Ga naar het hele artikel

Artikel
Ketengovernance
Ketensamenwerking binnen het publieke domein
Adri de Bruijn, Anastasia van der Meer, Peter Nieuwenhuizen,
Maarten Slot en Bart van Staveren
Dit artikel is het derde en (voorlopig) laatste artikel in
een reeks artikelen over ketenauditing. Het eerste artikel,
geschreven door Leon Dirks en Anastasia van der Meer,
1
was gebaseerd op een inventariserend onderzoek .
In dat meer algemene artikel is onder andere ingegaan
op de begrippen keten en ketenaudit (zie tekstkader).
O
ok werden verschillende uitvoeringsmodellen voor
ketenaudits aangegeven. Deze symboliseren de
mate van onderlinge samenwerking tussen de
auditdiensten in een ketenaudit en de invloed die dit heeft
op de omvang van de beschouwing respectievelijk de beoordeling van de keten als geheel: consolidatiemodel, kokermodel en centrifugemodel (in dit artikel voegen we hier een
vierde model aan toe: het ‘grondmodel’).
Het tweede artikel ging in op keten-governance, dat wil
zeggen de sturing en beheersing van, verantwoording over
en het toezicht op ketens. Daarbij is een viertal ketentypes
onderscheiden, te weten klassieke uitbesteding, semi-trust,
semi-keten en echte keten.
In dit derde artikel over ketenauditing brengen we de vier
ketentypes en de vier modellen voor ketenaudits met elkaar
in verband. Daarbij schetsen we voor elk van de vier ketentypes een mogelijke invulling van de audit van dat ketentype
en de rol van de auditor daarin.
Het gezichtspunt van de EDP-auditor staat centraal, met
vragen zoals: Hoe typeert de EDP-auditor ketens? Welke
aspecten zijn per ketentype relevant? Welke vormen van
samenwerking tijdens het uitvoeren van een audit kunnen
per ketentype worden verwacht? Hoewel we ons in eerste
instantie op de EDP-auditor richten, kan het ontwikkelde
gedachtegoed natuurlijk ook voor andere auditdisciplines
van belang zijn.
We sluiten af met een aantal beschouwingen over onze waarnemingen in de praktijk rondom audits van ketens.
In dit artikel richten we ons op ketensamenwerking binnen
het publieke domein. De uitgangspunten, modellen en toepassingen in dit artikel kunnen echter ook relevant zijn voor
ketensamenwerking in het bedrijfsleven.
Ketensamenwerking kan in veel verschillende vormen en op
verschillende bestuurlijke niveaus plaatsvinden. De samenwerking ontstaat binnen processen met volgtijdelijke of
parallelle activiteiten. Daarbij heeft niet langer één, maar
hebben verschillende partijen (bijvoorbeeld verschillende
organisaties) de gezamenlijke eindverantwoordelijkheid. De
aanwezigheid van meer dan één eindverantwoordelijke en/
of uitvoerende kan leiden tot ingewikkelde aansturings- en
uitvoeringsconstructies. Deze kunnen op hun beurt weer
onduidelijkheid in beheersing en toezicht opleveren. In dit
artikel nemen we gegevensuitwisseling als uitgangspunt. Dat
houdt in dat we ons vooral richten op processen en niet op
bestuurlijke afstemming.
A.J.M. de Bruijn RE RA is partner van PricewaterhouseCoopers Advisory,
docent EDP-auditing aan de Erasmus School of Accounting en
Assurance en voorzitter van de NOREA.
Definities
Drs. A.J. van der Meer is onderzoeker en coordinator van de sector
Keten: ‘Een keten is een samenwerkingsverband tussen partijen die
onderzoek en marketing van de Belastingdienst (Centrum voor Proces-
zowel zelfstandig als afhankelijk van elkaar functioneren omdat ze
en Productontwikkeling).
volgtijdelijke handelingen uitvoeren gericht op een afzonderlijk
doel2.
