Henk Bronts gaf vanaf 1991 leiding aan KPMG Information Risk Management (IRM) en was daarvoor sinds 1970 verbonden aan KPMG Accountants. Afgelopen december ging hij met pensioen. Hij blikt terug op zijn carrière en de vakinhoudelijke ontwikkelingen die hij tijdens zijn loopbaan heeft meegemaakt. En hij kijkt vooruit: ‘Ik voorzie een nieuwe bloeiperiode voor de IT-auditor en voor KPMG IRM in het bijzonder.’
‘Ik ben min of meer bij toeval in deze branche terechtgekomen. Mijn eerste baantje was op de boekhoudafdeling van een dassenfabriek. Daarna ging ik naar de afdeling Huizenbezit van de gemeente Amsterdam waar ik in de gaten hield of bewoners hun huur wel op tijd betaalden. Een conflict met mijn toenmalige chef gaf misschien wel het zetje dat ik nodig had. Deze man kwam stelselmatig te laat. Ik waagde het mij één keer te verslapen en kreeg prompt een geweldige uitbrander van hem. Toen besloot ik aan mijn carrière te gaan werken. Ik heb het staatsexamen HBS-B gedaan en ging vervolgens in 1965 economie studeren aan de toenmalige Gemeente Universiteit Amsterdam.
Siddering
Ik koos voor deze studie, omdat ik dan nog alle kanten op kon met een vervolgstap. Dit werd uiteindelijk de postdoctorale opleiding accountancy. Ook dit was min of meer een toevallige keus. Ik had colleges gevolgd bij professor Starreveld. Zijn colleges waren inspirerend, maar bovenal was het een aardige man en ik wist dat hij bij Klynveld, Kraaijenhof & Co werkte, één van de voorgangers van KPMG. Ik ging op bezoek bij dat kantoor en ik ben er in dienst getreden. Van accountancy had ik eigenlijk nauwelijks een beeld. Het enige was dat ik als boekhouder bij de dassenfabriek had gemerkt dat er een siddering door het bedrijf ging als de accountant langskwam. Accountants waren strenge cijfercontroleurs waar je ontzag voor had.
Boardroom-consultant
Overigens wilde ik helemaal geen accountant worden. Organisatieadviseur leek mij veel boeiender en zo ben ik ook begonnen. Mij leek het veel interessanter om de leiding van organisaties te adviseren. Ik was net afgestudeerd en zag in mijzelf geheel ten onrechte al direct een boardroom-consultant. Maar al vrij snel kwam ik erachter dat je bij een accountantskantoor met een vrij kleine consultancyafdeling er goed aan deed om je eerst eens goed te ontwikkelen in het accountancyvak. Het hele kantoor draaide om de accountants. Van de organisatieadviseurs werd verwacht dat zij heel goed wisten wat die accountants precies deden. Bovendien moest ik die postdoctorale opleiding accountancy afronden. Een belangrijk vak daarvan was controleleer. Daarom was ik eigenlijk wel genoodzaakt de overstap te maken naar de controlesector. Ik begon als hoofdassistent, werd vervolgens eerste assistent en was vanaf eind 1972 officieel registeraccountant. Nadat ik een paar jaar als accountant-medewerker had gewerkt, werd ik in 1980 uitgenodigd om tot de maatschap toe te treden. Dat ging anders dan nu. Tegenwoordig wordt er gewerkt met uitgebreide beoordelingssystemen en als kandidaat-partner word je ruim van tevoren op de hoogte gebracht van het feit je ‘gespot’ bent. Toen zat je tussen kerst en oud & nieuw in spanning bij de brievenbus, want wellicht kreeg je een briefje van de maatschap waarin werd gemeld dat je te zijner tijd zou worden uitgenodigd om partner te worden. Als je niet in de prijzen gevallen was, was je oud & nieuw bedorven en moest je nog een jaartje wachten. Of langer.
