Afstudeerscriptie

Hoe kan men als organisatie op rationele wijze een keuze maken tussen het gebruik van interne versus externe (IT)auditcapaciteit?

De interne en externe auditor binnenstebuiten gekeerd

Vrije Universiteit Amsterdam Postgraduate IT-auditopleiding Teamnr: 832 Student: Jack Schilder Begeleider: Marcel Baveco RE

- 2 -

Voorwoord Deze scriptie is het eindresultaat van een aantal maanden hard werken tussen de reguliere werkzaamheden door. Ik wil Marcel Baveco bedanken voor zijn tijd en moeite. Ruud Kerssens, bedankt voor je kritische blik op het materiaal. Daarnaast gaat speciale dank uit naar alle organisaties die hun bijdrage hebben geleverd door het invullen van het vragenformulier of door te reageren op door ons gestelde vragen via telefoon of e-mail. Op het persoonlijk vlak wil ik mijn familie bedanken voor al die keren dat ik niet hoefde te werken in de zaak maar tijd kreeg voor het onderzoek. Als laatste wil ik mijn vriendin prijzen voor haar geduld wanneer er door werkzaamheden aan de scriptie weer eens een weekend samen sneuvelde. Deze scriptie was oorspronkelijk een project van twee personen. In verband met een meningsverschil en samenwerkingsproblemen heb ik in de laatste week van maart besloten om het project zelfstandig af te ronden. Het oorspronkelijke vragenformulier is intact gelaten omdat anders de historie geweld zou worden aangedaan. Hierin wordt dus nog over 2 personen gesproken. Het hele scriptietraject heeft mij in ieder geval een aantal wijze (levens)lessen geleerd. Alleen al daarom is dit document, ondanks de enorme inspanning die het heeft gevergd, zijn gewicht in goud waard. Jack Schilder Volendam, april 2008

- 3 -

Inhoudsopgave

Voorwoord .............................................................................................................................2 Samenvatting ..........................................................................................................................4 1. Achtergrond scriptie ...........................................................................................................6

1.1 Inleiding .......................................................................................................................6 1.2 Aanleiding ....................................................................................................................6

2. Opdracht .............................................................................................................................7 2.1 Onderzoeksvraag ..........................................................................................................7 2.2 Subvragen .....................................................................................................................7 2.3 Relatie subvraag tot hoofdvraag ....................................................................................7 2.4 Doelstelling ..................................................................................................................7 2.5 Scope en afbakening .....................................................................................................8

2.5.1 Soort organisatie ....................................................................................................8 2.5.2 Werking model ......................................................................................................8 2.5.3 Type opdrachten.....................................................................................................8

3. Methode van onderzoek ......................................................................................................9 3.1 Algemeen .....................................................................................................................9 3.2 Opstellen criteria ten behoeve van gesloten vragen .......................................................9 3.3 Open vragen ............................................................................................................... 11 3.4 Te interviewen personen ............................................................................................. 11 3.5 Excelmodel ................................................................................................................. 12 3.6 Beslissingsmodel ........................................................................................................ 13

4. Afbakening van het begrip interne en externe auditor ....................................................... 14 4.1 Interne auditor, een definitie ....................................................................................... 14 4.2 Externe auditor, een definitie ...................................................................................... 14

5. Interviewresultaten en bevindingen ................................................................................... 15 5.1 Resultaten Gesloten vragen ......................................................................................... 15 5.2 Bevindingen gesloten vragen ...................................................................................... 18 5.3 Moeilijkheden in de analyse van de gesloten vragen ................................................... 18 5.4 Resultaten open vragen ............................................................................................... 19 5.5 Bevindingen open vragen ............................................................................................ 22

6 Beslissingsmodel ............................................................................................................... 23 6.1 Beslissingsboom ......................................................................................................... 23 6.2 Dynamische invullijst ................................................................................................. 25 6.3 Keuze voor model ....................................................................................................... 27

7. Conclusie .......................................................................................................................... 29 8. Persoonlijke reflectie ........................................................................................................ 31

8.1 Reflectie op eigen ervaringen ...................................................................................... 31 8.2 Reflectie op scriptie inhoud ......................................................................................... 31

Bijlage I: Vragenformulier .................................................................................................... 32

- 4 -

Samenvatting Achtergrond Volgens een persbericht van de NOREA heeft er de afgelopen jaren een verschuiving plaatsgevonden van relatief meer bij de NOREA ingeschreven externe auditors naar meer ingeschreven interne auditors. Dit riep een aantal vragen op. Bestaat er een beslissingsmodel om een rationele keus te maken voor een interne of externe auditor? Om welke redenen kiezen organisaties nu voor de inzet van interne auditors of externe auditors? En zijn die te vangen in een model? Doel Doel van het onderzoek is om te komen tot een model dat als hulpmiddel kan fungeren bij het maken van een gefundeerde keuze voor aanstellen van interne dan wel externe auditors. Ook is het van belang te weten welke criteria daadwerkelijk van belang zijn bij de keuze. Verder wordt getracht het model zodanig vorm te geven dat inzicht wordt verkregen in de voor- en nadelen per auditorcategorie bij de afweging van de respectievelijke keuzes. Op deze manier kan iemand zijn keus onderbouwen, en zichzelf de kans geven om andere opties na te gaan. Methode Om antwoord te krijgen op de vraag: “Wat zijn de overwegingen om als bedrijf externe IT-auditors in te huren dan wel voor intern opererende IT-auditors te kiezen?” is besloten tot het opstellen van een vragenformulier. Er is een lijst met vijftien keuzecriteria opgesteld. De respondent diende voor beide auditorcategorieën een waardering te geven aan de criteria. Op die manier werd het mogelijk om cijfermatig aan te geven welke criteria per auditorcategorie het hoogst scoorden. Deze uitkomsten werden gebruikt in het beslissingsmodel. Ook zijn er open vragen opgesteld om uit te vinden welke voor- en nadelen aan de beide auditorcategorieën kleven. Resultaten Er zijn meer voordelen en minder nadelen genoemd van interne auditors dan van externe auditors. De lagere kosten en betere kennis van de organisatie van een interne auditor ten opzichte van zijn externe collega worden als meest belangrijke voordelen genoemd. De belangrijkste argumenten voor het kiezen van een externe auditor zijn de specialistische kennis, onafhankelijkheid en flexibiliteit. Hogere kosten worden het vaakst genoemd als nadeel van externe auditors, gevolgd door oppervlakkige kennis van de organisatie. Vervolgens zijn er twee mogelijke beslissingsmodellen opgesteld, een stroomdiagram en een dynamische invullijst in Excel. Uiteindelijk is er gekozen voor het de invullijst. Met behulp van dit model kan men als beslisser in een organisatie een keuze maken op basis van (grotendeels) voorgedefinieerde criteria en eigen inzichten.

- 5 -

Conclusie Literatuuronderzoek heeft uitgewezen dat er geen beslissingsmodel bestaat wat aansluit bij deze specifieke onderzoeksvraag. Vandaar dat besloten is om zelf een model te maken. Op basis van het onderzoek is gebleken dat het mogelijk is om door het gebruik van een beslissingsmodel op rationele gronden te kiezen voor een interne of externe auditor. Hiermee is de hoofdvraag beantwoord. Deze was immers: ‘Hoe kan men als organisatie op rationele wijze een keuze maken tussen het gebruik van interne versus externe IT-auditcapaciteit?’

- 6 -

1. Achtergrond scriptie

1.1 Inleiding Als onderdeel van het 3e jaar voor de opleiding tot Register-EDP-auditor aan de Vrije Universiteit te Amsterdam is de scriptie een verplicht item voordat de opleiding als voltooid kan worden beschouwd. Hierbij is de doelstelling dat de onderzoekers blijk geven van het feit dat zij het stadium van “kijken” achter zich hebben gelaten en hebben verruild voor het begrip “zien”. Het ‘zien’ houdt in dat de onderzoekers in staat zijn afstand te nemen van de dagelijkse praktijk.

1.2 Aanleiding Aanleiding van het onderzoek is de publicatie van onderstaand persbericht: Meer interne auditors op gespannen arbeidsmarkt Gepubliceerd op: 13 June 2007 Publiceerder: ANP Pers Support

Uit de jaarlijkse opgave van gekwalificeerde IT-auditors, ingeschreven in het NOREA-register, blijkt wederom een toename van het aandeel IT-auditors werkzaam bij de interne auditdiensten

van met name de grotere ondernemingen. Dit gaat ten koste van het aandeel IT-auditors werkzaam bij (externe) audit- of accountancyfirma’s en -in mindere mate- van de IT-auditors

werkzaam bij non-profit instellingen als overheid, onderwijs en toezichthouders. Deze trend doet zich al sinds vier jaar voor. Het aandeel interne IT-auditors is daarmee boven de 50%

gekomen, inclusief de IT-auditors werkzaam in de non-profit sector zelfs boven de 65% (N=1282).

