scriptie jn van aalsum nr 1000 (palm) - · pdf...

Postgraduate IT Audit thesis -‐ J.N. van Aalsum

Soft Controls binnen de IT General Controls? Pagina 1

Soft Controls binnen de IT General Controls? Een onderzoek naar de toepassing van soft contols binnen de IT General Controls



Postgraduate IT Audit Vrije Universiteit Amsterdam

Studentnummer:

1695517

Scriptienummer:

1000

Student:

J. N. van Aalsum

Begeleider:

J. Hulstijn

Contact informatie: J.N. van Aalsum Tel: 06 518 24 888



Voorwoord

Tot voor drie jaar terug had ik nog nooit met de term IT General Controls te maken gehad.

Mijn werkervaring is begonnen als operator achter een mainframe waar ik batches startte,

back-‐ups maakte en prints uitdraaide. De werkzaamheden stonden beschreven in

documenten en ik deed wat me opgedragen werd.

In de jaren die volgden bleef de informatie technologie als een rode draad door mijn

dagelijkse arbeid lopen. Alle facetten van de IT passeerden de revue zonder dat ik hierover

nadacht in termen van het “in control zijn” en “mitigerende maatregelen”. Wel piekerde ik

regelmatig over het beperken van risico’s en het beheersen hiervan.

Nu na twintig jaar rond dwalen in de IT schrijf ik een scriptie over cultuur en gedragingen

binnen de IT waarbij ik specifiek de inzet van Soft Controls binnen de IT General Controls

onderzoek.

Deze scriptie is voor mij de afsluiting van de studie IT Audit aan de VU maar ook een

belangrijk punt in de voortzetting van mijn dwalen binnen de IT met als nieuw hoofdstuk

Audit. Ik wil alle mensen bedanken die een rol hebben gespeeld in de kennis en ervaring die

ik op dit moment bezit maar in het bijzonder Merlijn van Lint1 die aan de basis stond mijn

carrière zoals deze nu is.

Jan Nico van Aalsum

Heerenveen, maart 2010

1 Merlijn van Lint 9 nov 1996



Leeswijzer

In de afbeelding hieronder wordt op schematische wijze aangegeven hoe deze

scriptie is opgebouwd en hoe de onderwerpen zich tot elkaar verhouden:

Huidige manier van Audit

Verbeteringen ? Soft Controls

Gedrag / Cultuur IT General Controls Toekomstige manier

van Audit

Kan de IT Auditor dit

Onderzoek

Conclusie



INHOUD

1. INLEIDING & THEMATISERING................................................................................................................. 6

1.1 INLEIDING .....................................................................................................................................................6 1.2 IN CONTROL DOOR IT GENERAL CONTROLS ..........................................................................................................9 1.3 UITBREIDING IT GENERAL CONTROLS ...............................................................................................................11

2. THEORETISCH KADER .............................................................................................................................13

2.1 GEDRAG EN ORGANISATIE ..............................................................................................................................13 2.2 GEDRAG, CULTUUR EN ORGANISATIE................................................................................................................19 2.3 SOFT CONTROLS...........................................................................................................................................21 2.4 GEDRAG, CULTUUR EN SOFT CONTROLS............................................................................................................22 2.5 SOFT CONTROLS BINNEN DE IT GENERAL CONTROLS............................................................................................24 2.6 AUDIT EN SOFT CONTROLS .............................................................................................................................26 2.7 SOFT CONTROLS EN HET KENNISGEBIED VAN DE IT AUDITOR .................................................................................28

3. ONDERZOEK ..........................................................................................................................................29

3.1 METHODIEK ................................................................................................................................................29 3.2 RESULTATEN................................................................................................................................................31 3.3 BESCHOUWING RESULTAAT ONDERZOEK............................................................................................................36

4. DSB PRAKTIJK CASUS .............................................................................................................................38

5. CONCLUSIE ............................................................................................................................................44

5.1 IN HOEVERRE IS HET MOGELIJK OM ‘SOFT CONTROLS” TE TOETSEN BINNEN DE IT GENERAL CONTROLS ..........................44 5.2 BLIK VOORUIT: DE TOEVOEGING ‘GEDRAG EN ORGANISATIE’ IN DE IT GENERAL CONTROLS .........................................46 5.3 SUGGESTIES VOOR VERVOLGONDERZOEK ...........................................................................................................47 5.4 PERSOONLIJKE REFLECTIE EN TERUGBLIK OP DE SCRIPTIE........................................................................................48

BIBLIOGRAFIE................................................................................................................................................49



1. Inleiding & thematisering

1.1 Inleiding

De theorie van het auditen van IT General Controls lijkt zo eenvoudig, maar is dit

wel het geval? Auditors zijn gewoon om via een vooraf gedefinieerd control

framework een audit uit te voeren en de resultaten feitelijk te rapporteren. Al het

bewijsmateriaal wordt zorgvuldig gedocumenteerd waardoor de verwijzingen

hiernaar in het rapport geen enkel spoor van misverstand achter laten.

Maar hoe is het mogelijk dat risico’s werkelijkheid worden en in sommige

gevallen desastreuze gevolgen hebben voor organisaties?

Jérôme Kerviel wordt er in begin 2008 van verdacht dat hij zijn werkgever, de

Franse bank Société Générale, door ongeoorloofde transacties op de futuremarkt

opzadelde met een verlies van 4,9 miljard Euro. Kerviel had bij de bank op

verschillende afdelingen gewerkt waaronder de controle afdeling. Hierdoor was

hij volledig op de hoogte van de beheersmaatregelen die het controle team van

de bank uitvoerde ten behoeve van de interne controle en de jaarrekening.

In de meeste organisaties wordt niet onderkend dat het gedrag van

medewerkers, of beter de fouten en misdragingen een risico in de continuïteit

opleveren.

De maatregel tot de beheersing van de continuïteit wordt als een onderdeel van

de IT General Controls getest maar zijn we in de huidige vorm wel volledig in de

audit? Er bestaan uit gekristalliseerde normen en standaarden, zoals Cobit2, voor

het auditen van de harde controls maar zou de audit niet compleet zijn wanneer

we op een juiste manier de Soft Controls kunnen testen?

De hoofdvraag van deze scriptie is: Worden binnen de IT General Controls de

risico’s beter onderkend door het toetsen van “Soft Controls”.

2 Cobit, http://www.isaca.org/



PALM verzekeringen (hierna PALM), mijn werkgever, is een financiële instelling.

Zoals elke financiële instelling, staat ook PALM onder toezicht van DNB. Dit

toezicht houdt onder andere in, dat DNB toets in hoeverre PALM met haar

organisatie “ in control” is.

Met andere woorden, in hoeverre worden de risico’s welke een financiële instelling als PALM loopt, binnen de organisatie afgedekt door toereikende controlemaatregelen. De risico’s kunnen zowel organisatorisch, financieel als IT technisch zijn en de controls zullen daar dan ook op toegespitst zijn. Niet alleen de toezichthouder, maar ook andere stakeholders, zoals de Raad van Commissarissen, de Raad van Bestuur en de externe accountant willen vaststellen in hoeverre PALM “ in control” is.

Hiertoe worden binnen PALM regelmatig audits uitgevoerd, zowel door de IA-‐

afdeling (interne audit) en de externe account, waarbij ik heb vastgesteld dat tot

nu toe voornamelijk de “Harde Controls” worden getoetst om een beeld te

krijgen in hoeverre de organisatie in control is. Echter een belangrijk aspect voor

een organisatie, om controlemaatregelen te doen slagen, is in mijn ogen de

cultuur van de organisatie en het gedrag van de medewerkers. Ik wordt in deze

mening ondersteunt door diverse wetenschappelijke onderzoeken van Wallage,

Roth, van Bergenhenegouwen, naar cultuur en gedrag. Meningen en methodes

van deze onderzoekers worden later in deze scriptie uitgewerkt of geciteerd.

Deze onderzoeken zal ik als theoretisch kader in mijn scriptie hanteren.

In deze scriptie wil ik daarom aan de orde stellen in hoeverre het verstandig is om

naast deze “ harde controls” ook “ soft controls” te toetsen. Dit geldt natuurlijk

niet alleen binnen de IT General Controls, maar binnen alle controls in de

organisatie. Vanwege mijn opleiding tot IT auditor beperk ik mij in deze scriptie

tot de IT General Controls.

De subvraag van deze scriptie is: Wanneer er besloten wordt om “Soft Controls”

te toetsen binnen de reguliere audit, is de PALM (IT) Auditor dan in staat om

“Soft Controls” te toetsen?

Het antwoord op deze twee vragen wil ik verkrijgen door een literatuur studie en

het uivoeren van een enquête onder de Auditors van PALM. Deze enquête wordt

uitgevoerd om een beeld te verkrijgen hoe de Auditor binnen PALM denkt over

“Soft Controls” en het inzetten van de “Soft Controls” binnen de Audit.



In hoofdstuk 1 wordt er ingegaan op de controle van de IT General Controls en

welke uitbreiding er noodzakelijk zou zijn wil je Soft Controls kunnen testen..

In hoofdstuk 2 wordt vervolgens beschreven wat gedrag is en hoe vandaag de dag

wordt omgegaan met gedrag, cultuur en Soft Controls in de organisatie. Er wordt

uitgelegd wat Soft Controls zijn. Wanneer er Soft Controls zouden toegevoegd

worden aan de IT General Controls zal de IT Auditor dit ook moeten kunnen

beoordelen, maar is hij of zij hier wel toe instaat?

In hoofdstuk 3 wordt de enquête besproken die ik in het kader van het onderzoek

heb uitgevoerd. De enquête is hoofdzakelijk bedoeld om er achter te komen hoe

er gedacht wordt over gedrag, cultuur en Soft Controls binnen de PALM

organisatie. Hiervoor heb ik alle auditors een enquête formulier verstuurd en is

het antwoord verwerkt.

