scriptie jn van aalsum nr 1000 (palm) - · pdf...
TRANSCRIPT
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Soft Controls binnen de IT General Controls? Pagina 1
Soft Controls binnen de IT General Controls? Een onderzoek naar de toepassing van soft contols binnen de IT General Controls
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Soft Controls binnen de IT General Controls? Pagina 2
Postgraduate IT Audit Vrije Universiteit Amsterdam
Studentnummer:
1695517
Scriptienummer:
1000
Student:
J. N. van Aalsum
Begeleider:
J. Hulstijn
Contact informatie: J.N. van Aalsum Tel: 06 518 24 888
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Soft Controls binnen de IT General Controls? Pagina 3
Voorwoord
Tot voor drie jaar terug had ik nog nooit met de term IT General Controls te maken gehad.
Mijn werkervaring is begonnen als operator achter een mainframe waar ik batches startte,
back-‐ups maakte en prints uitdraaide. De werkzaamheden stonden beschreven in
documenten en ik deed wat me opgedragen werd.
In de jaren die volgden bleef de informatie technologie als een rode draad door mijn
dagelijkse arbeid lopen. Alle facetten van de IT passeerden de revue zonder dat ik hierover
nadacht in termen van het “in control zijn” en “mitigerende maatregelen”. Wel piekerde ik
regelmatig over het beperken van risico’s en het beheersen hiervan.
Nu na twintig jaar rond dwalen in de IT schrijf ik een scriptie over cultuur en gedragingen
binnen de IT waarbij ik specifiek de inzet van Soft Controls binnen de IT General Controls
onderzoek.
Deze scriptie is voor mij de afsluiting van de studie IT Audit aan de VU maar ook een
belangrijk punt in de voortzetting van mijn dwalen binnen de IT met als nieuw hoofdstuk
Audit. Ik wil alle mensen bedanken die een rol hebben gespeeld in de kennis en ervaring die
ik op dit moment bezit maar in het bijzonder Merlijn van Lint1 die aan de basis stond mijn
carrière zoals deze nu is.
Jan Nico van Aalsum
Heerenveen, maart 2010
1 Merlijn van Lint 9 nov 1996
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Soft Controls binnen de IT General Controls? Pagina 4
Leeswijzer
In de afbeelding hieronder wordt op schematische wijze aangegeven hoe deze
scriptie is opgebouwd en hoe de onderwerpen zich tot elkaar verhouden:
Huidige manier van Audit
Verbeteringen ? Soft Controls
Gedrag / Cultuur IT General Controls Toekomstige manier
van Audit
Kan de IT Auditor dit
Onderzoek
Conclusie
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Soft Controls binnen de IT General Controls? Pagina 5
INHOUD
1. INLEIDING & THEMATISERING................................................................................................................. 6
1.1 INLEIDING .....................................................................................................................................................6 1.2 IN CONTROL DOOR IT GENERAL CONTROLS ..........................................................................................................9 1.3 UITBREIDING IT GENERAL CONTROLS ...............................................................................................................11
2. THEORETISCH KADER .............................................................................................................................13
2.1 GEDRAG EN ORGANISATIE ..............................................................................................................................13 2.2 GEDRAG, CULTUUR EN ORGANISATIE................................................................................................................19 2.3 SOFT CONTROLS...........................................................................................................................................21 2.4 GEDRAG, CULTUUR EN SOFT CONTROLS............................................................................................................22 2.5 SOFT CONTROLS BINNEN DE IT GENERAL CONTROLS............................................................................................24 2.6 AUDIT EN SOFT CONTROLS .............................................................................................................................26 2.7 SOFT CONTROLS EN HET KENNISGEBIED VAN DE IT AUDITOR .................................................................................28
3. ONDERZOEK ..........................................................................................................................................29
3.1 METHODIEK ................................................................................................................................................29 3.2 RESULTATEN................................................................................................................................................31 3.3 BESCHOUWING RESULTAAT ONDERZOEK............................................................................................................36
4. DSB PRAKTIJK CASUS .............................................................................................................................38
5. CONCLUSIE ............................................................................................................................................44
5.1 IN HOEVERRE IS HET MOGELIJK OM ‘SOFT CONTROLS” TE TOETSEN BINNEN DE IT GENERAL CONTROLS ..........................44 5.2 BLIK VOORUIT: DE TOEVOEGING ‘GEDRAG EN ORGANISATIE’ IN DE IT GENERAL CONTROLS .........................................46 5.3 SUGGESTIES VOOR VERVOLGONDERZOEK ...........................................................................................................47 5.4 PERSOONLIJKE REFLECTIE EN TERUGBLIK OP DE SCRIPTIE........................................................................................48
BIBLIOGRAFIE................................................................................................................................................49
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Soft Controls binnen de IT General Controls? Pagina 6
1. Inleiding & thematisering
1.1 Inleiding
De theorie van het auditen van IT General Controls lijkt zo eenvoudig, maar is dit
wel het geval? Auditors zijn gewoon om via een vooraf gedefinieerd control
framework een audit uit te voeren en de resultaten feitelijk te rapporteren. Al het
bewijsmateriaal wordt zorgvuldig gedocumenteerd waardoor de verwijzingen
hiernaar in het rapport geen enkel spoor van misverstand achter laten.
Maar hoe is het mogelijk dat risico’s werkelijkheid worden en in sommige
gevallen desastreuze gevolgen hebben voor organisaties?
Jérôme Kerviel wordt er in begin 2008 van verdacht dat hij zijn werkgever, de
Franse bank Société Générale, door ongeoorloofde transacties op de futuremarkt
opzadelde met een verlies van 4,9 miljard Euro. Kerviel had bij de bank op
verschillende afdelingen gewerkt waaronder de controle afdeling. Hierdoor was
hij volledig op de hoogte van de beheersmaatregelen die het controle team van
de bank uitvoerde ten behoeve van de interne controle en de jaarrekening.
In de meeste organisaties wordt niet onderkend dat het gedrag van
medewerkers, of beter de fouten en misdragingen een risico in de continuïteit
opleveren.
De maatregel tot de beheersing van de continuïteit wordt als een onderdeel van
de IT General Controls getest maar zijn we in de huidige vorm wel volledig in de
audit? Er bestaan uit gekristalliseerde normen en standaarden, zoals Cobit2, voor
het auditen van de harde controls maar zou de audit niet compleet zijn wanneer
we op een juiste manier de Soft Controls kunnen testen?
De hoofdvraag van deze scriptie is: Worden binnen de IT General Controls de
risico’s beter onderkend door het toetsen van “Soft Controls”.
2 Cobit, http://www.isaca.org/
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Soft Controls binnen de IT General Controls? Pagina 7
PALM verzekeringen (hierna PALM), mijn werkgever, is een financiële instelling.
Zoals elke financiële instelling, staat ook PALM onder toezicht van DNB. Dit
toezicht houdt onder andere in, dat DNB toets in hoeverre PALM met haar
organisatie “ in control” is.
Met andere woorden, in hoeverre worden de risico’s welke een financiële instelling als PALM loopt, binnen de organisatie afgedekt door toereikende controlemaatregelen. De risico’s kunnen zowel organisatorisch, financieel als IT technisch zijn en de controls zullen daar dan ook op toegespitst zijn. Niet alleen de toezichthouder, maar ook andere stakeholders, zoals de Raad van Commissarissen, de Raad van Bestuur en de externe accountant willen vaststellen in hoeverre PALM “ in control” is.
Hiertoe worden binnen PALM regelmatig audits uitgevoerd, zowel door de IA-‐
afdeling (interne audit) en de externe account, waarbij ik heb vastgesteld dat tot
nu toe voornamelijk de “Harde Controls” worden getoetst om een beeld te
krijgen in hoeverre de organisatie in control is. Echter een belangrijk aspect voor
een organisatie, om controlemaatregelen te doen slagen, is in mijn ogen de
cultuur van de organisatie en het gedrag van de medewerkers. Ik wordt in deze
mening ondersteunt door diverse wetenschappelijke onderzoeken van Wallage,
Roth, van Bergenhenegouwen, naar cultuur en gedrag. Meningen en methodes
van deze onderzoekers worden later in deze scriptie uitgewerkt of geciteerd.
Deze onderzoeken zal ik als theoretisch kader in mijn scriptie hanteren.
In deze scriptie wil ik daarom aan de orde stellen in hoeverre het verstandig is om
naast deze “ harde controls” ook “ soft controls” te toetsen. Dit geldt natuurlijk
niet alleen binnen de IT General Controls, maar binnen alle controls in de
organisatie. Vanwege mijn opleiding tot IT auditor beperk ik mij in deze scriptie
tot de IT General Controls.
De subvraag van deze scriptie is: Wanneer er besloten wordt om “Soft Controls”
te toetsen binnen de reguliere audit, is de PALM (IT) Auditor dan in staat om
“Soft Controls” te toetsen?
Het antwoord op deze twee vragen wil ik verkrijgen door een literatuur studie en
het uivoeren van een enquête onder de Auditors van PALM. Deze enquête wordt
uitgevoerd om een beeld te verkrijgen hoe de Auditor binnen PALM denkt over
“Soft Controls” en het inzetten van de “Soft Controls” binnen de Audit.
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Soft Controls binnen de IT General Controls? Pagina 8
In hoofdstuk 1 wordt er ingegaan op de controle van de IT General Controls en
welke uitbreiding er noodzakelijk zou zijn wil je Soft Controls kunnen testen..
In hoofdstuk 2 wordt vervolgens beschreven wat gedrag is en hoe vandaag de dag
wordt omgegaan met gedrag, cultuur en Soft Controls in de organisatie. Er wordt
uitgelegd wat Soft Controls zijn. Wanneer er Soft Controls zouden toegevoegd
worden aan de IT General Controls zal de IT Auditor dit ook moeten kunnen
beoordelen, maar is hij of zij hier wel toe instaat?
In hoofdstuk 3 wordt de enquête besproken die ik in het kader van het onderzoek
heb uitgevoerd. De enquête is hoofdzakelijk bedoeld om er achter te komen hoe
er gedacht wordt over gedrag, cultuur en Soft Controls binnen de PALM
organisatie. Hiervoor heb ik alle auditors een enquête formulier verstuurd en is
het antwoord verwerkt.