P.C.J. Nieuwenhuizen RE RA is director bij PricewaterhouseCoopers
Ketenaudit: ‘Een ketenaudit is een onderzoek dat moet leiden tot
Accountants.
een gefundeerd oordeel of advies over de beheersing van een
keten als geheel ten aanzien van een gekozen object van onder-
M.C.M. Slot RE is IT-auditor bij het Ministerie van Financiën.
zoek. De ketenaudit richt zich alleen op dát aspect of onderdeel van
zelfstandige organisaties dat bijdraagt aan het gemeenschappelijke
Drs. B.J. van Staveren RE is hoofd IT-audit bij UWV en voorzitter van
doel en de beheersing van de gehele keten.’ (Bron: Meer)
het Platform Informatiebeveiling.
41 | de EDP-Auditor nummer 2 | 2006
Samenwerkingsmodellen voor ketenaudits
voor het gehele ketenproces. Voor de gehele keten wordt
een gezamenlijke verklaring of mededeling afgegeven.
Samenwerkingsmodellen
In het eerste artikel zijn drie typen ketenaudits onderscheiden, namelijk het consolidatiemodel, het kokermodel en het
centrifugemodel. Deze symboliseren de mate van onderlinge samenwerking tussen de auditdiensten in een ketenaudit en de invloed die dit heeft op de omvang van de beschouwing respectievelijk de beoordeling van de keten als geheel.
Wij gebruiken dezelfde indeling maar leggen de nadruk op
de samenwerkingsaspecten. We duiden ze hierna dan ook
aan als samenwerkingsmodellen. We voegen één model toe,
het ‘grondmodel’, waarin samenwerking in feite afwezig is.
Het consolidatiemodel
Er is sprake van twee partijen: een organisatie die het proces
uitvoert en een organisatie die de eindverantwoordelijkheid
voor het proces draagt. De uitvoerende organisatie maakt voor
de auditwerkzaamheden gebruik van de eigen auditdienst. De
accountantsverklaring of mededeling die aldus wordt afgegeven, wordt gebruikt door de opdrachtgevende partij alias
eindverantwoordelijke voor het ketenproces. De eindverantwoordelijke voert in dat kader reviews uit op de werkzaamheden van de auditdienst van de uitvoerende organisatie.
Het kokermodel (brugmodel)
Het uitgangspunt voor dit model is dat een deel van het ketenproces gezamenlijk en een deel ervan afzonderlijk door de
betrokken organisaties wordt uitgevoerd. Ook de audits
worden afzonderlijk verricht en alleen voor het gemeenschappelijke deel wordt samengewerkt. Het product is een afzonderlijke verklaring of mededeling voor de eigen bijdrage en een
onder gezamenlijke verantwoordelijkheid afgegeven auditoordeel voor het gemeenschappelijke aandeel. Het gezamenlijke
deel vormt een brugfunctie tussen beide afzonderlijke delen.
Voor een opbouw van onze analyse van ketens bleek het
zinvol om ook een basis neer te zetten van een situatie
waarin geen sprake is van een of andere vorm van een keten.
Dit model dient als grondmodel voor de verdere vergelijking
van de verschillende ketens die we onderscheiden. Daarom
hebben we ervoor gekozen nog een model toe te voegen
aan de voorgaande drie:
Het grondmodel
Hierbij is geen gemeenschappelijke basis aanwezig voor het uitvoeren van een audit met een meer of mindere mate van samenwerking tussen auditdiensten. Het model geeft de gebruikelijke
basissituatie weer waarbij audits worden uitgevoerd door één
auditdienst en betrekking hebben op één proces(stap).
Voor een visualisering van vorenstaande is gebruik gemaakt
van de schematechniek in het onderzoeksrapport ketenauditing (bron: Meer). Deze visualiseert de verschillende auditmodellen zoals hiervoor omschreven in de vorm van plateaus als een steeds verdergaande mate van samenwerking
van auditdiensten. (Zie ook Figuur 1)
De normatieve samenhang van
samenwerkingsmodellen en ketentypes
De vier ketentypes hebben wij gedefinieerd aan de hand van
de in de praktijk aangetroffen situaties. Kennisnemend van
het onderzoeksrapport ketenauditing kwam de vraag op in
hoeverre een samenhang nu aanwezig is tussen de ketentypes en de samenwerkingsmodellen voor audits uit het rapport. Daartoe hebben de auteurs een nadere analyse opgesteld van de overeenkomsten van verschillende aspecten van
ketentypes enerzijds en de samenwerkingsmodellen anderzijds. Dat leidde tot de volgende normatieve opzet.