Hoofdstuk 4 de conclusie geef ik mijn oordeel of het verstandig is om “Soft

Controls” te toetsten binnen de IT General Controls. Hierbij gebruik ik ook de

mening van de auditors van PALM. Dit kan omdat PALM een ‘representatieve’

organisatie is binnen de financiële sector. Verder wordt er vooruit geblikt naar de

toekomst en wordt er een suggestie gedaan voor een vervolgonderzoek en een

persoonlijke reflectie op deze scriptie.



1.2 In control door IT General Controls

De belangrijkste functie van de IT General Controls is op dit moment dat de

relevantie informatie voldoet aan de gestelde eisen van betrouwbaarheid en

beschikbaarheid. Voor de beheersing van de infrastructuur is een stelsel aan

maatregelen en procedures nodig die worden aangeduid als IT General Controls:

• beleid;

• fysieke beveiliging;

• logische toegangsbeveiliging;

• wijzigings-‐ en probleembeheer;

• testen;

• back-‐up en recovery en uitwijk.

De IT General Controls worden geaudit aan de hand van een vooraf gedefinieerd

control framework. De set van beheersmaatregelen in dit framework zijn veelal

afgeleid van COBIT, ITIL3, code voor informatiebeveiliging4 of Coso5.

COBIT's success as an increasingly internationally accepted set of guidance

materials for IT governance has resulted in the creation of a growing family of

publications and products designed to assist in the implementation of effective

IT governance throughout an enterprise. http://www.isaca.org

Al deze audit methodes zijn voornamelijk gericht op harde controls. De IT Auditor

meet het “in control” zijn van een IT organisatie af aan het beoordelen van de IT

General Controls en de Application Controls. De IT Auditor stelt een normenkader

op en vult dit met informatie en evidence met betrekking tot de systemen en

applicaties.

3 http://www.itil-‐officialsite.com

4 http://www2.nen.nl/nen/servlet/dispatcher.Dispatcher?id=234731

5 http://www.coso.org/



Onderstaande punten zijn een voorbeeld wat zoal beoordeeld kan worden:

• de omgeving waar de computers staan. Denk aan koeling, brandveiligheid,

stroomstoring;

• de toegangsbeveiliging van de computerruimtes;

• het dubbel uitvoeren van systemen;

• het beschikbaar hebben van extra systemen indien één van de systemen

uitvalt;

• het dubbel opslaan van informatie, of het zodanig opslaan van informatie dat

deze bij een gedeeltelijk verlies is te reconstructuren (RAID);

• het hebben van verzekeringen ter beperking van de schade.

De processen omtrent bovenstaande punten moeten in opzet, bestaan en

werking aanwezig en beschreven zijn. Aan de mate van de eerder genoemde

betrouwbaarheid en beschikbaarheid meten we af of we “ in control” zijn.

Wanneer de IT Auditor op deze wijze zijn beoordeling heeft gegeven vertrouwt

de accountant op de deskundigheid van de IT Auditor en kan na gelang het

positieve of negatieve antwoord al dan niet steunen op de geteste processen.

Geeft het op deze manier van controleren ook daadwerkelijk vertrouwen dat de

organisatie “ in control” is? In deze scriptie zal ik onderzoek doen naar deze

vraag.



1.3 Uitbreiding IT General Controls

Vandaag de dag worden IT General Controls voornamelijk op harde controls

getest. Ik vraag me in het hoofdstuk “In control door IT General Controls” af of

het testen op deze wijze een schijn zekerheid is of dat we kunnen stellen dat de

huidige methode voldoende is.

In de IT General Controls wordt het onderwerp continuïteit getest en proberen

we vast te stellen wat de bedreigingen zijn inzake de voortgang van de

organisatie.

Wanneer we een voorbeeld van een te toetsen punt nemen vanuit het hoofdstuk

1.2, de toegangsbeveiliging van de computerruimtes;

mogen we dan stellen dat wanneer alle processen (opzet) beschreven zijn,

daadwerkelijk zijn ingevoerd (bestaan) en de beheersmaatregelen het afgelopen

jaar juist hebben gefunctioneerd we in control zijn qua continuïteit? Naar mijn

mening beslist niet!

Naar mijn idee kan een organisatie niet blind vertrouwen op een

beheersmaatregel die het gehele vorige jaar heeft gewerkt wanneer je kijkt naar

het komende jaar. Het gedrag van de persoon welke de maatregel uitvoert speelt

hier een grote rol.

Wat zorgt ervoor dat een beveiligingsbeambte de ene keer wel een check doet op

een persoonsidentiteit en de andere keer niet en zouden we hier ook niet

beheersmaatregelen moeten treffen.

De audit van IT General Controls zou doeltreffender zijn wanneer

er een hoofdstuk “Gedrag en Organisatie” opgenomen wordt.

De doelstelling van deze toevoeging zou er op gericht moeten zijn welk gedrag

wenselijk is (opzet), welke cultuur heerst er op dit ogenblik (bestaan) en of er

gedragswijzigingen hebben plaatsgevonden het afgelopen jaar (werking).



Wanneer we puur aan gedrag denken wordt er niet direct een associatie gelegd

naar de IT omgeving van de organisatie. Ik kan me er aan ontrekken dat de eerste

gedachte dan ook zou zijn; hoort het controleren en bijsturen van gedrag wel bij

een IT auditor en specifiek in dit geval de IT General Controls? Hier verder over

filosoferend zouden we ook deze lijn door kunnen trekken naar de fysieke

toegangsbeveiliging. Hoort testen van een fysieke toegang wel tot het

takenpakket van de IT auditor en is dit niet iets wat bij bijvoorbeeld bewaking

moet liggen?

In deze scriptie wordt geen antwoord geven op de vraag waarom er niet of

onvoldoende op Soft Controls wordt getest maar ga ik onderzoeken of risico’s

beter worden getoetst door het toevoegen van “Soft Controls” aan de IT

General Controls en zo ja is de IT Auditor bij machte om deze audit uit te

voeren.

De IT Auditors behoren risico’s te onderkennen en een audit uit te voeren op de

beheersmaatregelen die zijn getroffen om risico’s te mitigeren. Wanneer je

vanuit deze stelling redeneert en doortrekt naar de IT General Controls moet een

IT Auditor alle risico’s beoordelen die een bedreiging kunnen vormen voor de IT

omgeving.

De terechte vraag die volgt is; kan het gedrag van een medewerker van een

organisatie een risico vormen voor bijvoorbeeld de continuïteit van deze

organisatie. Het antwoord zal eenduidig “ja!” zijn, maar waarom wordt dit gedrag

niet of onvoldoende opgenomen in de IT Genral Controls?



2. Theoretisch kader

“Soft Controls” hebben als uitgangspunt gedrag en cultuur. Door dit hoofdstuk wil

ik tonen hoe gedrag is opgebouwd en hoe cultuur en gedrag zich tot elkaar

verhouden in een organisatie. Voorts wordt een uitleg gegeven wat “Soft

Controls” zijn volgens een Jim Roth, de Amerikaanse goeroe op het gebied van

“Soft Controls”. Er wordt ook ingegaan op het auditen van “Soft Controls” en de

vraag of de IT Auditor van nu instaat is om deze controls te toetsen. Dit hoofdstuk

moet een antwoord geven op de vraag of door het toetsen van “Soft Controls”

binnen de IT General Controls beter de risico’s

2.1 Gedrag en Organisatie

Gedrag is onder te verdelen in bewust of gepland gedrag en onbewust of

automatisch gedrag.

In de psychologie wordt over het algemeen gesteld dat

slechts 5 %6 van ons gedrag werkelijk bewust wordt

gekozen. Dit zijn wel vijf belangrijke procenten. Het

draait hierbij om keuzes voor de langere termijn.

Het resterende gedrag is meestal onbewust en

automatisch. Het is gedrag dat wordt gestuurd door

prikkels die worden ervaren wanneer een medewerker

binnen de organisatie werkzaamheden verricht.

Wanneer we kijken naar gedrag binnen een

organisatie gecombineerd met Soft Controls onderscheid ik twee

gedragscategorieën:

1. Onbewust gedrag

2. Bewust gedrag

Verder in dit hoofdstuk wordt dieper op het bewuste en onbewuste gedrag in

gegaan.

6 Tiggelaar B. (2005) Dromen durfen doen

Bewust gedrag 5 %

Onbewust gedrag 95 % Afbeelding 1



Het “IJsbergmodel” (afbeelding 2) opgesteld door van Bergenhenegouwen7

Van Bergenhenegouwen stelt dat door gedrag hierbij een verdeling aan van hoog

naar laag met betrekking tot de veranderbaarheid en de belangrijkheid. Heel duidelijk

is daardoor te zien dat de waarden, normen, beroepsethiek en morele maatstaven

erg belangrijk zijn maar ook dat de veranderbaarheid hiervan erg laag is. Dit wil niet

zeggen dat het niet mogelijk is, maar we zullen meer onderzoek en toetsing binnen

de organisatie moeten verrichten om de risico’s hierin te kunnen beheersen.

7 IJsbergmodel van Bergenhenegouwen, Gids voor Personeelsmanagement jaargang. 85 nr. 1 -‐ 2006

Veranderbaarheid Hoog

Belangrijkheid Laag

Hoog Laag

Zelfconcept, motieven, inzet, gedrevenheid en overtuigingskracht

Waarden, normen, beroepsethiek en morele maatstaven

Intermediaire

vaardigheden

Vakkennis en vaardigheden

IJsbergmodel volgens Bergenhenegouwen et al (1999)

Afbeelding 2



1. Onbewust gedrag

In de psychologie stelt men dat één van de uitgangspunten is dat elke mens uniek

is en onbewust met gedachten zijn gedrag beïnvloedt. Gebeurtenissen die in het

verleden, vaak de in de jeugd fase, hebben plaatsgevonden vormen deze

onbewuste processen. Het denken, handelen en voelen van een persoon wordt

op deze wijze beïnvloedt door het verleden.