Een andere trend is de groei van het aandeel IT-auditors in business. IT auditors stromen door

naar managementfuncties als CIO, controllers en Security- of Technology Officer en houden zich

niet (meer) bezig met beoordelingen ten behoeve van interne of externe opdrachtgevers.1

Volgens dit bericht heeft er de afgelopen jaren een verschuiving plaatsgevonden van relatief meer bij de NOREA ingeschreven externe auditors naar meer ingeschreven interne auditors. Beide groepen hebben voorstanders die zich hard maken voor de inzet van meer interne auditors of juist meer externe auditors. Het Instituut voor Interne Auditors (IIA) vervult deze rol voor de interne auditors, grote accountantskantoren voor de externe auditors. Ook deze kantoren laten zich horen. Op de websites van de ‘Big Four’ kantoren worden legio redenen genoemd waarom juist externen de voorkeur zouden genieten boven interne auditors. Afgezien van de wettelijke verplichtingen kunnen bedrijven er dus voor kiezen om gebruik te maken van interne auditcapaciteit (in loondienst binnen de organisatie waarvoor audits worden uitgevoerd), of auditors extern in te huren. Ook een combinatie hiervan behoort tot de mogelijkheden. Wat zijn nu eigenlijk echt de verschillen? En om welke redenen kiezen organisaties nu voor de inzet van interne auditors of externe auditors. Wat zijn hun beweegredenen? En zijn die te vangen in een model?

1 Persbericht NOREA 13-06-07: Weer groter aandeel ‘interne IT auditors’ op gespannen arbeidsmarkt.

- 7 -

2. Opdracht

2.1 Onderzoeksvraag Het onderzoek zal antwoord moeten geven op de hieronder geformuleerde vraag: ‘Hoe kan men als organisatie op rationele wijze een keuze maken tussen het gebruik van interne versus externe IT-auditcapaciteit?’

2.2 Subvragen Om de hoofdvraag te kunnen beantwoorden zijn de volgende subvragen opgesteld:

1. Wat zijn de overwegingen om als bedrijf externe IT-auditors in te huren danwel voor intern opererende IT-auditors te kiezen?

2. Bestaat er een beslissingsmodel om deze keuze te maken of te onderbouwen? Zo nee, hoe zou een dergelijk model er dan uit kunnen zien?

2.3 Relatie subvraag tot hoofdvraag Om antwoord te verkrijgen op de hoofdvraag zal eerst moeten worden onderzocht welke criteria in organisaties een rol spelen voor het maken van een keuze tussen interne of externe auditors. Daarom is gekozen voor de hiervoor omschreven subvraag. Door deze vraag voor te leggen aan de daadwerkelijke beslissers kunnen de relevante beweegredenen (lees criteria) in kaart worden gebracht die de basis vormen voor de uiteindelijke (rationele) keuze. Bovendien is het van belang te weten welke overwegingen doorslaggevend zijn voor het maken van de keuze. Dat betekent dat tevens onderzoek moet zijn verricht naar het relatieve belang van de afzonderlijke criteria, die bij de keuze een rol spelen. Dit wordt mogelijk gemaakt door het toekennen van een waarde aan de criteria. Het feit dat men nadenkt bij het toekennen van een waarde aan een criterium geeft direct een rationele wending aan de uitkomsten. Men denkt immers na over wat men belangrijk vindt en kiest daardoor al rationeel. Met een eventueel beslissingsmodel willen wij de verantwoordelijken voor het inhuren van auditors een instrument geven om hun beslissing te onderbouwen.

2.4 Doelstelling Doel van het onderzoek is om te komen tot een model dat als hulpmiddel kan fungeren bij het maken van een gefundeerde keuze voor aanstellen van interne dan wel externe auditors. Ook is het van belang te weten welke criteria daadwerkelijk van belang zijn bij de keuze. Verder wordt getracht het model zodanig vorm te geven dat inzicht wordt verkregen in de voor- en nadelen per auditorcategorie bij de afweging van de respectievelijke keuzes. Op deze manier kan iemand zijn keus onderbouwen, en zichzelf de kans geven om andere opties na te gaan.

- 8 -

2.5 Scope en afbakening 2.5.1 Soort organisatie Bij het onderzoek is gekozen voor organisaties waar een interne auditdienst aanwezig is, of waar het inzetten van auditors gebruikelijk is gezien de grootte of branche waarin de organisatie zit. De kleinste organisatie had een aantal medewerkers van 350. Kleine, overzichtelijke organisaties kunnen vaak prima functioneren zonder dat er op enigerlei wijze audits worden uitgevoerd2, en doen daarom niet mee aan het onderzoek. Ook is er bewust voor gekozen om accountantskantoren buiten de scope van ons onderzoek te laten, omdat deze juist leverancier zijn van externe auditors en dit de objectiviteit van het onderzoeksresultaat (met het oog op commercieel belang) zou kunnen beïnvloeden. 2.5.2 Werking model Het onderzoek hoeft geen model op te leveren waarmee men per definitie tot een objectieve keuze kan komen. Het nemen van een beslissing op rationele gronden (zoals in de hoofdvraag gesteld) hoeft niet te betekenen dat een beslissing daardoor altijd voorspelbaar is. De definitie van rationeel is: “door middel van het verstand, doordacht”.3 De gemaakte keuze tussen een interne of externe auditor kan voor de één een onlogische keuze zijn, maar door degene die de keuze maakt, rationeel zijn beargumenteerd. Het beslissingsmodel hoeft dan ook niet een voor de hand liggende keuze als resultaat op te leveren op basis van ingegeven criteriascores, maar helpt degene bij het maken van een keuze. Met het model wordt een instrument aangereikt met behulp waarvan iemand zijn keuze kan beargumenteren en daardoor rationeel maakt. 2.5.3 Type opdrachten Bij het vergelijken van voor- en nadelen is uitgegaan van opdrachten waarbij het niet relevant is of deze wordt uitgevoerd door een interne dan wel extern ingehuurde auditor. Een volledige jaarrekeningcontrole inclusief rapportage aan derden wordt per definitie uitgevoerd door een externe auditor.

2 http://www.2bincontrol.com/nederlands/diensten/internal_audit/ 3 Van Dale Groot woordenboek van de Nederlandse taal: rationeel

- 9 -

3. Methode van onderzoek

3.1 Algemeen Om antwoord te krijgen op de vraag: “Wat zijn de overwegingen om als bedrijf externe IT-auditors in te huren dan wel voor intern opererende IT-auditors te kiezen?” is besloten tot het opstellen van een vragenformulier. Het schriftelijk beantwoorden van vragen heeft mijn inziens de voorkeur boven telefonisch contact omdat de respondent dan beter kan nadenken over zijn antwoorden. Bovendien komt dit de objectiviteit van het onderzoek ten goede. In het vragenformulier zijn meerdere vraagstellingen opgenomen:

• Open vragen • Gesloten vragen • Waarderingsvragen

Door deze laatste vraagstelling geeft de respondent zelf een waardering mee Ook is bewust voor een schriftelijke benadering gekozen, omdat de respondenten verspreid over het land zijn gevestigd. Persoonlijk benaderen zou te veel tijd hebben gevergd voor dit onderzoek. Het betreffende vragenformulier is als bijlage I toegevoegd aan deze scriptie. Dit vragenformulier was voornamelijk bedoeld om antwoord te verkrijgen op de subvraag ‘Wat zijn de overwegingen om als bedrijf externe IT-auditors in te huren dan wel voor intern opererende IT-auditors te kiezen?’

3.2 Opstellen criteria ten behoeve van gesloten vragen Door middel van een aantal brainstormsessies is een lijst samengesteld met vijftien criteria. Hieronder is mijn interpretatie van de keuzecriteria weergegeven. Deze interpretatie is opgesteld vanuit brainstormsessies met mijn voormalige medeschrijver, begeleiders en collega’s, en niet afkomstig van externe bronnen. De reden hiervoor is dat met zowel een interne als externe auditor in het schrijverduo genoeg ervaring aanwezig was om criteria te bedenken. Verder geeft een kale definitie vanuit een externe bron niet in alle gevallen de essentie van de criteria weer in relatie tot wat de respondenten zich zouden moeten voorstellen bij een criterium. De criteria moesten in ieder geval de volgende aspecten beslaan:

• De organisatie • De auditor • Het onderzoek

Het gaat hierbij om de volgende criteria:

1. Kwaliteit van het auditresultaat Het niveau (manier van onderzoek, diepgang, relevantie, kortom algehele professionaliteit) van onderzoek en rapportage.

