Interview met René Ewals en Jan Matto (commissie Beroepsregels)

Prominentere rol IT-auditor maakt herziening gedragscode hoog nodig

25 september 2020 Wilfried Olthof
PDF
In dit artikel:

Komend najaar komt in de algemene ledenvergadering een herzieningsvoorstel van onze gedragscode in stemming. De gedragscode regelt de fundamentele beginselen van de beroepsethiek en heeft daarom de status van een richtlijn die voor alle registerleden geldt. Er komt een verplichte e-learning met kennistoets. Het voorstel is opgesteld door de commissie Beroepsregels, die het bestuur adviseert over actualisering van de gedrags- en beroepsregels voor RE’s.

Nieuwsgierig geworden, spreken we met voorzitter René Ewals en actief lid Jan Matto van de commissie Beroepsregels, die samen met Dennis Houtekamer de training hebben voorbereid.

Waarom is deze herziening nodig?

‘De oorspronkelijke gedragscode, gebaseerd op de ‘Code of Ethics’ van IFAC, de International Federation of Accountants, dateert uit 2006. Sindsdien heeft de IFAC, en vervolgens in het Nederlandse domein ook de NBA, enkele fundamentele aanpassingen van de beginselen doorgevoerd. Die zijn vooral gericht op waarborgen voor de onafhankelijkheid bij de uitvoering van professionele diensten, waaronder assuranceopdrachten. In vergelijking met een aantal jaren geleden gebeuren nu veel meer assurancewerkzaamheden onder eindverantwoordelijkheid van een IT-auditor. Daarnaast heeft IT-auditing steeds vaker een publiek karakter, zoals van oudsher al geldt voor de taak van de accountant. Dat is omdat deze assuranceopdrachten steeds vaker betrekking hebben op cruciale of vitale ICT-diensten en -systemen, die een grote maatschappelijke impact hebben. Denk aan DigiD-assessments, ENSIA-audits of VIPP-assessments. Daarbij zijn onder meer privacygevoelige gegevens van burgers of patiënten in het geding. Deze prominentere rol van de IT-auditor stelt hogere ethische eisen.’

‘Als NOREA moeten we te allen tijde voorkomen dat er via de pers een discussie over de onafhankelijkheid gaat plaatsvinden. In de huidige gedragscode ontbreekt vooralsnog echter een duidelijke definitie van onafhankelijkheid. Bovendien wordt van ‘andere professionals’, die naast accountants assuranceopdrachten uitvoeren, vereist dat ze dat doen op basis van gelijkwaardige regelgeving. We moeten dus meebewegen om onze bevoegdheid tot het uitvoeren van assuranceopdrachten “veilig te stellen”.1’

Definitie onafhankelijkheid

Onafhankelijkheid is verbonden met de beginselen objectiviteit en integriteit. Het bestaat uit:

  1. onafhankelijkheid van geest – de gemoedstoestand die het formuleren van een conclusie mogelijk maakt zonder invloeden die het professionele oordeel bedreigen, waardoor een individu in staat wordt gesteld om integer en objectief te handelen en een professioneel kritische instelling te hebben;
  2. onafhankelijkheid in het optreden – het vermijden van feiten en omstandigheden die zo belangrijk zijn dat een redelijke en geïnformeerde derde waarschijnlijk zou concluderen dat de integriteit, objectiviteit of professioneel kritische instelling van een onderneming of een assurance-teamlid is aangetast.

(Gedragscode 4B, artikel 900.4)

Kunnen jullie een indruk geven hoe we de voorgestelde regels moeten interpreteren?

‘Eén van de mogelijke bedreigingen van de onafhankelijkheid is een te grote financiële afhankelijkheid van een opdrachtgever. Dit beginsel is gebaseerd op een van de nieuwe paragrafen, sectie 905 over vergoedingen. Zo’n situatie kan al gauw ontstaan bij een gering aantal opdrachtgevers of als één opdrachtgever voor een omvangrijk deel bijdraagt aan de omzet. Een IT-auditor/zzp’er die maar enkele opdrachtgevers heeft, moet zich bijvoorbeeld afvragen of hij niet zo afhankelijk is dat zijn beoordeling mogelijk minder objectief wordt. Ander voorbeeld: als een opdrachtgever je rekeningen niet tijdig betaalt kan het zijn dat je hem feitelijk een lening verstrekt. Ook in die positie kan je onafhankelijkheid in het gedrang komen, wat aanleiding kan zijn om de werkzaamheden op te schorten. Deze situatie, waarin de opdrachtgever te veel sturing kan geven, is te voorkomen door met voorschotnota’s te werken.’

