In juli 2006 is de vernieuwde Code of Ethics ingevoerd voor alle register EDP-auditors. De Code of Ethics vervangt de gedrags- en beroepsregels voor EDP-auditors. Integriteit, onafhankelijkheid en objectiviteit zijn belangrijke waarden voor auditors. Dit artikel gaat na hoe deze code kan bijdragen aan het vasthouden van het integriteitsniveau van de IT-auditors. Daarnaast komt aan de orde hoe een goede implementatie van de Code of Ethics nog verder kan bijdragen tot een groter integriteitsbesef binnen de beroepsgroep van register EDP-auditors.
Inleiding
Een integere reputatie wordt door veel ondernemers als belangrijke bestaansvoorwaarde gezien. Desondanks zijn er diverse voorbeelden van ondernemingen die zich toch te buiten gaan aan fraudes, boekhoudschandalen, witwasoperaties, corruptie en dergelijke. Een standaardreactie op dit soort incidenten is om over te gaan tot het instellen van nieuwe interne en externe regelgeving. Binnen een bedrijf worden dan bijvoorbeeld naar aanleiding van een incident de AO-beschrijvingen uitgebreid met extra controles en regels. Een vorm van uitbreidende externe regelgeving is de Sarbanes-Oxley wet. Als reactie op de geruchtmakende boekhoudfraudes in de Verenigde Staten werd deze wet geïntroduceerd. De Sarbanes-Oxley wet stelt vele verplichtingen aan bedrijven die beursgenoteerd zijn.
Een andere reactie op incidenten is dat er gedragscodes worden ingesteld. Een voorbeeld hiervan is de NOREA Code of Ethics voor register EDP-auditors. Deze code sloot aan bij de internationale IFAC Code of Ethics. Voor de NOREA waren het dus niet zozeer incidenten in Nederland die de aanleiding vormden voor het opstellen van een gedragscode, maar het zoeken van aansluiting bij een internationaal aanvaarde code. Door het uitvaardigen van deze code weten register EDP-auditors wat er van hen verwacht wordt op basis van een internationaal breed geaccepteerde standaard. Een code schept op deze manier dus duidelijkheid voor de beroepsbeoefenaren maar ook voor de externe omgeving. Alhoewel een gedragscode een goed instrument is om integriteit te bevorderen zijn hier ook wel wat opmerkingen bij te plaatsen. Een code is natuurlijk alleen nog maar een stuk papier, het gaat om de toepassing in de praktijk. Daarnaast is het de vraag of regels wel zo uniform toegepast kunnen worden als op het eerste gezicht lijkt. In de praktijk blijkt namelijk keer op keer dat mensen binnen organisaties zich niet zozeer door regels laten leiden, maar door hun eigen morele oordeel, of het morele oordeel van hun leidinggevende. Het zou natuurlijk ideaal zijn als de nieuwe code de auditors kan helpen om die morele afweging beter te maken.
In juli 2006 is de nieuwe Code of Ethics ingevoerd voor alle register EDP-auditors. Dit artikel gaat na hoe deze code kan bijdragen aan de integriteit van de IT-auditors. Hoe een goede implementatie van de Code of Ethics kan stimuleren tot een groter integriteitsbesef binnen de beroepsgroep van register EDP-auditors, komt eveneens aan de orde.
Integriteit als kwaliteitsbegrip en als ethisch uitgangspunt
Integriteit is als begrip lastig te definiëren. Het begrip integriteit is afgeleid van het Latijnse woord ‘in-tangere’, dat kan worden vertaald als ‘niet aanraken’ of ‘niet aangeraakt zijn’. Het verwijst met andere woorden naar iets wat, of iemand die, onbesmet, onaangetast en ongekreukt is. Het woordenboek spreekt van ‘rechtschapenheid’, ‘onomkoopbaarheid’ en ‘ongeschondenheid’. Integriteit wordt vaak in één adem genoemd met voorbeelden van wat het niet is: fraude, corruptie. Dit maakt van integriteit al snel een beladen onderwerp. Integriteit is echter juist ook een positief begrip omdat het gaat om zaken als authenticiteit, oprechtheid en heelheid.
EDP-auditors kennen integriteit vaak als kwaliteitsbegrip. Hierbij gaat het om een aspect waaraan toetsing kan plaatsvinden. Met het kwaliteitsaspect (data-) integriteit wordt de consistentie en juistheid van gegevens bedoeld. Integriteit wordt dan gedefinieerd als de mate waarin het object (gegevens en informatie-, technische en processystemen) in overeenstemming is met de afgebeelde werkelijkheid.