Hoofdstuk 4 de conclusie geef ik mijn oordeel of het verstandig is om “Soft
Controls” te toetsten binnen de IT General Controls. Hierbij gebruik ik ook de
mening van de auditors van PALM. Dit kan omdat PALM een ‘representatieve’
organisatie is binnen de financiële sector. Verder wordt er vooruit geblikt naar de
toekomst en wordt er een suggestie gedaan voor een vervolgonderzoek en een
persoonlijke reflectie op deze scriptie.
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Soft Controls binnen de IT General Controls? Pagina 9
1.2 In control door IT General Controls
De belangrijkste functie van de IT General Controls is op dit moment dat de
relevantie informatie voldoet aan de gestelde eisen van betrouwbaarheid en
beschikbaarheid. Voor de beheersing van de infrastructuur is een stelsel aan
maatregelen en procedures nodig die worden aangeduid als IT General Controls:
• beleid;
• fysieke beveiliging;
• logische toegangsbeveiliging;
• wijzigings-‐ en probleembeheer;
• testen;
• back-‐up en recovery en uitwijk.
De IT General Controls worden geaudit aan de hand van een vooraf gedefinieerd
control framework. De set van beheersmaatregelen in dit framework zijn veelal
afgeleid van COBIT, ITIL3, code voor informatiebeveiliging4 of Coso5.
COBIT's success as an increasingly internationally accepted set of guidance
materials for IT governance has resulted in the creation of a growing family of
publications and products designed to assist in the implementation of effective
IT governance throughout an enterprise. http://www.isaca.org
Al deze audit methodes zijn voornamelijk gericht op harde controls. De IT Auditor
meet het “in control” zijn van een IT organisatie af aan het beoordelen van de IT
General Controls en de Application Controls. De IT Auditor stelt een normenkader
op en vult dit met informatie en evidence met betrekking tot de systemen en
applicaties.
3 http://www.itil-‐officialsite.com
4 http://www2.nen.nl/nen/servlet/dispatcher.Dispatcher?id=234731
5 http://www.coso.org/
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Soft Controls binnen de IT General Controls? Pagina 10
Onderstaande punten zijn een voorbeeld wat zoal beoordeeld kan worden:
• de omgeving waar de computers staan. Denk aan koeling, brandveiligheid,
stroomstoring;
• de toegangsbeveiliging van de computerruimtes;
• het dubbel uitvoeren van systemen;
• het beschikbaar hebben van extra systemen indien één van de systemen
uitvalt;
• het dubbel opslaan van informatie, of het zodanig opslaan van informatie dat
deze bij een gedeeltelijk verlies is te reconstructuren (RAID);
• het hebben van verzekeringen ter beperking van de schade.
De processen omtrent bovenstaande punten moeten in opzet, bestaan en
werking aanwezig en beschreven zijn. Aan de mate van de eerder genoemde
betrouwbaarheid en beschikbaarheid meten we af of we “ in control” zijn.
Wanneer de IT Auditor op deze wijze zijn beoordeling heeft gegeven vertrouwt
de accountant op de deskundigheid van de IT Auditor en kan na gelang het
positieve of negatieve antwoord al dan niet steunen op de geteste processen.
Geeft het op deze manier van controleren ook daadwerkelijk vertrouwen dat de
organisatie “ in control” is? In deze scriptie zal ik onderzoek doen naar deze
vraag.
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Soft Controls binnen de IT General Controls? Pagina 11
1.3 Uitbreiding IT General Controls
Vandaag de dag worden IT General Controls voornamelijk op harde controls
getest. Ik vraag me in het hoofdstuk “In control door IT General Controls” af of
het testen op deze wijze een schijn zekerheid is of dat we kunnen stellen dat de
huidige methode voldoende is.
In de IT General Controls wordt het onderwerp continuïteit getest en proberen
we vast te stellen wat de bedreigingen zijn inzake de voortgang van de
organisatie.
Wanneer we een voorbeeld van een te toetsen punt nemen vanuit het hoofdstuk
1.2, de toegangsbeveiliging van de computerruimtes;
mogen we dan stellen dat wanneer alle processen (opzet) beschreven zijn,
daadwerkelijk zijn ingevoerd (bestaan) en de beheersmaatregelen het afgelopen
jaar juist hebben gefunctioneerd we in control zijn qua continuïteit? Naar mijn
mening beslist niet!
Naar mijn idee kan een organisatie niet blind vertrouwen op een
beheersmaatregel die het gehele vorige jaar heeft gewerkt wanneer je kijkt naar
het komende jaar. Het gedrag van de persoon welke de maatregel uitvoert speelt
hier een grote rol.
Wat zorgt ervoor dat een beveiligingsbeambte de ene keer wel een check doet op
een persoonsidentiteit en de andere keer niet en zouden we hier ook niet
beheersmaatregelen moeten treffen.
De audit van IT General Controls zou doeltreffender zijn wanneer
er een hoofdstuk “Gedrag en Organisatie” opgenomen wordt.
De doelstelling van deze toevoeging zou er op gericht moeten zijn welk gedrag
wenselijk is (opzet), welke cultuur heerst er op dit ogenblik (bestaan) en of er
gedragswijzigingen hebben plaatsgevonden het afgelopen jaar (werking).
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Soft Controls binnen de IT General Controls? Pagina 12
Wanneer we puur aan gedrag denken wordt er niet direct een associatie gelegd
naar de IT omgeving van de organisatie. Ik kan me er aan ontrekken dat de eerste
gedachte dan ook zou zijn; hoort het controleren en bijsturen van gedrag wel bij
een IT auditor en specifiek in dit geval de IT General Controls? Hier verder over
filosoferend zouden we ook deze lijn door kunnen trekken naar de fysieke
toegangsbeveiliging. Hoort testen van een fysieke toegang wel tot het
takenpakket van de IT auditor en is dit niet iets wat bij bijvoorbeeld bewaking
moet liggen?
In deze scriptie wordt geen antwoord geven op de vraag waarom er niet of
onvoldoende op Soft Controls wordt getest maar ga ik onderzoeken of risico’s
beter worden getoetst door het toevoegen van “Soft Controls” aan de IT
General Controls en zo ja is de IT Auditor bij machte om deze audit uit te
voeren.
De IT Auditors behoren risico’s te onderkennen en een audit uit te voeren op de
beheersmaatregelen die zijn getroffen om risico’s te mitigeren. Wanneer je
vanuit deze stelling redeneert en doortrekt naar de IT General Controls moet een
IT Auditor alle risico’s beoordelen die een bedreiging kunnen vormen voor de IT
omgeving.
De terechte vraag die volgt is; kan het gedrag van een medewerker van een
organisatie een risico vormen voor bijvoorbeeld de continuïteit van deze
organisatie. Het antwoord zal eenduidig “ja!” zijn, maar waarom wordt dit gedrag
niet of onvoldoende opgenomen in de IT Genral Controls?
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Soft Controls binnen de IT General Controls? Pagina 13
2. Theoretisch kader
“Soft Controls” hebben als uitgangspunt gedrag en cultuur. Door dit hoofdstuk wil
ik tonen hoe gedrag is opgebouwd en hoe cultuur en gedrag zich tot elkaar
verhouden in een organisatie. Voorts wordt een uitleg gegeven wat “Soft
Controls” zijn volgens een Jim Roth, de Amerikaanse goeroe op het gebied van
“Soft Controls”. Er wordt ook ingegaan op het auditen van “Soft Controls” en de
vraag of de IT Auditor van nu instaat is om deze controls te toetsen. Dit hoofdstuk
moet een antwoord geven op de vraag of door het toetsen van “Soft Controls”
binnen de IT General Controls beter de risico’s
2.1 Gedrag en Organisatie
Gedrag is onder te verdelen in bewust of gepland gedrag en onbewust of
automatisch gedrag.
In de psychologie wordt over het algemeen gesteld dat
slechts 5 %6 van ons gedrag werkelijk bewust wordt
gekozen. Dit zijn wel vijf belangrijke procenten. Het
draait hierbij om keuzes voor de langere termijn.
Het resterende gedrag is meestal onbewust en
automatisch. Het is gedrag dat wordt gestuurd door
prikkels die worden ervaren wanneer een medewerker
binnen de organisatie werkzaamheden verricht.
Wanneer we kijken naar gedrag binnen een
organisatie gecombineerd met Soft Controls onderscheid ik twee
gedragscategorieën:
1. Onbewust gedrag
2. Bewust gedrag
Verder in dit hoofdstuk wordt dieper op het bewuste en onbewuste gedrag in
gegaan.
6 Tiggelaar B. (2005) Dromen durfen doen
Bewust gedrag 5 %
Onbewust gedrag 95 % Afbeelding 1
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Soft Controls binnen de IT General Controls? Pagina 14
Het “IJsbergmodel” (afbeelding 2) opgesteld door van Bergenhenegouwen7
Van Bergenhenegouwen stelt dat door gedrag hierbij een verdeling aan van hoog
naar laag met betrekking tot de veranderbaarheid en de belangrijkheid. Heel duidelijk
is daardoor te zien dat de waarden, normen, beroepsethiek en morele maatstaven
erg belangrijk zijn maar ook dat de veranderbaarheid hiervan erg laag is. Dit wil niet
zeggen dat het niet mogelijk is, maar we zullen meer onderzoek en toetsing binnen
de organisatie moeten verrichten om de risico’s hierin te kunnen beheersen.