- 10 -

2. Continuïteit van de vakkennis Mate waarin men op de hoogte blijft van de regelgeving en nieuwe ontwikkelingen. Bijvoorbeeld door het volgen van cursussen, bijwonen van vaktechnische bijeenkomsten, lezen van vakbladen, informeel overleg en feedback van collega’s.

3. Relatie van opdrachtgever tot auditor

Mate waarin de relatie tussen opdrachtgever en auditor onafhankelijk is.

4. Beleid Mate waarin keuze voor interne dan wel externe auditor al door het te voeren beleid is bepaald.

5. Beschikbaarheid

Continue of ad-hoc beschikbaarheid van de auditor.

6. Kosten Mate waarin de kosten voor de inzet van interne auditors dan wel externe auditors een rol spelen bij de keuze. Denk hierbij aan personeelskosten versus kosten van externe inhuur.

7. Kennis Mate waarin de betreffende auditor vakinhoudelijk is onderlegd.

8. Cultuur (bijv. familiebedrijf)

Het geheel van normen, waarden, opvattingen, principes en overtuigingen van de mensen, die het gedrag en het functioneren van de organisatie beïnvloeden.

9. Typologie (aard) van de organisatie Aanduiding van grondtype (soort of aard) van de organisatie.

10. Frequentie van het onderzoek Aantal keren dat het onderzoek per jaar dient te worden uitgevoerd.

11. Diepgang van het onderzoek

Mate van detaillering waarmee het auditobject wordt bekeken en waarmee gerapporteerd wordt.

12. Complexiteit van de organisatie en processen

Mate waarin de organisatiestructuur en de processen zijn te doorgronden.

13. Grootte van de organisatie Mate waarin de kosten van auditors in verhouding staan tot de kosten van personeel en de hoogte van omzet.

14. Vertrouwen op kennis van auditor

Mate waarin vertrouwen wordt gesteld in het oordeel van de auditor.

15. Confidentialiteit van het auditobject Mate waarin het te auditen object geheimhouding eist van de auditor.

- 11 -

Hoewel het type opdracht een belangrijk criterium kan zijn voor de keuze voor inzet van een externe danwel een interne auditor, dient dit onderzoek tot vergelijk van auditors in opdrachten waarbij beiden ingezet kunnen worden. Daarom is dit criterium niet meegenomen in het onderzoek.

In het vragenformulier kon aan elk van de genoemde criteria een waarde worden toegekend, tussen 1 en 15. De aan een criterium toegekende waarde impliceert tevens het relatieve belang van elk criterium bij het maken van een keuze tussen interne en externe auditors. Op die manier kon gebruik worden gemaakt van de zogenaamde ordinale verdeling. Een ordinaal getal4 geeft de positie van een element in een rij van elementen aan. Bijvoorbeeld: keuzemogelijkheden zijn 1/ 2/ 3/ 4/ 5. Hierbij is de 3 dus hoger gewaardeerd dan de 2, maar dat wil niet zeggen dat antwoord 3 exact 1/5 maal zo hoog is als antwoord 2. Door het toekennen van een waarde aan een criterium wordt dus tevens de volgorde van belangrijkheid aangegeven en daarmee de positie van het criterium (als element) in de rij van criteria.

3.3 Open vragen Naast de meerkeuzevragen zijn ook open vragen opgenomen in de vragenlijst. Hiermee kan extra verdieping en informatie verkregen worden. Hierbij is bewust gekozen voor een verdeling van voor- en nadelen per auditorsoort (intern of extern). Het gevaar voor spiegelantwoorden is in acht genomen. Een spiegelantwoord houdt in: het voordeel of nadeel van een auditorcategorie is meteen omgekeerd evenredig respectievelijk een nadeel of voordeel voor de andere auditorcategorie. Een voorbeeld: indien de onafhankelijkheid van een externe auditor als voordeel wordt gezien door persoon A, hoeft dit niet meteen te betekenen dat persoon A dit voor een interne auditor als nadeel aan zal wijzen. Daarom is per auditorcategorie gekozen voor een aparte voor- en nadelen vraag. De antwoorden op de open vragen worden niet cijfermatig gecombineerd met de antwoorden op de gesloten vragen, maar worden vooral gebruikt om de voor- en nadelen van intern en externe auditors te bepalen en eventuele nieuwe beslissingscriteria toe te voegen aan het latere beslissingsmodel

3.4 Te interviewen personen Om tot daadwerkelijke resultaten te komen zijn de juiste mensen nodig voor het beantwoorden van de vragenlijst Er is geprobeerd om mensen uit verschillende branches te contacteren. Zo onstaat een zo breed mogelijke basis voor de onderzoeksresultaten. De geschikte personen voor het invullen van de lijst zijn interne managers met beslissingsbevoegdheid voor het voeren van personeelsbeleid binnen de auditafdeling. Vanuit het eigen netwerk en door het raadplegen van kennissen en collega’s zijn is een tiental personen aangeschreven van verschillende organisaties met de vraag of men de vragenlijst wilde invullen en terugsturen. Uiteindelijk zijn er zeven ingevuld terugontvangen. De

4 http://nl.wikipedia.org/wiki/Ordinaal

- 12 -

respondenten waren werkzaam in de branches financiële dienstverlening, toezichthouder op financiële instellingen, overheid en de nutssector De personen die de vragenlijst hebben ingevuld zijn in een aantal gevallen telefonisch benaderd, zodat zij hun antwoorden nader konden toelichten in geval van onduidelijkheid, en om eventueel aanvullende informatie te verstrekken. De verkregen antwoorden zijn verwerkt in Excelsheets, om vervolgens te kunnen samenvatten en analyseren.

3.5 Excelmodel De antwoorden op de gesloten vragen worden met behulp van Excel tot overzichten verwerkt. Dit is gebeurd op basis van de criteria zoals genoemd in paragraaf 3.2. De scores op de gesloten vragen worden vanuit de formulieren overgenomen in Excel. Per criterium wordt de score van de deelnemende personen bij elkaar opgeteld en gedeeld door het aantal deelnemers. Dit levert een gemiddelde score op tussen 1 (minimum) en 5 (maximum), wat het belang van het criterium aangeeft, waarbij de 1 staat voor onbelangrijk en de 5 voor zeer belangrijk. Bij de vraag omtrent weging van factoren: “Kunt u aangeven wat de weging is van de volgende criteria (ongeacht auditorcategorie)?” dient de respondent een score van 1 t/m 15 te geven. Het criterium met score 1 is hierbij het meest belangrijk. Vervolgens wordt een gemiddelde totaalscore berekend. De scores zullen in overzichtelijke grafieken weergegeven worden, gesorteerd op score, zodat er een duidelijk overzicht ontstaat. Door deze werkwijze kunnen de antwoorden op de vragen schematisch worden weergegeven, waarbij de belangrijkste criteria verbonden aan toepassing van interne dan wel externe auditcapaciteit inzichtelijk worden gemaakt, evenals een totaalscore over de criteria zelf.

- 13 -

3.6 Beslissingsmodel De 2e subvraag die beantwoord diende te worden was: Bestaat er een beslissingsmodel om deze keuze te maken of te onderbouwen? Zo nee hoe zou een dergelijk model er dan uit kunnen zien? Literatuuronderzoek heeft uitgewezen dat er geen beslissingsmodel voor deze specifieke vraag bestaat. Er bestaat wel theorie over beslissingen nemen zelf, maar niet omtrent geijkte beslissingsmodellen. Vandaar dat besloten is om zelf een model te maken. De input voor het theoretische beslissingsmodel komt tot stand vanuit de antwoorden op de vragen aan de geïnterviewden. Het beslissingsmodel zal mogelijk in de vorm van een stroomdiagram worden weergegeven volgens het hieronder geschetste basisprincipe:

Bij het onderdeel “vraag?” wordt steeds gedoeld op het feit of een criterium voor het maken van de keuze van doorslaggevend belang is. Andere opties van modelleren zijn open gehouden. Hoofdstuk 7 gaat verder in op de uiteindelijke keuze die gemaakt is omtrent het beslissingsmodel.

Start

Vraag?

Keus voor Intern

Keus voor Extern

Ja/Nee Ja/Nee

- 14 -

4. Afbakening van het begrip interne en externe aud itor Binnen dit onderzoek wordt onderscheid tussen twee soorten auditors‘: Interne en Externe auditors. Het onderzoek betreft dus niet een soort audit, maar degene die de audit uit zal gaan voeren. Om duidelijk te maken wat binnen dit onderzoek verstaan wordt onder een interne en externe auditor worden de beide vormen hieronder kort beschreven.