Leo Epskamp
‘IRM is nu een leidende discipline binnen KPMG’
‘Onder leiding van Henk heeft IRM een ontwikkeling doorgemaakt van puur ondersteunende dienst tot een leidende discipline binnen KPMG. De samenwerking met de IT-auditors was van beide kanten even wennen: in het begin móesten we vooral met elkaar samenwerken. Maar dat is allang niet meer zo: nu wíllen wij als accountants dat ook echt. Dat is zeker voor een groot deel de verdienste van Henk. Hij heeft zich altijd keihard ingezet om anderen het besef bij te brengen dat IT-auditing een specialisme is waar niemand omheen kan. Tegenwoordig is het binnen KPMG simpelweg onmogelijk om de jaarrekeningcontrole bij grote cliënten uit te voeren zonder gebruik te maken van de expertise van de IT-auditor. Neem systemen als SAP en Hyperion: essentiële managementinformatiesystemen die binnen de reikwijdte van de audit moeten worden beoordeeld. De IT-auditors van IRM hebben daarvoor de specifieke expertise in huis.
Toen Henk bij IRM begon, bestond de functie CIO aan klantzijde nog niet. Deze functie is inmiddels gemeengoed. Het illustreert de enorme ontwikkeling die IT heeft doorgemaakt. Henk voorzag deze en maakte binnen KPMG de rol van IT in de audit tot wat deze behoort te zijn. Het succes van IRM beschouw ik dan ook voor een groot deel als het succes van Henk. Mede dankzij hem krijgt de IT-auditor nu de waardering die hij verdient.’
Spannend
Mijn interesse voor het vak IT-audit – dat toen nog niet zo heette – ontstond vrij snel nadat ik de overstap had gemaakt naar de controlesector. Mij werd direct gevraagd of ik belangstelling had om cursussen te volgen op het gebied van automatisering en controle. De accountants die zich daarmee bezighielden, heetten destijds AC-accountants. Waarbij de A stond voor automatisering en de C voor controle. Over het algemeen waren dat jonge accountants die zich hadden gespecialiseerd in de controle van administratieve automatiseringssystemen van klanten, zoals factureerprocessen en boekhoudsystemen. Dit soort processen werd geleidelijk geautomatiseerd en de accountant die daarmee werd geconfronteerd, moest begrijpen hoe deze processen werkten. Ik had toen al wel in de gaten dat wij aan het begin stonden van een belangrijke ontwikkeling. Het was spannend om daarbij te zijn. Automatisering was nieuw: grote computers die in zalen stonden opgesteld bij bedrijven. Wij mochten onze auditprogramma’s loslaten op de bestanden van de klant die op deze computers draaiden, maar dan moest de klant niet meer met automatisering bezig zijn, want je mocht in het begin maar één ding tegelijk doen op die grote machines. Dus ‘s avonds of ‘s nachts mochten we dan gebruikmaken van de computer van de klant om zijn bestanden te onderzoeken met onze programmatuur.
Specialistenwerk
De situatie dat de accountant met zijn auditsoftware de computerbestanden van de klant onderzocht, heeft wel een aantal jaren bestaan, maar het ging over op iets anders. Iedere onderneming had haar eigen programma’s – standaardpakketten bestonden toen nog niet of nauwelijks – en wij speelden daarop in met specifieke programma’s voor die klanten. Dat was specialistenwerk. De afdeling Software & Programming had op een gegeven moment zo’n twintig tot dertig programmeurs in dienst. Dat liep door tot in de jaren tachtig. Maar ik was toen volledig uit beeld als AC-accountant. Eind 1979 ben ik naar Spanje gegaan voor KPMG en ik kwam pas eind 1984 terug. Automatisering werd voor mij in Spanje een ver-van-mijn-bed-show. Ik controleerde daar de dochterondernemingen van Nederlandse bedrijven. En in Spanje liep het accountantsberoep toch wel achter; wij deden er eigenlijk niets met automatisering. Het meest geavanceerde waarover ons kantoor beschikte, was een bolletjesschrijfmachine en een telex.