Het centrifugemodel
Het uitgangspunt voor dit model is dat de gehele ketenaudit
gezamenlijk wordt uitgevoerd. Hierbij is sprake van een ver
doorgevoerde samenwerking tussen betrokken auditdiensten
De klassieke uitbesteding (klant/leverancierrelatie)
Hierbij is sprake van uitbesteding van werkzaamheden
zonder dat dit is gebaseerd op wettelijke bepalingen. Dit is
een al lang bestaand type van samenwerking tussen klant en
leverancier en ook binnen de overheid vaak voorkomend. In
de analyse van de auteurs is het een duidelijke vorm van
samenwerking, waaraan ook een duidelijk auditmodel gekoppeld is. Uit de lange ervaring die met dit ketentype is opgedaan, is in de praktijk de situatie ontstaan dat bij dit type
voor de auditaanpak het consolidatiemodel wordt gebruikt.
Dit lijkt de auteurs de best passende vorm.
Semi-trust (uitbesteding op wettelijke basis)
Figuur 1: Samenhang auditmodellen met zicht op keten als geheel
Hier is sprake van een organisatie die werkzaamheden uitvoert ten behoeve van één of meerdere departementen die
de eindverantwoordelijkheid dragen. In dit ketentype staat
de aard van de relatie centraal. Het betreft een op wettelijke
gronden gebaseerde verhouding. Dit is een ketentype dat
veel kenmerken heeft van de klassieke uitbesteding waardoor
42 | de EDP-Auditor nummer 2 | 2006
op het eerste gezicht het consolidatiemodel van toepassing
lijkt te zijn. Door de wettelijke basis waarop de ‘uitbesteding’ plaatsvindt en de gezamenlijke verantwoordelijkheid
van beleidsverantwoordelijke departementen en auditdiensten ontstaat er toch een aantal kenmerken dat bij dit ketentype pleit voor een ander auditmodel. Een specifiek kenmerk
is bijvoorbeeld dat door de wet- en regelgeving een gezamenlijke verantwoordelijkheid van overheidsinstanties aanwezig blijft. Daardoor is als auditmodel in die situatie het
centrifugemodel beter passend. Daarin wordt de gehele
keten gezamenlijk door de auditors beschouwd.
Semi-keten (eenzijdige gegevensaanlevering)
Kenmerkend in dit ketentype is gegevensverstrekking met
veelal vooral een belang bij de ontvanger. Bij dit ketentype
is uitsluitend sprake van gegevensaanlevering, en wel op wettelijke grondslag. Een uitbesteding is niet aanwezig; het
betreft immers gegevens die de leverancier voor haar eigen
processen ook nodig heeft. Evenmin is er een gemeenschappelijk ketendeel aanwezig. Het (toegevoegde) grondmodel
is daarom van toepassing.
Echte keten (met gelijkwaardige partners)
Hierbij is sprake van een samenwerking van gelijkwaardige
partners in een keten. Voor dit type is het centrifugemodel
het meest passend, vooral omdat dan het geheel van de keten
gezamenlijk in de audit wordt bezien.
Na toevoeging van vorenstaande aan Figuur 1 ontstaat het
volgende beeld van de normatieve samenhang tussen de auditmodellen en de onderscheiden ketentypes (zie Figuur 2).
De praktijk van de samenhang van
samenwerkingsmodellen en ketentypes
Kijkend naar de praktijk, die als basis dient voor de hiervoor
weergegeven normatieve opzet, komen we een diversiteit
aan koppelingen tegen. Uitgaande van de gedefinieerde
ketentypes leidt dat tot de volgende praktische invullingen
in de praktijk van de samenwerking binnen audits.
strekt, die vervolgens een reviewmogelijkheid hebben.
Daarom is op dit type keten in eerste instantie het consolidatiemodel van toepassing. Een voorbeeld is de uitvoering
door de gemeentes van sociale uitkeringswetten ten behoeve
van het Ministerie van Sociale Zaken.