In 2007 presenteerde de Radboud Universiteit in samenwerking met

cultuurcentrum LUX in Nijmegen de nieuwste vindingen op het gebied van de

sociale psychologie in een gepopulariseerde vorm met de titel Buiten Bewustzijn.

De centrale boodschap was dat de tijd van Freud en zijn definitie van het

onbewuste voorbij is. Het onderbewustzijn is niet meer het duistere terrein van

seks en agressie, maar veeleer een schatkamer vol intuïtieve mechanismen die

het gedrag sturen, genoemd: het adaptieve onbewuste.

De verwerkingscapaciteit van het onbewuste brein is groter, het legt verbanden,

werkt associatief, pakt beelden, emoties, ervaringen mee en is daardoor slimmer.

Professor Ap Dijksterhuis: ‘Zet het onderbewustzijn doelgericht voor je aan het

werk. Geef het de opdracht een beslissing te nemen en ga vervolgens iets anders

doen, ondertussen is je brein onbewust aan het nadenken en rolt er een betere

beslissing uit.’

In de psychologie is een stroming die men behaviorisme noemt. De

behavioristische theorie is vooral ontwikkeld in de Verenigde Staten rond 1920.

Belangrijke grondleggers zijn: Pavlov8, Watson9 en Skinner10.

De theorie komt er in het kort op neer dat het mogelijk is om gedrag te

voorspellen door gedragsbeïnvloeding.

8 Ivan Petrovitsj Pavlov (1849 – 1936) was een Russische fysioloog. Hij is bekend van de onderzoekingen van conditioneringen.

9 John Broadus Watson (1878 – 1958) was een Amerikaanse psycholoog.

10 Burrhus Skinner (1904 – 1990) was een invloedrijk Amerikaans psycloog.



Het gedrag kun je meten iets wat je meet is betrouwbaar. Het meten van dit

gedrag is in mijn geval de audit “Soft Controls” binnen de IT General Controls. De

basis is dat er principes gevonden worden om (goed) gedrag in stand te houden

waardoor het voorspelbaar is en iets kan zeggen over de continuïteit.

Door het voorspellen, meten en het beïnvloeden van onbewust gedrag kunnen

ook de risico’s hieromtrent worden getoetst en dan dus zichtbaar gemaakt

worden. Risico’s die niet zouden worden getoetst wanneer alleen de reguliere

maatregelen van de IT General Controls getoetst worden.



2. Bewust gedrag

Met het begrip “bewust gedrag” wil ik het gedrag van een medewerker

aanduiden die het resultaat van zijn of haar handelen overziet.

Dit gedrag kan positief maar natuurlijk ook negatief zijn, waardoor risico’s binnen

de organisatie ontstaan. Deze risico’s, samen met de risico’s die kunnen ontstaan

door het onbewuste gedrag, willen we ondervangen door controls en vallen door

deze categorisering in de Soft Controls. Het “bewust gedrag” heeft alles te maken

met integeriteit van de medewerker. De heer Muel Kaptein11 heeft een model

uitgezet waarin helder wordt uiteengezet hoe integeriteit, bewust gedrag,

onderverdeeld kan worden;

Integriteit12

zelfregulerend vermogen

• Helderheid

Groepen kunnen blind raken voor de publieke moraal, ondanks dat er

bijvoorbeeld een gedragscode is;

• Voorbeeldgedrag

Goed voorbeeld doet goed volgen en slecht voorbeeld doet slecht volgen;

• Handhaving

Niets is zo dodelijk als integriteitbeleid dat met veel tamtam wordt

geïntroduceerd en dat de eerste de beste overtreder niet wordt bestraft;

zelfvoorzienend vermogen

• Betrokkenheid

Achteloosheid, gebrek aan motivatie en loyaliteit, respectloze behandeling

kunnen een bron van niet-‐integer gedrag zijn;

• Uitvoerbaarheid

Een andere belangrijke reden voor niet-‐integer gedrag is vaak dat mensen

worden opgezadeld met onrealistische doelen en onvoldoende middelen;

11

Vink, H.J.A, Kaptein M., Soft Controls bij de rijksoverheid: een onder-‐ zoek naar de oorzaak van rechtmatigheidsfouten, Maandblad voor

Accountancy en Bedrijfseconomie

12 Muel Kaptein (1969) professor in bedrijfsethiek en integriteits-‐ management aan de Erasmus Universiteit.



zelfcorrigerend vermogen

• Transparantie

Hoe lager de detectiekans, hoe groter de overtreding;

• Bespreekbaarheid

Wanneer praten over integriteit een taboe is dan wordt de doofpot al snel

een beerput;

Deze zeven factoren zijn binnen een organisatie de voedingsbodem voor integer

dan wel niet-‐integer gedrag. Wanneer deze zeven factoren aanwezig zijn binnen

een organisatie mogen we spreken van een integere organisatie.

Dan is het helder wat van medewerkers wordt verwacht. Zijn dilemma’s

bespreekbaar. En worden managers en medewerkers bijvoorbeeld aangesproken

op hun gedrag.

Wanneer deze factoren niet aanwezig zijn geeft dat een “red flag” inzake de

integriteit van de organisatie.

Uiteindelijk zijn bovenstaande zeven fatoren uitgangspunten voor Soft Controls.

In de zin dat het gaat om hoe managers en medewerkers deze factoren ervaren,

ondervinden en percipiëren.

Ze zijn soft omdat deze factoren niet direct waarneembaar zijn, maar zijn ingebed

in de cultuur en klimaat van de organisatie.

De heer Kaptein geeft voorts aan dat deze Soft Controls “integriteitmaatregelen”

door een enquête onder de medewerkers getest zou kunnen worden. Persoonlijk

zou ik een andere wijze van toetsen kiezen. Ik twijfel door de beperkte mate van

geloofwaardigheid inzake objectiviteit waardoor de methode weinig betrouwbaar

wordt in de meting van gedragsvaardigheden. Mijn voorkeur gaat dan ook uit

naar integriteitmaatregelen die doormiddel van interview worden getoetst.

Door het toetsen “Integriteitmaatregelen” van bewust gedrag kunnen ook de

risico’s hieromtrent worden getoetst en dan dus zichtbaar gemaakt worden.

Risico’s die niet zouden worden getoetst wanneer alleen de reguliere

maatregelen van de IT General Controls getoetst worden.



2.2 Gedrag, Cultuur en Organisatie Een gevoel, gedachte of idee zijn zaken die te maken hebben met cultuur. Cultuur

is niet direct zichtbaar en moeilijk doorbreekbaar. Cultuur is ook aangeleerd en

blijft vaak lang hetzelfde. Volgens Hofstede13 houdt het begrip organisatiecultuur

het volgende in: een organisatiecultuur is een collectieve mentale programmering

die de leden van de ene organisatie onderscheidt van die van een andere.

Hiermee wil Hofstede aangeven dat elke organisatie zijn eigen cultuur heeft.

Een omschrijving van een organisatiecultuur is die van Schein. Hij reserveert het

begrip cultuur van een organisatie voor:

“The deeper level of basic assumptions and beliefs that are shared by members

of an organization, that operate unconsciously, and that define in a basic ‘taken

– for – granted’ fashion an organization’s view of itself and its environment.” – Schein -‐ 14

De zienswijze van Schein komt er op neer dat de organisatiecultuur is als een ui

(afbeelding 3) welke bestaat uit meerdere lagen. Hoe dichter je bij de binnenste

laag komt hoe moeilijker deze is te veranderen. Hij onderscheidt van binnen naar

buiten de volgende lagen in de

organisatiecultuur:

• Normen en waarden • Helden, mythen en rituelen • Gedragscodes en uitingsvormen

13 Hofstede, G., Allemaal andersdenkenden

14 Schein, E. H., Organization culture & leadership

Afbeelding 3



Een sterke organisatiecultuur kan een belangrijk bindend element vormen. De

cultuur vindt haar oorsprong in onder andere de historie van het bedrijf

(oprichters, leidersfi-‐guren, fusies, verhuizingen, beleidswijzigingen), de branche

en het type markt waarop men actief is. Cultuur is de wijze waarop mensen met

elkaar omgaan, de doelen die zij gezamenlijk nastreven of de waarden die

worden gedeeld. De kern van cultuur is openheid en eerlijkheid. Een cultuur

waarin mensen weten waar de organisatie naar toe gaat, waarom bepaalde

beslissingen zijn genomen, en wat er van hen verwacht wordt. Interne

communicatie en het gedrag van het management speelt daarin een cruciale rol.

De cultuur van een organisatie is vaak bepalend voor alle processen die zich

voordoen binnen de organisatie. Wanneer de cultuur zodanig is dat

vooropgezette processen in gevaar komen door onduidelijke communicatie,

geslotenheid van het management, oneerlijke of een niet eenduidige behandeling

van de medewerkers levert dit risico op. Door het meten van cultuur,

bijvoorbeeld de communicatie, openheid management, omgang en bejegening

van de medewerkers binnen een organisatie, kunnen risico’s betreffende

bedrijfsprocessen beter getoetst worden. Wanneer we dit binnen de IT General

Controls toetsen levert dit een meerwaarde op ten opzichte van een methode

waar niet op cultuur wordt getoetst.