4.1 Interne auditor, een definitie Het IIA Nederland heeft de definitie van Internal Auditing zoals vastgesteld door het overkoepelende Institute of Internal Auditors, als volgt vertaald: “Internal Auditing is een onafhankelijke, objectieve assurance (geven van zekerheid) en consulting (geven van advies) activiteit met de bedoeling waarde toe te voegen aan en verbetering te brengen in de operaties van een organisatie. Internal Auditing helpt een organisatie om haar doelen te verwezenlijken door een methodische, ordelijke benadering om de effectiviteit van risicomanagement, controle en beheersingsprocessen te evalueren en verbeteren.5”. In het onderzoek zien wij een interne auditor als een medewerker van een interne audit afdeling die in (vaste) loondienst werkzaamheden uitvoert bij de te auditen organisatie. Het doel hierbij is om verbeteringen aan te brengen in de operaties van een organisatie.

4.2 Externe auditor, een definitie Een door de organisatie ingehuurde auditor van een andere partij. Deze andere partij kan een zelfstandige zijn, of een accountantskantoor. De auditor is onafhankelijk van de organisatie, en heeft geen voordeel of nadeel bij het geven van een oordeel. In beide gevallen is binnen dit onderzoek dus sprake van uitvoering van interne audits met het verschil dat in geval van externe auditor, deze is ingehuurd op tijdelijke basis danwel voor de duur van een audit.

5 http://www.iia.nl/

- 15 -

5. Interviewresultaten en bevindingen Van de tien verzonden vragenlijsten zijn zeven reacties teruggekomen. Hieruit zijn de resultaten per vraag samengevat. Vervolgens is gekeken welke conclusie kon worden getrokken uit de resultaten. Hieronder zijn de interviewresultaten per vraag uitgeschreven. De onderstreepte vraagstelling met bijbehorende toelichting is gekopieerd uit het originele vragenformulier. De grafieken laten vervolgens zien wat per vraag de gemiddelde scores zijn geweest. Uiteindelijk worden er voor zowel de open vragen als de gesloten vragen een conclusie getrokken.

5.1 Resultaten Gesloten vragen In de hieronder beschreven vragen 1a en 2a werd de respondent geacht een score te geven per criteria van 1 t/m 5, waarbij de 1 ‘volledig onbelangrijk’, en de 5 als ‘zeer belangrijk’. 1a: Argumenten voor aannemen interne auditcapaciteit. Geef aan in hoeverre de volgende criteria als argument gelden bij de overweging om gebruik te maken van interne auditors:

1a) Gemiddelde score per criterium interne auditor

1,00 1,50 2,00 2,50 3,00 3,50 4,00 4,50 5,00

Cultuur (b.v. familiebedrijf)

Confidentialiteit van het audit object

Beleid

Typologie (aard) van de organisatie

Vertrouwen op kennis van auditor

Grootte van de organisatie

Relatie van opdrachtgever tot auditor

Beschikbaarheid

Diepgang van onderzoek

Continuïteit van de vakkennis

Kennis

Frequentie van onderzoek

Kwaliteit van auditresultaat

Complexiteit van de organisatie en de processen

Kosten

De antwoorden van de zeven vragenlijsten zijn bij elkaar opgeteld. Om tot een duidelijk overzicht te komen is gekozen voor een gesorteerde gemiddelde score per criterium. Let op: ivm met de ordinale verdeling kan een criterium met score 4 niet gezien worden als exact tweemaal zo belangrijk als een criterium met score 2. Het geeft slechts aan dat het een veel grotere (maar niet precies hoeveel grotere) mate van belangrijkheid heeft voor de respondent.

- 16 -

Uit de resultaten is een aantal interessante conclusies af te leiden. Er springen vijf criteria uit als zijnde echt belangrijk bij het kiezen voor een interne auditor:

1. Kosten 2. Complexiteit van de organisatie en de processen 3. Kwaliteit van het auditresultaat 4. Frequentie van onderzoek 5. Kennis

Er zijn twee criteria die als onbelangrijk worden ervaren bij het kiezen voor een interne auditor:

1. Bedrijfscultuur 2. Confidentialiteit van het auditobject

2a. Argumenten voor aannemen externe auditcapaciteit Geef aan in hoeverre de volgende steekwoorden als argument gelden bij de overweging om gebruik te maken van externe auditors.

2a) Gemiddelde score per criterium voor externe auditor

1,00 1,50 2,00 2,50 3,00 3,50 4,00 4,50 5,00

Cultuur (b.v. familiebedrijf)

Typologie (aard) van de organisatie

Confidentialiteit van het audit object

Frequentie van onderzoek

Grootte van de organisatie

Continuïteit van de vakkennis

Beleid

Diepgang van onderzoek

Complexiteit van de organisatie en de processen

Vertrouwen op kennis van auditor

Kwaliteit van auditresultaat

Relatie van opdrachtgever tot auditor

Beschikbaarheid

Kosten

Kennis

Er springt één criterium uit als zijnde echt belangrijk bij het kiezen voor een externe auditor:

1. Kennis

De daaropvolgende vier hoogstscorende criteria:

2. Kosten 3. Beschikbaarheid

- 17 -

4. Relatie van opdrachtgever tot auditor 5. Kwaliteit van het auditresultaat

Vervolgens ligt een grote groep van criteria in waardering dicht bij elkaar. Er zijn drie criteria die als onbelangrijk worden ervaren bij het kiezen voor een externe auditor:

1. Bedrijfscultuur 2. Typologie (aard) van de organisatie 3. Confidentialiteit van het auditobject

3. Weging van factoren. Kunt u aangeven wat de weging is van de volgende criteria (ongeacht welke optie voor auditor). Hierbij kunt u de cijfers 1 t/m 15 gebruiken. Het criterium waar de 1 aan wordt toegekend is het meest zwaarwegend.

3a) Ranking van criteria

Typologie (aard) van de organisatie

Cultuur (b.v. familiebedrijf)

Grootte van de organisatie

Beleid

Vertrouwen op kennis van auditor

Confidentialiteit van het audit object

Relatie van opdrachtgever tot auditor

Frequentie van onderzoek

Continuïteit van de vakkennis

Diepgang van onderzoek

Beschikbaarheid

Kosten

Complexiteit van de organisatie en de processen

Kennis

Kwaliteit van auditresultaat

totaalscore

Ook hier geldt dat de lengte van de grafiek geen betekenisvolle absolute waarde bezit. Het laat zien welke rangorde van criteria onderling aanwezig is, en wat het verloop is in de gegeven weging. De twee criteria met de hoogste ranking:

1. Kwaliteit van het auditresultaat 2. Kennis

Criteria met de laagste ranking: Criteria betreffende de te auditen organisatie worden als minst belangrijk ervaren. Het gaat hier om beleid, grootte, cultuur en typologie van de organisatie.

- 18 -

5.2 Bevindingen gesloten vragen Samengevat is het antwoord op de vraag: Wat zijn de overwegingen om als bedrijf externe IT-auditors in te huren dan wel voor intern opererende IT-auditors te kiezen? het volgende:

Externe auditor criteria Interne auditor criteria Algemeen belangrijkste criteria

1. Kennis 1. Kosten 1. Kwaliteit van auditresultaat

2. Kosten 2. Complexiteit organisatie en processen 2. Kennis

3. Beschikbaarheid 3. Kwaliteit van auditresultaat

4. Relatie opdrachtgever tot auditor 4. Frequentie van onderzoek

5. Kwaliteit van auditresultaat 5. Kennis

5.3 Moeilijkheden in de analyse van de gesloten vragen In het onderzoek is een aantal moeilijkheden ontstaan bij het analyseren van de antwoorden op de gestelde vragen. Dit komt door de manier van antwoorden van de ondervraagden:

• Voor de niet belangrijk geachte criteria geeft men helemaal geen cijfer van 1 t/m 5 Om dit probleem te ondervangen hebben wij aan de leeg gelaten criteria het cijfer 1 toegekend (na goedkeuring van de persoon die de vraag had beantwoord).

• Voor de niet belangrijk geachte criteria stopt men met het nummeren van 1 t/m 15. In het specifieke geval is slechts doorgenummerd tot 8. De motivatie hiervoor: scores geven aan criteria die toch alle als onbelangrijk gezien worden (7 stuks) zou een vertekend beeld kunnen geven. Immers, het criterium met de score 9 wordt in de uitkomst dan toch een stuk belangrijker gevonden dan het criterium met score 15. Om dit te voorkomen zijn ze helemaal niet genummerd.