Gert van Essen
‘Niets ontsnapte aan zijn aandacht’
‘Als een onderwerp eenmaal zijn aandacht had, ontsnapte geen enkel detail hem. Hij regeerde op basis van een enorme ervaring. En was een prima liaison naar de accountantswereld. Henk was streng en dwong respect af. Hij nam nooit een blad voor zijn mond, was wars van politiek en zei waar het op stond. En is volgens mij recordhouder ‘memo’s aan medewerkers versturen’.
Zijn hart lag bij ‘zijn’ IRM-club. Overal verdedigde hij IRM met verve. Ook in directievergaderingen liet hij geen kans onbenut om een IRM-spot te laten horen.
Henk Bronts, die ik nu toch al zo’n dertig jaar ken, heeft een dijk van een fundament gebouwd voor de IT-auditors. Internationaal staan Henk én IRM binnen KPMG hoog aangeschreven. Terecht. Het Nederlandse IRM is de grootste en de beste.
Het fundament dat Henk legde, zal de komende tijd van onschatbare waarde zijn voor KPMG. Want de automatiseringsslagen gaan door. Er zullen – zoals Henk het altijd zei – wel weer ‘moeilijke marktomstandigheden’ komen. Maar IRM staat als een huis. Henk kan dus met een gerust hart vertrekken. Een nieuwe generatie popelt om het van Henk, met zijn geheel eigen stijl, over te nemen. Met hún eigen stijl.’
Apart beroep
De ontwikkelingen in IT Auditing waren tijdens mijn verblijf in Spanje niet heel snel gegaan, want veel tendensen die ik in 1985 waarnam, waren er ook al in 1979. Wat wel belangrijker was geworden was dat accountants in het kader van de jaarrekeningcontrole de geautomatiseerde systemen van klanten beoordeelden. Dat was één. En het andere was dat zij rekencentra van klanten onderzochten. In beide gevallen toetste de accountant op betrouwbaarheid en continuïteit. Destijds werkten de gespecialiseerde accountants alleen in het kader van de jaarrekeningcontrole en dat samen met de reguliere accountant. Pas in de tweede helft van de jaren tachtig kregen zij ook zelfstandige, niet-jaarrekeninggerelateerde opdrachten op het vlak van administratieve organisatie en interne controle. Het aandeel van deze specialistische opdrachten nam in deze jaren flink toe. Die ontwikkeling vormde de eerste aanzet tot een apart beroep. In 1986 startte ook de eerste postdoctorale opleiding voor IT-auditors aan de VU.
IRM
In 1991 ben ik begonnen bij IRM en heb ik met anderen richting kunnen geven aan de ontwikkeling van de discipline. In de loop van de jaren negentig ontwikkelde het beroep zich razendsnel, analoog aan de ontwikkeling van de IT-functie binnen bedrijven. In 1992 zag de beroepsorganisatie NOREA het licht en er kwamen twee postdoctorale opleidingen bij, waardoor de RE-titel op drie universiteiten kon worden behaald. Sindsdien is het hard gegaan en nu kun je wel zeggen dat het beroep van IT-auditor volwassen is geworden. Ik vind dat wij als KPMG een belangrijke bijdrage hebben geleverd aan die ontwikkeling. We hebben meegewerkt aan de drie postdoctorale opleidingen, we zijn het kantoor waaraan de meeste hoogleraren verbonden zijn, we hebben een forse bijdrage geleverd aan de oprichting van de NOREA en we hebben meer dan andere kantoren via publicaties bijgedragen tot de inhoudelijke ontwikkeling van het beroep. En – niet onbelangrijk: we zijn voorzover ik weet tot op de dag van vandaag het enige kantoor waar IT-auditing als activiteit is ondergebracht in een apart organisatieonderdeel, los van de accountancydiscipline. Als IT-auditors van KPMG IRM kunnen wij onze eigen toekomst bepalen, vooropgezet dat we het financieel goed doen. Wij hebben altijd alle ruimte gehad om het vak inhoudelijk te ontwikkelen en nieuwe producten op de markt te brengen.