7 IJsbergmodel van Bergenhenegouwen, Gids voor Personeelsmanagement jaargang. 85 nr. 1 -‐ 2006
Veranderbaarheid Hoog
Belangrijkheid Laag
Hoog Laag
Zelfconcept, motieven, inzet, gedrevenheid en overtuigingskracht
Waarden, normen, beroepsethiek en morele maatstaven
Intermediaire
vaardigheden
Vakkennis en vaardigheden
IJsbergmodel volgens Bergenhenegouwen et al (1999)
Afbeelding 2
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Soft Controls binnen de IT General Controls? Pagina 15
1. Onbewust gedrag
In de psychologie stelt men dat één van de uitgangspunten is dat elke mens uniek
is en onbewust met gedachten zijn gedrag beïnvloedt. Gebeurtenissen die in het
verleden, vaak de in de jeugd fase, hebben plaatsgevonden vormen deze
onbewuste processen. Het denken, handelen en voelen van een persoon wordt
op deze wijze beïnvloedt door het verleden.
In 2007 presenteerde de Radboud Universiteit in samenwerking met
cultuurcentrum LUX in Nijmegen de nieuwste vindingen op het gebied van de
sociale psychologie in een gepopulariseerde vorm met de titel Buiten Bewustzijn.
De centrale boodschap was dat de tijd van Freud en zijn definitie van het
onbewuste voorbij is. Het onderbewustzijn is niet meer het duistere terrein van
seks en agressie, maar veeleer een schatkamer vol intuïtieve mechanismen die
het gedrag sturen, genoemd: het adaptieve onbewuste.
De verwerkingscapaciteit van het onbewuste brein is groter, het legt verbanden,
werkt associatief, pakt beelden, emoties, ervaringen mee en is daardoor slimmer.
Professor Ap Dijksterhuis: ‘Zet het onderbewustzijn doelgericht voor je aan het
werk. Geef het de opdracht een beslissing te nemen en ga vervolgens iets anders
doen, ondertussen is je brein onbewust aan het nadenken en rolt er een betere
beslissing uit.’
In de psychologie is een stroming die men behaviorisme noemt. De
behavioristische theorie is vooral ontwikkeld in de Verenigde Staten rond 1920.
Belangrijke grondleggers zijn: Pavlov8, Watson9 en Skinner10.
De theorie komt er in het kort op neer dat het mogelijk is om gedrag te
voorspellen door gedragsbeïnvloeding.
8 Ivan Petrovitsj Pavlov (1849 – 1936) was een Russische fysioloog. Hij is bekend van de onderzoekingen van conditioneringen.
9 John Broadus Watson (1878 – 1958) was een Amerikaanse psycholoog.
10 Burrhus Skinner (1904 – 1990) was een invloedrijk Amerikaans psycloog.
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Soft Controls binnen de IT General Controls? Pagina 16
Het gedrag kun je meten iets wat je meet is betrouwbaar. Het meten van dit
gedrag is in mijn geval de audit “Soft Controls” binnen de IT General Controls. De
basis is dat er principes gevonden worden om (goed) gedrag in stand te houden
waardoor het voorspelbaar is en iets kan zeggen over de continuïteit.
Door het voorspellen, meten en het beïnvloeden van onbewust gedrag kunnen
ook de risico’s hieromtrent worden getoetst en dan dus zichtbaar gemaakt
worden. Risico’s die niet zouden worden getoetst wanneer alleen de reguliere
maatregelen van de IT General Controls getoetst worden.
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Soft Controls binnen de IT General Controls? Pagina 17
2. Bewust gedrag
Met het begrip “bewust gedrag” wil ik het gedrag van een medewerker
aanduiden die het resultaat van zijn of haar handelen overziet.
Dit gedrag kan positief maar natuurlijk ook negatief zijn, waardoor risico’s binnen
de organisatie ontstaan. Deze risico’s, samen met de risico’s die kunnen ontstaan
door het onbewuste gedrag, willen we ondervangen door controls en vallen door
deze categorisering in de Soft Controls. Het “bewust gedrag” heeft alles te maken
met integeriteit van de medewerker. De heer Muel Kaptein11 heeft een model
uitgezet waarin helder wordt uiteengezet hoe integeriteit, bewust gedrag,
onderverdeeld kan worden;
Integriteit12
zelfregulerend vermogen
• Helderheid
Groepen kunnen blind raken voor de publieke moraal, ondanks dat er
bijvoorbeeld een gedragscode is;
• Voorbeeldgedrag
Goed voorbeeld doet goed volgen en slecht voorbeeld doet slecht volgen;
• Handhaving
Niets is zo dodelijk als integriteitbeleid dat met veel tamtam wordt
geïntroduceerd en dat de eerste de beste overtreder niet wordt bestraft;
zelfvoorzienend vermogen
• Betrokkenheid
Achteloosheid, gebrek aan motivatie en loyaliteit, respectloze behandeling
kunnen een bron van niet-‐integer gedrag zijn;
• Uitvoerbaarheid
Een andere belangrijke reden voor niet-‐integer gedrag is vaak dat mensen
worden opgezadeld met onrealistische doelen en onvoldoende middelen;
11
Vink, H.J.A, Kaptein M., Soft Controls bij de rijksoverheid: een onder-‐ zoek naar de oorzaak van rechtmatigheidsfouten, Maandblad voor
Accountancy en Bedrijfseconomie
12 Muel Kaptein (1969) professor in bedrijfsethiek en integriteits-‐ management aan de Erasmus Universiteit.
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Soft Controls binnen de IT General Controls? Pagina 18
zelfcorrigerend vermogen
• Transparantie
Hoe lager de detectiekans, hoe groter de overtreding;
• Bespreekbaarheid
Wanneer praten over integriteit een taboe is dan wordt de doofpot al snel
een beerput;
Deze zeven factoren zijn binnen een organisatie de voedingsbodem voor integer
dan wel niet-‐integer gedrag. Wanneer deze zeven factoren aanwezig zijn binnen
een organisatie mogen we spreken van een integere organisatie.
Dan is het helder wat van medewerkers wordt verwacht. Zijn dilemma’s
bespreekbaar. En worden managers en medewerkers bijvoorbeeld aangesproken
op hun gedrag.
Wanneer deze factoren niet aanwezig zijn geeft dat een “red flag” inzake de
integriteit van de organisatie.
Uiteindelijk zijn bovenstaande zeven fatoren uitgangspunten voor Soft Controls.
In de zin dat het gaat om hoe managers en medewerkers deze factoren ervaren,
ondervinden en percipiëren.
Ze zijn soft omdat deze factoren niet direct waarneembaar zijn, maar zijn ingebed
in de cultuur en klimaat van de organisatie.
De heer Kaptein geeft voorts aan dat deze Soft Controls “integriteitmaatregelen”
door een enquête onder de medewerkers getest zou kunnen worden. Persoonlijk
zou ik een andere wijze van toetsen kiezen. Ik twijfel door de beperkte mate van
geloofwaardigheid inzake objectiviteit waardoor de methode weinig betrouwbaar
wordt in de meting van gedragsvaardigheden. Mijn voorkeur gaat dan ook uit
naar integriteitmaatregelen die doormiddel van interview worden getoetst.
Door het toetsen “Integriteitmaatregelen” van bewust gedrag kunnen ook de
risico’s hieromtrent worden getoetst en dan dus zichtbaar gemaakt worden.
Risico’s die niet zouden worden getoetst wanneer alleen de reguliere
maatregelen van de IT General Controls getoetst worden.
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Soft Controls binnen de IT General Controls? Pagina 19
2.2 Gedrag, Cultuur en Organisatie Een gevoel, gedachte of idee zijn zaken die te maken hebben met cultuur. Cultuur
is niet direct zichtbaar en moeilijk doorbreekbaar. Cultuur is ook aangeleerd en
blijft vaak lang hetzelfde. Volgens Hofstede13 houdt het begrip organisatiecultuur
het volgende in: een organisatiecultuur is een collectieve mentale programmering
die de leden van de ene organisatie onderscheidt van die van een andere.
Hiermee wil Hofstede aangeven dat elke organisatie zijn eigen cultuur heeft.
Een omschrijving van een organisatiecultuur is die van Schein. Hij reserveert het
begrip cultuur van een organisatie voor:
“The deeper level of basic assumptions and beliefs that are shared by members
of an organization, that operate unconsciously, and that define in a basic ‘taken
– for – granted’ fashion an organization’s view of itself and its environment.” – Schein -‐ 14
De zienswijze van Schein komt er op neer dat de organisatiecultuur is als een ui
(afbeelding 3) welke bestaat uit meerdere lagen. Hoe dichter je bij de binnenste
laag komt hoe moeilijker deze is te veranderen. Hij onderscheidt van binnen naar
buiten de volgende lagen in de
organisatiecultuur:
• Normen en waarden • Helden, mythen en rituelen • Gedragscodes en uitingsvormen
13 Hofstede, G., Allemaal andersdenkenden
14 Schein, E. H., Organization culture & leadership
Afbeelding 3
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Soft Controls binnen de IT General Controls? Pagina 20
Een sterke organisatiecultuur kan een belangrijk bindend element vormen. De
cultuur vindt haar oorsprong in onder andere de historie van het bedrijf
(oprichters, leidersfi-‐guren, fusies, verhuizingen, beleidswijzigingen), de branche
en het type markt waarop men actief is. Cultuur is de wijze waarop mensen met
elkaar omgaan, de doelen die zij gezamenlijk nastreven of de waarden die
worden gedeeld. De kern van cultuur is openheid en eerlijkheid. Een cultuur
waarin mensen weten waar de organisatie naar toe gaat, waarom bepaalde
beslissingen zijn genomen, en wat er van hen verwacht wordt. Interne
communicatie en het gedrag van het management speelt daarin een cruciale rol.
De cultuur van een organisatie is vaak bepalend voor alle processen die zich
voordoen binnen de organisatie. Wanneer de cultuur zodanig is dat
vooropgezette processen in gevaar komen door onduidelijke communicatie,
geslotenheid van het management, oneerlijke of een niet eenduidige behandeling
van de medewerkers levert dit risico op. Door het meten van cultuur,
bijvoorbeeld de communicatie, openheid management, omgang en bejegening
van de medewerkers binnen een organisatie, kunnen risico’s betreffende
bedrijfsprocessen beter getoetst worden. Wanneer we dit binnen de IT General
Controls toetsen levert dit een meerwaarde op ten opzichte van een methode
waar niet op cultuur wordt getoetst.