Zoals aangegeven, hoeft het in dit ketentype niet persé te
gaan om bilateraal contact. Er kunnen immers meerdere
eindverantwoordelijken aanwezig zijn. Daarom kan ook het
centrifugemodel van toepassing zijn. In de situatie van meerdere eindverantwoordelijken kan ook gekozen worden voor
een onder gezamenlijke verantwoordelijkheid van de auditdiensten van de betrokken departementen uitgevoerd onderzoek naar de gehele keten. Een voorbeeld is de uitvoering
door de Belastingdienst van de inkomensafhankelijke toeslagen voor een aantal beleidsdepartementen.
Semi-keten (eenzijdige gegevensaanlevering)
In deze keten zijn de te leveren gegevens voor de ontvanger
essentieel voor haar primaire processen. Daarom is de kwaliteit van die gegevens voor de ontvanger belangrijk. De verstrekker kan een belang hebben bij de zorgvuldige omgang
door de ontvanger met de verstrekte gegevens.
De ontvanger zou de behoefte aan zekerheid kunnen hebben
over de mate van betrouwbaarheid van de ontvangen gegevens. De auditor van de verstrekkende partij kan daarnaar een
onderzoek instellen en daarover een mededeling afgeven.
Anderzijds kan de verstrekker van de gegevens behoefte
hebben aan zekerheid over de zorgvuldige omgang door de
ontvanger met de gegevens. Denk bijvoorbeeld aan privacyaspecten. De auditor van de ontvangende partij kan daarnaar een onderzoek instellen en daarover een mededeling
afgeven. Een voorbeeld is het gebruik van gegevens van de
Rijksdienst voor het Wegverkeer door derden. In beide
gevallen is het grondmodel het meest van toepassing. Een
gemeenschappelijk deel is niet aanwezig.
Echte keten (met gelijkwaardige partners)
Bij gelijkwaardige partners in een keten ligt het voor de
hand om volgens het centrifugemodel gezamenlijk een audit
uit te voeren. De verklaring of mededeling uit deze audit is
De klassieke uitbesteding (klant/leverancierrelatie)
De opdrachtgevende partij zal in de situatie van een klassieke
uitbesteding de zekerheid willen hebben dat de contractbepalingen worden nageleefd. In die informatiebehoefte kan een
audit bij de uitvoerende partij voorzien. Deze zal veelal
worden uitgevoerd door de auditor van die uitvoerende partij
die over de uitkomsten een mededeling afgeeft. Het consolidatiemodel past daarom goed bij dit ketentype; dit komt overeen met de normatieve opzet. Een voorbeeld is de uitbesteding van de salarisverwerking door een aantal departementen
aan de Belastingdienst.
Semi-trust (uitbesteding op wettelijke basis)
Een gangbaar model is dat de uitvoerder door de eigen
auditdienst een audit laat uitvoeren. De daarop gebaseerde
TPM-mededeling wordt aan de eindverantwoordelijken ver-
Figuur 2: Normatieve samenhang auditmodellen met ketentypes
43 | de EDP-Auditor nummer 2 | 2006
een gezamenlijke verantwoordelijkheid van de auditors van
beide partners in de keten en is van toepassing op het gehele
ketenproces. Een voorbeeld is de Suwi-keten (Structuur
Uitvoeringsorganisatie Werk en Inkomen; de keten van
CWI, gemeentes en UWV die zorgdraagt voor het verlenen
van hulp aan werkzoekenden en het verzorgen van (tijdelijke) uitkeringen) waarbij een gemeenschappelijk oordeel
wordt geformuleerd op basis van de audits bij de verschillende ketenpartners. Een andere optie is een audit door een
derde auditpartij op de gehele keten.
In de praktijk wordt in de ontwikkelfase van een project wel
het centrifugemodel gebruikt. In de uitvoeringsfase komt
veelal het kokermodel (brugmodel) naar voren. Het centrifugemodel kan door keuzes vanuit de politiek groeien naar
een brugmodel. Voor een beeld van de gehele keten heeft
men dan de uitkomsten uit de gemeenschappelijke audit
over het beperkte, gemeenschappelijke deel plus de twee
afzonderlijke audits op de schakels van de keten die als
onderdeel van twee partners zijn gedefinieerd. Een voorbeeld is de samenwerking tussen UWV en Belastingdienst
bij de premieheffing en het beheer van basisgegevens.
Na toevoeging van vorenstaande aan Figuur 2 ontstaat het
volgende beeld van de praktijksituaties van de samenhang
tussen de auditmodellen en de onderscheiden ketentypes
(zie Figuur 3).
