Internal Operational auditing en het digitale archief

De eisen aan het digitale archiefDe eisen aan het digitale archief en de relatie met en de relatie met

Internal/Operational auditingInternal/Operational auditing

“Deze eischen zijn, dat het nieuw archief niet alleen doelmatig moet

worden bewaard, doch dat de zich daarin bevindende stukken ook zoodanig zijn gerangschikt en geregistreerd, dat elk stuk op

verlangen in den kortst mogelijken tijd moet kunnen worden te voorschijn gebracht en over elk onderwerp zoo vlug mogelijk alle

gegevens moeten kunnen worden verstrekt, die daaromtrent uit de zich in het archief bevindende stukken te putten zijn"

Uit een Verslag van den toestand der Gemeente Groningen, (19e eeuw)

Drs RTC van der Steen RE Slotexamendocument voor het Kopjaar Internal/Operational Auditing 2004-2005 Erasmus School of Accounting & Assurance Erasmus Universiteit Rotterdam Juni 2006

Slotexamen RTC vd Steen pagina - 13 1

Inleiding en samenvatting Hierbij mijn slotexamendocument ter afsluiting van de opleiding Kopjaar voor de Internal/Operational auditing opleiding. Ik heb mijn EDP-auditing opleiding in 2001 afgerond met het referaat IT-Auditing in het archiefwezen. Aansluitend heb ik in 2003 een artikel geschreven over het onderwerp Archivering in een digitale wereld voor de EDP-auditor. Daarnaast zijn er enkele publicaties van mij over dit onderwerp in enkele handboeken verschenen. Er is momenteel een groeiende belangstelling voor het onderwerp. Zo is Auditing in a paperless society een van de onderwerpen van de aanstaande Summercourse 2006 “Audit kwaliteit, geen vanzelfsprekende zaak”, welke georganiseerd wordt door de Erasmus School of Accounting & Assurance. In het voor u liggende document heb ik getracht het onderwerp Digitale archivering wat meer toe te spitsen op het vakgebied Operational auditing. Binnen veel organisaties staat momenteel het 'in control'-vraagstuk hoog op de agenda van het management door ontwikkelingen als de Sarbanes-Oxley Act, de Corporate Governance Code (Tabaksblat), verscherping van toezicht op organisaties en risk management. Deze ontwikkelingen hebben consequenties voor de kwaliteit van de beheersing van de organisatie. Een belangrijk aspect binnen een organisatie is de beheersing van informatie. Organisaties produceren immers steeds meer (digitale) informatie. In de meeste organisaties is de traditionele papieren documenthuishouding meestal wel op orde en wordt papieren informatie conform de daarvoor geldende wetten en regels opgeborgen in het traditionele archief. Contracten en andere juridische documenten worden meestal met een handtekening bekrachtigd. Hier stoelt men op jarenlange ervaring, bijvoorbeeld volgens de idee van het plaatje van de voorpagina; de belangrijkste documenten zijn goed geordend, bevinden zich in authentieke staat, worden goed beheerd en zijn last but not least vindbaar! Maar hoe is het gesteld met de digitale informatie en wat is de relatie met Internal/Operational auditing? Het is een open deur te veronderstellen dat de informatiehuishouding in organisaties op orde is. Toch meen ik dat het besef dat digitale informatie, net als de papieren informatie, op een deugdelijke wijze beheerd moet worden, in veel organisaties nog onvoldoende aanwezig is. Als gevolg daarvan is er dan ook nog weinig geregeld op het gebied van het beheer van digitale documenten en gegevensstromen. Daardoor ontstaat risico op het gebied van de beheersing van bedrijfsprocessen en kan de verplichting van de organisatie om zich voor haar bedrijfsvoering intern of extern te verantwoorden in gevaar komen. Een extra complicatie is dat digitale informatie moeilijker te onderhouden of te bewaren is dan papier omdat er hulpmiddelen nodig zijn om deze informatie te lezen. Digitale informatie veroudert snel. De kans is groot dat digitaal opgeslagen documenten door organisatorische, technische en archivistische problemen na enkele jaren al niet meer opgevraagd kunnen worden. De inrichting en kwaliteit van het archiefproces zijn onderwerpen die naar mijn idee in steeds meer probleemsignalerende, diagnostische of oplossinggerichte audits aan de orde zullen komen naast de andere onderwerpen waar het management de inbreng van een auditor verlangd voor het onafhankelijk beoordelen van het ‘in control’ zijn van de organisatie. Leeswijzer