Accountant – IT-auditor
Eigenlijk kun je zeggen dat vanaf het moment dat IT-auditor een apart beroep begon te worden, er sprake is geweest van een haat-liefdeverhouding tussen de IT-auditor en de accountant. Sinds medio jaren tachtig was IT-auditing niet langer alleen het domein van gespecialiseerde accountants. Er kwamen afgestudeerde informatici bij en we werden een multidisciplinair gezelschap. Met name diegenen zonder accountancyachtergrond hadden het in het begin behoorlijk moeilijk in dit bedrijf. De accountants binnen ons onderdeel hadden tenminste nog dezelfde achtergrond als de controlerend accountants binnen KPMG en deelden hetzelfde jargon. De niet-accountants werden toch vooral beschouwd als nerds. Het was dat de accountants in het kader van de jaarrekeningcontrole niet zonder de IT-auditor konden. Maar ook van de kant van de IT-auditor verliep de samenwerking met de accountant niet altijd van harte. De samenwerking is inmiddels enorm verbeterd. Maar toch blijft het nog wel eens wringen. In de eerste plaats omdat wij elkaars taal toch niet helemaal spreken. De accountant heeft nu eenmaal minder IT-expertise, maar hij moet de IT-auditor in het kader van een jaarrekeningcontrole wél precies vertellen wat deze moet doen. Dat gebeurt niet altijd. Behalve de taalkloof vindt er ook vrijwel altijd een gevecht plaats over het budget. De accountant onderhandelt met de klant over de fee en hij zal de neiging hebben een groter deel daarvan aan pure accountancywerkzaamheden te besteden dan de IT-auditor lief is.
Audit én advies
We praten nu overigens over IT-auditor en gebruiken niet de wat verouderde term EDP-auditor. De term ‘EDP’ is volstrekt ouderwets, daar hebben wij als beroepsgroep veel te lang mee gesukkeld, zelfs toen die term allang niet meer werd gehanteerd. Toen ik in het bestuur van NOREA zat, heb ik mij met anderen stevig ingezet om het element ‘EDP’ te vervangen door ‘IT’. Dat is uiteindelijk gelukt. Maar ook met het element ‘auditor’ heb ik moeite. Ik vind deze aanduiding te beperkt. In mijn optiek bestaat ons vak al sinds de beginjaren negentig uit audit én advies. Bij de controle van een jaarrekening kan het oordeel luiden: deze voldoet aan de eisen, dus ik geef een goedkeurende verklaring af. Punt. Maar voor ons vak geldt dat een oordeel zonder advies is als een ei zonder zout. Zeker bij IT kom je als auditor altijd tot een zekere beoordeling met bijbehorende opmerkingen. Als klant ben je niet geholpen met alleen een oordeel dat zaken beter, efficiënter kunnen. Je wilt weten hóe je dat dan kunt doen. Dat is tegelijkertijd het mooie aan ons vak.
Eric van Leeuwen
‘Hij liet zich niet gek maken’
‘Het is goed dat Henks werk wordt voortgezet door een managementteam en niet door één persoon. Wie hem ook had opgevolgd, er zou altijd een vergelijking gemaakt worden. Een onmogelijke vergelijking. Want Henk is uniek. Uniek in de rust die hij uitstraalt. Uniek in zijn manier om de dingen te relativeren of tot hun essentie terug te brengen. Bij Henk had je nooit de indruk dat hij onder stress werkte. Hij liet zich niet gek maken. Misschien is het wel typerend voor Henk dat ik me geen anekdotes over hem voor de geest kan halen. Henk was redelijk voorspelbaar. In de Directie Assurance & Advisory Services (DAS) en in het overleg met het eerstelijnsmanagement wist je altijd al wat Henk zou gaan zeggen. Het zou in elk geval óók over IRM gaan en een hoog gehalte ‘IRM-promotie’ bevatten. En hij voegde er altijd wel weer nieuwe elementen aan toe. Henk is van professie accountant en is min of meer in de managementrol bij IRM ‘terechtgekomen’ zonder EDP-auditor te zijn. In de loop der jaren heeft hij zijn IRM-familie opgebouwd. Henk was de vaderfiguur. Hij is tot het laatste moment, tot zijn 62e, gebleven. Dat zegt wel iets, lang niet iedereen doet dat. Ik wens hem en zijn gezin al het goede. Ik hoop dat hij zijn ex-collega’s nog eens op komt zoeken en dat hij in goede gezondheid nog veel zal zeilen en veel andere leuke dingen zal doen.’
