De introductie van IT in organisaties verliep stormachtig. Onder de noemer ‘Eerst was er niets, toen kwam de fiets’ moest iedereen leren omgaan met de effecten van IT op mensen en processen. In deze bijdrage wordt de ontwikkeling geschetst van IT en de rol van accountants in het kader van het onderzoek naar de kwaliteit van de interne beheersing ten behoeve van de accountantscontrole. IT-gerelateerde wet- en regelgeving passeren de revue, evenals de betrokkenheid van KPMG bij beroepsorganisaties en universitaire opleidingen.
Het IT-begin
De periode vanaf 1965 werd gekenmerkt door de introductie van computers in organisaties, veelal voor eenvoudige administratieve toepassingen. Het accountantsberoep werd enigszins wakker geschud toen in die beginperiode tijdens controlewerkzaamheden bij auditcliënten door (assistent-)accountants vertwijfeld werd gezegd: ‘Ze hebben een computer gekocht.’ Van enige vorm van een automatiseringsorganisatie was toen nog geen sprake.
Start automatisering met batchverwerking
Eenvoudige processen werden geautomatiseerd en uitgevoerd door computers (inmiddels geïntroduceerd door IBM, Bull en UNIVAC), die slechts één verwerking per keer aankonden. De verantwoordelijkheid voor de automatisering lag vrijwel altijd bij de administratieve afdeling van de organisatie.
De benodigde programma’s werden geschreven in programmeertalen zoals Assembler of later COBOL. De uitwerking van de vereiste functionaliteit geschiedde op voorgedrukte formulieren, waarna de programmeurs de instructies zelf in ponskaarten moesten vastleggen. De (veelal bakken vol met) ponskaarten werden in het computercentrum ingelezen en vastgelegd op magneetbanden, waarna de verwerking plaatsvond. De computeroutput werd afgedrukt op papier. Hetzelfde proces gold voor de verwerking van veelal administratieve gegevens. De computer werd bestuurd door middel van Job Control Language (JCL). Computer operators konden met behulp van deze JCL processen opstarten.
Naarmate de tijd voortschreed en de complexiteit groter werd, deed de deskundige op het gebied van de besturingsprogrammatuur van de computer – de systeemprogrammeur – zijn intrede. Mede doordat buiten het zicht van de interne organisatie deze systeemprogrammeur de uitkomsten van verwerkingen zou kunnen manipuleren, kwam de kwaliteit en effectiviteit van het stelsel van maatregelen van interne controle in organisaties onder druk te staan.
Het accountantsberoep onderkende al snel dat automatisering van invloed zou (kunnen) zijn op de interne controlemaatregelen. Reeds in 1970 bracht het Nederlands Instituut van Register Accountants (NIVRA), thans Nederlandse Beroeporganisatie van Accountants (NBA), Geschrift 1 uit onder de titel Automatisering en controle – De invloed van de administratieve automatisering op de interne controle. Het Canadian Institute of Chartered Accountants bracht hetzelfde jaar het boekwerk Computer Control Guidelines uit, in 1974 gevolgd door Computer Audit Guidelines. In 1975 volgde NIVRA-geschrift 13, De invloed van geautomatiseerde gegevensverwerking op de accountantscontrole.
Gebruik van computer in de accountantscontrole
Het was een logische stap dat de accountant er snel voor koos ook de computer van de auditcliënt of een computer in eigen beheer te gebruiken om hem te voorzien van de nodige informatie ten behoeve van de controle. Standaard auditpakketten zoals Auditape komen op de markt. Naast de veelgebruikte guldenrangnummermethode voor het trekken van steekproeven werd een betere methode ontwikkeld: de zeefmethode.
Vanzelfsprekend werd benadrukt dat er een noodzaak is bij de auditcliënt de verwerking van de door accountants ontwikkelde programmatuur dan wel gebruikte standaard auditprogrammatuur bij te wonen.
De ontwikkeling binnen KPMG van COMBI (Cobol Oriented Missing Branch Indicator) bood de mogelijkheid door middel van het gebruik van testgevallen de ‘niet geraakte takken’ in een programma te onderkennen, hetgeen efficiënt tijdens de ontwikkelingsfase van programmatuur kon worden toegepast.
Oprichting KPMG EDP Auditors
Na een korte aanloop van enkele jaren waarin gespecialiseerde accountants auditsoftware gebruikten op computers bij auditcliënten, werd in de periode 1971-1973 de Automatisering & Controlegroep (AC-groep) opgericht, met daarin programmeurs die de accountantscontrolepraktijk van alle gemakken konden voorzien. Deze bestond uit accountants met IT-affiniteit (die werden getraind en om de paar jaar gerouleerd) en programmeurs voor het ontwikkelen van queries en auditsoftware, zoals het eerdergenoemde COMBI.
In 1974 werd besloten tot oprichting van een afzonderlijk organisatieonderdeel onder de naam KPMG EDP Auditors (KEA, hierna KPMG). De aandacht van de controlerend accountant verschoof naar het inschakelen van deskundigen, die moesten controleren of het in de organisatie ingebedde systeem van maatregelen van interne controle ook was verankerd in de inrichting van de automatiseringsfunctie. Dit gebeurde mede met het oog op het verkrijgen van zekerheid dat door of onder verantwoordelijkheid van de gebruikersorganisatie ontwikkelde toepassingsprogrammatuur in continuïteit ongewijzigd zou worden verwerkt.