• Hoofdstuk I bevat een samenvatting van mijn referaat IT-auditing in het archiefwezen voor EDP-auditing opleiding (pag. 2 en 3)

• Hoofdstuk II bevat een relaas over de functie van accounting standaarden (pag. 4 - 5) • Hoofdstuk III bevat een verhandeling van Management control (pag. 6 t/m 9) • Hoofdstuk IV gaat over Corporate Governance (pag 10 en 11) • Het slotexamendocument wordt afgesloten met het stukje Conclusie (pag. 12)


Hoofdstuk I Het archiefbeheer binnen de overheid Het archiefwezen is het geheel van organisaties en regelgeving belast met of betrekking hebbend op archiefbeheer binnen de overheid. In Nederland bestaat het archiefwezen uit het Rijksarchief, het Provinciaal Archief en het Gemeentearchief. In deze archieven zijn voor een groot deel het handelen van een persoon of een overheidsinstelling terug te vinden. De Archiefwet vormt het wettelijk kader waarin het archiefwezen moet opereren. De overheid produceert sinds de opkomst van de automatisering steeds meer informatie in digitale vorm. Het archiefwezen moet zich zo snel mogelijk meer richten op het digitale document zodat het overheidshandelen van na 1975 blijvend getoetst kan worden. Het is daarom belangrijk dat er bewaarstrategieën voor digitale documenten worden uitgewerkt. Het archiefwezen moet een digitaal archief gaan inrichten om de vele digitale bescheiden die op haar afkomen te kunnen archiveren. Er wordt momenteel gewerkt aan het formuleren van eisen aan digitale documenten en bestanden gezien vanuit het oogpunt van verantwoording en continuïteitseisen. Binnen het archiefwezen wordt op dit moment bij de ontwikkeling van bewaarbeleid in de digitale context veel gesproken over Record Keeping Systems (RKS) en de standaard US DoD 5015-2 STD van het Amerikaanse Ministerie van Defensie en de ISO norm 15489 welke zich richt op het archiefproces binnen een organisatie. De DoD standaard voor duurzaam archiefbeheer beschrijft de verplichte en optionele eisen waaraan software moet voldoen voor het geautomatiseerde beheer van archiefbescheiden. Onder invloed van de verdergaande digitalisering en door toepassing van het digitale archief verschuift de rol van het archief in steeds meer organisaties volgens deze standaard van uitvoerend naar kaderstellend en regievoerend. Voor zowel papieren als elektronische/digitale archiefbescheiden dienen er eisen te worden vastgelegd over vastlegging en registratie, authenticiteit, contextgegevens, selectie en vernietiging, toegankelijkheid en duurzame bewaring. De functionaliteit voor digitale archivering wordt mede bepaald door registratie en metagegevens voor documenten naast procedures in vastleggen en bewaren, in selectie en opschoning, en indien van toepassing in overdracht aan een archiefdienst van archiefbescheiden. Indien een informatiesysteem archiefbescheiden bewaart, moeten de eisen voor digitale archivering gespecificeerd en meegenomen worden in het ontwerp, de implementatie en procedures. Procedures in de organisatie moeten bepalen welke typen digitale archiefbescheiden moeten worden afgedrukt op papier en welke moeten worden vastgelegd in een digitaal archiveringssysteem. Juist vanwege de kosten is digitaal archiveren niet altijd vanzelfsprekend. Deze procedures moeten ondersteund worden door een kwaliteitssysteem dat waarborgt dat de vastgestelde procedures worden nageleefd. Tot op heden zijn digitalisering van de bedrijfsprocessen en de archieffunctie bij de overheid nog niet geïntegreerd tot een harmonieus, goed geolied geheel. Ondanks wet- en regelgeving omtrent (digitale) archivering dreigen ze uit elkaar te drijven omdat het inhoudelijk beheer van digitale documenten nog niet goed geregeld is. Het is niet duidelijk waar de verantwoordelijkheden van dit beheer liggen. In alle lagen van de overheid zijn momenteel deze problemen zichtbaar. Digitale informatie is anders als papieren informatie omdat er een hulpmiddel nodig is om deze informatie te lezen. De paradox van het digitaal bewaren van gegevens is dat met de komst van IT-systemen er nauwelijks nog beperkingen lijken te zijn voor het verzamelen en vervolgens vastleggen van informatie, terwijl er wel belangrijke beperkingen lijken op te treden bij de duurzaamheid van deze informatie. Soms blijkt digitale informatie na enkele jaren al niet meer leesbaar te zijn. Vanuit wet- en regelgeving worden er allerlei bewaartermijnen bepaald. De archiefwet schrijft een bewaartermijn van minstens 100 jaar voor. Om als geheugenbron of als verantwoordingseis te kunnen fungeren, moeten archiefbescheiden dusdanig worden beheerd dat ze voldoen aan de algemene kwaliteitseisen; volledigheid (geen delen van informatie gaan verloren), authenticiteit (het document is echt), betrouwbaarheid (juistheid