Binnen de beroepsgroep van EDP-auditors is er natuurlijk ook aandacht voor integriteit als ethisch uitgangspunt. Dit is zelfs opgenomen in de Code of Ethics voor EDP-auditors (zie kader 1).
Kader 1. De Code of Ethics in Nederland aanvaard.
Algemene Vergadering NOREA stemt in met Code of Ethics
Tijdens de extra Algemene Vergadering op 13 juli 2006 is ingestemd met de aanvaarding van de Code of Ethics voor IT-auditors ter vervanging van het Reglement Gedrags- en Beroepsregels Register EDP-Auditors (GBRE). Daarnaast heeft het bestuur een mandaat gekregen om de statuten en overige reglementen overeenkomstig aan te passen, d.w.z. verwijzingen naar de GBRE worden vervangen door verwijzingen naar de Code of Ethics. De Code of Ethics geldt derhalve met ingang van 14 juli 2006.
In deze code staat het begrip integriteit als apart artikel vermeld (Section 110). Het is zeer toe te juichen dat er binnen de beroepsgroep van register EDP-auditors wordt gestreefd naar uniforme, breed gedragen ethische uitgangspunten. Toch is het belangrijk om zich te realiseren dat de wereldwijde toepasbaarheid van een code gebonden is aan de specifieke context van elke auditor.
De context als bepalende factor voor het handelen
Het begrip integriteit als ethisch richtsnoer is zeer bewonderenswaardig, het is echter belangrijk te bedenken dat integriteit tegelijkertijd toch een wat subjectief begrip is. Wat de ene persoon volstrekt integer vindt zal voor iemand anders ‘not done’ zijn. Het begrip wordt dus door personen anders ervaren en ingevuld. Iedereen heeft er een beeld bij maar dit beeld is niet voor iedereen gelijk. Daar komt nog eens bij dat wanneer mensen geconfronteerd worden met een lastige beslissing, zij die keuze vaak maken op basis van intuïtie en gevoel, en niet zozeer op basis van regelgeving. Het meest treffende voorbeeld hiervan is het experiment van de psycholoog Milgram. Hij liet zien dat wanneer mensen in een bepaalde context geplaatst worden ze dingen doen die volstrekt niet-integer zijn (zie kader 2). Het stellen van regels wil dus geenszins zeggen dat daarmee er voldoende waarborgen zijn voor ethisch gedrag.
Kader 2. Het experiment van Milgram.
Vanuit de psychologie is op verschillende manieren onderzoek gedaan naar het volgen van autoriteit. Het beste en misschien wel meest extreme voorbeeld is het experiment van Milgram. In dit experiment werd de bereidheid van deelnemers gemeten om aanwijzingen op te volgen van een autoriteit, zelfs als die aanwijzing in strijd was met het eigen geweten.
Milgram vroeg proefpersonen om mee te werken aan een onderzoek naar het effect van elektrische shocks op het geheugen. De proefpersoon moest daarbij stroomschokken toedienen aan een andere proefpersoon (die in werkelijkheid een acteur was: er werden helemaal geen stroomschokken toegediend). Het onderzoek wilde bekijken tot op welk niveau mensen hun eigen geweten ondergeschikt maakten aan de autoriteit van de onderzoeker die het experiment leidde. De proefpersoon werd dus door de onderzoeker verteld wat de proefpersoon moest doen. Het experiment onderzocht dus in werkelijkheid de relatie tussen gehoorzaamheid en autoriteit en tot welk niveau men het eigen morele geweten boven de autoriteit zou stellen.
Verbazingwekkend veel mensen zouden de proefpersoon blootstellen aan zeer hoge, gevaarlijke en zelfs dodelijke stroomschokken.1 Alhoewel andere psychologen vooraf dachten dat slechts een paar sadisten bereid zouden zijn om het maximumvoltage van 450 volt te geven, waren de resultaten zeer schokkend. Bij de eerste reeks experimenten gaf 65 procent van deelnemers de maximumschok van 450 volt, hoewel velen zich er zeer ongemakkelijk bij voelden. Geen deelnemer hield op vóór het 300 volt-niveau!2
Het onderzoek toonde daarmee aan dat wanneer een autoriteit geaccepteerd wordt, het persoonlijke geweten daarbij ondergeschikt wordt. Belangrijk om zich te realiseren is dat de context dus zeer bepalend is voor het handelen van mensen. Dit betekent dus ook dat regels (gij zult niet doden!) in bepaalde situaties niet worden opgevolgd. Het experiment toonde daarmee meteen de beperking aan van ‘regels’.