De complexiteit die voortkomt uit de introductie van grote computersystemen met online/real-time faciliteiten, databasemanagementsystemen en toegangscontrolesoftware maakt specialistische kennis nodig in de accountantsorganisatie. De organisatie moet immers in staat zijn de invloed die deze nieuwe technologie op de interne beheersing zal hebben vast te stellen en de consequenties daarvan voor de werkzaamheden van de accountant te kunnen onderkennen.
In dat verband werd ook in 1974 besloten tot het uitgeven van dit vaktijdschrift onder de naam Compact (COMPuter en ACcounTant). Dit tijdschrift was primair bedoeld voor het informeren van de accountantscontrolepraktijk, maar werd al snel zeer gewaardeerd door andere organisaties, veelal auditcliënten.
Introductie van complexe computersystemen
Reeds vanaf 1974 verliep de toepassing en het gebruik van computers snel doordat de nieuwe versie computers meerdere taken tegelijk kon uitvoeren. Bovendien kwam er een infrastructuur tot stand waardoor de gebruikersorganisatie rechtstreeks gegevens kon invoeren en verwerkingen kon starten. De automatiseringsorganisatie werd een zelfstandig organisatieonderdeel en was meestal hiërarchisch ondergebracht bij de financieel/administratieve functie.
IBM introduceerde het besturingssysteem MVS (Multiple Virtual Systems) en kort daarop (1975) kwam ook programmatuur onder de verzamelnaam Data Base Management Systems (DBMS) op de markt. Het accent van de IT-toepassingen komt te liggen op online/real-time. Andere computerleveranciers introduceerden vergelijkbare systemen.
De inzet van accountants gericht op het beoordelen van de kwaliteitsaspecten van de automatisering richtte zich in eerste instantie voornamelijk op de beoordeling van de maatregelen van fysieke beveiliging van het computercentrum en op de beschikbaarheid van een getest calamiteitenplan.
Toen de ontwikkeling van batchomgevingen naar online/real-time-omgevingen zich voortzette, steeg het belang van de logische beveiliging, alsmede van de kwaliteit van procedures, richtlijnen en maatregelen in de automatiseringsorganisatie. Te denken valt dan aan de regeling van toegangscontrole, back-up- en recoveryprocedures, test-, acceptatie- en overdrachtsprocedures van toepassingsprogrammatuur, bibliotheekbeheer en dergelijke.
De introductie van complexe computersystemen betekende niet slechts de conversie van klassiek georganiseerde gegevensverzamelingen naar een nieuwe omgeving. Er was immers ook sprake van het migreren van controlemaatregelen naar hogere softwarelagen (toegangscontrolesystemen, subschema’s binnen DBMS’en). Het gehele conversietraject van de data van de klassieke IT-omgeving naar online/real-time maakte het noodzakelijk een goede planning van de conversie te maken, fasering te definiëren, procedures in te richten voor wat betreft het schonen van bestanden, vaststellen van volledigheid en juistheid van de gegevensverzamelingen en beveiligingsmaatregelen gedurende het gehele traject.
In vele uitgaven van Compact werd daarom ingegaan op de complexiteit van bovengenoemde ingrijpende gebeurtenissen en de invloed daarvan op de interne en accountantscontrole.
Minicomputersystemen
Min of meer gelijktijdig met de introductie van de grote complexe mainframe computersystemen werden ook middelgrote (afdelings)systemen op de markt gebracht (mid-range computers genoemd).
Voor de KPMG-organisatie betekende deze ontwikkeling een verdere specialisatie, omdat de introductie van minicomputersystemen voornamelijk in MKB-organisaties andere consequenties had voor de inrichting van het systeem van interne controle en van te treffen beveiligingsmaatregelen.
Auteurs van KPMG-huize publiceerden vervolgens in Compact artikelen met als onderwerpen de betrouwbaarheid van de administratieve gegevensverwerking met behulp van minicomputers, het decentraal gebruik van kleine computers: een nieuwe problematiek, en ook de invloed van de invoering van kleinschalige automatisering op de accountantscontrole.
Nieuwere versies van de mid-range computersystemen hadden een complexere architectuur waardoor betere mogelijkheden voorhanden kwamen voor de realisatie van een veilig opererende automatiseringsorganisatie. Vooral over de beveiligingsopties van het populaire IBM AS/400-systeem werd uitputtend gepubliceerd.
Ook aan pc-beveiliging werd niet voorbijgegaan. Een Compact Special werd geheel gewijd aan de actualiteit van de problematiek met betrekking tot de beheersbaarheid en beveiliging door het toegenomen gebruik van pc-netwerken (onder andere inzake risico’s, methoden, auditprogramma’s en tooling).
Onderzoek van informatiesystemen
Het atypische van automatisering van de gegevensverwerking ofwel IT is dat de ontwikkeling voor wat betreft hardware en ondersteunende software nagenoeg gelijktijdig plaatsvond. De controlerend accountant en in het bijzonder de op IT-audit gespecialiseerde deskundigen richtten zich vanaf begin jaren zeventig ook op het onderzoeken van informatiesystemen om vast te stellen of maatregelen van interne controle niet alleen waren verankerd in de toepassingsprogrammatuur doch ook in de onderliggende besturingsprogrammatuur.