‘Ook bij familierelaties tussen de auditor en opdrachtgever kan de objectiviteit discutabel zijn. Dit beginsel is gebaseerd op sectie 920 over zakelijke betrekkingen’. Familierelaties tussen auditor en auditee kunnen leiden tot druk en intimidatie bij de auditor. Hierbij speelt ook de overweging hoe onafhankelijk je bent als familieleden zeggenschap hebben over het object van onderzoek. Een fictief voorbeeld om dit principe duidelijk te maken. Stel, je doet onderzoek naar informatiebeveiliging van een bedrijf waarvan je broer de CISO is, terwijl je zus de rol van Functionaris voor de Gegevensbescherming (FG) vervult. Het eerste kan dus niet, want de CISO heeft zeggenschap over het object van onderzoek, terwijl voor het tweede geldt dat bij een FG uit hoofde van zijn functie al op voorhand mag worden verondersteld dat diens onafhankelijke positie ten opzichte van het onderzoeksobject van de auditor afdoende is gewaarborgd.’

‘Een ander aandachtspunt zijn de bepalingen over geschenken en gastvrijheid in sectie 906. Cadeaus en relatiegeschenken zijn maar zeer beperkt toegestaan. De tijd ligt nog niet zo ver achter ons dat auditors op uitnodiging van de klant een weekend naar Ibiza of naar de finale van de Champions League gingen. Maar tegenwoordig hanteert de overheid, en steeds vaker ook het bedrijfsleven, als best practice een maximumbedrag van vijftig euro. Dat zijn misschien duidelijke voorbeelden van wat niet meer kan maar het gaat bij de interpretatie van deze regelgeving juist om het zorgvuldig onderkennen en bewaken van de grensgevallen. Vrij vertaald houdt het betreffende beginsel in dat het aanvaarden van giften, zakelijke gastvrijheid en vermaak van een assurance cliënt mogelijk leidt tot risico’s als eigen belang, vertrouwdheid en intimidatie.’

‘Denk ook aan het beginsel “vertrouwdheid”, “Familiarity threat” in sectie 120. 6 A3 d. Vrij vertaald houdt dit beginsel in dat bedreiging voor de onafhankelijkheid en objectiviteit kan voortvloeien uit langdurige relatie met een assurance cliënt, doordat de IT auditor te veel verenigt met de belangen van een cliënt. Dus, als je jarenlang hetzelfde onderzoek doet, ben je dan nog wel “fris en fruitig” genoeg om onbevangen het object van onderzoek tegemoet te treden? In dat geval kan wisseling van onderzoeker of het laten reviewen van de werkzaamheden door een niet direct bij de opdracht betrokken IT auditor uitkomst bieden. Ook bij een uitbestedingsrelatie of bij dienstverlening aan specifieke opdrachtgevers die onderlinge relaties onderhouden kunnen er omstandigheden zijn die een bedreiging voor de onafhankelijkheid vormen. Stel, je verleent diensten aan een pensioenuitvoerder, en ook aan het fonds dat voor die pensioenuitvoerder het vermogensbeheer doet. Dan moet je de vraag stellen of die opdrachten met elkaar verenigbaar zijn.’

Jullie commissie heeft meegewerkt aan de kennistoets over de gewijzigde gedragscode. Hoe is die opgezet?

‘De kennistoets over de vernieuwde gedragscode kan vanaf het eerste kwartaal van 2021 worden gemaakt. Het is een toets die de deelnemer via meerkeuzevragen de beginselen en dilemma’s voorlegt. Uiteraard is er voorzien in een e-learning, waarmee men zich kan voorbereiden op de kennistoets, in een toelichting en oefenmateriaal.’

Tabel: voorbeeld van een toetsvraag

Tot slot: Wat willen jullie onze lezers vooral meegeven?

‘De risico’s van digitalisering beperken zich niet meer tot effecten op een individuele organisatie. Het gebruik van IT systemen door een individuele organisatie heeft veelal economische en maatschappelijke impact op het gehele ecosysteem van die organisatie. Daarmee hebben oordelen van IT auditors niet alleen een betekenis voor de auditee, maar ook voor een veel bredere maatschappelijke kring van stakeholders en mag er geen twijfel bestaan over de onafhankelijkheid en objectiviteit van de IT auditor. De nieuwe Code of Ethics biedt duidelijke handreikingen om de vereiste objectiviteit en onafhankelijkheid te waarborgen. Daarbij wordt in de code of ethics niet alleen gewezen op de gevaren, maar ook op maatregelen om bedreigingen van onafhankelijkheid en objectiviteit weg te nemen.’

NOOT

1 Artikel 7.2c van de Nadere Voorschriften inzake Kwaliteitssystemen NBA, vereist vergelijkbare regelgeving van ‘andere professionals’ die assuranceopdrachten uitvoeren.

Geen categorie

Drs. W. (Wilfried) J.A. Olthof | directeur bij NOREA

Wilfried is directeur van NOREA en vervulde eerde functies bij de Perscombinatie, het ministerie van VROM en de Vrije Universiteit Amsterdam. Hij heeft Politicologie en Bestuurswetenschappen gestudeerd.