Bronnen:
- Milgram, S., Obedience to authority, New York, Harper and Row, 1974.
- Blass, T., The Milgram paradigm after 35 years: Some things we now know about obedience to authority, in: Journal of Applied Social Psychology, 29, 1999, p. 955-978.
Het hebben van een gezamenlijke Code of Ethics is derhalve een mooi uitgangspunt, maar de toepassing ervan kan per context verschillen. Wanneer we naar de IFAC Code of Ethics kijken, zien we hier bijvoorbeeld in staan dat integriteit belangrijk is als waarde voor accountants en auditors. Letterlijk staat er: ‘The principle of integrity imposes an obligation on all professional accountants to be straightforward and honest in professional and business relationships. Integrity also implies fair dealing and truthfulness.’[IFAC Code of Ethics, , section integrity, p. 9, versie 2005 (p .9 verwijst naar de versie waarin de oorspronkelijke IFAC-tekst staat naast de NOREA-vertaling).] Een mooie uitspraak en niemand zal het hiermee oneens kunnen zijn. Wie is er immers tegen eerlijkheid? Moeilijkheden ontstaan er echter pas wanneer iemand in de dagelijkse praktijk tegen een probleem aanloopt. Want wat is ‘honest business relationships’? Hoeveel marge mag je nog ‘eerlijk’ maken? Daar hebben mensen toch vaak heel uiteenlopende ideeën over. Dit is natuurlijk al in Nederland zo, maar wanneer we ‘eerlijk zakendoen’ over de grens nemen, dan zullen we zien dat in andere landen er andere normen gelden ten aanzien van het zakendoen. Kortom: wat is ‘eerlijk’? Dit wordt bepaald door de specifieke omstandigheden die er op dat moment gelden, ofwel: de ‘context’.
Een ander voorbeeld vanuit de internationale context is de manier waarop medewerkers omgaan met de hiërarchie binnen hun eigen organisatie. Wanneer Nederlandse medewerkers het bijvoorbeeld niet eens zijn met het oordeel van hun baas zullen zij dit over het algemeen makkelijker kenbaar maken dan medewerkers in Angelsaksische of Aziatische landen. Voor IT-auditors is het altijd erg belangrijk om hun eigen objectiviteit te blijven waarborgen. De hiërarchische context zoals die hiervoor werd geschetst, geeft al aan dat dit in bepaalde landen misschien moeilijker is dan in andere landen. In de NOREA-code staat daarom ook geschreven: ‘De IT-auditor accepteert niet dat zijn professioneel of zakelijk oordeel wordt aangetast door een vooroordeel, belangentegenstelling of ongepaste beïnvloeding door een derde.’[NOREA Code of Ethics, Hoofdstuk A-120 Objectiviteit, p. 10, versie 2006.] Tegelijkertijd heeft de code er oog voor dat dit vooral in de praktijk op de proef zal worden gesteld: ‘De IT-auditor kan in een situatie komen te verkeren waarin zijn objectiviteit in het gedrang komt. Het is onmogelijk al deze situaties te beschrijven.’[NOREA Code of Ethics, Hoofdstuk A-120 Objectiviteit, p. 10, versie 2006.] De NOREA Code of Ethics geeft dus nadrukkelijk het uitgangspunt weer (objectiviteit) maar heeft tegelijkertijd oog voor het feit dat dit altijd in de context van de praktijk dient te worden vormgegeven. De verantwoordelijkheid om de objectiviteit te waarborgen wordt daarmee neergelegd bij de individuele IT-auditor.
Het belang van een goede implementatie van de NOREA Code of Ethics
De Code of Ethics laat duidelijk een eigen verantwoordelijkheid bestaan bij de IT-auditor zelf en dit is goed. We kunnen immers niet vooraf alle mogelijke zaken beschrijven in een code. Dit zou de code enorm omvangrijk maken. Bovendien hebben we gezien dat de context soms zeer bepalend kan zijn voor het handelen van mensen. Integriteit kan dus niet worden gezien als een fait accompli: als louter een kwestie van goed- of kwaadwillende mensen waarover een organisatie nu eenmaal wel of niet beschikt. Zoals het experiment van Milgram al liet zien kunnen goede mensen bijvoorbeeld heel slechte dingen doen als ze in een bepaalde context worden geplaatst. Ook ‘goede’, nette IT-auditors kunnen dus heel verkeerde dingen gaan doen als zij in een bepaalde context komen te staan.