Een onderzoeksmethodiek Aanpak Systeembeoordeling en Accountantscontrole werd reeds vroegtijdig in Nederland ontwikkeld en naar aanleiding van frequent gebruik geactualiseerd. Later – in 1998 – werd deze methodiek opgevolgd door de internationaal geadopteerde Business Process Analysis (BPA) methode.
Wat niet onvermeld mag blijven is de snelle toename van het elektronisch betalingsverkeer en het in kaart brengen van de consequenties voor de beheersbaarheid ten gevolge van deze nieuwe technologische ontwikkelingen, alsmede de discussie over het gebruik van encryptie en de eventuele gevolgen van regulering met wetgeving.
Eveneens werd de kwaliteit van de systeemontwikkelingsorganisatie object van onderzoek. Er vond een steeds verdergaande integratie van applicatietoepassingen plaats, wat leidde tot Enterprise Resource Planning (ERP)-systemen. Ter verbetering van de beheersing van ERP-projecten werden Quality Assurancemaatregelen geïntroduceerd. In de literatuur werden zowel onderbelichte beheersaspecten bij ERP-implementaties als de complexiteit van het definiëren en implementeren van de autorisaties aan de orde gesteld.
Ook E-business begon aan een opmars. Elektronisch betalen via internet werd min of meer vanzelfsprekend, e-mailconventies werden ontwikkeld. Van belang voor IT-auditors werd het beoordelen van kritieke infrastructurele beveiligingscomponenten, zoals een Public Key Infrastructure (PKI), waartoe een nieuw nationaal normenkader en auditaanpak werden uitgewerkt. Het KPMG PKI-normenkader is later internationaal geadopteerd in de WebTrust-standaard. Bovenal richtte KPMG zich op het beoordelen van risicomanagement en een E-businessomgeving.
Informatiebeveiligingsbeleid
Gegevensbeveiliging heeft vanaf het begin van de automatisering van de gegevensverwerking in de aandacht gestaan. Al vanaf 1980 werden de onderwerpen organisatorische beveiliging, logische beveiliging en fysieke beveiliging, alsmede back up, restart en recovery en uitwijkmogelijkheden in samenhang bezien. Aan hogeronderwijsinstellingen werd vanaf eind jaren tachtig ook meer aandacht besteed aan informatiebeveiliging (zie ook figuur 1).
In de jaren 1990-1991 werd informatiebeveiligingsbeleid als fundament op de kaart gezet. Vele auteurs van KPMG-huize delen vanaf die periode hun kennis en ervaring hierover in vrijwel alle jaargangen van Compact.
Figuur 1. College over informatiebeveiliging (Dries Neisingh aan de Rijksuniversiteit Groningen). [Klik op de afbeelding voor een grotere afbeelding]
Artificial Intelligence en Knowledge-Based Systems
In het begin van de tachtiger jaren werd binnen KPMG reeds onderzoek ingesteld naar de mogelijkheden van het gebruik van Artificial Intelligence (AI) in de accountantscontrole. In 1985 werd via het Compact-artikel ‘Knowledge-Based Systems (KBS): een stap vooruit in de beheersbaarheid van administratieve processen’ de ontwikkelingen van AI nader geïntroduceerd, waarbij werd ingegaan op de eerste praktische toepassingen. De KBS-programmatuur bevat in principe geen leesbare kennis, maar uitsluitend algoritmen die op grond van extern opgeslagen kennis (in de rule-base) processen kan uitvoeren.
In de jaren erna waren er nieuwe ontwikkelingen, zoals blijkt uit publicaties inzake Structured Knowledge Engineering (SKE), ontwikkeld door Bolesian Systems. In de KPMG-organisatie werd mede naar aanleiding van voorgaande gepubliceerd over controleprogrammatuur, cijferanalyse en over testen als controletechniek.
Microcomputer in de accountantscontrole
Na de succesvolle groei van het gebruik van een computersysteem in de accountantscontrole verplaatste de aandacht zich ten dele naar het gebruik van de microcomputer in de accountantscontrolepraktijk. In 1983 werd een geautomatiseerd planningssysteem in gebruik genomen. Vervolgens werden demonstraties gehouden met een auditpakket waarmee bestandsonderzoeken konden worden uitgevoerd.
Er werd uitgebreid gepubliceerd over de in gebruik zijnde microcomputers bij auditcliënten zelf als hulpmiddel bij de bestuurlijke informatievoorziening en die in gebruik bij de accountant als controlegereedschap. De micro werd dan zowel stand-alone doch ook als onderdeel van een netwerk gebruikt.
In de KPMG-organisatie werden twee projecten gestart: het ene richtte zich op het ontwikkelen van programmatuur voor de verbinding van de computerinstallatie van de auditcliënt met de micro van de accountant en het andere op het ontwikkelen van controleprogramma’s voor verwerking op de micro van de accountant. Op de afdeling Software Engineering van KPMG werd onderzoek gedaan naar software engineering, besturingssystemen (onder andere UNIX), computervirussen, elektronisch betalen en de betaalpas (smartcard).