van de informatie), toegankelijkheid (documenten zijn vindbaar), raadpleegbaarheid (documenten kunnen ook daadwerkelijk gelezen worden), beschikbaarheid (gevonden en leesbare documenten kunnen tijdig worden geraadpleegd). Wanneer de functie van het archiefbescheiden bewijsvoering is, dan is authenticiteit de belangrijkste kwaliteitseis. In de levenscyclus van (digitale) documenten en registraties bij de overheid spelen wet en regelgeving een grote rol. Het bevat voor digitale documenten de kwaliteitseisen betrouwbaarheid, exclusiviteit, integriteit en verifieerbaarheid. Voor het openbaar bestuur behoren de juridische aspecten tot de belangrijkste onderwerpen die in gedachten moeten worden gehouden. Het digitaal bewaren van informatie is niet alleen een kwestie van techniek, maar vraagt tevens om een zorgvuldig overdacht organisatorisch beleid met juridische voorwaarden. Toch kan ook besloten worden bepaalde documenten juist buiten het digitale archief te houden of om een separaat archief van de oorspronkelijke documenten aan te houden, omdat er nog geen harde jurisprudentie bestaat over de bewijswaarde van digitale documenten in strafzaken. De juridische aspecten zijn één van de belangrijkste onderwerpen die in gedachte moeten worden gehouden bij elke digitale informatiestrategie. Naast het digitale archief komt de bedrijfsvoering van de archieffunctie zelf ook in aanmerking voor automatisering. Momenteel is het niveau van automatisering binnen het archiefwezen nog niet dusdanig hoog dat er een noodzaak is audits uit te laten voeren. Dit zal veranderen, want het Ministerie van OC&W en ook de Raad voor de Kunst leggen steeds meer nadruk op de inzet van IT binnen het archiefwezen. Door schaalvergroting en de inzet van Internet wil het archiefwezen haar diensten ook op Internet gaan aanbieden. Diverse projecten staan hiervoor op stapel. Het management kan voor vraagstukken komen staan waar een auditor op basis van zijn kennis en expertise vanuit een adviesfunctie een antwoord op kan geven. Om de betekenis van een archiefstuk voor het bedrijfsproces te bepalen, is het nodig om ook over gegevens óver het document te beschikken. Momenteel komen er applicaties op de markt om organisaties hierin te ondersteunen bij hun record keeping functie. Met de standaard US DoD 5015-2 kan de auditor vanuit zijn toetsfunctie normen opstellen van wat een elektronisch archiefbeheersysteem functioneel moet kunnen om aan de eisen die voortvloeien uit de archiefregelgeving, te voldoen. De archiefwetenschap weet de computerrisico's van digitale archivering goed in te schatten. Er is veel theorievorming rond kwaliteitsaspecten authenticiteit en integriteit over een digitaal archief. Het huidige archiefwezen kan echter de complexiteit van de beheersing van de informatisering nog niet geheel overzien. Het kan gebeuren dat vraagstukken die niet binnen de organisatie kunnen worden opgelost, door een onpartijdige auditor wel kunnen worden beantwoord. Deze IT-auditor moet dan wel eerst zich de wet- en regelgeving die geldt binnen het archiefwezen eigen maken voordat hij een audit kan uitvoeren. De archieffunctie zal in plaats van achter aan de keten in het bedrijfsproces verschuiven naar de voorkant. Het archiefwezen staat op een belangrijk omslagpunt, van papier naar digitaal. Er moet op korte termijn een digitaal archief geïntroduceerd worden, anders wordt het een digitale chaos. Momenteel wordt er bij de ontwikkeling van informatiesystemen nog zelden rekening gehouden met het incorporeren en/of ondersteunen van de archieffunctie. Dit is opmerkelijk want de archieffunctie is in een digitale omgeving een dynamische spil in het kennismanagement van een organisatie. Mede daarom is het belangrijk dat het archiefwezen en de Internal auditing wereld zo snel mogelijk intensiever met elkaar gaan samenwerken.