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Soft Controls binnen de IT General Controls? Pagina 21
2.3 Soft Controls
De kern van soft controls betreft vooral het proces om het gedrag van individuen
in overeenstemming met – veelal expliciet geformuleerde – ideaalbeelden van
bestuurders en leidinggevenden te doen zijn en zichtbaar te maken in welke mate
dat al dan niet lukt. Het gaat dus om pogingen van bovenaf om het gedrag van
medewerkers te beheersen. In feite komt deze bedoeling op hetzelfde neer als de
systemen van ‘competentiemanagement’ die de laatste jaren in veel organisaties
zijn ingevoerd, als pogingen om de mankerende werking van harde P&C systemen
te verbeteren met een aanpak die meer op de menskant is gericht.
Waar gaat het bij soft controls meer concreet om? In veel benaderingen van soft
controls lijkt vooral het meetbaar maken van aspecten die te maken hebben met
de stijl van leidinggeven, cultuur.15
Hartog en de Korte geven16 een aantal voorbeelden en aspecten van definities:
• De Heus en Stremmelaar definiëren het onderscheid tussen harde en
zachte controls op basis van de mate waarin het de persoon zelf
beïnvloedt ofwel op basis van de effecten van de controls. Soft controls
gaan dieper en beïnvloeden de overtuigingen of zelfs de persoonlijkheid
van de medewerkers, terwijl harde controls meer zijn gericht op het
gedrag en de vaardigheden.
• Soft controls worden ook wel eens onderscheiden naar de mate waarin ze
kunnen worden waargenomen of zelfs ‘beetgepakt’. Vooraanstaande
collega’s plegen te roepen dat soft controls ‘hard’ zijn zodra je ze
‘meetbaar’ hebt gemaakt!
• Of worden onderscheiden naar de mate waarin het direct het gedrag
betreft.
• Nog een andere invalshoek betreft de volgende definitie: soft controls zijn
alle (persoonlijke en sociale) gedragsfactoren en aspecten die bepalen of
(harde) controls al dan niet effectief zijn.
15 TPC hoofdartikel juni 2008
16 Hartog, P., Korte, R. de, Twintig over Internal/ Operational Auditing, 2003, Vera/ Eurac
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Soft Controls binnen de IT General Controls? Pagina 22
2.4 Gedrag, Cultuur en Soft Controls
In Nederland wordt redelijk veel gepubliceerd17 en geschreven omtrent het
onderwerp Soft Controls.
De algemene mening betreffende een softe aanpak is een niet al te positieve
aanpak. Soft wordt over het algemeen geassocieerd met niet streng en niet
doortastend of het onvermogen tot orde
houden.
Bij Soft Controls denken wij vooral aan het
gebruiken van een aanpak die rekening houdt
met mensen ‘zoals ze zijn en doen’, dus met hun
sterke en zwakke kanten en hun eigen waarden
(het ‘Ist’), die kunnen afwijken van de dikwijls
expliciet geformuleerde kernwaarden van een
organisatie (het ‘Soll’).
Er zou meer aandacht moeten komen voor de
cultuur in organisaties binnen de accounting en auditing. Wanneer werkgevers en
werknemers duidelijk samen doelen afspreken wordt het begrip voor elkaar
steeds groter en zullen beide partijen zich daar beter aan houden.
Volgens hoogleraar accountantscontrole aan de Universiteit Amsterdam Philip
Wallage vormen Soft Controls het antwoord op bijvoorbeeld de huidige banken
crisis.
17 Arts, F. (2009) Soft controls? Ik zie ze niet! CIAD Blog november 2009
http://ciadblog.wordpress.com/2009/11/25/soft-‐controls-‐ik-‐zie-‐ze-‐niet/
Bos, P, de Korte R., (2008) Soft Controls: wie het begrijpt heeft niet goed nagedacht, Audit magazine nr. 4 2008
Hartog, P.H., Leijtens H. (1999) Social Auditing: de harde invloed van soft controls, De Operational Auditor, nr. 2
1999
Soft Controls
Controls gericht op het bewust
beïnvloeden van het innerlijke
(persoonlijkheid en overtuigingen) van
de medewerker tot uiting komend in
het gedrag van de medewerker bij het
realiseren van de gestelde doelen van
de organisatie
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Soft Controls binnen de IT General Controls? Pagina 23
Een citaat van Wallage:18
Er moet een betere balans komen tussen regels en vertrouwen, zo meent
Wallage.
De manier waarop organisaties bestuurd worden heeft namelijk alles te maken met de angst voor het nemen van eigen verantwoordelijkheid. Weliswaar besteden organisaties veel geld en aandacht aan het beter in
control zijn en leidt dit tot een duidelijkere verdeling van taken, rollen en
verantwoordelijkheden, aan de andere kant is het hoogst onzeker of deze
maatregelen tot een lager risicoprofiel leiden.
Er zijn immers legio negatieve neveneffecten zoals juridisering en een
risicomijdende cultuur.
Wallage denkt dan ook dat Soft Controls, meer eigen verantwoordelijkheid en
meer vertrouwen beter dan de hard controls fouten en fraude voorkomen.
Hoewel de roep om meer toezicht als gevolg van de crisis steeds luider klinkt,
acht hij het juist nu de tijd om een pleidooi te houden voor het gebruik van Soft
Controls. Er is volgens hem immers behoefte aan nieuwe ideeën en idealen.
Wanneer er in de top van een organisatie een ‘graai’ cultuur heerst zal de organisatie
die daar onderzit zich niet direct verantwoordelijk voelen voor de continuïteit van
deze organisatie. “Tone at the top” is een veel gehoorde en toepasselijke kreet. Maar
ook hoe collega’s met elkaar omgaan is een key control in de cultuur van de
organisatie.
Samengevat betekend dit dat vooral vertrouwen in elkaar ervoor zorgt dat we meer
verantwoordelijkheid durven te nemen. Dit vertrouwen kan alleen ontstaan wanneer
werkgever en werknemer samen doelen stellen en deze door regel tot uitvoering
brengen.
18 Wallage P., Soft Controls als antwoord op de crisis
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Soft Controls binnen de IT General Controls? Pagina 24
2.5 Soft Controls binnen de IT General Controls
Vanuit de definitie van Soft Controls van Roth (1997)19 zijn de volgende
sociaalorganisatorische aspecten te benoemen die bepalend kunnen zijn voor een
systeem van Soft Controls:
-‐ Integriteit van de medewerker en ethische waarden
-‐ Organisatorisch commitment t.o.v. competenties
-‐ Management filosofie
-‐ De stijl van leiding geven door het management
-‐ Het onderkennen en begrijpen van risico’s door het management
-‐ Communicatie
Deze aspecten kunnen worden toegepast als “Soft Controls” wanneer we het over IT General Controls hebben. Elke organisatie zal voor zichzelf moeten uitmaken hoe deze factoren worden getoetst en risico’s in deze worden afgedekt door maatregelen. Maar in algemene zin zouden de normen als uitgangssituatie van de “Soft Controls” er uit kunnen zien als deze tien voorbeelden: 1. Op de hoogte zijn van de doelen van de organisatie en deze onderschrijven
2. Zien dat hun leidinggevenden zowel binnen als buiten de organisatie de
maatschappelijk aanvaarde kernwaarden van organisatie verkondigen.
3. Integer en in lijn met de kernwaarden van de organisatie en maatschappij
handelen
4. De visie van hun leidinggevenden erkennen en hun stijl van leidinggeven als
constructief ervaren
5. Op de hoogte zijn van interne richtlijnen en deze naar eer en geweten naleven
6. Zich thuis voelen in de cultuur van de organisatie
7. Op de hoogte gehouden worden van belangrijke ontwikkelingen in de
organisatie en maatschappij
8. Hun verantwoordelijkheden kennen en hierop worden afgerekend
9. Zien dat het management een weloverwogen risicohouding heeft op korte en
lange termijn
10. Op een constructieve manier met elkaar samenwerken
19 Roth, J., ‘A hard look at Soft Controls’, Internal Auditor, Institute of Internal Auditors, How to Evaluate Soft Controls
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Soft Controls binnen de IT General Controls? Pagina 25
De Soft Controls zijn bruikbaar om te toetsen binnen de IT General Controls. Een voorbeeld wordt hieronder gegeven aan de hand van de logische
Toegangsbeveiliging:
Norm:
Logische toegang policies zijn gedocumenteerd
Maatregel (hard)
Logische toegang policies zijn vastgesteld, gedocumenteerd en worden jaarlijks
beoordeeld volgens vaste procedures
Maatregel (soft)
Het management en de medewerkers zijn op de hoogte van het feit dat de
vastgestelde logische toegang policies jaarlijks moeten worden beoordeeld,
voeren deze werkzaamheden ook daadwerkelijk naar eer en geweten uit en
kennen de redenen waarom dit belangrijk is.
Op deze manier worden de Soft Controls gekoppeld aan de Harde Controls om
het gedrag en het bewust zijn van de medewerkers en het management te
toetsten. Dit is een manier wanneer de Soft Controls geïntegreerd worden in de
huidige toetsing. Een andere manier zou kunnen zijn dat er een hoofdstuk
“Gedrag en Organisatie” wordt opgenomen in de reguliere hoofdstukken van de
IT General Controls. Dit zou gedaan kunnen worden door een vragenlijst op te
stellen in het hoofdstuk “Gedrag en Organisatie”. Een vraag die hier in thuis zou
horen is bijvoorbeeld: Hoe worden de medewerkers op de hoogte gehouden door
de interne richtlijnen met betrekking tot de IT General Controls en hoe zorgt het
management ervoor dat deze naar eer en geweten worden nageleefd?
Door een extra hoofdstuk “Gedrag en Organisatie” op te nemen in de IT General
waarin de “Soft Controls” worden getoetst kan een beter beeld ontstaan van het
gedrag van de medewerkers en het management en de cultuur van de
organisatie. In het hoofdstuk met daarin het gedrag uitgewerkt hebben we
kunnen zien dat gedrag en cultuur extra risico’s opleveren. Wanneer we deze niet
toetsen worden een aantal risico’s niet mee genomen in de audit en kunnen we
stellen dat de audit niet volledig is.
