaarlijkse cyclus afronden, waarmee alle RE’s die toen assurance-opdrachten uitvoerden ook aan kwaliteitsonderzoek zijn onderworpen. Verhoudingsgewijs waren er nog wel veel bevindingen, aanbevelingen of aanwijzingen. Zo nodig zijn verbeterplannen opgelegd, die in alle gevallen bij herbeoordeling tot de conclusie leidden dat het kwaliteitsstelsel sindsdien wél voldoet.’

‘Met ingang van 2019 werden alle professionele diensten van de IT-auditors in het onderzoek betrokken, dus ook adviesopdrachten. Ook daarover was in het begin weer discussie, want hoe toets je adviesopdrachten als je daar geen kwaliteitsnormen voor hebt vastgesteld? Daarvoor hanteren we twee uitgangspunten: allereerst gelden voor adviesopdrachten ook de formele richtlijnen voor opdrachtaanvaarding en documentatie inclusief de eisen die aan het opdrachtdossier worden gesteld. Bovendien proberen we vast te stellen of onder de noemer “adviesopdracht” niet alsnog onbedoelde assurance wordt verleend door het gebruik van de verkeerde terminologie als “controle”, “beoordeling”, “zekerheid”, “oordeel”, “conclusie”.’

En, hoe staat het veld er nu voor?

‘We bespeuren in de praktijk wel enige verbetering. Bij de start van de kwaliteitsonderzoeken, omstreeks 2013-2014, bleken nog veel collega’s geen kwaliteitshandboek voor zichzelf te hebben ingericht, ondanks dat NOREA daarvoor een duidelijk modelhandboek voor kleine IT-auditpraktijken had opgesteld. De IT-auditopleidingen besteden in de colleges enige aandacht aan de Gedrags- en Beroepsregels, maar je mag hopen dat de RE’s in de praktijk nog iets meer meekrijgen van de regelgeving, want anders is de basis wel erg smal. Ook de eisen die toezichthouders stellen zijn best complex. Assurance-opdrachten kun je niet in je eentje doen, dus moeten ook de zzp’ers zich organiseren. Maak dus afspraken met elkaar en zoek een OKB’er of een collega die je rapporten tegenleest, voordat je ze publiceert. Als je dat voor elkaar doet, kun je dat zelfs met gesloten beurs afwikkelen. Voor specifieke assurance-opdrachten, zoals DigiD-assessments, de ENSIA- en VIPP-audits zijn inmiddels goede handreikingen en rapportageformats gepubliceerd.’

‘We zien tegenwoordig dat de baseline-kwaliteit er is. Afgelopen vier jaar is de methodiek aanzienlijk verbeterd. Maar je moet wel zorgen dat je bijblijft en je oriënteert op de nieuwste ontwikkelingen. We zitten immers in een legal business, dus je bent verantwoordelijk en aansprakelijk voor je werk, en voldoen aan de regels en richtlijnen is in dat verband de professionele uitdaging. Dat geldt ook voor de inspanningen voor Permanente Educatie.’

‘Het kwaliteitsonderzoek is natuurlijk een financiële belasting, zeker voor kleinschalige organisaties of zzp’ers, maar je kunt het ook zien als een investering die je in vier jaar kunt afschrijven. We streven ernaar het onderzoek zo doelmatig mogelijk te laten plaatsvinden, waaraan een goede voorbereiding zeker kan bijdragen.’

Wel of géén IT-auditorganisatie is niet relevant: het gaat erom welke opdrachten je doet

Beseffen alle RE’s die jullie benaderen dat ze ‘CKO-plichtig’ zijn?

‘In reactie op onze jaarlijkse uitvraag krijgen we vaak als antwoord: “ik ben geen IT-auditorganisatie” of: “mijn organisatie is geen IT-auditorganisatie”. Alleen, dat gaat niet op want bepalend voor het kwaliteitsonderzoek is niet de typering of aanduiding van de organisatie, maar de feitelijke werkzaamheden die de organisatie uitvoert. Kwaliteitsonderzoek is immers van toepassing op álle RE’s die optreden als IT-auditor, overeenkomstig artikel 10 van de statuten. Dus alle RE’s die werkzaam zijn op het brede terrein van IT-audit, -Governance, -Risk of -Compliance en (schriftelijk) over hun werkzaamheden rapporteren.’

‘Voor al deze werkzaamheden moeten de noodzakelijke maatregelen voor kwaliteitsbeheersing zijn getroffen, zoals vastgesteld in het Reglement Kwaliteitsbeheersing NOREA, kortweg RKBN. Dat moet bovendien via kwaliteitsonderzoek vastgesteld kunnen worden. We kijken naar de opzet van het kwaliteitsstelsel en proberen ons een beeld te vormen van de wijze waarop de organisatorische randvoorwaarden zijn vervuld. Ook bekijken we de opdracht gerelateerde randvoorwaarden. Dat doen we via een dossieronderzoek, een dossierreview. We kijken dus ook naar de RE in de context van zijn organisatie, businessunit of samenwerkingsverband van zzp’ers, al naar gelang van toepassing. Een andere reactie is vaak: “ik ben niet bevoegd om namens mijn organisatie iets te verklaren, het vragenformulier of de self-assessment in te vullen”. Dan is het zaak om in overleg te treden met degene die verantwoordelijk is voor het kwaliteitsstelsel van de organisatie, zodat die de gevraagde informatie kan geven. Dat geldt ook voor RE’s die voor specifieke opdrachten ingehuurd of gedetacheerd zijn bij andere organisaties. In beginsel werken ze dan onder het kwaliteitsstelsel van de opdrachtgever, mits ze duidelijk kunnen benoemen wie – welke RE of andere functionaris – namens de betreffende organisatie eindverantwoordelijk is voor de kwaliteitsbeheersing.’

‘Daarom stuurt het College Kwaliteitsonderzoek de leden ook jaarlijks een vragenformulier, zodat we ons een beeld kunnen vormen van de specifieke werkzaamheden en de omstandigheden waaronder deze worden uitgevoerd. Als het beeld dan nog niet eenduidig is, vragen we om toezending van een self-assessment, zodat we op basis van die informatie kunnen beslissen of en zo ja welk kwaliteitsonderzoek van toepassing is.’

Wat zou je de lezer nog willen meegeven?

‘Bij al onze activiteiten blijft voorop staan dat we als College Kwaliteitsonderzoek precies doen wat al in artikel 1 van de NOREA-statuten wordt geformuleerd als belangrijkste doelstelling: het bevorderen en bewaken van de kwaliteit van de beroepsuitoefening. Daarvoor zetten de collegeleden en onderzoekers zich met enthousiasme in.’

Geen categorie

A.J. (Arnold) Westgeest MSc RE | zelfstandig adviseur

Naast zijn parttimebaan als docent op de opleiding Accountancy aan De Haagse Hogeschool, is Arnold zelfstandig adviseur. Hij adviseert en ondersteunt accountantskantoren bij hun accountantscontroles en geeft naast vaktechnische adviezen ook trainingen op dit gebied. Een van zijn specialismen is data-analyse bij de jaarrekeningcontrole.

Drs. W. (Wilfried) J.A. Olthof | directeur bij NOREA

Wilfried is directeur van NOREA en heeft daarvoor functies vervuld bij de Perscombinatie, het ministerie van VROM en de Vrije Universiteit Amsterdam. Hij heeft Politicologie en Bestuurswetenschappen gestudeerd.