Opzet ketenaudits in relatie tot de levenscyclus
van ketens
In de levenscyclus van een keten verschilt ook de aard van de
mogelijke ketenaudits. De in het voorgaande hoofdstuk
geschetste samenhang tussen samenwerkingsmodellen en
ketentypes kunnen we bij de invulling van de opzet van een
audit nuanceren, afhankelijk van de fase van ketenontwikkeling: de ontwerpfase, de realisatiefase en de operationele
fase. De fasen kennen elk hun eigen onderzoeksvragen voor
de auditor. De meest effectieve samenwerking tussen de auditors van de betrokken organisaties kan daarom voor een aantal
van de onderscheiden ketenvormen per fase verschillen.
Het artikel heeft zich vooral gericht op de operationele fase,
maar kan daarnaast ook gebruikt worden voor het bezien van
de auditsamenwerking tijdens de ontwerp- en realisatiefase.
Ketenaudits in de ontwerpfase
Tijdens de ontwerpfase vindt de strategische besluitvorming
plaats en worden de grove contouren van de keten ontworpen. In deze fase is het onderzoek gericht op de realiseerbaarheid van een beheersbare keten binnen de gemaakte of
te maken afspraken (het bezien van de voorgenomen opzet
van de keten).
In het ideale geval betrekt het management van de ketenpartijen de auditdiscipline al bij de start van het inrichten van de
keten. Dit geeft de auditor de mogelijkheid om al in deze
fase te beoordelen of de inrichting van de verantwoording
over de beheersing van de keten en het verstrekken van
zekerheid hierover aan de betrokken stakeholders in opzet
voldoende is geborgd.
In deze fase zal er veelal nog geen of weinig contact zijn
tussen de auditdiensten van de organisaties. Het grondmodel is dan het meest toepasselijk.
Voor de slagingskans van de keten is een risicoanalyse op de
realiseerbaarheid van de keten van belang. De auditor kan de
volledigheid van die risicoanalyse beoordelen. Bij de klassieke uitbesteding, uitbesteding op wettelijke basis en eenzijdige gegevenslevering zal de beoordeling van de risicoanalyse geen probleem zijn en kan die vraag vanuit het
grondmodel beantwoord worden.
Voor het ketentype met gelijkwaardige partners is deze vraag
veel moeilijker te beantwoorden. Er zijn ons geen normenkaders bekend voor het uitvoeren van een dergelijk onder-
Figuur 3: Samenhang auditmodellen met zicht op keten als geheel
44 | de EDP-Auditor nummer 2 | 2006
zoek. Daarom kan voor het opstellen van het referentiekader
naar onze mening het best gebruik gemaakt worden van de
door Grijpink3 ontwikkelde toetsingsinstrumenten. Hij
onderscheidt een drietal meetgebieden:
• Infrastructuur: hoe sluiten systemen op elkaar aan?
• Maatschappelijk: hoe waarborg je zaken als veiligheid en
privacy?
• Bestuurlijk: hoe borg je een voldoende mate van bestuurlijke afstemming?
Als eis kan onder meer gesteld worden dat het keteninformatiseringsproject bij de risico-inventarisatie de risico’s in kaart
heeft gebracht die gerelateerd zijn aan het niet optimaal voldoen aan (één van) de vier profielen van ketens. Er dienen
toereikende maatregelen te zijn voorzien om de effecten te
mitigeren. De benodigde kennis over de betrokken organisaties om een dergelijke opdracht uit te kunnen voeren is
niet aanwezig binnen een afzonderlijke interne (departementale) auditdienst. Door een combinatie van de kennis bij
de verschillende betrokken organisaties te maken, ontstaat
wel voldoende expertise. Een dergelijke audit kan daarom
alleen binnen het centrifugemodel worden uitgevoerd.
Ketenaudits in de realisatiefase
In de realisatiefase zal de onderzoeksvraag tweeledig zijn:
(1) heeft de projectorganisatie zodanige maatregelen getroffen dat de doelstelling van het project, namelijk een werkende keten gerealiseerd zal worden binnen tijd en budget?