Uitbesteding van IT
Schaalgrootte van de organisatie en/of financiële draagkracht betekent soms dat de geautomatiseerde gegevensverwerking wordt uitbesteed aan IT-serviceorganisaties, waarbij veelal wordt gebruikgemaakt van op de markt beschikbare standaardpakketten. Vooral in de jaren negentig en begin deze eeuw nam IT-uitbesteding een grote vlucht.
Er ontstaan ook gezamenlijk opgerichte IT-organisaties – als een shared service center. Een voorbeeld hiervan was de oprichting van zes over het land verspreide computercentra ten behoeve van de administratie van ziekenfondsen. Ieder ziekenfonds gebruikt dezelfde functionaliteit en was online/real-time verbonden met een van de regionale computercentra. KPMG was vanaf het begin van deze bijzondere samenwerking betrokken als IT-auditor voor de kwaliteitsbewaking (Quality Assurance). Oordelen werden afgegeven over de kwaliteitsaspecten van de nieuw gevormde IT-organisatie, maar ook over de goede werking in continuïteit van deze organisaties en over de geautomatiseerde rekenregels en controles van de programmatuur. Immers, de ziekenfondsen zelf voerden de gebruikerscontroles uit.
NIVRA-geschrift 26, Mededelingen door de accountant met betrekking tot de betrouwbaarheid en continuïteit van de geautomatiseerde gegevensverwerking, besteedde aandacht aan deze problematiek. Later werd Geschrift 53 gepubliceerd, Kwaliteitsoordelen over informatievoorziening. In de praktijk werd gesproken over Third Party Mededelingen (TPM).
IT-gerelateerde wet- en regelgeving
Keuring en certificering van IT
Vanaf begin jaren tachtig komt het onderwerp keuring en certificering van IT met grote regelmaat op de agenda. Gewerkt werd aan de oprichting van de Stichting Instituut ter bevordering van de keuring en Certificatie in de Informatie Technologie (ICIT). Het Nederlands Normalisatie Instituut (NNI, tegenwoordig het NEN) is dan reeds bezig tot een kwaliteitssysteem voor programmatuur te komen.
In de KPMG-organisatie werd veel aandacht besteed aan de mogelijkheden oordelen te geven over een kwaliteitssysteem voor programmatuur, doch eveneens voor de certificering van software en ontwikkelingssystemen. Onder meer in Compact werd veel gepubliceerd over de onderhavige onderwerpen.
Uiteindelijk werd de Stichting KPMG Certification opgericht. In januari 1998 werd officieel de oorkonde ‘Accreditatie van BS 7799 Certificatie’ ontvangen, aangezien eind 1997 aan ICS (International Card Services, tegenwoordig onderdeel van ABN AMRO) het eerste Nederlandse certificaat voor deze internationale informatiebeveiligingsstandaard was uitgereikt.
In november 2002 volgde de eerste Nederlandse accreditatie van KPMG Certification en de eerste certificering van PinkRoccade Megaplex (tegenwoordig onderdeel van KPN) voor het TTP.nl-schema ‘Framework for certification of Certification Authorities against ETSI TS 101456’. Dit betreft de dienstverlening op het gebied van digitale certificaten voor het gebruikmaken van digitale ID’s en handtekeningen. Heden ten dage is dit vergelijkbaar met eIDAS-certificering.
Memorandum DNB
Het Memorandum ‘Betrouwbaarheid en continuïteit van de geautomatiseerde gegevensverwerking in het bankwezen’, gepubliceerd door De Nederlandsche Bank (DNB) in 1988, was op zichzelf geen openbaring. Reeds vanaf de oprichting van KPMG’s IT-auditafdeling werden gespecialiseerde IT-accountants/-auditors ingezet in de accountantscontrolepraktijk van financiële instellingen voor de beoordeling van de getroffen maatregelen van interne controle in belangrijke toepassingsprogrammatuur, alsmede met betrekking tot de maatregelen in de IT-organisatie.
Uit verschillende uitgaven van Compact kan worden afgeleid dat de betrokkenheid van KPMG diepgaand en divers was. Een kritische beschouwing van het Memorandum werd uitgesproken tijdens mijn oratie aan de Rijksuniversiteit Groningen in 1991 onder de titel ‘Er zijn banken en banken’.
Niet onvermeld mag blijven dat in april 2001 door DNB de Regeling Organisatie en Beheer (ROB) werd gepresenteerd, waarin eerdere memoranda zoals ook inzake uitbesteding van de geautomatiseerde gegevensverwerking waren verwerkt.
Computercriminaliteit
Reeds vanaf 1975/1976 verschijnen met steeds grotere regelmaat publicaties onder de noemer ‘Computer Abuse’. Deze werden vervolgens beschreven in Compact. Het onderwerp blijft tot op heden actueel.
In november 1985 werd door de minister van Justitie de commissie Informatietechniek en Strafrecht onder voorzitterschap van prof. mr. H. Franken geïnstalleerd. KPMG verkreeg de opdracht van de commissie een landelijke enquête uit te zetten onder bedrijfsleven en overheid om (anoniem) inzicht te verkrijgen in de kwaliteit en toereikendheid van getroffen maatregelen van interne controle en van beveiligingsmaatregelen in automatiseringsorganisaties.
In de rapportage die verschijnt in 1987 werd een weinig geruststellend beeld geschetst van de kwaliteit en effectiviteit van getroffen maatregelen, zowel in kleine als in grote IT-omgevingen.