Om dit probleem te ondervangen hebben wij in dit specifieke geval ervoor gekozen om van de leeg gelaten criteria het gemiddelde te berekenen en dat als score voor alle criteria in te vullen. Dit levert score 12 op: (9 +10+11+12+13+14+15) / 7.

• Men geeft meerdere keren dezelfde rangscore (van 1 t/m 15). Dus meerdere keren het cijfer 15 en 14, en een aantal keer 1 en 2. De bedoeling was dat elke score een keer werd ingevuld.

Hier kan op 3 manieren mee worden omgegaan:

• Er wordt een gemiddelde berekend over de scores die meerdere keren voorkomen • Er wordt een score ingevuld die het gemiddelde is van wat de andere deelnemers

hebben ingevuld. (op deze manier wordt de invloed van deze deelnemer verkleind) • De oorspronkelijke score blijft staan

Na vergelijk van alle uitkomsten bleek dat de antwoorden van deze specifieke persoon de volgorde van uitkomst niet zou wijzigen. Daarom is gekozen voor de laatste optie.

- 19 -

Om de resultaten in de staafdiagrammen visueel makkelijker te kunnen vergelijken is besloten om de oorspronkelijke scorevorming op vraag 3a om te vormen, zodat het criterium met de zwaarste weging als langste grafiekstaaf wordt getoond.

5.4 Resultaten open vragen In deze paragraaf zijn de resultaten van de open vragen in de interviews weergegeven. De verkregen antwoorden zijn hieronder per vraag gerubriceerd. Zie voor de context van de vragen het in bijlage I opgenomen vragenformulier. 1b. Overige argumenten voor het aannemen van interne auditcapaciteit: Geef ook aan hoe zwaar deze argumenten wegen.

Kennis van de organisatie is al verwoord in het criteria ‘kennis’. ‘Continuïteit van de auditafdeling’ kan voor de volledigheid als nieuw criterium worden toegevoegd in een beslissingsmodel. Dit criteria worden echter niet breed gedragen door de respondenten. 2b. Overige argumenten voor het aannemen van externe auditcapaciteit: Geef ook aan hoe zwaar deze argumenten wegen. In de beantwoording werden weinig nieuwe argumenten genoemd.

Het criterium ‘aankomende piekbelasting’ kan voor de volledigheid van het beslissingsmodel toegevoegd worden. Dit criterium wordt echter niet breed gedragen door de respondenten. 4.1 Wat beschouwt u als belangrijkste voor- en nadelen van het hebben van een interne auditdienst in vergelijking tot externe auditors? De meest genoemde voordelen van het hebben van een interne auditdienst in vergelijking met externe auditors zijn:

Argumenten #

• Continuïteit van groep en dus kennis • Kennis van de organisatie zelf en netwerk dat daardoor ontstaat

1 1

Argumenten #

• Piekbelasting of projecten • Ziekte, uitval, etc van eigen mensen

1 1

Voordelen #

• Diepere specifieke en continue kennis (processen en organisatie) • Lagere kosten • Betere continuïteit in de teambezetting • Goede ingangen binnen eigen organisatie

7 5 4 3

- 20 -

De genoemde nadelen van het hebben van een interne auditdienst in vergelijking met externe auditors zijn:

4.2 Wat beschouwt u als belangrijkste voor- en nadelen van externe auditors in vergelijking tot een interne auditdienst? De genoemde voordelen van het gebruik van externe auditors in vergelijking met interne auditdienst zijn:

De genoemde nadelen van het gebruik van externe auditors in vergelijking met interne auditdienst zijn:

Nadelen #

• De interne auditor is minder onafhankelijk • De lagere waarde die derden hechten aan een verklaring van een

interne auditor • Minder flexibiliteit • Heeft beperkter zicht op ontwikkelingen in buitenwereld • Opbouw eigen specifieke kennis is minder goed • Tunnelvisie • Geen nadelen

1 1 1 1 1 1 2

Voordelen #

• Meer gespecialiseerd • Onafhankelijk • Meer flexibel • Dikwijls betere persoonlijke presentatie • Bredere benchmark • Beschikking over vaktechnische tools (m.n. grotere kantoren) • De verklaring van een externe wordt door derden meer

gewaardeerd

4 3 3 1 1 1 1

Nadelen #

• Hogere kosten • Minder kennis van de organisatie • Oppervlakkige kennis en minder diepgang van specifieke

processen/problematiek • Kennis moeilijk te behouden voor eigen organisatie • Inwerktijd is langer • Aandacht wordt verdeeld over meerdere klanten • Continuïteit niet gewaarborgd waardoor herinvesteren van

nieuwelingen te vaak nodig is • Geen permanente relatie met hoger management • Meer weerstand

6 5 2 2 2 1 1 1 1

- 21 -

4.3 Als u in de regel gebruik maakt van een eigen auditdienst, komt het dan ook voor dat u de capaciteit aanvult met externe auditors? Zo ja, welke andere redenen dan onvoldoende eigen capaciteit zijn er dan? Om de onderstaande redenen wordt soms gebruik gemaakt van externe auditcapaciteit naast eigen interne auditors:

4.4 Als uw organisatie beschikt over eigen (interne) auditors, wordt er dan budget en tijd begroot voor het op peil houden van de vakkennis?

4.5 Welke activiteiten vinden plaats voor het op peil houden van de vakkennis?

Redenen #

• Specialistische kennis (Bijvoorbeeld van bepaalde systemen/applicaties, bijv. Peoplesoft, Windows, firewalls of onderwerpen)

• Voor EDP-audits worden altijd externe auditors ingezet en wordt door interne auditors ondersteund

4 1

Antwoord #

• Ja • Niet bekend

6 1

Activeiten #

• Volgen van cursussen/trainingen • Volgen van seminars • Vaktechnische bijeenkomsten • Knowledge sharing • Round tables • Participeren in commissies • Verzorgen van trainingen • Verplichte permanente educatie

5 3 3 1 1 1 1 1

- 22 -

4.6 Als uw organisatie niet over een eigen auditdienst beschikt, wordt dit dan wel overwogen en waarom (wel of niet)?

5.5 Bevindingen open vragen Er worden meer voordelen en minder nadelen genoemd van interne auditors dan van externe auditors. Dit zal deels liggen aan het feit dat het onderzoek is gedaan onder interne auditors. Indien men geen externe auditor nodig heeft op basis van het soort opdracht zal men dus kiezen voor een interne auditor. Deze keuze wordt voornamelijk gebaseerd op kosten. De lagere kosten en betere kennis van de organisatie van een interne auditor ten opzichte van zijn externe collega worden als meest belangrijke voordelen genoemd. Volgens twee respondenten hebben interne auditors helemaal geen nadelen ten opzichte van externen, de overigen houden het bij een aantal argumenten die slechts eenmaal worden genoemd en die dus niet bij iedereen leven. Over de gehele linie gezien worden de hogere kosten het vaakst genoemd als nadeel van externe auditors, gevolgd door oppervlakkige kennis van de organisatie. Meer te spreken is men over de eigenschappen specialisatie, onafhankelijkheid en flexibiliteit. Er is uiteindelijk toch een gedeeltelijk spiegeleffect opgetreden in de antwoorden. Het voordeel van intern wordt als nadeel gezien van de externe en omgekeerd. Uit het onderzoek is geen nieuw criterium naar voren gekomen die het beslissingsmodel zinnig kan aanvullen.

Antwoord #

• N.v.t. • We beschikken niet over een formele auditdienst en dit wordt op dit

moment ook niet overwogen • Nee. Omdat dit puur een eigen afweging is en gericht op verbetering

van ons eigen werkproces. Hiervoor is geen fulltimefunctie nodig. Veel specifieke branchesoftware wordt in gezamenlijkheid met andere branchegenoten ontwikkeld. Ik kan mij voorstellen dat vanuit dit “brancheorgaan” de audit wordt opgepakt.

5 1 1

- 23 -

6 Beslissingsmodel De beantwoording van de subvraag, met alle randvoorwaarden die erbij betrokken zijn, leidt tot input voor een beslissingsmodel. Om tot een rationele keuze te komen dient de respondent in een richting gemanoeuvreerd te worden, waarbij de antwoorden op vragen moeten leiden tot een balans die doorslaat naar een interne of externe auditor. Er zijn twee beslissingsmodellen in beeld geweest als mogelijk antwoord op de hoofdvraag. Deze modellen worden in de volgende paragrafen verder belicht.