2.3 Soft Controls

De kern van soft controls betreft vooral het proces om het gedrag van individuen

in overeenstemming met – veelal expliciet geformuleerde – ideaalbeelden van

bestuurders en leidinggevenden te doen zijn en zichtbaar te maken in welke mate

dat al dan niet lukt. Het gaat dus om pogingen van bovenaf om het gedrag van

medewerkers te beheersen. In feite komt deze bedoeling op hetzelfde neer als de

systemen van ‘competentiemanagement’ die de laatste jaren in veel organisaties

zijn ingevoerd, als pogingen om de mankerende werking van harde P&C systemen

te verbeteren met een aanpak die meer op de menskant is gericht.

Waar gaat het bij soft controls meer concreet om? In veel benaderingen van soft

controls lijkt vooral het meetbaar maken van aspecten die te maken hebben met

de stijl van leidinggeven, cultuur.15

Hartog en de Korte geven16 een aantal voorbeelden en aspecten van definities:

• De Heus en Stremmelaar definiëren het onderscheid tussen harde en

zachte controls op basis van de mate waarin het de persoon zelf

beïnvloedt ofwel op basis van de effecten van de controls. Soft controls

gaan dieper en beïnvloeden de overtuigingen of zelfs de persoonlijkheid

van de medewerkers, terwijl harde controls meer zijn gericht op het

gedrag en de vaardigheden.

• Soft controls worden ook wel eens onderscheiden naar de mate waarin ze

kunnen worden waargenomen of zelfs ‘beetgepakt’. Vooraanstaande

collega’s plegen te roepen dat soft controls ‘hard’ zijn zodra je ze

‘meetbaar’ hebt gemaakt!

• Of worden onderscheiden naar de mate waarin het direct het gedrag

betreft.

• Nog een andere invalshoek betreft de volgende definitie: soft controls zijn

alle (persoonlijke en sociale) gedragsfactoren en aspecten die bepalen of

(harde) controls al dan niet effectief zijn.

15 TPC hoofdartikel juni 2008

16 Hartog, P., Korte, R. de, Twintig over Internal/ Operational Auditing, 2003, Vera/ Eurac



2.4 Gedrag, Cultuur en Soft Controls

In Nederland wordt redelijk veel gepubliceerd17 en geschreven omtrent het

onderwerp Soft Controls.

De algemene mening betreffende een softe aanpak is een niet al te positieve

aanpak. Soft wordt over het algemeen geassocieerd met niet streng en niet

doortastend of het onvermogen tot orde

houden.

Bij Soft Controls denken wij vooral aan het

gebruiken van een aanpak die rekening houdt

met mensen ‘zoals ze zijn en doen’, dus met hun

sterke en zwakke kanten en hun eigen waarden

(het ‘Ist’), die kunnen afwijken van de dikwijls

expliciet geformuleerde kernwaarden van een

organisatie (het ‘Soll’).

Er zou meer aandacht moeten komen voor de

cultuur in organisaties binnen de accounting en auditing. Wanneer werkgevers en

werknemers duidelijk samen doelen afspreken wordt het begrip voor elkaar

steeds groter en zullen beide partijen zich daar beter aan houden.

Volgens hoogleraar accountantscontrole aan de Universiteit Amsterdam Philip

Wallage vormen Soft Controls het antwoord op bijvoorbeeld de huidige banken

crisis.

17 Arts, F. (2009) Soft controls? Ik zie ze niet! CIAD Blog november 2009

http://ciadblog.wordpress.com/2009/11/25/soft-‐controls-‐ik-‐zie-‐ze-‐niet/

Bos, P, de Korte R., (2008) Soft Controls: wie het begrijpt heeft niet goed nagedacht, Audit magazine nr. 4 2008

Hartog, P.H., Leijtens H. (1999) Social Auditing: de harde invloed van soft controls, De Operational Auditor, nr. 2

1999

Soft Controls

Controls gericht op het bewust

beïnvloeden van het innerlijke

(persoonlijkheid en overtuigingen) van

de medewerker tot uiting komend in

het gedrag van de medewerker bij het

realiseren van de gestelde doelen van

de organisatie



Een citaat van Wallage:18

Er moet een betere balans komen tussen regels en vertrouwen, zo meent

Wallage.

De manier waarop organisaties bestuurd worden heeft namelijk alles te maken met de angst voor het nemen van eigen verantwoordelijkheid. Weliswaar besteden organisaties veel geld en aandacht aan het beter in

control zijn en leidt dit tot een duidelijkere verdeling van taken, rollen en

verantwoordelijkheden, aan de andere kant is het hoogst onzeker of deze

maatregelen tot een lager risicoprofiel leiden.

Er zijn immers legio negatieve neveneffecten zoals juridisering en een

risicomijdende cultuur.

Wallage denkt dan ook dat Soft Controls, meer eigen verantwoordelijkheid en

meer vertrouwen beter dan de hard controls fouten en fraude voorkomen.

Hoewel de roep om meer toezicht als gevolg van de crisis steeds luider klinkt,

acht hij het juist nu de tijd om een pleidooi te houden voor het gebruik van Soft

Controls. Er is volgens hem immers behoefte aan nieuwe ideeën en idealen.

Wanneer er in de top van een organisatie een ‘graai’ cultuur heerst zal de organisatie

die daar onderzit zich niet direct verantwoordelijk voelen voor de continuïteit van

deze organisatie. “Tone at the top” is een veel gehoorde en toepasselijke kreet. Maar

ook hoe collega’s met elkaar omgaan is een key control in de cultuur van de

organisatie.

Samengevat betekend dit dat vooral vertrouwen in elkaar ervoor zorgt dat we meer

verantwoordelijkheid durven te nemen. Dit vertrouwen kan alleen ontstaan wanneer

werkgever en werknemer samen doelen stellen en deze door regel tot uitvoering

brengen.

18 Wallage P., Soft Controls als antwoord op de crisis



2.5 Soft Controls binnen de IT General Controls

Vanuit de definitie van Soft Controls van Roth (1997)19 zijn de volgende

sociaalorganisatorische aspecten te benoemen die bepalend kunnen zijn voor een

systeem van Soft Controls:

-‐ Integriteit van de medewerker en ethische waarden

-‐ Organisatorisch commitment t.o.v. competenties

-‐ Management filosofie

-‐ De stijl van leiding geven door het management

-‐ Het onderkennen en begrijpen van risico’s door het management

-‐ Communicatie

Deze aspecten kunnen worden toegepast als “Soft Controls” wanneer we het over IT General Controls hebben. Elke organisatie zal voor zichzelf moeten uitmaken hoe deze factoren worden getoetst en risico’s in deze worden afgedekt door maatregelen. Maar in algemene zin zouden de normen als uitgangssituatie van de “Soft Controls” er uit kunnen zien als deze tien voorbeelden: 1. Op de hoogte zijn van de doelen van de organisatie en deze onderschrijven

2. Zien dat hun leidinggevenden zowel binnen als buiten de organisatie de

maatschappelijk aanvaarde kernwaarden van organisatie verkondigen.

3. Integer en in lijn met de kernwaarden van de organisatie en maatschappij

handelen

4. De visie van hun leidinggevenden erkennen en hun stijl van leidinggeven als

constructief ervaren

5. Op de hoogte zijn van interne richtlijnen en deze naar eer en geweten naleven

6. Zich thuis voelen in de cultuur van de organisatie

7. Op de hoogte gehouden worden van belangrijke ontwikkelingen in de

organisatie en maatschappij

8. Hun verantwoordelijkheden kennen en hierop worden afgerekend

9. Zien dat het management een weloverwogen risicohouding heeft op korte en

lange termijn

10. Op een constructieve manier met elkaar samenwerken

19 Roth, J., ‘A hard look at Soft Controls’, Internal Auditor, Institute of Internal Auditors, How to Evaluate Soft Controls



De Soft Controls zijn bruikbaar om te toetsen binnen de IT General Controls. Een voorbeeld wordt hieronder gegeven aan de hand van de logische

Toegangsbeveiliging:

Norm:

Logische toegang policies zijn gedocumenteerd

Maatregel (hard)

Logische toegang policies zijn vastgesteld, gedocumenteerd en worden jaarlijks

beoordeeld volgens vaste procedures

Maatregel (soft)

Het management en de medewerkers zijn op de hoogte van het feit dat de

vastgestelde logische toegang policies jaarlijks moeten worden beoordeeld,

voeren deze werkzaamheden ook daadwerkelijk naar eer en geweten uit en

kennen de redenen waarom dit belangrijk is.

Op deze manier worden de Soft Controls gekoppeld aan de Harde Controls om

het gedrag en het bewust zijn van de medewerkers en het management te

toetsten. Dit is een manier wanneer de Soft Controls geïntegreerd worden in de

huidige toetsing. Een andere manier zou kunnen zijn dat er een hoofdstuk

“Gedrag en Organisatie” wordt opgenomen in de reguliere hoofdstukken van de

IT General Controls. Dit zou gedaan kunnen worden door een vragenlijst op te

stellen in het hoofdstuk “Gedrag en Organisatie”. Een vraag die hier in thuis zou

horen is bijvoorbeeld: Hoe worden de medewerkers op de hoogte gehouden door

de interne richtlijnen met betrekking tot de IT General Controls en hoe zorgt het

management ervoor dat deze naar eer en geweten worden nageleefd?

Door een extra hoofdstuk “Gedrag en Organisatie” op te nemen in de IT General

waarin de “Soft Controls” worden getoetst kan een beter beeld ontstaan van het

gedrag van de medewerkers en het management en de cultuur van de

organisatie. In het hoofdstuk met daarin het gedrag uitgewerkt hebben we

kunnen zien dat gedrag en cultuur extra risico’s opleveren. Wanneer we deze niet

toetsen worden een aantal risico’s niet mee genomen in de audit en kunnen we

stellen dat de audit niet volledig is.