En (2) voldoen de door het project opgeleverde
(deel)producten aan de vanuit de optiek van de kwaliteit van
de keten gestelde eisen wat betreft opzet en toekomstig
bestaan. In deze fase van een keten kan de auditor in verschillende rollen betrokken zijn. De in te vullen rollen verschillen per type keten.
Tijdens deze fase zijn er diverse mogelijke audits. Hierbij is er
allereerst de mogelijkheid van audits op verzoek, gericht op de
implementatie van processen. In dit geval bestaat er een veelheid aan mogelijkheden wat scope en auditobjecten betreft.
De klassieke uitbesteding (klant/leverancierrelatie)
Voor de klassieke uitbesteding is het van belang aandacht te
besteden aan het afsluiten van de benodigde contracten en
onderliggende documenten zoals serviceniveau-overeenkomsten. Bij de inrichting van de klassieke keten hebben de
auditor van de uitbestedende partij en die van de uitvoerende partij elk een andere rol. Het grondmodel is daarom
de toepasselijke vorm.
De auditor van de uitbestedende partij zal in ieder geval na
moeten gaan of wet- en regelgeving conform de Europese
aanbestedingsrichtlijn wordt nageleefd. Daarnaast zal hij een
oordeel moeten geven over de beheersing van de keten
vanuit de optiek van de klantorganisatie. De (veelal externe)
auditor van de leverancier zal zich in deze fase een oordeel
moeten vormen over de toetsbaarheid van het door de klant
aangereikte normenkader. De ervaring leert dat een goed
(informeel) contact tussen beide auditors in deze fase veel
discussie achteraf kan voorkomen.
Semi-trust (uitbesteding op wettelijke basis)
Bij de uitbesteding op wettelijke basis is het uitgangspunt
dat audits door de betrokken auditdiensten onder gezamenlijke verantwoordelijkheid worden uitgevoerd. Het consolidatiemodel is dus van toepassing. Van belang is dat de verschillende betrokken auditdiensten daarbij de nodige kennis
over de auditee opdoen om de gezamenlijke audit gestalte te
geven.
De genoemde audits op verzoek geven tevens een belangrijke basis voor het gezamenlijk voorbereiden van de audits
die gericht zijn op het vaststellen van de betrouwbaarheid
van de financiële verantwoording. Ook hierbij zal de samenwerking tussen auditdiensten verder gestalte moeten krijgen. Daarbij kan het centrifugemodel als uitgangspunt
dienen.
Semi-keten (eenzijdige gegevenslevering)
Voor de realisatiefase bij het ketentype eenzijdige gegevenslevering bestaat relatief veel ervaring. Met de inzet van
nieuwe technologie zoals webservices worden de auditors
wel voor andere uitdagingen gesteld. Zeker in die gevallen
waar de gegevenslevering ‘real time’ is, vormen aspecten als
logische toegangsbeveiliging en beschikbaarheid speciale
aandachtspunten met name aan de zijde van de leverende
partij. Het grondmodel is in eerste instantie het meest van
toepassing, omdat de nadruk op één partij ligt. Toekomstige
ontwikkelingen kunnen mogelijk aanleiding geven tot een
behoefte aan een andere invulling van assurance. Dan is
afstemming tussen de betrokken auditdiensten wenselijk,
hetgeen mogelijk leidt tot het consolidatiemodel.
Echte keten (keten met gelijkwaardige partners)
Bij de keten van gelijkwaardige partners hebben de auditors
van de ketenpartijen contact over de uit te voeren audits
gedurende de ontwikkeling van de keten. Het samenwerkingsmodel zal van het koker- of centrifugetype zijn, afhankelijk van de specifieke situatie. In de eerste fases van het
ontwikkelingsproject is het object van de audits vooral de
projectorganisatie. De belangrijkste onderzoeksvraag is of de
projectorganisatie in voldoende mate beheerst wordt. In de
latere fases van het project zijn mogelijke auditwerkzaamheden de beoordeling van opgeleverde (tussen)producten van
het project zoals het ontwerp van het ondersteunende ictsysteem, de specificatie van de koppelvlakken (in het bijzonder het aspect beveiliging), de toekomstige beheerorganisatie, het testproces, het kostenbeheer, et cetera.
Ketenaudits in de operationele fase
In de operationele fase is de auditfunctie vooral gericht op
het geven van zekerheid over de werking van de keten.