6.1 Beslissingsboom Een `beslissingsboom` of `beslisboom` is een wetenschappelijk model voor de weergave van de alternatieven en keuzen in een besluitvormingsproces, en is een techniek uit de besliskunde.6 Dit is een schematechniek om beslissers in een pad te begeleiden naar een antwoord. De criteria die als meest belangrijk uit de beantwoording van de subvraag komen bepalen uiteindelijk de keus voor het soort auditor. Ik heb geprobeerd dit in een beslissingsdiagram te vatten:

6 http://nl.wikipedia.org/wiki/Beslissingsboom

- 24 -

Start

Kosten belangrijk?

Nee

Specialistische

kennis vereist?

Fulltime

beschikbaarheid?

Gedegen kennis

organisatie vereist?

Ja

Nee

Nee

Ja

Ja

Frequentie van

onderzoek hoog?

Nee

Nee

Ja

Voorkeur voor intern Voorkeur voor extern

Uitleg diagram:

Wanneer u gevraagd wordt een keus te maken

dient u na te gaan of het genoemde criterium

wat u betreft belangrijk is. Op deze manier

komt u uiteindelijk op een voorkeurskeuze uit

voor een interne of externe auditor .

Beslissingsdiagram

Ja

Dit diagram geeft een indicatie van de mogelijkheden en zou theoretisch nog veel uitgebreider kunnen zijn. Het gaat het doel van deze scriptie voorbij om een compleet model op te stellen dat rekening houdt met alle criteria, gebruik van lussen en uitzonderingscenario’s.

- 25 -

6.2 Dynamische invullijst De tweede optie die door mij is bedacht is het gebruik van een dynamische invullijst. Dit werkt als volgt: Er wordt een stelling geformuleerd die op elk criterium die in de oorspronkelijke vragenlijst voorkwam van toepassing is: ‘heeft u de voorkeur voor een interne of externe auditor?’ Op basis van een 5 punts Likert Schaal worden deze criteria gescoord. De mogelijke antwoorden zijn:

Antwoordmogelijkheden Bijbehorende Score 1. Sterke voorkeur intern -2 2. Lichte voorkeur intern -1 3. Neutraal 0 4. Lichte voorkeur extern 1 5. Sterke voorkeur extern 2

Elk antwoord is gerelateerd aan een wegingsfactor waarmee de score per criterium wordt vermenigvuldigd. Deze wegingsfactor is afkomstig uit de antwoorden op vraag 3a (het ranken van de criteria). Ik heb ervoor gekozen om de vijf criteria die als meest belangrijk gezien worden een weging van 30 mee te geven. Het zesde t/m het tiende criterium weegt 20, de vijf laagst beoordeelde criteria wegen 10. Deze wegingen zijn niet tot op de komma nauwkeurig maar geven op basis van onderzoek een getrouw beeld van de werkelijkheid. Voorbeeld1: criterium uit de top 5 * ‘lichte voorkeur voor intern’ = -30 Voorbeeld2: criterium met laagste score * ‘sterke voorkeu voor extern = 20 Na het optellen van alle criteriascores komt er uiteindelijk een negatieve, positieve of 0 score uit, die respectievelijk staan voor: “Voorkeur voor interne”, “Voorkeur voor externe”, of “Geen voorkeur”.

- 26 -

Dit model zou er als volgt uit kunnen zien:

Balans intern vs extern

Voorkeur voor: Weging Sterke

voorkeur voor Intern

Lichte voorkeur

voor Intern Neutraal

Lichte voorkeur

voor Extern

Sterke voorkeur

voor Extern

Score per criterium

-2 -1 0 1 2 Kwaliteit van auditresultaat 30 X -30 Continuïteit van de vakkennis 20 X -20 Relatie van opdrachtgever tot auditor

20 X 0

Beleid 10 X 20 Beschikbaarheid 30 X -30 Kosten 30 X -60 Kennis 30 X -60 Cultuur (b.v. familiebedrijf) 10 X 20 Typologie (aard) van de organisatie 10 X 10 Frequentie van onderzoek 20 X 40 Diepgang van onderzoek 20 X 0 Complexiteit van de organisatie en de processen 30 X

30 Grootte van de organisatie 10 X 20 Vertrouwen op kennis van auditor 10 X -10 Confidentialiteit van het auditobject 20 X -40

Totaalscore -110

Resultaat: voorkeur voor

Intern

Uitleg: Het invullen van een ‘X’ geeft de voorkeur aan per criterium. Vervolgens vindt per rij de volgende berekening plaats: weging * voorkeurscore. De voorkeurscore per rij kan zowel negatief, neutraal als positief zijn. Wanneer het resultaat kleiner is dan nul is geeft men de voorkeur aan de interne auditor. Indien het resultaat groter is dan nul geeft men de voorkeur aan de externe auditor. Uit de totaalscore kan men ook nog afleiden in welke mate die voorkeur geldt. Hoe meer de totaalscore van de nul afwijkt hoe sterker de voorkeur. Een criterium met de waarde neutraal kan op twee manieren worden geïnterpreteerd:

• De beslisser acht het criterium zelf totaal niet van belang • De beslisser heeft geen voorkeur voor intern of extern

Door de keuzemogelijkheid ‘neutraal’ in te bouwen kan een beslisser nu naar eigen inzicht de in zijn ogen onbelangrijke criteria uitsluiten van score.

- 27 -

6.3 Keuze voor model Vrij snel werd duidelijk welk beslissingsmodel de voorkeur genoot. Toch nog even de voor- en nadelen per model op een rijtje. 6.3.1 Voordelen beslissingsboom

• Beslissingsboom kan indien juist opgesteld een erg strakke keuzebegeleiding geven. • Het schema ziet er grafisch mooi uit. • Geen spreadsheet nodig. • Snel te doorlopen.

6.3.2 Nadelen beslissingsboom

• Bij het gebruik van een beslissingsdiagram is het praktisch niet mogelijk alle criteria aan de orde te laten komen. Dit wordt schematisch te ingewikkeld.

• Het door het proces heen wisselen van auditorcategorie op basis van criteriumscores is niet of moeilijk in goede banen te leiden.

• Het niet mogelijk om een weging aan de criteria in het diagram te koppelen. • Het voor de beslisser lastig om zijn beslissingen inzichtelijk na te lopen. • Het is moeilijk om er een dynamisch en digitaal toepasbaar model van te maken.

6.3.3 Voordelen van keuzelijst

• Wanneer men binnen een organisatie dit model gebruikt kan men besluiten om de weging naar eigen inzicht aan te passen. Dit is zowel in een Excelmodel als op papier mogelijk. De kolom met weging kan eventueel leeg worden gelaten zodat men organisatiespecifieke wegingen en eventueel zelfs nieuwe criteria kan toevoegen. De rekenmethode blijft immers hetzelfde.

• Men kan de invloed van een criterium uitschakelen wanneer deze in de ogen van de beslisser voor beide auditorsoorten gelijk is, of indien het criterium in zijn geheel geen rol speelt bij de keuze.

• Het model geeft daadwerkelijk een rekenkundige voorkeur.

6.3.4 Nadelen keuzelijst De uitkomst van de test is statistisch mogelijkerwijs niet helemaal verantwoord. Voor veel statistische analyses is het noodzakelijk om te veronderstellen dat de antwoorden op de Likertschaal niet alleen ordinaal, maar ook interval geschaald zijn. Formeel voldoen Likertschalen echter niet aan deze eis. De 'afstand' tussen twee opeenvolgende antwoordcategorieën zoals "sterke voorkeur intern" en "lichte voorkeur intern" is niet noodzakelijkerwijs gelijk aan de afstand' tussen twee andere opeenvolgende antwoordcategorieën zoals "neutraal" en "lichte voorkeur extern”. Toch wordt in een aantal wetenschapsgebieden nog wel aangenomen dat elke opeenvolgende antwoordcategorie precies even 'ver' van de voorgaande als de opvolgende antwoordcategorie staat7

7 http://nl.wikipedia.org/wiki/Likertschaal

- 28 -

6.3.5 Uiteindelijke keuze Aangezien de keuzelijst wel de mogelijkheid geeft tot het uitspreken van een meer gebalanceerde voorkeur, in combinatie met een weging die het resultaat is van onderzoek onder IAD’s heeft dit model de voorkeur. Met behulp van dit model kan men als beslisser in een organisatie een keuze maken op basis van (grotendeels) voorgedefinieerde criteria en eigen inzichten. De uitslag vanuit het model geeft een voorkeur weer voor een auditcategorie, of geen voorkeur indien beide soorten exact gelijk scoren). Dit betekent dat men andere overwegingen kan hebben heeft die de uiteindelijke keus naar de tegenovergestelde richting laten doorslaan. 6.3.6 Manier van gebruiken Dit model kan men het best gebruiken wanneer men al inzicht heeft hoe een bepaalde interne of externe auditor scoort op de criteria. Het hebben van een offerte van een externe partij geeft bijvoorbeeld duidelijkheid over de kosten. Het vergelijken van CV’s geeft een indruk van de kennis. Dit maakt de rationele afweging betrouwbaarder.