De conclusie van de commissie was derhalve (alles overwegende) met inachtneming van de gepresenteerde bevindingen strafbaarstelling van computercriminaliteit van toepassing te laten zijn indien er sprake zou zijn van ‘inbreuken in een beveiligd werk’.
Privacy
De totstandkoming van wetgeving inzake privacy (de bescherming van de persoonlijke levenssfeer) kent een lange geschiedenis. Eind 1979 werd het publieke domein geïnformeerd in een voorlichtingssymposium ‘Informatie en informatisering’. Het was een symposium over de op handen zijnde nationale en internationale wetgeving inzake gegevensbeveiliging, privacybescherming en internationaal informatietransport.
Aansluitend werd Compact als medium gebruikt om medewerkers en in het bijzonder cliënten en relaties te informeren over de ontwikkelingen. In samenwerking met de Registratiekamer (later: College Bescherming Persoonsgegevens en thans Autoriteit Persoonsgegevens) werd in 1988 de ‘Nieuwe brochure over privacybescherming’ door KPMG uitgebracht naar aanleiding van de inwerkingtreding van de Wet Persoonsregistraties (Wpr). Vooral vanaf 1991 zagen veel publicaties over privacy het licht, waarvan veel KPMG-medewerkers auteur waren. Ook heeft KPMG samen met deze privacy-toezichthouder de eerste formele privacy-audit in Nederland uitgevoerd.
In 2001 verving de Wet bescherming persoonsgegevens (Wbp) de Wpr vanwege de eerste Europese privacyrichtlijn (95/46/EC). Toen werd ook een geactualiseerd Privacy Audit Raamwerk geïntroduceerd door een samenwerkingsverband van de privacytoezichthouder met vertegenwoordigers vanuit enkele publieke en private IT-auditpraktijken, waaronder KPMG.
Van belang was onder andere een in Compact 2002/4 gepubliceerd interview met de voorzitter van het College met als titel ‘Accountant logische uitvoerder privacyaudits. College Bescherming Persoonsgegevens stuurt aan op certificering‘.
Transborder data flow
Reeds in 1984 werd een onderzoek uitgevoerd naar de aard en omvang van grensoverschrijdend gegevensverkeer en in het bijzonder de problematiek en wetgeving in verschillende landen.
In 1987 bracht KPMG een boek uit onder de titel Transborder flow of personal data. A survey of some legal restrictions on the free flow of data across national borders. Het document bevat gedetailleerde beschrijvingen per land van de nationale wetgeving, van Australië tot en met Zwitserland, en van de OECD Guideline. Ook werd ingegaan op de juridische aspecten van de internationale uitwisseling van (persoons)gegevens, de noodzaak voor privacyprincipes en de samenloop van nationale en internationale gegevensbescherming voor private organisaties. Het boek was het resultaat van een samenwerking van KPMG met de Vrije Universiteit Brussel.
Encryptie
Het gebruik van encryptie nam mede ten gevolge van de introductie van (internationaal) betalingsverkeer snel toe. Andere toepassingen van encryptie vonden eveneens plaats, bijvoorbeeld in verband met externe opslag van gegevensdragers. In 1984 werd door het ministerie van Justitie overwogen het gebruik van encryptie in geval van datacommunicatie aan een vergunningenstelsel te binden. De vergunningsverlening zou ook moeten gelden in geval van het gebruik van pc’s, al dan niet in een netwerk opgenomen.
Mede naar aanleiding van de uitkomsten van het door KPMG uitgevoerde ‘Bedrijfseffectenonderzoek cryptografie’ en druk vanuit het bedrijfsleven werd van enige vorm van regulering afgezien.
Juridische dienstverlening
Het kon niet uitblijven of juridische dienstverlening zou aan het aanbod van KPMG-diensten worden toegevoegd, hetgeen vanaf 1990 plaatsvond met het aantrekken van juristen. De ontwikkelingen op het juridische vlak hadden niet slechts betrekking op de hiervoor behandelde onderwerpen, doch ook op de beoordeling en advisering ter zake van onder meer contracten voor aanschaf van hardware, softwarepakketten en aanbesteding van softwareontwikkeling, alsmede escrow (het depot van broncode), geschillenbeslechting, de problematiek ten aanzien van de bewijskracht van computermateriaal en auteursrecht.
De Compact Special 1990/4 was reeds geheel gewijd aan de juridische aspecten van automatisering. De ontwikkelingen in IT en recht leidden ertoe dat in 1993 door KPMG het initiatief werd genomen een boek uit te geven onder de titel 20 over informatietechnologie en recht. Auteurs van KPMG-huize en vooraanstaande externe auteurs leverden bijdragen.
Niet onvermeld mag blijven dat een van de juristen in 1998 promoveerde op het proefschrift Met recht een TTP! Een onderzoek naar juridische modellen voor een Trusted Third Party.
De juridische problematiek heeft veel gezichten en blijft een belangrijk onderdeel van de dienstverlening van KPMG.