Stimuleren
Ik vind het moeilijk om aan te geven wat mijn belangrijkste prestaties zijn geweest. Mijn rol als voorzitter was vooral om idee-ontwikkeling te stimuleren en om de veelheid aan ideeën en initiatieven binnen IRM in goede banen te leiden. Waarbij ik mensen soms ook wel eens moest afremmen. Mijn taak was om de afweging te maken of een idee iets zou kunnen opleveren. Als ik nu terugkijk, concludeer ik dat wij als KPMG IRM altijd vooropgelopen hebben in de markt. Laat ik een poging wagen om een aantal kenmerkende aspecten uit mijn IRM-periode eruit te lichten. Allereerst heb ik mij altijd keihard ingezet om zo goed mogelijk samen te werken met de accountant in het kader van de jaarrekeningcontrole. Daarnaast heb ik mij sterk gemaakt om ons als discipline daarnaast toe te leggen op opdrachten die niet gerelateerd zijn aan de controle van de jaarrekening. Bedenk wel: dit soort opdrachten maakt tegenwoordig ongeveer tachtig procent van onze omzet uit. Bovendien is ons organisatieonderdeel in de loop der tijd drastisch veranderd. Vroeger maakten accountants met een specialisatie in automatisering hier de dienst uit. Nu vormen zij de minderheid en nemen we vrijwel alleen nog afgestudeerde informatici aan. Daarnaast nemen we in toenemende mate afgestudeerde bedrijfseconomen, bedrijfsinformatici en bedrijfskundigen aan. Wil je deze mensen een interessante baan bieden, dan kun je je niet beperken tot opdrachten die voortvloeien uit de jaarrekeningcontrole. Ik heb verder altijd het belang onderkend van productontwikkeling, zoals nu gebeurt binnen onze zogenaamde competence centers. Daar ontwikkelt het vak zich. De vier belangrijkste, als we kijken naar de omzet van de betreffende diensten, zijn op dit moment de competence centers die zich richten op Pakketten, Projecten, Informatiebeveiliging en IT Governance. Vooral dat laatste thema staat vanwege de Governance-discussie nu in het middelpunt van de belangstelling.
Bloeiperiode
Ik ben ervan overtuigd dat het vak IT-auditing aan de vooravond van een nieuwe bloeiperiode staat en dat dit zeker ook geldt voor KPMG IRM. Ten eerste omdat het er nu echt op lijkt dat de haat-liefdeverhouding tussen accountant en IT-auditor definitief verandert in een liefdesrelatie. Het is alleen jammer dat daar een reeks schandalen voor nodig was. Door de nasleep van Enron is er wereldwijd terecht veel meer aandacht ontstaan voor interne beheersing. Organisaties zijn tegenwoordig dermate afhankelijk van IT dat de accountant – deels gedwongen door regelgeving – een hernieuwde belangstelling voor IT heeft. Dit heeft geleid tot het besef dat je goed móet samenwerken. Ik voorspel dat wij toegaan naar een situatie dat verantwoordingen van bedrijven worden voorzien van een verklaring van de accountant én de IT-auditor. Daar wordt overigens al twintig jaar over gefilosofeerd, maar ik ben ervan overtuigd dat we daar nu echt naartoe gaan. Waarbij de accountant vooral let op waarderings- en winstbepalingsvraagstukken en de IT-auditor een uitspraak doet over de mate waarin de organisatie greep heeft op interne IT-processen.