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Soft Controls binnen de IT General Controls? Pagina 26
2.6 Audit en Soft Controls
Wanneer vastgesteld wordt dat het verstandig is om Soft Controls op te nemen in de IT General Controls dan moeten deze Controls ook geaudit worden.
Jim Roth wordt gezien als een guru op het gebied van Soft Controls. Hij hanteert een benadering waar de focus wordt gelegd op de effecten: bent u tevreden met …. Zo nee, wat zou daaraan moeten worden gedaan? Of; wat zijn de problemen / risico’s. Hoe komt dit en waar ligt dat aan?
Roth hanteert de volgende stappen:20
1. Het definiëren van de evaluatiecriteria ofwel van de gewenste effecten.
2. Het bevragen van de manager ‘how do you assure yourself that ...?’ en
mogelijk van medewerkers ‘do other employees understand ...? .
3. Vervolgens dient de auditor hiervoor ‘evidence’ te verzamelen.
4. Pas daarna wordt gekeken naar het onderliggende proces.
In de praktijk wordt deze benadering vaak ingevuld door de Soft Controls te definiëren in termen van de werking van harde controls:
Harde controls: Zachte controls:
Code of conduct Internalisatie van de normen en waarden
Programma om verbetermogelijkheden te initiëren (bijvoorbeeld ideeënbus)
Management luistert echt en staat open voor verbetermogelijkheden
Compliance Handboek Medewerkers begrijpen de richtlijnen en voelen zich verantwoordelijk
20 Roth, J., ‘A hard look at Soft Controls’, Internal Auditor, Institute of Internal Auditors, How to Evaluate Soft
Controls
Afbeelding 4
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Soft Controls binnen de IT General Controls? Pagina 27
Roth geeft hierin aan dat deze aanpak vooral bruikbaar is wanneer het gaat om het definiëren van verbeterpunten. Om te komen tot een oordeel over de kwaliteit is deze aanpak minder van toepassing.
Een andere manier om de Soft Controls te auditen is het opstellen van vragenlijsten, groepsinterviews en observaties om het gedrag en dus de cultuur, houding en motivatie te toetsen.
Een voorbeeld van stellingen zou kunnen zijn:
• Er is een code of conduct, waarvan het management het belang aangeeft • Senior management demonstreert sterke ethische waarden • Onze targets zijn realistisch en haalbaar • Onze medewerkers hebben de kennis en vaardigheden om hun taken goed
uit te voeren • Onze afdeling leert van haar fouten • Medewerkers worden eerlijk behandeld • Management stimuleert open communicatie
Wanneer we bovenstaande stellingen willen toepassen op de IT General Controls zullen er meer inhoudelijke normen moeten worden opgenomen. Een voorbeeld van een interne softe controle maatregel wordt hieronder gegeven.
Interne controledoelstelling
Logische beveiliging tools en technieken zijn geïmplementeerd en geconfigureerd
om toegang te krijgen tot programma’s en data.
Interne harde controle maatregel
Gebruikers hebben een uniek eigen account en werken alleen onder hun eigen
account naam.
Interne softe controle maatregel
De medewerkers zijn ervan overtuigd dat ze alleen moeten inloggen onder hun
eigen account en dat gebruik van het account van een ander risico’s met zich mee
brengt en begrijpen ook de risico’s wanneer ze dit niet doen.
Wanneer we op deze manier een audit uitvoeren kunnen we niet alleen
vaststellen dat een medewerker onder zijn eigen account werkt maar dat hij ook
het nut hiervan inziet en het dus ook daadwerkelijk uitvoert.
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Soft Controls binnen de IT General Controls? Pagina 28
2.7 Soft Controls en het kennisgebied van de IT Auditor
Om een beeld te kunnen geven wat het minimale kennisgebied van de IT Auditor
is neem ik als voorbeeld de postdoctorale IT Audit opleiding aan de VU in
Amsterdam en vergelijk ik dit met een specialisatie in het vakgebied van de studie
psychologie.
De studieprogramma’s21 22 laten zien dat het bestuderen van gedrag en de
beïnvloeding hiervan in het vakgebied van de studie psychologie liggen. Binnen
de IT Audit studie aan de VU in Amsterdam wordt weinig tot geen aandacht
besteed aan de relatie gedrag en de organisatie. De kennis die de IT Auditor na
zijn studie aan de VU in Amsterdam heeft zal dan ook puur zijn eigen ervaring en
kunde moeten zijn die hij zich zelf eigen gemaakt heeft of opdoet via een andere
studie.
De IT Auditor zal na zijn studie goed kunnen beschrijven hoe de organisatie
volgens ITIL ingericht dient te worden en welke harde beheersmaatregelen je
moet testen om tot een volledig en juist oordeel te komen. Wanneer we het op
deze manier beschouwen is er dus een tekort, wanneer je opgedane ervaring
voor en na de opleiding buiten beschouwing laat, aan kennis op het gebied
“Gedrag en Organisatie” wanneer een IT Auditor zijn studie heeft afgerond.
De volgende vraag komt dan direct aan de orde: Welke kennis zou een IT Auditor
moeten bezitten om “Gedrag en Organisatie” op een juiste manier te kunnen
beoordelen? Een mogelijkheid hiertoe is het extra trainen van de IT Auditor in
organisatiesociologie of een extra vak psychologie en gedrag in de IT Audit
opleiding en ook door zijn werkervaring zal hij meer ervaring opdoen met gedrag
en cultuur binnen organisaties. Door de instroom van auditors met andere dan
bedrijfeconomische (voor)opleiding, is mijn verwachting dat er meer ervaring zal
ontstaan in ‘feeling’ hebben met “Soft Controls”.
21 http://www.feweb.vu.nl/nl/opleidingen/postgraduate-‐opleidingen/it-‐audit-‐opleiding/programma/index.asp
22 http://www.vu.nl/nl/opleidingen/masteropleidingen/opleidingenoverzicht/p-‐r/psychologie/specialisaties-‐en-‐
afstudeerrichtingen/index.asp
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Soft Controls binnen de IT General Controls? Pagina 29
3. Onderzoek
3.1 Methodiek
Ik heb gekozen voor een enquête als onderzoeksmethode. De vragen zijn gesteld
aan alle auditors (28) van mijn werkgever PALM. Dit om een beeld te verkrijgen
hoe de Auditor binnen PALM denkt over “Soft Controls” en het inzetten van de
“Soft Controls” binnen de Audit.
Vraag 1: Binnen de IT General Controls worden een aantal facetten getest. Welk facet geeft volgens u de meeste risico’s? Doel: Soft Controls zijn belangrijk inzake de continuïteit van de organisatie en ik wil weten of medewerkers continuïteit als een groot risico facet zien. Vraag 2: Vindt u dat met de audit methode van nu alle risico’s met betrekking tot de IT General Controls worden afgedekt?
Doel: Met deze vraag wil ik onderzoeken of medewerkers de huidige audit methode voldoende vinden en dus alle risico’s in kaart brengt.
Vraag 3: Wat zijn volgens u de belangrijkste Soft Controls?
Doel: Welke van de gegeven Soft Controls hebben de meeste invloed op de organisatie volgens de PALM auditors.
Vraag 4: Wat is bepalend voor uw gedrag, betreffende het naleven van regels, binnen de organisatie?
Doel: Mensen kunnen gecorrigeerd worden in hun gedrag en met deze vraag wil ik erachter komen welke manier het meest effectief is volgens de medewerkers.
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Soft Controls binnen de IT General Controls? Pagina 30
Vraag 5: Soft Controls zijn belangrijk voor de continuïteit van een organisatie, dus is het inschatten en sturen van gedrag daarmee belangrijk geworden. Denkt u dat het toekomstig gedrag van een medewerker getoetst kan worden?
Doel: Verwachten de auditors van PALM dat je kunt inschatten hoe een medewerker zich over een jaar zal gedragen of is er niets zo veranderlijk als de mens.
Vraag 6: Waarom wordt het auditen van Soft Controls belangrijker?
Doel: Wat is de reden dat we meer en meer de Soft Controls zullen gaan testen.
Vraag 7: Voor welke gebieden zijn volgens u Soft Controls van belang?
Doel: In welk gebied zitten de meeste risico’s inzake Soft Controls.
Vraag 8: Wat zou procentueel het getal moeten zijn inzake Soft Controls binnen de interne audit van de PALM?
Doel: In welke mate zouden Soft Controls geaudit moeten worden om aan te kunnen geven of de organisatie ‘in control’ is.
Vraag 9: Vindt u dat Soft Controls een onderdeel moeten zijn van de IT General Controls?
Doel: Vind de medewerker het verstandig / noodzakelijk om Soft Controls toe te voegen aan de IT General Controls.
Vraag 10: Denkt u dat een IT Auditor in staat is om Soft Controls binnen de IT General Controls te auditen?
Doel: Is de IT Auditor wel capabel genoeg om Soft Controls te auditen.
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Soft Controls binnen de IT General Controls? Pagina 31
0% 25% 50% 75% 100%
0% 25% 50% 75% 100%
3.2 Resultaten
Vraag 1: Binnen de IT General Controls worden een aantal facetten getest. Welk facet geeft volgens u de meeste risico’s?
Continuïteit
Fysieke toegangsbeveiliging
Logische toegangsbeveiliging
Computer operations Geen idee
Vraag 2: Vindt u dat met de audit methode van nu alle risico’s met betrekking tot de IT General Controls worden afgedekt?
Ja Nee
Weet niet
Meeste risico Totaal
Risico’s afgedekt Totaal
43,9%
2,3%
10,6%
7,6%
4,8%
38,1%
35,6%
57,1%
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Soft Controls binnen de IT General Controls? Pagina 32
0% 25% 50% 75% 100%
0% 25% 50% 75% 100%
Vraag 3: Wat zijn volgens u de belangrijkste Soft Controls?
Motivatie van de medewerker Cultuur binnen de organisatie
De mate van integriteit Stijl van leidinggeven Geen idee
Vraag 4: Wat is bepalend voor uw gedrag, betreffende het naleven van regels, binnen de organisatie?