De klassieke uitbesteding (klant/leverancierrelatie)
In de operationele fase ligt het belang van assurance bij de
werking van de keten volgens de in het contract vastgelegde
afspraken. Het consolidatiemodel voor samenwerking tussen
de auditpartijen is toereikend.
45 | de EDP-Auditor nummer 2 | 2006
Semi-trust (uitbesteding op wettelijke basis)
Het betreft hierbij de uitvoering van de controlewerkzaamheden gericht onder meer op het vaststellen van de mate van
betrouwbaarheid van de financiële verantwoording, de werking van de informatiebeveiliging van de keten en dergelijke. Hierbij zal de samenwerking tussen de auditdiensten
verder invulling krijgen door onder meer nadere afspraken
over de auditaanpak en de afstemming over de verdeling van
de auditwerkzaamheden over de auditdiensten. Door middel
van het centrifugemodel kan de samenwerking tussen de
auditdiensten vorm worden gegeven. Daaronder vallen dan
gezamenlijke verantwoordelijkheid voor de auditaanpak en
het controleplan. Uitvoering van de werkzaamheden
geschiedt in nauw overleg met elkaar. De auditdiensten
nemen gezamenlijk verantwoordelijkheid voor het vaststellen van de bevindingen, conclusies en aanbevelingen en het
eindoordeel.
Semi-keten (eenzijdige gegevenslevering)
De verantwoordelijkheid voor het correct gebruik van de
ontvangen gegevens ligt bij de ontvangende partij. Indien
de verstrekte gegevens van groot belang zijn voor het primaire proces van de ontvangende partij kan deze steunen op
een mededeling over de kwaliteit van die gegevens afgegeven door de auditor van de verstrekkende partij. Over het
referentiekader als basis voor deze mededeling zijn bij voorkeur contractuele afspraken gemaakt.
Als het eigenaarschap van de gegevens (bijvoorbeeld in de
zin van de WBP) berust bij de verstrekkende partij zal deze
zich in de lijn van de eigen organisatie moeten verantwoorden over het naleven van de daarbij geldende (wettelijk vastgelegde) regels. Een mededeling van de auditor van de ontvangende partij kan dan worden geëist om zekerheid van
naleving van de contractuele afspraken te verkrijgen. Het
grondmodel is hierbij het meest passend.
Echte keten (keten met gelijkwaardige partners)
Bij gelijkwaardige partners vormen de tijdens de realisatiefase gemaakte afspraken de basis voor het te hanteren referentiekader. Deze afspraken zijn verankerd in een hiertoe
ontwikkelde verantwoordingsrichtlijn of in een tussen de
partijen overeengekomen convenant. Omdat de keten is
samengesteld uit een complex geheel van processen is een
auditaanpak op basis van een aantal deelaudits noodzakelijk
om de planning beheersbaar te houden. Voor de uitvoering
is het centrifugemodel daarom het meest voor de hand liggend. In de praktijk blijkt dat dit politiek gezien nog niet altijd
haalbaar is en vallen de auditors terug op een verantwoordelijkheidsverdeling volgens het brugmodel (kokermodel).
toegepast kunnen worden. Naar onze mening hebben we
daarbij een beeld kunnen neerzetten van de verschillende
soorten ketens die binnen het publieke domein aanwezig
zijn. Daarnaast is een verdere uitbouw opgesteld van de
mogelijke samenwerkingsvormen voor de auditors die bij de
keten betrokken zijn. Daarbij is een normatief model bereikt
waarmee de verschillende vormen van ketensamenwerking
vanuit de audit bediend kunnen worden. Belangrijk uitgangspunt voor de samenwerking tussen auditors is de mate
van samenwerking en bestuurlijke afstemming tussen de
opdrachtgevers voor audits.
Geconcludeerd kan worden dat een normatieve opzet een
belangrijke leidraad is voor het opzetten van de wijze van
samenwerking tussen auditors om een goede invulling van
ketenaudits te kunnen geven. De aangetroffen praktijksituaties leveren het beeld op dat daarin nog stappen voorwaarts
te maken zijn. Om de normatieve opzet toe te kunnen
passen, is het van belang duidelijk te krijgen welke partijen
betrokken zijn om een audit uit te voeren op een keten.