Bij het uitvaardigen van regels dient er daarom ook rekening te worden gehouden met de context. De NOREA heeft hier nadrukkelijk ook oog voor gehad en heeft een belangrijke stap gezet door de vertaling van de IFAC Code of Ethics naar de Nederlandse IT-auditcontext en in de Nederlandse taal.
Desondanks liet het voorbeeld van objectiviteit al zien dat de NOREA ook erkent dat de code nooit vooraf alle antwoorden zal kunnen geven. De NOREA Code of Ethics is daarmee dus geen wet van Meden en Perzen geworden! De eigen verantwoordelijkheid van IT-auditors staat centraal. Bij de implementatie van de code dient dit kenmerkende aspect duidelijk te worden benadrukt. Het enkel communiceren van een document is niet voldoende! Het vragen naar de eigen verantwoordelijkheid van IT-auditors vereist ook dat er wat gedaan wordt aan bewustwording en training van de beroepsgroep.
Het op schrift stellen van een mooi document met goed geformuleerde uitgangspunten is slechts het begin. Zonder een goede implementatie kan een code zelfs schade toebrengen aan de geloofwaardigheid en het imago van de beroepsgroep. Als de code een eendagsvlinder blijft, niet meer dan een lege huls of slechts window-dressing, kan hij namelijk zelfs averechts werken. De code verdwijnt dan onder in de bureaula of in het ronde archief ([Kapt02]). Daarom is het van belang dat er structureel aandacht, toelichting en training wordt gegeven over de code.
‘Maar IT-auditors zijn mensen met een post-doctorale opleiding! Daarvan zou toch verwacht kunnen worden dat zij verstandig genoeg zijn om zelf in te schatten hoe zij kunnen werken met een code?’ Dit is slechts ten dele waar. De kracht van een code ligt juist in het bespreken van ethische vraagstukken uit de praktijk en het van daaruit werken aan verbeteringen. Op die manier zullen IT-auditors getraind worden in hun bewustwording wat het juiste ethische handelingsalternatief is en wat mooie termen als ‘integriteit’ en ‘objectiviteit’ voor hun dagelijkse praktijk betekenen. De werkgevers van de IT-auditors zouden hierin een leidende rol moeten spelen, een goed ethisch klimaat is immers ook en vooral voor hen van belang.
Daarnaast dient de code het begin te zijn van maatregelen die de integriteit van de beroepsgroep bevorderen (zie ook kader 3). Naast het hebben van een code is het bijvoorbeeld ook van belang dat:
- leiderschap wordt getoond;
- er aandacht is voor de organisatieculturen waarin IT-auditors hun werk moeten doen;
- de borging van integriteit binnen de organisaties waarin IT-auditors werkzaam zijn en binnen de NOREA is vormgegeven;
- er een vangnet voor ongewenst gedrag is;
- er een toets op naleving plaatsvindt;
- er monitoring plaatsvindt.
Kader 3. Inrichting van integriteitmanagement.
Integriteitmanagement: inrichting
Er bestaat niet een eenduidige methodiek op basis waarvan inrichting van integriteitmanagement kan plaatsvinden. Voor elke organisatie is integriteitmanagement verschillend. Wel zijn er basiselementen die van belang zijn bij de inrichting van integriteitmanagement. Deze elementen zijn bijvoorbeeld:
- Gedragscode en regelingen. Zoals reeds aangegeven is het bepalen van gemeenschappelijke waarden en normen in een internationale context niet eenvoudig, maar wel zeer belangrijk. Een succesvolle code komt vanuit de organisatie zelf waarbij nationale en regionale verschillen inzichtelijk worden en bespreekbaar zijn.
- Leiderschap. Wie integer handelen verlangt, zal zelf een goed voorbeeld moeten zijn. De integriteit van een internationaal opererend bedrijf begint bij de integriteit van de top.