IT-audit en accountantscontrole
De relatie tussen IT-audit en de accountantscontrolepraktijk is in de loop der jaren verstevigd. Naarmate organisaties steeds intensiever IT in (alle) bedrijfsprocessen gingen gebruiken, werd de betekenis van de verankering van interne controle en beveiligingsmaatregelen in de IT-omgeving onontkoombaar. Het vaststellen van die verankering in continuïteit in de IT-omgeving, vereiste inzet van IT-auditdeskundigheid. De IT-audit was in beginsel ondersteunend voor de accountantscontrole, doch de invloed en betekenis van het gebruik van IT in organisaties werd zo groot dat het zich liet aanzien dat uitsluitend medewerkers met zowel een RE- als RA-kwalificatie in staat zouden zijn de controleopdracht uit te voeren.
Veel auteurs (van KPMG-huize) publiceerden toonaangevende artikelen over de problematiek. Al in 1977 werd stilgestaan bij het onderwerp door publicatie van het artikel ‘Leiding, elektronische informatieverwerking en EIV – accountant’. In 1981 wordt uitgebreid geschreven over ‘Accountant – continuïteit – automatisering en risicoanalyse’. De ‘accountancyknuppel’ werd in het hoenderhok gegooid door publicatie van een artikel in Compact 2001/3 onder de titel ‘Ongedeelde verantwoordelijkheid RA ter discussie: IT-auditor krijgt (eindelijk) erkenning‘.
Vanaf 1983 wordt met grote regelmaat gepubliceerd over accountantscontrole en ICT (Informatie- en Communicatietechnologie). In de Specials verschijnen artikelen zoals:
- 1998/3: ‘Informatie- en communicatietechnologie en accountants: een verstandshuwelijk?’
‘ICT-aspecten bij de accountantscontrole van de routinematige transactieverwerking’,
‘EDP Auditor en jaarrekeningcontrole van vergaand geautomatiseerde organisaties’. - 2000/2: ‘IRM (IT-Audit) in de strategiefase van de jaarrekeningcontrole‘;
‘Samenwerking financial auditor en EDP Auditor‘;
‘Business Proces Analysis en de jaarrekeningcontrole‘. - 2001/3: ‘De beoordeling van ICT in het kader van de jaarrekeningcontrole‘;
‘De accountant in de nieuwe economie… Inzetten op zekerheid?‘
In de Compact Special 2002/4, opnieuw gewijd aan accountantscontrole en IT en verschenen ten behoeve van het symposium ‘Nieuwe tijden voor accountants’, zijn veertien artikelen over het onderwerp opgenomen, zoals:
- ‘Accountantscontrole en informatietechnologie: ‘bij elkaar deugen ze niet en van elkaar meugen ze niet’‘ (afscheidsrede RuG);
- ‘De nieuwe accountant is een IT’er‘;
- ‘Ontwikkelingen met betrekking tot ‘in control dashboards’ en de invloed op auditing‘;
- ‘Is er een accountant in de zaal?‘
- ‘ICT en jaarrekeningcontrole: van stand-alone tot geïntegreerd‘.
Ook in recente jaren wordt op dit uitdagende onderwerp ingegaan, zoals in:
- ‘The impact of technological advancement in the audit‘ in Compact 2021/3
- ‘De impact van Robotic Process Automation op de audit‘ in Compact 2019/4
- Compact Special 2019/4 ‘Digital Auditing & Beyond‘
- Compact Special 2015/3 ‘Ontwikkelingen in de audit‘
Tevens wordt in deze Compact-uitgave in het artikel van Peter van Toledo en Herman van Gils nader ingegaan op de decennialange relatie tussen IT-audit en jaarrekeningcontrole.
Het vakgebied van IT-Audit(or) verbreed
In de loop der jaren werd duidelijk dat de invloed van de kwaliteit van de algemene maatregelen van interne controle, beveiliging en continuïteit op de mogelijkheid tot beheersing van de IT-organisatie en daarmee van de organisaties als geheel en de invloed op de accountantscontrole, van niet te onderschatten betekenis waren. Effectiviteit en efficiency van de stelsels van IT-beheersingsmaatregelen kwamen vervolgens indringend onder de aandacht.
De leiding van KPMG besloot al vanaf de jaren tachtig de dienstverlening te verbreden door naast het aantrekken van accountants met IT-deskundigheid ook (systeem)programmeurs, bestuurlijke informatiekundigen, informatica-ingenieurs en zelfs (IT-)juristen aan de organisatie te binden. Op deze wijze is een breed palet aan dienstverlening ontstaan. De KPMG-organisatie heeft ook door haar voorlopersrol binnen de sector model gestaan voor de totstandkoming van de beroepsorganisatie NOREA.
Naarmate de integratie van de ICT verder vorm kreeg, vond nog een verdere uitbreiding van kennis en daarmee van de dienstverlening in die richting plaats. Enkele medewerkers werden in de gelegenheid gesteld te promoveren tot dr. ir., respectievelijk mr. dr. en dr. RA, sommigen werden zelfs (deeltijd) hoogleraar.
De aan KPMG verbonden registeraccountants waren allen lid van het NIVRA, later NBA. Reeds eerder in dit artikel werd vermeld welke activiteiten werden ontplooid in deze organisatie ten behoeve van de accountantscontrolepraktijk. Het duurde nog geruime tijd voordat naast NIVRA een beroepsorganisatie van EDP-Auditors zou worden opgericht (1992). De toelatingseis voor lidmaatschap van de organisatie NOREA (Nederlandse Orde van Register EDP-Auditors) werd een afgeronde EDP-auditopleiding aan een drietal universiteiten. Uiteraard gold er een overgangsregeling voor hen die bewezen kennis, deskundigheid en ervaring hadden. Net als bij NIVRA werd ook bij NOREA een Raad van Tucht ingesteld.