Verder verwacht ik dat de échte IT-audit en -advisering in omvang blijft toenemen. Vergelijk de stand van IT met die van vijf jaar geleden en het is eigenlijk onvoorstelbaar welke ontwikkeling er is geweest. En die ontwikkeling zet door. En daarmee neemt de behoefte van bedrijven ook toe om onzekerheden die samenhangen met IT te beperken. Op het gebied van beheersing zijn we ijzersterk. Wij weten hoe je in control bent. Ik vind ook dat we nog sterker kunnen profiteren van de behoefte aan deskundigheid over IT-beveiliging in de breedste zin van het woord. En als je kijkt naar de standaardpakketten denk ik dat wij nog sterker dan nu kunnen profiteren van onze onafhankelijke status. Veel concurrenten zijn verbonden aan leveranciers van hard- en software en zijn dus niet onafhankelijk.
Joop de Rooy
‘Ik heb hem altijd jonger ingeschat’
‘Henk was veel eerder partner dan ik. Vroeger was hij typisch iemand waar ik tegenop keek, een voorbeeld. In zekere zin is hij dat gebleven. Ik heb hem – ook in de laatste twee jaar, toen hij aan mij rapporteerde – ervaren als een hele fijne vent. Hij had zijn zaakjes altijd goed op orde. Hij is zeer sterk georganiseerd.
In de tijd dat Henk begon bij het toenmalige EDP Audit stond die eenheid bekend als een club met, laat ik zeggen, veel ‘incompabilités d’humeur’. Henk heeft er een stabiele club van weten te maken. Een hecht team, waar nu veel jonge mensen werken. Stuk voor stuk prettige kerels. Nog steeds een mannencultuur, dat wel. Maar dat het Henk zijn club is, zie je terug in het type mensen dat hij heeft geselecteerd.
Ik heb Henk altijd jonger ingeschat dan hij was. Het voelde goed als je bij hem in de buurt was. Altijd dat vriendelijke gezicht, met die lach. Het was in elk geval nooit een straf om bij hem aan tafel te zitten. Of samen met hem een conferentie bij te wonen. Hij is bepaald geen nerd. Maar een levensgenieter.
Hoewel ik weinig direct met Henk heb samengewerkt, voelt zijn vertrek als een gemis. Echt jammer dat hij weg is.’
Lekker niksen
Ik ben in 1991 gevraagd bij IRM. De bedoeling was dat ik slechts voor een kortstondige periode zou blijven. Dat het dertien jaar geworden zijn, geeft aan dat anderen daar de noodzaak van inzagen. Ik kijk erop terug als één van de leukste perioden bij KPMG, omdat IT zich in die periode enorm heeft ontwikkeld. We vergeten snel, maar kijk bijvoorbeeld naar de ontwikkeling van electronic banking, anno 2005 doet bijna iedereen dat. Stel de vraag wie er weleens iets koopt op internet en vrijwel iedereen antwoordt met ‘ja’. IT is het domein van jonge, enthousiaste mensen die voortdurend zorgen voor vernieuwing. Never a dull moment was en is het credo. Ik als oude rot moest echt mijn best doen om bij te blijven. Of ik IRM en het vak blijf volgen? Ja, maar op afstand. Ik heb de boel goed overgedragen en ik heb alle vertrouwen in de jeugd die mijn taak overneemt. Ik ga niemand voor de voeten lopen en ik neem in ieder geval eerst een sabattical. Vorig jaar heb ik een grotere boot gekocht, ik krijg eindelijk tijd om die stapel boeken te lezen, kortom: ik ga even lekker niksen. En wie weet begin ik na de zomer wel een leuk zaakje met mijn vrouw. Ik wil voelen hoe het is om eens niet hard te werken en niet lange dagen te maken.’