- Organisatiecultuur. Zoals eerder in dit artikel uiteengezet kan de organisatiecultuur worden gezien als het fundament waarop procedures en maatregelen kunnen bouwen. In deze visie kan organisatiecultuur als resultante worden gezien van integriteitmanagement.
- Borging van integriteit. Om een gewenste organisatiecultuur te bereiken en te behouden is het van belang gewenst gedrag te verankeren in de bedrijfsprocessen. Belangrijke elementen hierbij zijn bijvoorbeeld de beloningssystematiek en wervings- en selectieprocedures.
- Vangnet. Goed integriteitbeleid en verantwoord bestuur bieden mensen ruimte om ongewenst gedrag en dilemma’s te melden en bespreekbaar te maken. De meest gewenste situatie is dat medewerkers dilemma’s of schendingen melden in de eerste lijn, bij de eigen leidinggevende. Een organisatie waarin integriteit bespreekbaar is, leert continu van de integriteitsbeleving van medewerkers, in alle lagen van de organisatie, in binnen- en buitenland. Als medewerkers om een bepaalde reden niet in de eerste lijn willen of kunnen melden, is de implementatie van een meldstructuur voor incidenten en vragen over integriteit is van groot belang.
- Naleving. Geloofwaardige aandacht voor integriteit kan niet zonder een toets op de naleving van gestelde normen en correctie op ongewenst gedrag. Hiertoe dient sanctiebeleid te worden ontwikkeld.
- Monitoring. Meten is weten. Een veelheid aan initiatieven om een bepaalde organisatiecultuur te bereiken biedt organisaties nog geen inzicht in de mate waarin ze ‘in control’ zijn. Het wordt steeds belangrijker om verantwoording af te kunnen leggen over maatregelen ten aanzien van organisatie-integriteit. Er zijn inmiddels beproefde methodieken om deze zogenaamde ‘soft controls’ in kaart te brengen en zodoende periodiek verantwoording over integriteit te kunnen afleggen.
Concrete acties vanuit de NOREA voor een goede implementatie van de Code of Ethics
De NOREA heeft ook oog voor het belang van een goede implementatie. Daarom zijn er al enkele acties ontplooid. Allereerst is de NOREA-code verplichte stof in de opleiding voor toekomstige RE’s. De bestaande RE’s zijn via de eis van permanente educatie ook formeel verplicht om kennis te nemen van de inhoud van de vernieuwde code. De NOREA faciliteert dit ook door het uitgeven van een boekje dat alle RE’s zullen ontvangen. Belangrijk is ook dat de NOREA het belang inziet dat informeren alleen niet voldoende is. Men moet ook met elkaar spreken over de inhoud van de code en wat die voor eenieder betekent in het dagelijks werk. Hiervoor organiseert de NOREA voorlichtingssessies in alle regio’s.
Resumé
De vernieuwde NOREA Code of Ethics is in juli 2006 ingevoerd voor alle register EDP-auditors ter vervanging van de bestaande gedrags- en beroepsregels. Het is belangrijk zich te realiseren dat de code vooral in de context van de praktijk zal worden geïnterpreteerd en dat regels niet zo eenduidig zijn als ze vooraf lijken. De NOREA heeft zich dit vooraf ook gerealiseerd door de code naar de Nederlandse context te vertalen en ook iedereen te informeren via opleiding en regiobijeenkomsten. Daarnaast geeft de NOREA ook expliciet aan dat de code een sterke nadruk legt op de eigen verantwoordelijkheid. Het zou goed zijn als deze eerste stap van het formuleren van een goede code en het informeren een vervolg krijgt door een goede implementatie in samenhang met andere integriteitbevorderende maatregelen. Hierbij is ook een belangrijke taak weggelegd voor de werkgevers van de IT-auditors.
Literatuur
[IFAC05] IFAC Code of Ethics, versie 2005.
[Kapt01] Kaptein, M., De integriteitbarometer voor organisaties, Bedrijfskunde, jaargang 73, 2001, nummer 3.
[Kapt02] Kaptein, M., H. Klamer en A. Wieringa, De Bedrijfscode, Stichting NCW, Ethicon, Stichting Beroepsmoraal en Misdaadpreventie, Den Haag.
[NORE06] NOREA Code of Ethics, versie 2006.
[Pleu06] Pleunes-Caljouw, J. en M. de Kiewit, Monitoren en auditen van softcontrols als sluitstuk van de compliancecyclus, Tijdschrift voor compliance, 2006, nummer 2.