Management
Salaris
Represailles Opvoeding Geen idee
Belangrijkheid Totaal
Meest bepalende Totaal
19%
39,7%
29,2%
12,1%
0%
28,7%
0%
9,3%
3,9%
58,1%
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Soft Controls binnen de IT General Controls? Pagina 33
0% 25% 50% 75% 100%
0% 25% 50% 75% 100%
Vraag 5: Soft Controls zijn belangrijk voor de continuïteit van een organisatie, dus is het inschatten en sturen van gedrag daarmee belangrijk geworden. Denkt u dat het toekomstig gedrag van een medewerker getoetst kan worden?
Nee Ja, door assesments
Ja, door audit Geen idee
Vraag 6: Waarom wordt het auditen van Soft Controls belangrijker?
Het beschermen van de reputatie van de organisatie De top van de organisatie vraagt erom Om fraude te ontdekken Het alleen auditen van Harde Controls is niet voldoende om risico’s af te dekken
Geen idee
Mogelijkheid toetsing Totaal
Meest belangrijke reden Totaal
40,9%
20,4%
21,5%
24,2%
7,8%
3,9%
6,3%
57,8%
17,2%
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Soft Controls binnen de IT General Controls? Pagina 34
0% 25% 50% 75% 100%
0% 25% 50% 75% 100%
Vraag 7: Voor welke gebieden zijn volgens u Soft Controls van belang?
Compliance Beveiliging Financiële vastlegging Human resource / Personeel
Geen idee
Vraag 8: Wat zou procentueel het getal moeten zijn inzake Soft Controls binnen de interne audit van de PALM?
0 – 20 % 20 – 40 %
40 – 60 %
60 – 80 %
80 – 100 % Geen idee
Soft Controls binnen audit Totaal
Van belang Totaal
32,6%
29%
14,9%
21,3%
2,3%
19%
28,6%
14,3%
0%
0%
38,1%
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Soft Controls binnen de IT General Controls? Pagina 35
0% 25% 50% 75% 100%
0% 25% 50% 75% 100%
Vraag 9: Vindt u dat Soft Controls een onderdeel moeten zijn van de IT General Controls?
Nee, hoeven in z’n geheel niet geaudit te worden Nee, laat dit door bijvoorbeeld HR doen
Ja, maar minimaal Ja, als apart onderdeel van IT General Controls
Geen idee
Vraag 10: Denkt u dat een IT Auditor in staat is om Soft Controls binnen de IT General Controls te auditen?
Nee, een IT auditor is geen psycholoog Ja Ja, maar hij / zij zal hiervoor Extra training nodig hebben Geen idee
Soft Controls binnen IT GC Totaal
In staat te auditen Totaal
0%
9,2%
26,6%
55 %
9,2 %
4,8 %
9,5 %
76,2 %
9,5 %
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Soft Controls binnen de IT General Controls? Pagina 36
3.3 Beschouwing resultaat onderzoek
Het onderzoek heeft plaatsgevonden onder de auditors van PALM. Ik ben me er
van bewust dat dit niet kan gelden als een algemene mening onder auditors.
PALM is door de grote van de organisatie, ruim 4500 medewerkers en 180
kantoren, een representatieve organisatie. Er werken 28 auditors verdeeld onder
de Financial, IT en Operational audit.
Continuïteit wordt zoals de verwachting was als eerste genoemd inzake het
grootste risico binnen de organisatie. Opmerkelijk is dat ook de logische
toegangsbeveiliging vaak wordt aangegeven. Mijn verklaring hiervoor is dat dit
misbruik van toegang tot het computersysteem ervoor kan zorgen dat
onbevoegden bij de financiële gegevens van de organisatie kunnen, wat gezien
wordt als een duidelijk risico.
Het grootste deel van de ondervraagden weet niet of de huidige methode van het
testen alle risico’s afdekt met betrekking tot de IT General Controls. Bijna vijf
procent geeft aan dat de risico’s voldoende worden afgedekt waardoor mijn
conclusie is dat de huidige methode nog risico’s open laat die getest moeten
worden.
Cultuur scoort het hoogste in de mate van belangrijkheid inzake de Soft Controls
en integriteit wordt als tweede genoemd. Integriteit is niet los te koppelen van
misbruik en wordt in deze enquête belangrijk gevonden.
Management en opvoeding worden bij de auditors zelf als belangrijkste factor
genoemd voor het naleven van de regels. Represailles schijnen weinig invloed te
hebben en salaris geeft in deze groep geen extra stimulans om de regels na te
leven.
De ondervraagden vinden dat vooral vooraf door een assessment moet worden
getoetst of het gedrag van een aanstaande medewerker de continuïteit van de
organisatie in gevaar zal brengen waar zeventien procent aangeeft dat het sturen
of toetsen van een (aanstaande) medewerkers geen zin heeft. In een assessment
toetst men het gedrag en persoonlijkheid van de medewerker en op deze manier
probeert de organisatie een inschatting te maken hoe de aanstaande medewerk
in verschillende situaties zal zich zal gedragen.
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Soft Controls binnen de IT General Controls? Pagina 37
Op deze manier probeert de organisatie toekomstige risico’s door toedoen van
deze aanstaande medewerker te voorkomen.
Men is het met de stelling eens dat alleen het toetsen van Harde Controls niet
voldoende is om alle risico’s af te dekken. In combinatie met andere vragen
ondersteund dit mijn visie dat het testen van Soft Controls verstandig en
wenselijk is.
Alle aangegeven gebieden worden als belangrijk gezien met betrekking tot het
toetsen van Soft Controls. Wat opvallend is dat de financiële verslaglegging als
minst belangrijk wordt gezien.
Gemiddeld genomen wordt tussen twintig en veertig procent gezien als het percentage Soft Controls binnen de generieke audit binnen PALM. Dit mag toch als een duidelijk signaal gezien worden met betrekking tot de inzet van Soft Controls. Meer dan tachtig procent geeft aan dat het noodzakelijk is om de Soft Controls
toe te voegen aan de IT General Controls waarvan meer dan vijftig procent
aangeeft dat het een apart onderdeel van de IT General Controls zou moeten zijn.
Bijna alle ondervraagden zijn het er mee eens dat de IT Auditor op dit moment
niet instaat is om de Soft Controls te testen of vindt dat er in ieder geval extra
training nodig is.
Conclusie
Uit de enquête blijkt dat de auditors van PALM vinden dat er nog risico’s
ongetoetst blijven bij de huidige testmethode en dat door het testen van Soft
Controls de risico’s gereduceerd kan worden. De cultuur wordt gezien als
belangrijke beheersmaatregel inzake de integriteit binnen de organisatie. Het
gedrag van de medewerkers dient vooral vooraf, door assesments, getoetst te
worden omdat men vermoedt dat beïnvloeding later moeilijk is. Het management
(tone at the top) heeft volgens de ondervraagden een grote invloed op deze
cultuur en het gedrag. De auditor van PALM geven ook dat zij vinden dat er nog
training nodig is om de “Soft Controls” naar behoren te toetsen.
Samengevat: De auditors van PALM vinden dat door het toevoegen van “Soft
Controls” de risico’s beter worden getoetst, maar zij zijn voorts van mening dat
er training noodzakelijk is om deze “Soft Controls” voldoende te kunnen
beoordelen.
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Soft Controls binnen de IT General Controls? Pagina 38
4. DSB praktijk casus
In deze casus wil ik tonen hoe het mogelijk is dat een accountant, volgens de wet,
een goedkeurende verklaring kan afgeven terwijl er nog risico’s ongetoetst blijven
welke achteraf desastreus voor de organisatie blijken te zijn. Voorts wil ik
aantonen dat wanneer op “Soft Controls” getest wordt er een betere toetsing van
de risico’s plaatsvindt.
De DSB is in 1975 opgericht als Buro Frisia door zakenman Dirk Scheringa en zijn
vrouw Baukje Scheringa-‐de Vries.
Het bedrijf leverde hypothecaire en consumptieve leen-‐, spaar-‐, en
verzekeringsproducten aan particulieren en had in Nederland een marktaandeel
van circa 17% op het gebied van consumptief krediet.
Op 24 december 2005 kreeg de DSB van De Nederlandsche Bank een
bankvergunning. Anders dan bij veel andere banken kwam de winst bij de DSB
vooral uit provisie-‐inkomsten, afkomstig van de verkoop van koopsommen en
overlijdensrisicoverzekeringen die tegelijk met de hypothecaire en consumptieve
leningen worden verkocht. Deze koppelverkoop is officieel verboden in
Nederland; de consument moet opletten en de Autoriteit Financiële Markten
moet er op toezien. Er gebeurde echter langere tijd niets en DSB kon doorgaan
met deze verkoopmethode. Pas in 2009 kwam de methode uitgebreid in de
media in opspraak.
Door de maatschappelijke druk raakte DSB Bank in opspraak. Klanten (Afb. 5)
zochten contact met de media nadat zij in de financiële problemen waren geraakt
door een hypotheeklening bij DSB Bank.
De koopsom werd aan de DSB betaald uit een verhoging van de hypothecaire
lening. Het afsluiten van een (overlijdens)risicoverzekering naast een hypotheek
is niet ongebruikelijk. Wel is het ongebruikelijk om deze verzekering in één keer
te betalen. Er werd gesteld dat DSB tot wel 80% provisie in rekening bracht van
de koopsom, hoewel DSB zelf stelde dat dit gemiddeld slechts 51% bedroeg en
dat dit percentage voor de sector niet ongebruikelijk was.
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Soft Controls binnen de IT General Controls? Pagina 39
In Afbeelding 5 is te zien dat de rente inkomsten van de bank niet rendabel
waren. De verliezen werden opgevangen door de behaalde winsten met door
koppelverkoop verkochte koopsompolissen. Op deze polissen zat een provisie
van 80%, welke ter discussie gesteld werd bij het bekend worden in de
maatschappij en de politiek. Hierdoor namen de winsten uit dit product af en
konden de verliezen van de rente inkomsten niet meer dekken. Deze verliezen
tezamen met het opkomen van claims inzake de koopsompolissen zorgde ervoor
dat er een liquiditeit probleem bij de bank ontstond.