Binnen het NIVRA bestond veel belangstelling voor de ontwikkeling van IT en de consequenties voor de accountantscontrole. Echter de deskundigheid voor wat betreft IT zat aanvankelijk in het bijzonder bij het Nederlands Genootschap voor Informatica (NGI1), waarin KPMG een belangrijke rol vervulde in verschillende werkgroepen, zoals Beveiligingsbeleidsplan en risicoanalyse, Fysieke beveiliging en uitwijk, Beveiliging met behulp van applicatieprogrammatuur, Architectuur, Privacybescherming en EDP-Audit.
Universitaire opleidingen
Een vooraanstaande IT-auditpartij als KPMG heeft als missie mede een stimulans te geven aan onderzoek en onderwijs op het vakgebied. In de loop der jaren heeft KPMG derhalve ook een belangrijke bijdrage geleverd aan het universitair onderwijs op het gebied van zowel EDP-auditing als waar het gaat om de invloed van het gebruik van ICT op de beheersing van organisaties en op de accountantscontrole.
Het betekende het opbouwen van een academisch EDP-auditprogramma en het inrichten van nieuwe leerstoelen op het gebied van accountantscontrole en administratieve organisaties.
- In 1977 vond reeds de benoeming plaats aan de Erasmus Universiteit van D. (Dick) Steeman, die het ambt van buitengewoon hoogleraar aanvaardde met het uitspreken van de openbare les ‘Leiding, Elektronische informatieverwerking en EIV-accountant’.
- In 1990 vond de benoeming tot hoogleraar plaats van A.W. (Dries) Neisingh aan de Rijksuniversiteit Groningen, vakgroep Accountancy, leerstoel ‘Betrouwbaarheidsaspecten geautomatiseerde informatiesystemen’. Het onderwerp van de oratie was ‘Het Memorandum omtrent de betrouwbaarheid en continuïteit van geautomatiseerde gegevensverwerking in het bankwezen (Memorandum DNB): Er zijn banken en banken’.
- Begin 1991 volgden de benoemingen tot hoogleraar EDP Auditing aan de Erasmus Universiteit van H.C. (Cor) Kocks en aan de Tilburg University van H.B. (Hans) Moonen. Beide zijn helaas overleden.
- In 1994 trad prof. dr. ir. R. (Ronald) Paans toe tot KPMG. Hij was reeds hoogleraar EDP Auditing aan de Vrije Universiteit.
- In 2002 werd dr. ir. E.E.O. (Edo) Roos Lindgreen benoemd hoogleraar IT in Auditing aan de Universiteit van Amsterdam. In 2017 is hij benoemd tot hoogleraar Data Science in Auditing.
- Dr. ir. R. (Rob) Fijneman werd in 2004 hoogleraar IT-auditing aan de Tilburg University (TIAS School for Business and Society).
Zie figuur 2 met de toenmalige leiding van KPMG’s IT-auditpraktijk met aantal van bovengenoemde personen.
Figuur 2. Leiding van KPMG’s IT-auditpraktijk bij afscheid van Han Urbanus (in 1986). V.l.n.r. Dick Steeman, Dries Neisingh, Hans Moonen, Tony Leach, Han Urbanus en zijn vrouw, Jaap Hekkelman (voorzitter NGI Beveiliging), Cor Kocks en Herman Roos. Han Urbanus en Dick Steeman hebben samen KPMG EDP Auditors opgericht en de Compact gestart. [Klik op de afbeelding voor een grotere afbeelding]
Compact
De introductie van het tijdschrift Compact in april 1974 was een belangrijk initiatief van de leiding van KPMG. De bedoeling was een interne publicatie over IT-onderwerpen op regelmatige basis uit te geven. De standaardindeling werd: primair een of enkele vaktechnische publicaties, IT-ontwikkelingen, ABC Nieuws (Automatisering, Beveiliging en Controle), nieuwe boeken en artikelen opgenomen in de bibliotheek en tot slot ‘lezers reageren’. Voor ABC Nieuws werd in de eerste jaren ook regelmatig geput uit het tijdschrift EDPACS2 en andere internationale publicaties.
Het eerste nummer startte met het artikel ‘De organisatie van het testen in relatie tot de gebruiker’ en verder een beschouwend artikel over het onderwerp ‘Programmatuur ten behoeve van de accountantscontrole: een evaluatie’. In de tweede editie was het vervolg op het eerste artikel met onder meer onderwerpen als testmonitoring, acceptatietesten en systeemimplementatie opgenomen.
In de loop der jaren wordt Compact in steeds bredere kring verspreid: cliënten en potentiële cliënten blijken zeer tevreden over de kwaliteit van de artikelen en de variëteit van de onderwerpen. Compact ontwikkelde zich tot een professioneel vaktechnisch tijdschrift! De auteurs: werkzaam bij KPMG met af en toe bijdragen van externe auteurs.