2.6 Audit en Soft Controls

Wanneer vastgesteld wordt dat het verstandig is om Soft Controls op te nemen in de IT General Controls dan moeten deze Controls ook geaudit worden.

Jim Roth wordt gezien als een guru op het gebied van Soft Controls. Hij hanteert een benadering waar de focus wordt gelegd op de effecten: bent u tevreden met …. Zo nee, wat zou daaraan moeten worden gedaan? Of; wat zijn de problemen / risico’s. Hoe komt dit en waar ligt dat aan?

Roth hanteert de volgende stappen:20

1. Het definiëren van de evaluatiecriteria ofwel van de gewenste effecten.

2. Het bevragen van de manager ‘how do you assure yourself that ...?’ en

mogelijk van medewerkers ‘do other employees understand ...? .

3. Vervolgens dient de auditor hiervoor ‘evidence’ te verzamelen.

4. Pas daarna wordt gekeken naar het onderliggende proces.

In de praktijk wordt deze benadering vaak ingevuld door de Soft Controls te definiëren in termen van de werking van harde controls:

Harde controls: Zachte controls:

Code of conduct Internalisatie van de normen en waarden

Programma om verbetermogelijkheden te initiëren (bijvoorbeeld ideeënbus)

Management luistert echt en staat open voor verbetermogelijkheden

Compliance Handboek Medewerkers begrijpen de richtlijnen en voelen zich verantwoordelijk

20 Roth, J., ‘A hard look at Soft Controls’, Internal Auditor, Institute of Internal Auditors, How to Evaluate Soft

Controls

Afbeelding 4



Roth geeft hierin aan dat deze aanpak vooral bruikbaar is wanneer het gaat om het definiëren van verbeterpunten. Om te komen tot een oordeel over de kwaliteit is deze aanpak minder van toepassing.

Een andere manier om de Soft Controls te auditen is het opstellen van vragenlijsten, groepsinterviews en observaties om het gedrag en dus de cultuur, houding en motivatie te toetsen.

Een voorbeeld van stellingen zou kunnen zijn:

• Er is een code of conduct, waarvan het management het belang aangeeft • Senior management demonstreert sterke ethische waarden • Onze targets zijn realistisch en haalbaar • Onze medewerkers hebben de kennis en vaardigheden om hun taken goed

uit te voeren • Onze afdeling leert van haar fouten • Medewerkers worden eerlijk behandeld • Management stimuleert open communicatie

Wanneer we bovenstaande stellingen willen toepassen op de IT General Controls zullen er meer inhoudelijke normen moeten worden opgenomen. Een voorbeeld van een interne softe controle maatregel wordt hieronder gegeven.

Interne controledoelstelling

Logische beveiliging tools en technieken zijn geïmplementeerd en geconfigureerd

om toegang te krijgen tot programma’s en data.

Interne harde controle maatregel

Gebruikers hebben een uniek eigen account en werken alleen onder hun eigen

account naam.

Interne softe controle maatregel

De medewerkers zijn ervan overtuigd dat ze alleen moeten inloggen onder hun

eigen account en dat gebruik van het account van een ander risico’s met zich mee

brengt en begrijpen ook de risico’s wanneer ze dit niet doen.

Wanneer we op deze manier een audit uitvoeren kunnen we niet alleen

vaststellen dat een medewerker onder zijn eigen account werkt maar dat hij ook

het nut hiervan inziet en het dus ook daadwerkelijk uitvoert.



2.7 Soft Controls en het kennisgebied van de IT Auditor

Om een beeld te kunnen geven wat het minimale kennisgebied van de IT Auditor

is neem ik als voorbeeld de postdoctorale IT Audit opleiding aan de VU in

Amsterdam en vergelijk ik dit met een specialisatie in het vakgebied van de studie

psychologie.

De studieprogramma’s21 22 laten zien dat het bestuderen van gedrag en de

beïnvloeding hiervan in het vakgebied van de studie psychologie liggen. Binnen

de IT Audit studie aan de VU in Amsterdam wordt weinig tot geen aandacht

besteed aan de relatie gedrag en de organisatie. De kennis die de IT Auditor na

zijn studie aan de VU in Amsterdam heeft zal dan ook puur zijn eigen ervaring en

kunde moeten zijn die hij zich zelf eigen gemaakt heeft of opdoet via een andere

studie.

De IT Auditor zal na zijn studie goed kunnen beschrijven hoe de organisatie

volgens ITIL ingericht dient te worden en welke harde beheersmaatregelen je

moet testen om tot een volledig en juist oordeel te komen. Wanneer we het op

deze manier beschouwen is er dus een tekort, wanneer je opgedane ervaring

voor en na de opleiding buiten beschouwing laat, aan kennis op het gebied

“Gedrag en Organisatie” wanneer een IT Auditor zijn studie heeft afgerond.

De volgende vraag komt dan direct aan de orde: Welke kennis zou een IT Auditor

moeten bezitten om “Gedrag en Organisatie” op een juiste manier te kunnen

beoordelen? Een mogelijkheid hiertoe is het extra trainen van de IT Auditor in

organisatiesociologie of een extra vak psychologie en gedrag in de IT Audit

opleiding en ook door zijn werkervaring zal hij meer ervaring opdoen met gedrag

en cultuur binnen organisaties. Door de instroom van auditors met andere dan

bedrijfeconomische (voor)opleiding, is mijn verwachting dat er meer ervaring zal

ontstaan in ‘feeling’ hebben met “Soft Controls”.

21 http://www.feweb.vu.nl/nl/opleidingen/postgraduate-‐opleidingen/it-‐audit-‐opleiding/programma/index.asp

22 http://www.vu.nl/nl/opleidingen/masteropleidingen/opleidingenoverzicht/p-‐r/psychologie/specialisaties-‐en-‐

afstudeerrichtingen/index.asp



3. Onderzoek

3.1 Methodiek

Ik heb gekozen voor een enquête als onderzoeksmethode. De vragen zijn gesteld

aan alle auditors (28) van mijn werkgever PALM. Dit om een beeld te verkrijgen

hoe de Auditor binnen PALM denkt over “Soft Controls” en het inzetten van de

“Soft Controls” binnen de Audit.

Vraag 1: Binnen de IT General Controls worden een aantal facetten getest. Welk facet geeft volgens u de meeste risico’s? Doel: Soft Controls zijn belangrijk inzake de continuïteit van de organisatie en ik wil weten of medewerkers continuïteit als een groot risico facet zien. Vraag 2: Vindt u dat met de audit methode van nu alle risico’s met betrekking tot de IT General Controls worden afgedekt?

Doel: Met deze vraag wil ik onderzoeken of medewerkers de huidige audit methode voldoende vinden en dus alle risico’s in kaart brengt.

Vraag 3: Wat zijn volgens u de belangrijkste Soft Controls?

Doel: Welke van de gegeven Soft Controls hebben de meeste invloed op de organisatie volgens de PALM auditors.

Vraag 4: Wat is bepalend voor uw gedrag, betreffende het naleven van regels, binnen de organisatie?

Doel: Mensen kunnen gecorrigeerd worden in hun gedrag en met deze vraag wil ik erachter komen welke manier het meest effectief is volgens de medewerkers.



Vraag 5: Soft Controls zijn belangrijk voor de continuïteit van een organisatie, dus is het inschatten en sturen van gedrag daarmee belangrijk geworden. Denkt u dat het toekomstig gedrag van een medewerker getoetst kan worden?

Doel: Verwachten de auditors van PALM dat je kunt inschatten hoe een medewerker zich over een jaar zal gedragen of is er niets zo veranderlijk als de mens.

Vraag 6: Waarom wordt het auditen van Soft Controls belangrijker?

Doel: Wat is de reden dat we meer en meer de Soft Controls zullen gaan testen.

Vraag 7: Voor welke gebieden zijn volgens u Soft Controls van belang?

Doel: In welk gebied zitten de meeste risico’s inzake Soft Controls.

Vraag 8: Wat zou procentueel het getal moeten zijn inzake Soft Controls binnen de interne audit van de PALM?

Doel: In welke mate zouden Soft Controls geaudit moeten worden om aan te kunnen geven of de organisatie ‘in control’ is.

Vraag 9: Vindt u dat Soft Controls een onderdeel moeten zijn van de IT General Controls?

Doel: Vind de medewerker het verstandig / noodzakelijk om Soft Controls toe te voegen aan de IT General Controls.

Vraag 10: Denkt u dat een IT Auditor in staat is om Soft Controls binnen de IT General Controls te auditen?

Doel: Is de IT Auditor wel capabel genoeg om Soft Controls te auditen.



0% 25% 50% 75% 100%

0% 25% 50% 75% 100%

3.2 Resultaten

Vraag 1: Binnen de IT General Controls worden een aantal facetten getest. Welk facet geeft volgens u de meeste risico’s?

Continuïteit

Fysieke toegangsbeveiliging

Logische toegangsbeveiliging

Computer operations Geen idee

Vraag 2: Vindt u dat met de audit methode van nu alle risico’s met betrekking tot de IT General Controls worden afgedekt?

Ja Nee

Weet niet

Meeste risico Totaal

Risico’s afgedekt Totaal

43,9%

2,3%

10,6%

7,6%

4,8%

38,1%

35,6%

57,1%



0% 25% 50% 75% 100%

0% 25% 50% 75% 100%

Vraag 3: Wat zijn volgens u de belangrijkste Soft Controls?

Motivatie van de medewerker Cultuur binnen de organisatie

De mate van integriteit Stijl van leidinggeven Geen idee

Vraag 4: Wat is bepalend voor uw gedrag, betreffende het naleven van regels, binnen de organisatie?