In mei 2009 heeft de Autoriteit Financiële Markten (AFM) twee boetes opgelegd,
omdat de DSB Bank onzorgvuldig was geweest bij het verstrekken van
hypotheekleningen.
Op 28 september 2009 vertelden oud-‐medewerkers van de DSB Bank in het tv-‐
programma NOVA dat de bank systematisch en op grote schaal zoveel en zo hoog
mogelijke koopsompolissen verkocht, zonder de klant te waarschuwen voor de
risico’s. De koopsompolissen werden via koppelverkoop aan de man gebracht:
zonder koopsompolis kreeg de klant geen hypotheeklening. Van de (overbodige)
koopsommen kwam minimaal 80% als provisie bij DSB terecht.
Rente inkomsten
Product inkomsten
Claims
Maatschappelijke en politieke druk
Afbeelding 5 Tijd
Geld
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Soft Controls binnen de IT General Controls? Pagina 40
Op 1 oktober 2009 om 7.45 uur deed Pieter Lakeman van de Stichting
Hypotheekleed een oproep in het KRO-‐programma Goedemorgen Nederland. Hij
riep alle rekeninghouders op om hun tegoeden bij de DSB Bank weg te halen:
'DSB moet failliet', aldus Lakeman. Tien dagen na de oproep van Lakeman bleken
de problemen bij DSB aanzienlijk. In drie dagen hadden rekeninghouders 317
miljoen opgenomen, hetgeen was opgelopen tot 664 miljoen op het moment dat
de rechtbank tot een noodregeling besloot.
Op verzoek van de bewindvoerders heeft de rechtbank de DSB Bank op 19
oktober 2009 failliet verklaard.
Had het failliet gaan van de bank voorkomen kunnen worden? Op deze vraag kan
ik niet met zekerheid antwoord geven, maar een feit is dat Accountantskantoor
Ernst & Young op 29 juni de jaarrekening 2008 van DSB Bank goedkeurde zonder
verdere waarschuwingen of vraagtekens.
Om er achter te komen wat de beweegredenen waren van Ernst & Young om een
goedkeurende verklaring te geven kijken we naar wat de wet hierover
voorschrijft:
Artikel 2:393 lid 3 BW
De accountant onderzoekt of de jaarrekening het in artikel 362 lid 1 vereiste
inzicht geeft.
Artikel 2:362 lid 1 BW
De jaarrekening geeft volgens normen die in het maatschappelijk verkeer als
aanvaardbaar worden beschouwd een zodanig inzicht dat een verantwoord
oordeel kan worden gevormd omtrent het vermogen en het resultaat, alsmede
voor zover de aard van een jaarrekening dat toelaat, omtrent de solvabiliteit en
de liquiditeit van de rechtspersoon.
Belangrijk in deze wettekst is het begrip “in het maatschappelijk verkeer als
aanvaardbaar worden beschouwd”. De koopsompolissen die door de DSB met
een provisie van minimaal 80% zijn verkocht, worden door de maatschappij niet
als aanvaardbaar beschouwd waardoor gesuggereerd zou kunnen worden dat
onterecht een goedkeurende verklaring is afgegeven.
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Soft Controls binnen de IT General Controls? Pagina 41
Alleen heeft het “ maatschappelijk aanvaardbare beschouwen” alleen betrekking
op de solvabiliteit en de liquiditeit van de rechtspersoon. Wat buiten
beschouwing wordt gelaten is de continuïteit. Wanneer in de jaarrekening van
2008 inzake de continuïteit een oordeel had moeten worden gegeven dan zou
het gedrag en de cultuur van de organisatie ook getoetst en gerapporteerd
moeten worden. Het gedrag en de cultuur van een organisatie is zoals eerder
geschreven in deze scriptie in een hoge mate afhankelijk van het beleid wat
opgesteld is door de top van de organisatie. Het beleid van de DSB was er
opgericht dat minimaal 80% provisie behaald werd door de koppelverkoop van
koopsompolissen. Deze winsten zijn niet maatschappelijk aanvaard en gaven
daarmee op de lange termijn risico’s in de continuïteit van de organisatie.
Wanneer hadden deze risico’s hoogst waarschijnlijk wel onderkend kunnen
worden en was er op tijd ingegrepen, zodat een faillissement afgewend kon
worden?
Afbeelding 6 toont het stelsel van maatregelen. Onder in de driehoek vinden de
uitvoerende controle werkzaamheden plaats, het zogenaamde “vinken”. Op dit
niveau worden in de huidige audit vooral de “Harde Controls” getoetst. In het
midden van de driehoek vindt het “professional judgement” van de accountant
plaats en toetsing van de “entity level controls”.
Accountant Toezicht
Stelsel
van maatregelen
CEO / CFO
Uitvoerende controle
werkzaamheden (vinken)
Waardering
accountant (professional judgment)
Gap Soft Controls
Hard Controls
Afbeelding 6
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Soft Controls binnen de IT General Controls? Pagina 42
Hier worden de conclusies getrokken en wordt er op basis van de vastgestelde
toetsingsresultaten een accountantsverklaring geformuleerd.
Al deze maatregelen zijn er op gericht om risico’s binnen de organisatie te beheersen. Wanneer we kijken naar de bovenkant van de driehoek, CEO & CFO, dan is daar een “Gap” ontstaan betreffende het toetsen van maatregelen. In hoofdstuk 2.5 zijn een aantal normen opgenomen die als uitgangssituatie van “Soft Controls” kunnen gelden. Wanneer we deze normen zouden toepassen op de situatie bij de DSB zouden norm 2, 3 en 9 signalen opgeleverd moeten hebben, te weten: 2. Zien dat hun leidinggevenden zowel binnen als buiten de organisatie de
maatschappelijk aanvaarde kernwaarden van organisatie verkondigen.
Het via koppelverkoop aan de man brengen van koopsompolissen waarop
tenminste 80% als provisie bij de DSB terecht kwam is geen maatschappelijk
aanvaarde kernwaarde.
3. Integer en in lijn met de kernwaarden van de organisatie en maatschappij
handelen
Geen hypothecaire lening verstrekken wanneer niet gelijktijdig een koopsompolis wordt afgesloten is geen integere kernwaarde in de maatschappij. 9. Zien dat het management een weloverwogen risicohouding heeft op korte
en lange termijn
Koppel verkoop van koopsompolissen is niet geoorloofd in Nederland. Er werd
niet ingegrepen door controlerende instanties maar als organisatie weet je dat dit
geen verstandig beleid is en dat dit voor de langere termijn extra risico’s op gaat
leveren. De maatschappij zal vroeg of laat niet akkoord gaan met het betalen van
80% provisie en dit zal zich tegen de organisatie keren.
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Soft Controls binnen de IT General Controls? Pagina 43
Wanneer in Artikel 2:362 lid 1 BW naast solvabiliteit en de liquiditeit ook
continuïteit was opgenomen, hadden resultaten inzake de toetsing van
bovenstaande “Soft Controls” ook opgenomen moeten worden in de
accountantsverklaring waardoor duidelijker zou zijn geworden welke risico’s de
organisatie liep.
Resumerend zijn in deze casus alleen “Harde Controls” getoetst waardoor de
accountants verklaring aan alle minimale eisen voldeed die de wet voorschrijft.
Maar dat alle risico’s die de DSB liep beschreven heeft moet ik bestrijden en mijn
inziens gaat het hierbij een accountants verklaring wel degelijk om. Achteraf
bleken door de heersende cultuur en het beleid binnen de organisatie risico’s te
ontstaan die tot de ondergang van de organisatie hebben geleid.
Waarschijnlijk was met het alleen toetsen van “Soft Controls” binnen de IT
General Controls het faillissement van de DSB niet voorkomen maar in
combinatie van het toetsten van “Soft Controls” door de gehele organisatie was
deze kans aanzienlijk groter geweest of in ieder geval was eerder zichtbaar
geworden dat door het onverantwoorde beleid risico’s zijn ontstaan die zo groot
werden dat ze de ondergang van deze organisatie betekenden.
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Soft Controls binnen de IT General Controls? Pagina 44
5. Conclusie
5.1 In hoeverre is het mogelijk om ‘Soft Controls” te toetsen binnen de IT
General Controls
IT General Controls gaan uit van het volgen van procedures en richtlijnen zoals bijvoorbeeld; computer operations, change management en logische toegangsbeveiliging.
Onderzoeker J. Roth geeft aan dat het testen van alleen de harde controls niet alle risico’s afdekt en een in control statement kan geven. De onderzoeken van de heer Roth ‘A hard look at Soft Controls’ laten zien dat het auditen van bedrijfscultuur, vertrouwen en gedrag (Soft Controls) een completer beeld geeft van het gehele veld van risico’s.
Wanneer ik in mijn persoonlijke werkomgeving kijk zijn de “Soft Controls” en het
auditen hiervan een ondergeschoven kindje. Voornamelijk worden alleen controls
beoordeeld waarvan de auditor harde feiten op tafel kan leggen. Mijn
persoonlijke ervaring is dat raden van bestuur en audit commissies willen niet
geconfronteerd worden met een onderbuik gevoel.
Wanneer je alleen al de bibliografie van deze scriptie bekijkt is er veel literatuur
geschreven en artikelen geplaatst welke een oordeel hebben over Soft Controls
en de organisatie. Mijn beeld, door twintig jaar IT ervaring, is dat er op dit
moment weinig “Soft Controls” worden geaudit binnen de Financial en IT auditing
met namen in de top van de organisatie.
Soft Controls meten de cultuur van de organisatie welke wordt gevormd door het
gedrag van de medewerkers.
Mijn conclusie betreffende gedrag na het onderzoek is: Door het voorspellen, meten en het beïnvloeden van onbewust gedrag kunnen
ook de risico’s hieromtrent worden getoetst en dan dus zichtbaar gemaakt
worden. Door het meten van “Integriteitmaatregelen” betreffende bewust
gedrag kunnen ook de risico’s hieromtrent worden getoetst en dan dus zichtbaar
gemaakt worden.