- 29 -

7. Conclusie Samengevat is het antwoord op de subvraag: Wat zijn de overwegingen om als bedrijf externe IT-auditors in te huren dan wel voor intern opererende IT-auditors te kiezen? het volgende: Uit de gesloten keuzemogelijkheden in het vragenformulier kwamen de volgende resultaten.

Externe auditor criteria Interne auditor criteria Algemeen belangrijkste criteria

1. Kennis 1. Kosten 1. Kwaliteit van auditresultaat

2. Kosten 2. Complexiteit organisatie en processen 2. Kennis

3. Beschikbaarheid 3. Kwaliteit van auditresultaat

4. Relatie opdrachtgever tot auditor 4. Frequentie van onderzoek

5. Kwaliteit van auditresultaat 5. Kennis

Er zijn meer voordelen en minder nadelen genoemd van interne auditors dan van externe auditors. De lagere kosten en betere kennis van de organisatie van een interne auditor ten opzichte van zijn externe collega worden als meest belangrijke voordelen genoemd. De belangrijkste argumenten voor het kiezen van een externe auditor zijn de specialistische kennis, onafhankelijkheid en flexibiliteit. Hogere kosten worden het vaakst genoemd als nadeel van externe auditors, gevolgd door oppervlakkige kennis van de organisatie. Het antwoord op de tweede subvraag “Bestaat er een beslissingsmodel om deze keuze te maken of te onderbouwen? Zo nee, hoe zou een dergelijk model er dan uit kunnen zien? is: Literatuuronderzoek heeft uitgewezen dat er geen beslissingsmodel bestaat wat aansluit bij deze specifieke onderzoeksvraag. Er bestaat wel theorie over beslissingen nemen zelf, maar niet omtrent geijkte beslissingsmodellen. Vandaar dat besloten is om zelf een model te maken. De input van het model komt voort uit de antwoorden op de gesloten vragen uit het vragenformulier. Dit levert een score op per criterium. Uit het onderzoek is geen nieuw criterium naar voren gekomen die het beslissingsmodel kan aanvullen. Er zijn 2 modellen overwogen, een beslissingsdiagram in de vorm van een stroomschema en een ‘dynamische invullijst’. Na het overwegen van de 2 mogelijke beslismodellen blijkt de dynamische invullijst de beste keuze te zijn. Het geeft de gebruiker of organisatie meer vrijheid in het aanbrengen van wegingen en meer mogelijkheden tot aanbrengen van nuances door het gebruik van een vijfpunt Likertschaal. Op basis van het onderzoek is gebleken dat het mogelijk is om door het gebruik van een beslissingsmodel op rationele gronden te kiezen voor een interne of externe auditor. Hiermee is de hoofdvraag beantwoord. Deze was immers: ‘Hoe kan men als organisatie op rationele wijze een keuze maken tussen het gebruik van interne versus externe IT-auditcapaciteit?’ Hierbij dienen wel enkele beperkingen van het model in acht te worden genomen. Zo wordt er geen rekening gehouden met het mogelijke criteria ‘type opdracht’, en is het model het beste

- 30 -

te gebruiken indien de beslisser al achtergrondinformatie heeft over de soort opdracht of achtergrond van de auditors waartussen gekozen dient te worden.

- 31 -

8. Persoonlijke reflectie

8.1 Reflectie op eigen ervaringen Vanuit mijn achtergrond als IT-auditor kom ik vrijwel altijd als externe persoon binnen bij een organisatie. Desondanks kan ik mij goed inleven in de hoogstscorende voor- en nadelen van beide auditcategorieën. Als externe is het moeilijker de achterdeurtjes en uitzonderingen te ontdekken (soms is zelfs bevatten al moeilijk genoeg) in de systemen of procedures, omdat je gewoonweg niet de kennis en tijd hebt om elk detail uit te zoeken. Terwijl tegenover de klant je kracht juist blijkt als je die details boven tafel kunt halen. Ik verwacht dat een interne auditor deze detaillering makkelijker kan bereiken, en dat dit door de organisatie zelf ook als zeer belangrijk wordt ervaren. Niet iemand gebruiken voor een korte temperatuurmeting in de organisatie, maar voor een ‘continue diepzee-audit’. Het gevolg van het niet weten van de hoed en de rand veroorzaakt in ons werk false positives en false negatives (ook wel bekend als type I en type II errors8). De kwaliteit van de bevinding is mijn inziens deels gerelateerd aan de kennis van het bedrijfsproces. En ja, ook mijn uurtarief laat accountants en kleinere bedrijven wel eens schrikken. Ik kan mij voorstellen dat men het gevoel heeft dat het voordeliger is om mensen een paar maanden intern in dienst te nemen, dan een paar weken een externe auditor over de vloer te laten komen.

8.2 Reflectie op scriptie inhoud De praktische toepasbaarheid van deze scriptie is lastig in te schatten. Hoewel het beslissingsmodel in mijn ogen goed gelukt is zal men in de praktijk misschien gewoon doen waar men zelf zin in heeft, of dit nou rationeel is of niet. De gegeven antwoorden van de respondenten vielen me wat tegen, omdat ze voldeden aan de verwachting. Liever had ik gezien dat men had gekozen voor auditors op basis van uiterlijk of reistijd. Dat zou nog eens spraakmakend zijn! In eerste instantie waren in mijn ogen de interne en externe auditor daadwerkelijk twee verschillende soort werknemers, met elk hun eigen karakteristieken. Een eye-opener was de opmerking van een collega: “Interne auditors zijn vaak ex-externe auditors of andersom!“

8 http://en.wikipedia.org/wiki/Type_I_and_type_II_errors

- 32 -

Bijlage I: Vragenformulier

1. Inleiding Als onderdeel van het 3e jaar voor de opleiding tot Register EDP Auditor aan de Vrije Universiteit te Amsterdam is de scriptie een verplicht onderdeel voordat de opleiding als voltooid kan worden beschouwd. Hierbij is de doelstelling dat het ‘luisteren in de schoolbanken’ wordt verruild voor het actief nadenken over het auditvak, een specifiek onderwerp en de problematiek die daarin verscholen zit. Jack Schilder werkzaam als extern auditor bij BDO (accountantskantoor) en Rob Sprong, werkzaam als intern auditor bij RDW Centrum voor voertuigtechniek en informatie, hebben gekozen voor het verder uitdiepen van redenen die schuil gaan achter de keuze voor het gebruik van interne, dan wel externe auditors in organisaties. De resultaten van het onderzoek zullen worden verwerkt in de hierboven genoemde scriptie. Voor u ligt een vragenformulier waarmee wij antwoord proberen te krijgen op de hieronder beschreven probleemstelling.

2. Onderzoeksvraag Ons onderzoek zal antwoord moeten geven op de hieronder geformuleerde vraag: Hoe kan men als organisatie op rationele wijze een keuze maken tussen het gebruik van interne versus externe IT-auditcapaciteit? 2.1 Subvragen

2. Wat is de overweging om als bedrijf externe IT-auditors in te huren dan wel voor intern opererende IT-auditors te kiezen?

2. Bestaat er een beslissingsmodel om deze keuze te maken of te onderbouwen? Zo nee, hoe zou een dergelijk model er dan uit kunnen zien?

2.2 Doelstelling Doel van ons onderzoek is om te komen tot een eenvoudig model dat als hulpmiddel kan fungeren bij het maken van een gefundeerde keuze voor het aanstellen van interne dan wel externe IT-auditors. Hierbij wordt getracht het model zodanig vorm te geven dat inzicht wordt gegeven in de voor- en nadelen bij de respectievelijke keuzes. De criteria die van toepassing zijn voor de keuze van interne danwel externe IT-auditors is dus van essentieel belang.

3. Aanleiding NOREA, de beroepsorganisatie van IT-auditors, heeft in juni 2007 over dit onderwerp een persbericht uitgegeven, dat verder ingaat op de problematiek die een rol speelt of kan spelen bij het maken van de keuze voor interne of externe IT-auditors.