Management

Salaris

Represailles Opvoeding Geen idee

Belangrijkheid Totaal

Meest bepalende Totaal

19%

39,7%

29,2%

12,1%

0%

28,7%

0%

9,3%

3,9%

58,1%



0% 25% 50% 75% 100%

0% 25% 50% 75% 100%

Vraag 5: Soft Controls zijn belangrijk voor de continuïteit van een organisatie, dus is het inschatten en sturen van gedrag daarmee belangrijk geworden. Denkt u dat het toekomstig gedrag van een medewerker getoetst kan worden?

Nee Ja, door assesments

Ja, door audit Geen idee

Vraag 6: Waarom wordt het auditen van Soft Controls belangrijker?

Het beschermen van de reputatie van de organisatie De top van de organisatie vraagt erom Om fraude te ontdekken Het alleen auditen van Harde Controls is niet voldoende om risico’s af te dekken

Geen idee

Mogelijkheid toetsing Totaal

Meest belangrijke reden Totaal

40,9%

20,4%

21,5%

24,2%

7,8%

3,9%

6,3%

57,8%

17,2%



0% 25% 50% 75% 100%

0% 25% 50% 75% 100%

Vraag 7: Voor welke gebieden zijn volgens u Soft Controls van belang?

Compliance Beveiliging Financiële vastlegging Human resource / Personeel

Geen idee

Vraag 8: Wat zou procentueel het getal moeten zijn inzake Soft Controls binnen de interne audit van de PALM?

0 – 20 % 20 – 40 %

40 – 60 %

60 – 80 %

80 – 100 % Geen idee

Soft Controls binnen audit Totaal

Van belang Totaal

32,6%

29%

14,9%

21,3%

2,3%

19%

28,6%

14,3%

0%

0%

38,1%



0% 25% 50% 75% 100%

0% 25% 50% 75% 100%

Vraag 9: Vindt u dat Soft Controls een onderdeel moeten zijn van de IT General Controls?

Nee, hoeven in z’n geheel niet geaudit te worden Nee, laat dit door bijvoorbeeld HR doen

Ja, maar minimaal Ja, als apart onderdeel van IT General Controls

Geen idee

Vraag 10: Denkt u dat een IT Auditor in staat is om Soft Controls binnen de IT General Controls te auditen?

Nee, een IT auditor is geen psycholoog Ja Ja, maar hij / zij zal hiervoor Extra training nodig hebben Geen idee

Soft Controls binnen IT GC Totaal

In staat te auditen Totaal

0%

9,2%

26,6%

55 %

9,2 %

4,8 %

9,5 %

76,2 %

9,5 %



3.3 Beschouwing resultaat onderzoek

Het onderzoek heeft plaatsgevonden onder de auditors van PALM. Ik ben me er

van bewust dat dit niet kan gelden als een algemene mening onder auditors.

PALM is door de grote van de organisatie, ruim 4500 medewerkers en 180

kantoren, een representatieve organisatie. Er werken 28 auditors verdeeld onder

de Financial, IT en Operational audit.

Continuïteit wordt zoals de verwachting was als eerste genoemd inzake het

grootste risico binnen de organisatie. Opmerkelijk is dat ook de logische

toegangsbeveiliging vaak wordt aangegeven. Mijn verklaring hiervoor is dat dit

misbruik van toegang tot het computersysteem ervoor kan zorgen dat

onbevoegden bij de financiële gegevens van de organisatie kunnen, wat gezien

wordt als een duidelijk risico.

Het grootste deel van de ondervraagden weet niet of de huidige methode van het

testen alle risico’s afdekt met betrekking tot de IT General Controls. Bijna vijf

procent geeft aan dat de risico’s voldoende worden afgedekt waardoor mijn

conclusie is dat de huidige methode nog risico’s open laat die getest moeten

worden.

Cultuur scoort het hoogste in de mate van belangrijkheid inzake de Soft Controls

en integriteit wordt als tweede genoemd. Integriteit is niet los te koppelen van

misbruik en wordt in deze enquête belangrijk gevonden.

Management en opvoeding worden bij de auditors zelf als belangrijkste factor

genoemd voor het naleven van de regels. Represailles schijnen weinig invloed te

hebben en salaris geeft in deze groep geen extra stimulans om de regels na te

leven.

De ondervraagden vinden dat vooral vooraf door een assessment moet worden

getoetst of het gedrag van een aanstaande medewerker de continuïteit van de

organisatie in gevaar zal brengen waar zeventien procent aangeeft dat het sturen

of toetsen van een (aanstaande) medewerkers geen zin heeft. In een assessment

toetst men het gedrag en persoonlijkheid van de medewerker en op deze manier

probeert de organisatie een inschatting te maken hoe de aanstaande medewerk

in verschillende situaties zal zich zal gedragen.



Op deze manier probeert de organisatie toekomstige risico’s door toedoen van

deze aanstaande medewerker te voorkomen.

Men is het met de stelling eens dat alleen het toetsen van Harde Controls niet

voldoende is om alle risico’s af te dekken. In combinatie met andere vragen

ondersteund dit mijn visie dat het testen van Soft Controls verstandig en

wenselijk is.

Alle aangegeven gebieden worden als belangrijk gezien met betrekking tot het

toetsen van Soft Controls. Wat opvallend is dat de financiële verslaglegging als

minst belangrijk wordt gezien.

Gemiddeld genomen wordt tussen twintig en veertig procent gezien als het percentage Soft Controls binnen de generieke audit binnen PALM. Dit mag toch als een duidelijk signaal gezien worden met betrekking tot de inzet van Soft Controls. Meer dan tachtig procent geeft aan dat het noodzakelijk is om de Soft Controls

toe te voegen aan de IT General Controls waarvan meer dan vijftig procent

aangeeft dat het een apart onderdeel van de IT General Controls zou moeten zijn.

Bijna alle ondervraagden zijn het er mee eens dat de IT Auditor op dit moment

niet instaat is om de Soft Controls te testen of vindt dat er in ieder geval extra

training nodig is.

Conclusie

Uit de enquête blijkt dat de auditors van PALM vinden dat er nog risico’s

ongetoetst blijven bij de huidige testmethode en dat door het testen van Soft

Controls de risico’s gereduceerd kan worden. De cultuur wordt gezien als

belangrijke beheersmaatregel inzake de integriteit binnen de organisatie. Het

gedrag van de medewerkers dient vooral vooraf, door assesments, getoetst te

worden omdat men vermoedt dat beïnvloeding later moeilijk is. Het management

(tone at the top) heeft volgens de ondervraagden een grote invloed op deze

cultuur en het gedrag. De auditor van PALM geven ook dat zij vinden dat er nog

training nodig is om de “Soft Controls” naar behoren te toetsen.

Samengevat: De auditors van PALM vinden dat door het toevoegen van “Soft

Controls” de risico’s beter worden getoetst, maar zij zijn voorts van mening dat

er training noodzakelijk is om deze “Soft Controls” voldoende te kunnen

beoordelen.



4. DSB praktijk casus

In deze casus wil ik tonen hoe het mogelijk is dat een accountant, volgens de wet,

een goedkeurende verklaring kan afgeven terwijl er nog risico’s ongetoetst blijven

welke achteraf desastreus voor de organisatie blijken te zijn. Voorts wil ik

aantonen dat wanneer op “Soft Controls” getest wordt er een betere toetsing van

de risico’s plaatsvindt.

De DSB is in 1975 opgericht als Buro Frisia door zakenman Dirk Scheringa en zijn

vrouw Baukje Scheringa-‐de Vries.

Het bedrijf leverde hypothecaire en consumptieve leen-‐, spaar-‐, en

verzekeringsproducten aan particulieren en had in Nederland een marktaandeel

van circa 17% op het gebied van consumptief krediet.

Op 24 december 2005 kreeg de DSB van De Nederlandsche Bank een

bankvergunning. Anders dan bij veel andere banken kwam de winst bij de DSB

vooral uit provisie-‐inkomsten, afkomstig van de verkoop van koopsommen en

overlijdensrisicoverzekeringen die tegelijk met de hypothecaire en consumptieve

leningen worden verkocht. Deze koppelverkoop is officieel verboden in

Nederland; de consument moet opletten en de Autoriteit Financiële Markten

moet er op toezien. Er gebeurde echter langere tijd niets en DSB kon doorgaan

met deze verkoopmethode. Pas in 2009 kwam de methode uitgebreid in de

media in opspraak.

Door de maatschappelijke druk raakte DSB Bank in opspraak. Klanten (Afb. 5)

zochten contact met de media nadat zij in de financiële problemen waren geraakt

door een hypotheeklening bij DSB Bank.

De koopsom werd aan de DSB betaald uit een verhoging van de hypothecaire

lening. Het afsluiten van een (overlijdens)risicoverzekering naast een hypotheek

is niet ongebruikelijk. Wel is het ongebruikelijk om deze verzekering in één keer

te betalen. Er werd gesteld dat DSB tot wel 80% provisie in rekening bracht van

de koopsom, hoewel DSB zelf stelde dat dit gemiddeld slechts 51% bedroeg en

dat dit percentage voor de sector niet ongebruikelijk was.



In Afbeelding 5 is te zien dat de rente inkomsten van de bank niet rendabel

waren. De verliezen werden opgevangen door de behaalde winsten met door

koppelverkoop verkochte koopsompolissen. Op deze polissen zat een provisie

van 80%, welke ter discussie gesteld werd bij het bekend worden in de

maatschappij en de politiek. Hierdoor namen de winsten uit dit product af en

konden de verliezen van de rente inkomsten niet meer dekken. Deze verliezen

tezamen met het opkomen van claims inzake de koopsompolissen zorgde ervoor

dat er een liquiditeit probleem bij de bank ontstond.