Vanaf 1983 werd met grote regelmaat gepubliceerd over Accountantscontrole en ICT. In Compact Specials geeft de redactie de bedoeling weer van zo’n speciaal nummer: ‘Zoals te doen gebruikelijk verschijnt ieder jaar een Special over de accountantscontrole en ICT-audit. Het is inmiddels een goede gewoonte geworden RA’s, RE’s en RE RA’s na afronding van de jaarrekeningcontroles en na de schoning van dossiers voorafgaand aan de inrichting van de dossiers voor het nieuwe jaar te confronteren met de veelal noodzakelijke inzet van EDP-auditors in de jaarrekeningcontrolepraktijk.’
Ter gelegenheid van 12,5 jaar Compact, tijdschrift over Automatisering & Controle, werd in 1986 het boek 24 over EDP-Auditing uitgebracht. Het boek bevatte een bundel van 27 geactualiseerde artikelen uit Compact, geschreven door 24 auteurs. Het voorwoord begon met een citaat van Benjamin Disraeli: ‘De beste manier om met een onderwerp vertrouwd te raken is er een boek over schrijven.’
Steeds vaker werden themanummers uitgebracht. Zo verscheen in 1989 een Special over beveiliging en in 1990 over de betekenis van EDP-auditing voor de controlerend accountant. Aan deze Special leverden ook vijf externe auteurs uit het bedrijfsleven bijdragen, alsmede een officier van justitie en prof. mr. H. Franken.
Een willekeurige opsomming van themanummers laat de diversiteit van onderwerpen zien:
- ICT-aspecten bij due diligence-onderzoeken (99/4);
- Tools (99/5);
- De zachte kant van IT-audit (99/6);
- Actualiteiten (00/1);
- Accountantscontrole (00/2);
- Beheersaspecten van informatietechnologie (00/3).
In de aanloop naar de 21e eeuw werd het voor veel organisaties en in het bijzonder de IT-branche doch ook voor EDP-auditors al snel duidelijk dat er zeker problemen zouden ontstaan bij de verwerking van gegevens door toepassingsprogrammatuur ten gevolge van de millenniumwisseling. KPMG onderkende dat de problematiek proactief moest worden benaderd. Compact werd een belangrijk medium om intern en extern de problematiek onder de aandacht te brengen. In Compact 2000/1 werd teruggeblikt op de actualiteit met het artikel ‘Over de drempel van het jaar 2000, het millenniumprobleem voorbij?‘.
De jubileumuitgave 25 jaar Compact verscheen in 1999. Van de 57 auteurs werkten er vijftig in diverse functies bij KPMG en verder leverden zeven externe auteurs (waarvan enkele oud-werknemers) een bijdrage. Het was een huzarenstuk: een publicatie van 336 pagina’s met 44 artikelen. Het inleidende artikel luidt ‘Van automatisering en controle tot IT-audit‘. In het artikel ‘Noodzakelijke assurance over IT‘ werd in grote lijnen door de clusters van artikelen heengelopen.
Nauwelijks bekomen van de millenniumproblematiek diende de introductie van de euro zich aan. In Compact 2000/1 werd aandacht besteed aan de introductie van de euro onder de titel ‘En dan nu (weer) tijd voor de euro‘. De Compact-edities 2000/5 en 2000/6 werden geheel gewijd aan alle aspecten van de conversie naar de euro. Artikelen werden gepubliceerd onder de kop: ‘Euroconversie: goede voorbereiding is het halve werk‘ en ‘Stap voor stap de euro invoeren: het opstellen van een draaiboek voor de overgang‘. Verder: ‘Het controleren van de euroconversie‘, ‘Euronoodscenario’s‘ en ‘Review van europrojecten‘.
Conclusie
In de dertig jaren waarop in dit artikel wordt teruggekeken is veel gebeurd op het gebied van de ontwikkeling en toepassing van IT in het bedrijfsleven en bij de overheid. Voor controlerend accountants was het niet eenvoudig in deze snel veranderende omgeving te opereren. Opleidingen waren niet beschikbaar en kennis was slechts mondjesmaat binnen of buiten de organisatie aanwezig.
KPMG heeft het voortouw genomen met het toegankelijk maken van de problematiek voor accountants door oprichting van een EDP-auditafdeling en het gelijktijdig starten met het uitgeven van Compact. Daarvoor zijn naast accountants ook IT’ers geworven. Het is dan ook te danken aan velen, de initiatiefnemers en de opvolgende generaties, dat met de start van KPMG EDP Auditors en de verbreding van de kennisgebieden de markt adequaat kon worden bediend. KPMG heeft tijdig gefaciliteerd dat tijd en geld konden worden besteed aan opleiding en productontwikkeling. Hierdoor kon KPMG EDP Auditors voorop blijven lopen in de markt.
De dertig jaren (1971-2002) zijn voorbij gevlogen. Een periode waaraan velen hebben bijgedragen en met voldoening kunnen omzien. En dat geldt bovenal voor de auteur van dit artikel die een eerder document van een kleine zestig pagina’s heeft samengevat.
Noten
- Huidige KNVI, de Koninklijke Nederlandse Vereniging van Informatieprofessionals.
- EDPACS werd uitgegeven door EDPAA (EDP Audit Association). Momenteel heet dit tijdschrift ISACA Journal en wordt uitgegeven door ISACA, de International Security Audit Controls Association.