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Soft Controls binnen de IT General Controls? Pagina 45
Andersom geldt ook dat de cultuur het gedrag van medewerkers beïnvloed. Goed voorbeeld doet volgen is het credo. Tone at the top. Wanneer in de top van de organisatie de integriteit ver te zoeken is zal dit in de rest van de organisatie zijn weerslag hebben.
Mijn conclusie betreffende cultuur in de organisatie na het onderzoek is:
Door het meten van cultuur, bijvoorbeeld de communicatie, openheid
management, omgang en bejegening van de medewerkers binnen een
organisatie, kunnen risico’s betreffende bedrijfsprocessen beter getoetst worden.
Op de vraag of risico’s beter geaudit kunnen worden wanneer Soft Controls
toegevoegd worden aan de IT General Controls is mijn antwoord “ja”.
Na mijn onderzoek ben ik tot de conclusie gekomen dat door het toevoegen van
“Soft Controls” binnen de IT General Controls risico’s beter onderkend worden.
Voorwaarde hieraan is dat de Soft Controls binnen de gehele organisatie
doorgevoerd moeten om effectief en dan dus meetbaar te kunnen zijn.
Het toevoegen van Soft Controls kan meer inzicht in de risico’s geven en betere
garanties geven betreffende de continuïteit van de werking van de IT General
Controls. Er zal verder onderzoek gedaan moeten worden naar de manier hoe en
door wie. Mijn voorstel hierin zou zijn om een passage ‘Gedrag en Organisatie’ op
te nemen in de IT General Controls. In deze passage zal op zo’n manier op gedrag
en cultuur geaudit moeten worden dat er een beeld ontstaat welke extra risico’s
de organisatie loopt.
In de enquête hebben de auditor van PALM antwoord gegeven op de vraag of zij
in staat zijn om “Soft Controls” te toetsen?
De auditors van PALM vinden dat door het toevoegen van “Soft Controls” de
risico’s beter worden getoetst, maar zij zijn voorts van mening dat er training
noodzakelijk is om deze “Soft Controls” voldoende te kunnen beoordelen.
Mijn persoonlijke mening hierin is dat wanneer de opleiding tot IT Auditor aan de
VU meer aandacht aan de audit van “Soft Controls” zou besteden ik nog beter
risico’s zou kunnen toetsen.
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Soft Controls binnen de IT General Controls? Pagina 46
5.2 Blik vooruit: De toevoeging ‘Gedrag en Organisatie’ in de IT General
Controls
Het gedrag van medewerkers binnen een organisatie kent veel afhankelijkheden.
Het grootste gedeelte van het gedrag wordt bepaald door ervaringen uit de jeugd
maar externe factoren kunnen het gedrag in het hier en nu beïnvloeden.
Wanneer we vooruit kijken naar de audit van de IT General Controls verwacht ik
dat men meer en meer gebruik zal gaan maken van tools en applicaties om aan te
tonen of een organisatie ‘in control’ is. Systemen sluiten steeds meer en beter op
elkaar aan en wanneer we kijken naar ERP applicaties kunnen we stellen dat het
online auditen niet ver weg meer is. Om een audit uit te voeren hoeft de IT
Auditor dan niet meer naar de klant maar kan hij door in te loggen op zijn audit
tool de status van de IT General Controls live uitlezen.
Gedrag daarentegen is niet of lastig via een tool te auditen. De IT Auditor zal zich
moeten voorbereiden op een toekomst waarin waarschijnlijk Soft Controls een
belangrijk onderdeel worden van zijn werkzaamheden.
In een artikel in de Automatisering Gids23 was al te lezen dat de Rijksuniversiteit
van Groningen een nieuwe opleiding start inzake IT Auditing: De Rijksuniversiteit Groningen komt met een nieuwe opleiding over IT-‐auditing. De
studie draait onder andere om risicomanagement, compliance en it-‐governance. De
opleider wil zich vooral richten op de manier waarop in de toekomst met IT-‐auditing
wordt omgegaan. Volgens de universiteit gaat het in de ict de laatste jaren minder
om operationeel ondernemen en is strategie belangrijker geworden. De IT-‐auditing,
die de organisatie van de automatisering in de gaten houdt, verandert daardoor
ook. ‘Het vakgebied IT-‐audit zal een toekomstgericht karakter krijgen, waarbij
assurance, audit en assessment integraal benaderd worden', aldus professor en
hoogleraar information management Hans Wortmann die daarmee onder andere
doelt op de betrouwbaarheid van informatiesystemen. Volgens de hoogleraar houdt
de IT-‐auditor van de toekomst zich vooral bezighouden met effectiviteit en bedrijfs-‐ en
beheerprocessen.
De IT audit risico’s worden uitgebreid met de factor “Gedrag” en zo ook de IT
General Controls dus zal ook de aanpak moeten veranderen door een IT Auditor
die zich bewust en opgeleid is om gedrag te kunnen beheersen door middel van
maatregelen. 23 Automatisering Gids 19 juni 2009
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Soft Controls binnen de IT General Controls? Pagina 47
5.3 Suggesties voor vervolgonderzoek
Een suggestie voor een vervolgonderzoek zou een onderzoek kunnen zijn naar de
concrete beheersmaatregelen om ‘Gedrag en Organisatie’ binnen de IT General
Controls vorm te geven.
Welke maatregelen zorgen ervoor dat gedragsrisico’s afnemen of beheersbaar
worden.
Een resultaat zou een control framework moeten zijn waarmee de IT Auditor uit
de voeten kan om een standaard audit uit te voeren en als resultaat kan
opnemen in zijn dossier. De Audit van ‘Gedrag en Organisatie’ binnen de IT
General Controls wordt hierdoor tastbaar en is gebaseerd op feiten.
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Soft Controls binnen de IT General Controls? Pagina 48
5.4 Persoonlijke reflectie en terugblik op de scriptie
Deze scriptie heeft mij een betere visie op “Soft Controls” gebracht. Niet alleen
dat we er slim aan doen om ze op te nemen in de IT General Controls maar vooral
het feit dat het meten van gedrag een belangrijke factor is in de continuïteit van
een organisatie. Aan het begin verwachtte ik dat deze scriptie vooral zou gaan
over fraude maar gaandeweg kwam ik tot de conclusie dat dit maar een klein
gedeelte inzake Soft Controls bestrijkt. Nooit heb ik me zo verdiept in gedrag en
cultuur in combinatie met risico’s, waardoor ik beter ben gaan beseffen welke
risico’s buiten de “Harde Controls” nog meer aanwezig zijn.
Waar ik net begon te wennen aan de reguliere audit komen er bij het auditen van
“Soft Controls” nog een heel scala aan controls bij waardoor het auditen nog
intensiever wordt. Gedrag is divers en kan grillig zijn waardoor toetsen van
controls binnen de IT voor IT Auditors een kunst op zich wordt. Door dit
onderzoek ben ik me er ook meer bewust van geworden dat een integere en
oprechte cultuur waar medewerkers zich veilig en verbonden voelen van
levensbelang is voor een organisatie.
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Soft Controls binnen de IT General Controls? Pagina 49
Bibliografie
Tiggelaar, B. (2005) Dromen, durven, doen, Spectrum
Landsberg, M. (1999) De TAO van motivatie, inspireer uzelf en anderen, Academic
Services
Da Veiga, Eloff J.H.P. (2009) A Framework and Assessment Instrument for
Information Security Culture, Computers & Security 2009
Robbins, S., Judge T. (2008) Gedrag in organisaties
Soons, T., Soft Controls -‐ http://www.alterlogic.nl/publicaties/SoftControls.pdf
Stremmelaar M.T.L., de Heus R.S. (2000) Auditen van Soft Controls
Otten, J.H.M., (2001) Alignment audit, Operational auditor 2001
Schein, E. H. (2004) Organization culture & leadership
Swinkels, W. (2003) Tone at the top
Bos, P, de Korte R., (2008) Soft Controls: wie het begrijpt heeft niet goed
nagedacht, Audit magazine nr. 4 2008
Wallage P. (2009) Soft Controls als antwoord op de crisis, profnews
Hartog, P.H., Leijtens H. (1999) Social Auditing: de harde invloed van soft controls,
De Operational Auditor, nr. 2 1999
Roth, J., ‘A hard look at Soft Controls’, Het audit magazine nr. 4 2009
Vink, H.J.A, Kaptein M. (2008) Soft Controls bij de rijksoverheid: een onder-‐ zoek
naar de oorzaak van rechtmatigheidsfouten, Maandblad voor Accountancy en
Bedrijfseconomie nr. 6 (2008)
Hofstede, G.J, Hofstede G. (2005) Allemaal andersdenkenden
Ouchi, W. G. (1981) Theory Z
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Soft Controls binnen de IT General Controls? Pagina 50
Aardema, H., Puts, H. (2008) De harde werking van soft controls TPC Hoofdartikel
juni 2008
Rijneveld, T., Willems, S., Belang van Soft Controls voor privacy PWC Spotlight
uitgave 3 2009
Campbell, I., Relying upon the organisation’s Ethical Environment
http://www.facilitatedcontrols.com/internal-‐auditing/softcrtl.shtml
Arts, F. (2009) Soft controls? Ik zie ze niet! CIAD Blog november 2009
http://ciadblog.wordpress.com/2009/11/25/soft-‐controls-‐ik-‐zie-‐ze-‐niet/
Klijn E. (2010) De Harde Realiteit van Soft Controls
Publicatiehttp://www.amsterdambusinessschool.nl/emia/nieuws.cfm/9941C176-‐
1321-‐B0BE-‐A418E00E17B9D73C
Loon B. (2010) Onderzoek Soft Controls bij interne accountantsdiensten KPMG
Advisory 2010
Tiggelaar B. (2005) Dromen durfen doen
Hartog, P., Korte, R. (2003) Soft Controls, object van de auditor Artikel Auditing.nl
2003
IJsbergmodel van Bergenhenegouwen, Gids voor Personeelsmanagement
jaargang. 85 nr. 1 -‐ 2006