In mei 2009 heeft de Autoriteit Financiële Markten (AFM) twee boetes opgelegd,

omdat de DSB Bank onzorgvuldig was geweest bij het verstrekken van

hypotheekleningen.

Op 28 september 2009 vertelden oud-‐medewerkers van de DSB Bank in het tv-‐

programma NOVA dat de bank systematisch en op grote schaal zoveel en zo hoog

mogelijke koopsompolissen verkocht, zonder de klant te waarschuwen voor de

risico’s. De koopsompolissen werden via koppelverkoop aan de man gebracht:

zonder koopsompolis kreeg de klant geen hypotheeklening. Van de (overbodige)

koopsommen kwam minimaal 80% als provisie bij DSB terecht.

Rente inkomsten

Product inkomsten

Claims

Maatschappelijke en politieke druk

Afbeelding 5 Tijd

Geld



Op 1 oktober 2009 om 7.45 uur deed Pieter Lakeman van de Stichting

Hypotheekleed een oproep in het KRO-‐programma Goedemorgen Nederland. Hij

riep alle rekeninghouders op om hun tegoeden bij de DSB Bank weg te halen:

'DSB moet failliet', aldus Lakeman. Tien dagen na de oproep van Lakeman bleken

de problemen bij DSB aanzienlijk. In drie dagen hadden rekeninghouders 317

miljoen opgenomen, hetgeen was opgelopen tot 664 miljoen op het moment dat

de rechtbank tot een noodregeling besloot.

Op verzoek van de bewindvoerders heeft de rechtbank de DSB Bank op 19

oktober 2009 failliet verklaard.

Had het failliet gaan van de bank voorkomen kunnen worden? Op deze vraag kan

ik niet met zekerheid antwoord geven, maar een feit is dat Accountantskantoor

Ernst & Young op 29 juni de jaarrekening 2008 van DSB Bank goedkeurde zonder

verdere waarschuwingen of vraagtekens.

Om er achter te komen wat de beweegredenen waren van Ernst & Young om een

goedkeurende verklaring te geven kijken we naar wat de wet hierover

voorschrijft:

Artikel 2:393 lid 3 BW

De accountant onderzoekt of de jaarrekening het in artikel 362 lid 1 vereiste

inzicht geeft.

Artikel 2:362 lid 1 BW

De jaarrekening geeft volgens normen die in het maatschappelijk verkeer als

aanvaardbaar worden beschouwd een zodanig inzicht dat een verantwoord

oordeel kan worden gevormd omtrent het vermogen en het resultaat, alsmede

voor zover de aard van een jaarrekening dat toelaat, omtrent de solvabiliteit en

de liquiditeit van de rechtspersoon.

Belangrijk in deze wettekst is het begrip “in het maatschappelijk verkeer als

aanvaardbaar worden beschouwd”. De koopsompolissen die door de DSB met

een provisie van minimaal 80% zijn verkocht, worden door de maatschappij niet

als aanvaardbaar beschouwd waardoor gesuggereerd zou kunnen worden dat

onterecht een goedkeurende verklaring is afgegeven.



Alleen heeft het “ maatschappelijk aanvaardbare beschouwen” alleen betrekking

op de solvabiliteit en de liquiditeit van de rechtspersoon. Wat buiten

beschouwing wordt gelaten is de continuïteit. Wanneer in de jaarrekening van

2008 inzake de continuïteit een oordeel had moeten worden gegeven dan zou

het gedrag en de cultuur van de organisatie ook getoetst en gerapporteerd

moeten worden. Het gedrag en de cultuur van een organisatie is zoals eerder

geschreven in deze scriptie in een hoge mate afhankelijk van het beleid wat

opgesteld is door de top van de organisatie. Het beleid van de DSB was er

opgericht dat minimaal 80% provisie behaald werd door de koppelverkoop van

koopsompolissen. Deze winsten zijn niet maatschappelijk aanvaard en gaven

daarmee op de lange termijn risico’s in de continuïteit van de organisatie.

Wanneer hadden deze risico’s hoogst waarschijnlijk wel onderkend kunnen

worden en was er op tijd ingegrepen, zodat een faillissement afgewend kon

worden?

Afbeelding 6 toont het stelsel van maatregelen. Onder in de driehoek vinden de

uitvoerende controle werkzaamheden plaats, het zogenaamde “vinken”. Op dit

niveau worden in de huidige audit vooral de “Harde Controls” getoetst. In het

midden van de driehoek vindt het “professional judgement” van de accountant

plaats en toetsing van de “entity level controls”.

Accountant Toezicht

Stelsel

van maatregelen

CEO / CFO

Uitvoerende controle

werkzaamheden (vinken)

Waardering

accountant (professional judgment)

Gap Soft Controls

Hard Controls

Afbeelding 6



Hier worden de conclusies getrokken en wordt er op basis van de vastgestelde

toetsingsresultaten een accountantsverklaring geformuleerd.

Al deze maatregelen zijn er op gericht om risico’s binnen de organisatie te beheersen. Wanneer we kijken naar de bovenkant van de driehoek, CEO & CFO, dan is daar een “Gap” ontstaan betreffende het toetsen van maatregelen. In hoofdstuk 2.5 zijn een aantal normen opgenomen die als uitgangssituatie van “Soft Controls” kunnen gelden. Wanneer we deze normen zouden toepassen op de situatie bij de DSB zouden norm 2, 3 en 9 signalen opgeleverd moeten hebben, te weten: 2. Zien dat hun leidinggevenden zowel binnen als buiten de organisatie de

maatschappelijk aanvaarde kernwaarden van organisatie verkondigen.

Het via koppelverkoop aan de man brengen van koopsompolissen waarop

tenminste 80% als provisie bij de DSB terecht kwam is geen maatschappelijk

aanvaarde kernwaarde.

3. Integer en in lijn met de kernwaarden van de organisatie en maatschappij

handelen

Geen hypothecaire lening verstrekken wanneer niet gelijktijdig een koopsompolis wordt afgesloten is geen integere kernwaarde in de maatschappij. 9. Zien dat het management een weloverwogen risicohouding heeft op korte

en lange termijn

Koppel verkoop van koopsompolissen is niet geoorloofd in Nederland. Er werd

niet ingegrepen door controlerende instanties maar als organisatie weet je dat dit

geen verstandig beleid is en dat dit voor de langere termijn extra risico’s op gaat

leveren. De maatschappij zal vroeg of laat niet akkoord gaan met het betalen van

80% provisie en dit zal zich tegen de organisatie keren.



Wanneer in Artikel 2:362 lid 1 BW naast solvabiliteit en de liquiditeit ook

continuïteit was opgenomen, hadden resultaten inzake de toetsing van

bovenstaande “Soft Controls” ook opgenomen moeten worden in de

accountantsverklaring waardoor duidelijker zou zijn geworden welke risico’s de

organisatie liep.

Resumerend zijn in deze casus alleen “Harde Controls” getoetst waardoor de

accountants verklaring aan alle minimale eisen voldeed die de wet voorschrijft.

Maar dat alle risico’s die de DSB liep beschreven heeft moet ik bestrijden en mijn

inziens gaat het hierbij een accountants verklaring wel degelijk om. Achteraf

bleken door de heersende cultuur en het beleid binnen de organisatie risico’s te

ontstaan die tot de ondergang van de organisatie hebben geleid.

Waarschijnlijk was met het alleen toetsen van “Soft Controls” binnen de IT

General Controls het faillissement van de DSB niet voorkomen maar in

combinatie van het toetsten van “Soft Controls” door de gehele organisatie was

deze kans aanzienlijk groter geweest of in ieder geval was eerder zichtbaar

geworden dat door het onverantwoorde beleid risico’s zijn ontstaan die zo groot

werden dat ze de ondergang van deze organisatie betekenden.



5. Conclusie

5.1 In hoeverre is het mogelijk om ‘Soft Controls” te toetsen binnen de IT

General Controls

IT General Controls gaan uit van het volgen van procedures en richtlijnen zoals bijvoorbeeld; computer operations, change management en logische toegangsbeveiliging.

Onderzoeker J. Roth geeft aan dat het testen van alleen de harde controls niet alle risico’s afdekt en een in control statement kan geven. De onderzoeken van de heer Roth ‘A hard look at Soft Controls’ laten zien dat het auditen van bedrijfscultuur, vertrouwen en gedrag (Soft Controls) een completer beeld geeft van het gehele veld van risico’s.

Wanneer ik in mijn persoonlijke werkomgeving kijk zijn de “Soft Controls” en het

auditen hiervan een ondergeschoven kindje. Voornamelijk worden alleen controls

beoordeeld waarvan de auditor harde feiten op tafel kan leggen. Mijn

persoonlijke ervaring is dat raden van bestuur en audit commissies willen niet

geconfronteerd worden met een onderbuik gevoel.

Wanneer je alleen al de bibliografie van deze scriptie bekijkt is er veel literatuur

geschreven en artikelen geplaatst welke een oordeel hebben over Soft Controls

en de organisatie. Mijn beeld, door twintig jaar IT ervaring, is dat er op dit

moment weinig “Soft Controls” worden geaudit binnen de Financial en IT auditing

met namen in de top van de organisatie.

Soft Controls meten de cultuur van de organisatie welke wordt gevormd door het

gedrag van de medewerkers.

Mijn conclusie betreffende gedrag na het onderzoek is: Door het voorspellen, meten en het beïnvloeden van onbewust gedrag kunnen

ook de risico’s hieromtrent worden getoetst en dan dus zichtbaar gemaakt

worden. Door het meten van “Integriteitmaatregelen” betreffende bewust

gedrag kunnen ook de risico’s hieromtrent worden getoetst en dan dus zichtbaar

gemaakt worden.