- 33 -

Nadere opmerkingen De resultaten van het ingevulde vragenformulier en mondelinge afstemming zal desgevraagd worden teruggekoppeld via een (gespreks)verslag dat aan de geïnterviewde persoon zal zijn gericht. De herkomst van de antwoorden zal anoniem blijven. Wel kan het voor ons onderzoek van belang zijn een relatie te leggen tussen antwoorden op de vragen en de branche waarin de geïnterviewde werkzaam is. Dit om voor het onderzoek de nodige diepgang te betrachten. De inhoud van de antwoorden op de vragen kan voor ons aanleiding zijn om meer achtergrondinformatie bij u op te vragen. Naar verwachting kan dit dan telefonisch plaats vinden of via e-mail. Naar verwachting zal het invullen van het vragenformulier ongeveer twintig minuten van uw tijd vergen. Uiteraard zal de werkelijke tijd sterk afhankelijk zijn van de wijze waarop invulling wordt gegeven aan de in het vragenformulier opgenomen open vragen. Voor ons onderzoek geldt echter: Hoe uitgebreider de vragen zijn beantwoord, hoe meer achtergrondinformatie dit voor ons onderzoek kan opleveren. Voor een toelichting op de gehanteerde keuzecriteria verwijzen wij u naar bijlage I. Wij danken u bij voorbaat voor uw bereidwilligheid en de tijd die u in het vragenformulier hebt gestoken. Mocht een vraag onverhoopt niet helemaal duidelijk zijn dan kunt u contact opnemen met één van onderstaande personen voor nadere toelichting: Rob Sprong Telefoon: 06-53854279 E-mail: rsprong@wanadoo.nl Jack Schilder Telefoon: 06-21394751 E-mail: jack.schilder@BDO.nl

- 34 -

Vragenlijst interview interne/externe auditcapacite it

Naam deelnemer: Functie: Datum: Organisatie: Soort organisatie* _____________________ Aantal medewerkers: Aantal IT-auditors intern: _____________________ Aantal IT-auditors extern: _____________________ *Bijvoorbeeld: Handelsbedrijf, Overheid, Non-profit, Productiebedrijf, Bank-of verzekeringsbedrijf, etc. De vragen dienen beantwoord te worden door één van de keuzes 1 t/m 5 aan te kruisen, waarbij de 1 staat voor ‘volledig oneens of onbelangrijk’ en de 5 voor ‘volledig eens of zeer belangrijk’. NB. De beantwoording van de vragen zal anoniem worden behandeld en zal alleen bijdragen aan de verdere uitwerking van ons onderzoek. Uiteraard is het van belang dat u de vragen beantwoordt vanuit uw eigen visie en ten aanzien van de organisatie waarvoor u werkzaam bent. Dit om de resultaten van het onderzoek zo zuiver mogelijk te houden.

- 35 -

1a. Argumenten voor aannemen interne auditcapaciteit. Geef aan in hoeverre de volgende steekwoorden als argument gelden bij de overweging om gebruik te maken van interne auditors.

Volledig

Onbelangrijk Zeer

Belangrijk

Criteria interne auditors 1 2 3 4 5

1. kwaliteit van auditresultaat 2. continuïteit van de vakkennis 3. relatie van opdrachtgever tot auditor 4. beleid 5. beschikbaarheid 6. kosten 7. kennis 8. cultuur (b.v. familiebedrijf) 9. typologie (aard) van de organisatie 10. frequentie van onderzoek 11. diepgang van onderzoek 12. complexiteit van de organisatie en de processen 13. grootte van de organisatie 14. vertrouwen op kennis van auditor 15. confidentialiteit van het auditobject

1b. Indien er volgens u andere criteria zijn dan hierboven genoemd, welke zijn dit dan? Geef ook aan hoe zwaar deze argumenten wegen.

Vrije tekst:

- 36 -

2a. Argumenten voor aannemen externe auditcapaciteit Geef aan in hoeverre de volgende steekwoorden als argument gelden bij de overweging om gebruik te maken van externe auditors.

Volledig Onbelangrijk

Zeer Belangrijk

Criteria externe auditors 1 2 3 4 5

1. kwaliteit van auditresultaat 2. continuïteit van de vakkennis 3. relatie van opdrachtgever tot auditor 4. beleid 5. beschikbaarheid 6. kosten 7. kennis 8. cultuur (b.v. familiebedrijf) 9. typologie (aard) van de organisatie 10. frequentie van onderzoek 11. diepgang van onderzoek 12. complexiteit van de organisatie en de processen 13. grootte van de organisatie 14. vertrouwen op kennis van auditor 15. confidentialiteit van het auditobject

2b. Indien er volgens u andere criteria zijn dan hierboven genoemd, welke zijn dit dan? Geef ook aan hoe zwaar deze argument wegen.

Vrije tekst:

- 37 -

3. Weging van factoren.

Kunt u aangeven wat de weging is van de volgende criteria (ongeacht welke optie voor auditor). Hierbij kunt u de cijfers 1 t/m 15 gebruiken. Het criterium waar de 1 aan wordt toegekend is het meest zwaarwegend. Het is de bedoeling dat elk cijfer eenmaal wordt gebruikt.

Criteria (als bij vraag 1a en b) Weging 1. kwaliteit van het auditresultaat 2. continuïteit van de vakkennis 3. relatie van opdrachtgever tot auditor 4. beleid 5. beschikbaarheid 6. kosten 7. kennis 8. cultuur (b.v. familiebedrijf) 9. typologie (aard) van de organisatie 10. frequentie van onderzoek 11. diepgang van onderzoek 12. complexiteit van de organisatie en de processen 13. grootte van de organisatie 14. vertrouwen op kennis van auditor 15. confidentialiteit van het auditobject

4. Open vragen. 4.1 Wat beschouwt u als belangrijkste voor- en nadelen van het hebben van een interne auditdienst in vergelijking tot externe auditors? Voordelen:

Nadelen:

- 38 -

4.2 Wat beschouwt u als belangrijkste voor- en nadelen van externe auditors in vergelijking tot een interne auditdienst? Voordelen:

Nadelen: 4.3 Als u in de regel gebruik maakt van een eigen auditdienst, komt het dan ook voor dat u de capaciteit aanvult met externe auditors? Zo ja, welke andere redenen dan onvoldoende eigen capaciteit zijn er dan?

4.4 Als uw organisatie beschikt over eigen (interne) auditors, wordt er dan budget en tijd begroot voor het op peil houden van de vakkennis?

4.5 Welke activiteiten vinden plaats voor het op peil houden van de vakkennis?

- 39 -

4.6 Als uw organisatie niet over een eigen auditdienst beschikt wordt dit dan wel overwogen en waarom (wel of niet)?

Bijlage 1: Toelichting keuzecriteria 1. kwaliteit van auditresultaat De auditor levert een resultaat (rapport/presentatie) op. Onder de kwaliteit verstaan wij het niveau (manier van onderzoek, diepgang, relevantie, kortom algehele professionaliteit) van onderzoek en rapportage en de mate waarin deze resultaten voldoen aan de verwachtingen van de opdrachtgever (hierbij hoeft de gevonden uitkomst door de auditor niet overeen te komen met de gewenste uitkomst van de opdrachtgever). 2. continuïteit van de vakkennis

Mate waarop men op de hoogte is van de regelgeving en nieuwe ontwikkelingen. Bijvoorbeeld door mogelijkheid tot volgen van cursussen, al dan niet verplichte vaktechnische bijeenkomsten, lezen van vakbladen, informeel overleg en feedback van collega’s.

3. relatie van opdrachtgever tot auditor Mate waarin de relatie tussen opdrachtgever en auditor onafhankelijk is. 4. beleid Mate waarin keuze voor interne danwel externe auditor al door het gevoerde beleid is bepaald. 5. beschikbaarheid Continue of ad-hocbeschikbaarheid van de auditor. 6. kosten Mate waarin de kosten voor het gebruik van interne auditors danwel externe auditors een rol spelen bij de keuze. Denk hierbij aan personele kosten versus kosten van externe inhuur. 7. kennis

Mate waarin de betreffende auditor vakinhoudelijk is onderlegd.

8. cultuur (b.v. familiebedrijf)

- 40 -

Het geheel van normen, waarden, opvattingen, principes en overtuigingen van de mensen die het gedrag en het functioneren van de organisatie beïnvloeden.

9. typologie (aard) van de organisatie

Aanduiding van grondtype (soort of aard ) van een organisatie.

10.frequentie van het onderzoek Aantal keren dat het onderzoek per jaar dient te worden uitgevoerd. 11. diepgang van het onderzoek Mate van detaillering waarmee het auditobject wordt bekeken en waarmee gerapporteerd wordt. 12. complexiteit van de organisatie en processen Mate waarin de controleerbaarheid van de processen is te doorgronden. 13. grootte van de organisatie Mate waarin de kosten van auditors in verhouding staan tot de kosten van personeel en de hoogte van de omzet. 14. vertrouwen op kennis van auditor Mate waarin vertrouwen wordt gesteld in het oordeel van de auditor. 15. confidentialiteit van het auditobject Mate waarin het te auditen object geheimhouding eist van de auditor.