Daarbij past dat afspraken zijn gemaakt over de wijze waarop
binnen de keten verantwoording wordt afgelegd. Allemaal
elementen die bepalend zijn voor het opzetten van een wijze
van uitvoeren van audits.
In het artikel hebben we een verkenning opgenomen over
de wijze waarop dergelijke audits vervolgens inhoud kunnen
krijgen. Uit die verkenning concluderen we dat er nog een
verdere verdieping mogelijk is van de toolkit waarmee de
auditors op pad zouden moeten om op een efficiënte en
effectieve wijze de klantvragen te kunnen bedienen. Met het
schrijven van dit artikel hebben we vooral de ketenaudits
gericht op de betrouwbaarheid van ingerichte ketens voor
ogen gehad. De (EDP-)auditor kan ook in de fasen ontwerp
en realisatie het nodige bijdragen. Ook hiervan zijn diverse
voorbeelden uit de (overheids)praktijk bezien door de
auteurs. Voor het opzetten van een toolkit per fase is het van
belang eerst de soort van auditvraag te bezien in het licht
van de fase waarin een keten zich bevindt. Daarna kan de
auditor pas een toegespitste invulling aan de te gebruiken
toolkit geven. Genoeg input voor een verdere verkenning
van de governance en daarmee de audits op ketens!
1. Meer, drs. A.J. van der Meer e.a.; Ketenauditing, nieuw en daarom spannend; Auditdienst Ministerie van Financiën; 2004.
2 Ministerie van Binnenlandse Zaken en Koninkrijkrelaties, Ruimte voor
regie, 2004.
3 Grijpink, J.; Keteninformatisering en privacy.
Tenslotte
Met onze verkenning van het gebied van de ketens en de
audits die daarbij dienen te worden uitgevoerd, hebben wij
beoogd een ordening en structurering aan te brengen in de
audits die op verschillende verschijningsvormen van ketens
46 | de EDP-Auditor nummer 2 | 2006
Vooruit denken
Erasmus Universiteit Rotterdam. Vooruit denken.
Strategie voor uw eigen toekomst
EDP-Auditing (RE) (EMITA)
EDP-Auditing, ook wel IT-Auditing genoemd, houdt zich bezig met het beoordelen
van en adviseren over kwaliteitsaspecten op het terrein van geautomatiseerde informatievoorziening.
De opleiding EDP-Auditing aan de Erasmus Universiteit onderscheidt zich door haar
positionering tussen topmanagement en technologie met een accent op het eerste.
Daarbij wordt een accent gelegd op risk management en audittheorie.
Voor Accountants (RA) of Internal/Operational Auditors (RO) duurt de opleiding ruim
een jaar. De opleidingsduur voor studenten met een universitair of HBO-diploma
bedraagt twee jaar.
Internal/Operational Auditing (RO) (EMIA)
Voor degenen die al de opleiding EDP, RA of RC hebben gevolgd is er de mogelijkheid
om de opleiding Internal/ Operational Auditing in een jaar te voltooien.
Denk vooruit en kijk voor meer
informatie op www.esaa.nl
Elsevier FiscaalTotaal.
Gereedschap voor de fiscaal professional.
Om vakwerk te leveren is goed gereedschap een voorwaarde.
Ook in uw vak. Want mogelijkheden, regelingen en jurisprudentie
veranderen continu. En met Elsevier FiscaalTotaal heeft u ze
snel, eenvoudig en gesorteerd op uw scherm. Vanuit één bron,
Alles voor een optimaal advies.
Nu twee weken gratis.
één site, met uw eigen aantekeningen. Heeft u ook aangiftesoftware van Elsevier, dan kunt u daarin overal doorklikken
naar de relevante achtergrondinformatie op FiscaalTotaal.
Gratis proefabonnement.
U kunt nu gratis kennismaken met Elsevier FiscaalTotaal.
Met een proefabonnement heeft u twee weken lang toegang
tot FiscaalTotaal. Zo heeft u alle tools in handen om uw klanten
optimaal te adviseren. Vraag nu een (proef)abonnement aan.
Ga naar www.fiscaaltotaal.nl of bel (020) 515 91 64.
Elsevier Fiscale Media