Andersom geldt ook dat de cultuur het gedrag van medewerkers beïnvloed. Goed voorbeeld doet volgen is het credo. Tone at the top. Wanneer in de top van de organisatie de integriteit ver te zoeken is zal dit in de rest van de organisatie zijn weerslag hebben.

Mijn conclusie betreffende cultuur in de organisatie na het onderzoek is:

Door het meten van cultuur, bijvoorbeeld de communicatie, openheid

management, omgang en bejegening van de medewerkers binnen een

organisatie, kunnen risico’s betreffende bedrijfsprocessen beter getoetst worden.

Op de vraag of risico’s beter geaudit kunnen worden wanneer Soft Controls

toegevoegd worden aan de IT General Controls is mijn antwoord “ja”.

Na mijn onderzoek ben ik tot de conclusie gekomen dat door het toevoegen van

“Soft Controls” binnen de IT General Controls risico’s beter onderkend worden.

Voorwaarde hieraan is dat de Soft Controls binnen de gehele organisatie

doorgevoerd moeten om effectief en dan dus meetbaar te kunnen zijn.

Het toevoegen van Soft Controls kan meer inzicht in de risico’s geven en betere

garanties geven betreffende de continuïteit van de werking van de IT General

Controls. Er zal verder onderzoek gedaan moeten worden naar de manier hoe en

door wie. Mijn voorstel hierin zou zijn om een passage ‘Gedrag en Organisatie’ op

te nemen in de IT General Controls. In deze passage zal op zo’n manier op gedrag

en cultuur geaudit moeten worden dat er een beeld ontstaat welke extra risico’s

de organisatie loopt.

In de enquête hebben de auditor van PALM antwoord gegeven op de vraag of zij

in staat zijn om “Soft Controls” te toetsen?

De auditors van PALM vinden dat door het toevoegen van “Soft Controls” de

risico’s beter worden getoetst, maar zij zijn voorts van mening dat er training

noodzakelijk is om deze “Soft Controls” voldoende te kunnen beoordelen.

Mijn persoonlijke mening hierin is dat wanneer de opleiding tot IT Auditor aan de

VU meer aandacht aan de audit van “Soft Controls” zou besteden ik nog beter

risico’s zou kunnen toetsen.



5.2 Blik vooruit: De toevoeging ‘Gedrag en Organisatie’ in de IT General

Controls

Het gedrag van medewerkers binnen een organisatie kent veel afhankelijkheden.

Het grootste gedeelte van het gedrag wordt bepaald door ervaringen uit de jeugd

maar externe factoren kunnen het gedrag in het hier en nu beïnvloeden.

Wanneer we vooruit kijken naar de audit van de IT General Controls verwacht ik

dat men meer en meer gebruik zal gaan maken van tools en applicaties om aan te

tonen of een organisatie ‘in control’ is. Systemen sluiten steeds meer en beter op

elkaar aan en wanneer we kijken naar ERP applicaties kunnen we stellen dat het

online auditen niet ver weg meer is. Om een audit uit te voeren hoeft de IT

Auditor dan niet meer naar de klant maar kan hij door in te loggen op zijn audit

tool de status van de IT General Controls live uitlezen.

Gedrag daarentegen is niet of lastig via een tool te auditen. De IT Auditor zal zich

moeten voorbereiden op een toekomst waarin waarschijnlijk Soft Controls een

belangrijk onderdeel worden van zijn werkzaamheden.

In een artikel in de Automatisering Gids23 was al te lezen dat de Rijksuniversiteit

van Groningen een nieuwe opleiding start inzake IT Auditing: De Rijksuniversiteit Groningen komt met een nieuwe opleiding over IT-‐auditing. De

studie draait onder andere om risicomanagement, compliance en it-‐governance. De

opleider wil zich vooral richten op de manier waarop in de toekomst met IT-‐auditing

wordt omgegaan. Volgens de universiteit gaat het in de ict de laatste jaren minder

om operationeel ondernemen en is strategie belangrijker geworden. De IT-‐auditing,

die de organisatie van de automatisering in de gaten houdt, verandert daardoor

ook. ‘Het vakgebied IT-‐audit zal een toekomstgericht karakter krijgen, waarbij

assurance, audit en assessment integraal benaderd worden', aldus professor en

hoogleraar information management Hans Wortmann die daarmee onder andere

doelt op de betrouwbaarheid van informatiesystemen. Volgens de hoogleraar houdt

de IT-‐auditor van de toekomst zich vooral bezighouden met effectiviteit en bedrijfs-‐ en

beheerprocessen.

De IT audit risico’s worden uitgebreid met de factor “Gedrag” en zo ook de IT

General Controls dus zal ook de aanpak moeten veranderen door een IT Auditor

die zich bewust en opgeleid is om gedrag te kunnen beheersen door middel van

maatregelen. 23 Automatisering Gids 19 juni 2009



5.3 Suggesties voor vervolgonderzoek

Een suggestie voor een vervolgonderzoek zou een onderzoek kunnen zijn naar de

concrete beheersmaatregelen om ‘Gedrag en Organisatie’ binnen de IT General

Controls vorm te geven.

Welke maatregelen zorgen ervoor dat gedragsrisico’s afnemen of beheersbaar

worden.

Een resultaat zou een control framework moeten zijn waarmee de IT Auditor uit

de voeten kan om een standaard audit uit te voeren en als resultaat kan

opnemen in zijn dossier. De Audit van ‘Gedrag en Organisatie’ binnen de IT

General Controls wordt hierdoor tastbaar en is gebaseerd op feiten.



5.4 Persoonlijke reflectie en terugblik op de scriptie

Deze scriptie heeft mij een betere visie op “Soft Controls” gebracht. Niet alleen

dat we er slim aan doen om ze op te nemen in de IT General Controls maar vooral

het feit dat het meten van gedrag een belangrijke factor is in de continuïteit van

een organisatie. Aan het begin verwachtte ik dat deze scriptie vooral zou gaan

over fraude maar gaandeweg kwam ik tot de conclusie dat dit maar een klein

gedeelte inzake Soft Controls bestrijkt. Nooit heb ik me zo verdiept in gedrag en

cultuur in combinatie met risico’s, waardoor ik beter ben gaan beseffen welke

risico’s buiten de “Harde Controls” nog meer aanwezig zijn.

Waar ik net begon te wennen aan de reguliere audit komen er bij het auditen van

“Soft Controls” nog een heel scala aan controls bij waardoor het auditen nog

intensiever wordt. Gedrag is divers en kan grillig zijn waardoor toetsen van

controls binnen de IT voor IT Auditors een kunst op zich wordt. Door dit

onderzoek ben ik me er ook meer bewust van geworden dat een integere en

oprechte cultuur waar medewerkers zich veilig en verbonden voelen van

levensbelang is voor een organisatie.



Bibliografie

Tiggelaar, B. (2005) Dromen, durven, doen, Spectrum

Landsberg, M. (1999) De TAO van motivatie, inspireer uzelf en anderen, Academic

Services

Da Veiga, Eloff J.H.P. (2009) A Framework and Assessment Instrument for

Information Security Culture, Computers & Security 2009

Robbins, S., Judge T. (2008) Gedrag in organisaties

Soons, T., Soft Controls -‐ http://www.alterlogic.nl/publicaties/SoftControls.pdf

Stremmelaar M.T.L., de Heus R.S. (2000) Auditen van Soft Controls

Otten, J.H.M., (2001) Alignment audit, Operational auditor 2001

Schein, E. H. (2004) Organization culture & leadership

Swinkels, W. (2003) Tone at the top

Bos, P, de Korte R., (2008) Soft Controls: wie het begrijpt heeft niet goed

nagedacht, Audit magazine nr. 4 2008

Wallage P. (2009) Soft Controls als antwoord op de crisis, profnews

Hartog, P.H., Leijtens H. (1999) Social Auditing: de harde invloed van soft controls,

De Operational Auditor, nr. 2 1999

Roth, J., ‘A hard look at Soft Controls’, Het audit magazine nr. 4 2009

Vink, H.J.A, Kaptein M. (2008) Soft Controls bij de rijksoverheid: een onder-‐ zoek

naar de oorzaak van rechtmatigheidsfouten, Maandblad voor Accountancy en

Bedrijfseconomie nr. 6 (2008)

Hofstede, G.J, Hofstede G. (2005) Allemaal andersdenkenden

Ouchi, W. G. (1981) Theory Z



Aardema, H., Puts, H. (2008) De harde werking van soft controls TPC Hoofdartikel

juni 2008

Rijneveld, T., Willems, S., Belang van Soft Controls voor privacy PWC Spotlight

uitgave 3 2009

Campbell, I., Relying upon the organisation’s Ethical Environment

http://www.facilitatedcontrols.com/internal-‐auditing/softcrtl.shtml

Arts, F. (2009) Soft controls? Ik zie ze niet! CIAD Blog november 2009

http://ciadblog.wordpress.com/2009/11/25/soft-‐controls-‐ik-‐zie-‐ze-‐niet/

Klijn E. (2010) De Harde Realiteit van Soft Controls

Publicatiehttp://www.amsterdambusinessschool.nl/emia/nieuws.cfm/9941C176-‐

1321-‐B0BE-‐A418E00E17B9D73C

Loon B. (2010) Onderzoek Soft Controls bij interne accountantsdiensten KPMG

Advisory 2010

Tiggelaar B. (2005) Dromen durfen doen

Hartog, P., Korte, R. (2003) Soft Controls, object van de auditor Artikel Auditing.nl

2003

IJsbergmodel van Bergenhenegouwen, Gids voor Personeelsmanagement

jaargang. 85 nr. 1 -‐ 2006

scriptie jn van aalsum nr 1000 (palm) - · pdf...

Documents