Hoofdstuk II Accounting standaarden en het belang van het digitale archief In de nieuwe economie worden organisaties steeds digitaler of danken hun bestaan uit het feit dat ze in informatie als waardegoed handelen in plaats van in fysieke goederen. Deze organisaties maken gebruik van het enorme Internet om op een goedkope manier hun klanten te benaderen. Veel van deze nieuwe bedrijven gingen gewoon aan de slag zonder intern of financieel controlesysteem, zelfs zonder een bedacht marketinginstrument. De meeste van deze organisaties zijn dan ook in de internethype jammerlijk ten onder gegaan. Door de eeuwen heen hebben mensen vele en veelsoortige activiteiten ontplooid. Soms deden ze dat individueel, maar gewoonlijk in samenwerking met anderen. Bij de uitvoering van activiteiten werd in toenemende mate gebruik gemaakt van allerlei hulpmiddelen. De eerste tellingen stelden een hoeveelheid vastomlijnde voorwerpen voor en duiken pas rond 8000 v.Chr. in Mesopotamië op. Kleifiguurtjes, met een doorsnede van 2 cm of minder, werden voor die doeleinden gebruikt: een cilinder voor een dier, en kegeltjes en bolletjes voor twee afzonderlijke maten graan. Hoewel het ook hier nog ging om één+één+één-tellen (twee dieren werden voorgesteld door twee cilinders, en twee schepels graan door twee bolletjes), betekende het gebruik van verschillende figuurtjes voor verschillende voorwerpen al een enorme vooruitgang: goederen uit de landbouw en veeteelt konden worden geteld en voor latere gegevensverwerking bewaard, zonder onderhevig te zijn aan de menselijke vergeetachtigheid. Essentieel bij deze registratie is dus het vermogen van de mens om de toenamen en de afnamen met elkaar in verband te brengen, met andere woorden: om de causale relatie te onderkennen. Mensen en middelen gingen in organisatie in onderling samenwerking activiteiten ontplooien teneinde op doelmatige wijze overeengekomen doelstellingen te bereiken. Wanneer dit beheerst wordt door het streven naar een gunstige nut/kostenverhouding spreekt men van zogenaamde economische principe. Er zijn veel vormen van organisaties maar alle hebben dezelfde kenmerken of wetmatigheden: ze zijn doelbewust en ontstaan niet automatisch, ze zijn doelgericht op het voortbrengen en/of aanbieden van goederen en diensten waar de samenleving behoefte aan heeft en ze zijn efficient. Het uitvoeren van werkzaamheden en het gebruik of verbruik van middelen dient op een zo doelmatige wijze plaats te vinden. Dit is het streven van organisaties waarbij men de kosten zo laag mogelijk probeert te houden. Een organisatie is geen besloten gemeenschap en kan doelstellingen niet eenzijdig vaststellen maar moet rekening houden met wat de deelnemers (werknemers, leveranciers, afnemers, banken ed.) van hen verwachten. Om dit te kunnen doen heeft de organisatie behoefte aan conventies en algemeen geaccepteerde uitvoeringsregels voor de informatievoorziening. Dit is nodig voor zowel de interne als externe verslaglegging waaruit de verantwoording van de gang van zaken van de organisatie terug te lezen is in de vorm van een jaarverslaggeving. Als gevolg van delegatie van taken en bevoegdheden binnen organisaties en de scheiding tussen eigendom en beheer, is er bij de leiding van de organisaties en bij het maatschappelijke verkeer de behoefte ontstaan aan controles welke door onafhankelijke deskundigheden, accountants, worden uitgevoerd. Tevens heeft men behoefte aan op deze controles gebaseerde oordelen. De controle is nodig omdat de leiding van een organisatie een te rooskleurig dan wel te pessimistische ontwikkeling van de resultaten kan geven of op basis van fouten in de administratie. Ook het maatschappelijk verkeer in casu de overheid verwacht een deugdelijke organisatie en heeft hiervoor wetten en instanties in het leven geroepen met richtlijnen en (accounting)standaarden. Desondanks blijken organisaties zichzelf te kunnen verrijken ten koste van de maatschappij. De in de publiciteit gekomen boekhoudschandalen zijn het gevolg geweest van:

• Onethisch gedrag van management van de organisatie • Te veel rules-based accounting standaarden • Te complexe (internationale) bedrijfsstructuren • Te sterke (financiële) beloningen voor de top van de organisatie


• Onethisch gedrag van de interne en externe controleurs (dus ook van accountants) • Te sterke nadruk op commercialisering van de onafhankelijke"controlefunctie: het

accountantsberoep • Vervalsing van gegevens uit de informatievoorziening • Toepassing door accountants van regels ´naar de letter´ en niet ´naar de geest´

Het management moet voortaan in het jaarverslag een mededeling (‘in control statement’) opnemen, althans volgens de Amerikaanse accountingstandaard, gebaseerd op De Sarbanes-Oxley Act. Deze wet gaat onder meer over de effectiviteit van de interne beheersing van het proces van financiële verantwoording. Het management is strafrechtelijk aansprakelijk als de gepresenteerde informatie niet blijkt te kloppen. Het systeem van interne beheersing moet beheersbaar en controleerbaar en daarom van audit trails voorzien zijn. De Nederlandse code Tabaksblat bevat principes, best practices en aanbevelingen op het gebied van controle, risicomanagement, rapportage en verantwoording om de beheersing van de onderneming te verbeteren. Het werkt, maar blijkt ook risicovol. De onderneming moet ‘in control’ zijn. IT dient hierbij te helpen om controles te faciliteren en bedrijfsrisico’s te verminderen. De onderbouwende informatie en documentatie dienen hiervoor uiteraard adequaat te zijn. Noodzakelijk kwaad Voor het bereiken van deze nobele doelen zoals een grotere transparantie voor belanghebbenden en een betere corporate governance, moet men uit kunnen gaan van een optimale datakwaliteit. Maar is dat eigenlijk wel het geval? Kan de organisatie de digitale gegevens nog vinden? Kan de toezichthouder nog vertrouwen op de aangeleverde gegevens. Digitaal archiefbeheer wordt vaak gekwalificeerd als een noodzakelijk kwaad en de verantwoordelijke managers zien het (ten onrechte) nooit als onderdeel van, of brengen het nooit in relatie met het kwaliteitssysteem, de bedrijfsvoering en beheersing van een organisatie. Het management is strafrechtelijk aansprakelijk als de gepresenteerde informatie niet blijkt te kloppen. Daarom worden de accountingstandaarden aangescherpt. Ook worden de voor het beroep van de accountant geldende voorschriften en het toezicht daarop hogere eisen gesteld zowel op mondiaal, op Europees en op nationaal terrein. Door wetgeving worden de kerntaken van de accountant bijgesteld. De houding en het gedrag van de accountant zelf worden in allerlei nieuwe accountingrichtlijnen benadrukt. Er is aandacht voor de kwaliteit van de opslag van organisatiegegevens. Er zijn stringentere regels die het beroep zichzelf oplegt (onafhankelijkheid) en de bereidheid om meer in openheid te opereren (transparantie) zoals het aanscherpen van beroepsvoorschriften (controlestandaarden) en extern toezicht op de kwaliteitscontrole zelf. Veel organisaties komen in de problemen door managementfouten of het ontbreken van sancties vanuit een intern controlesysteem. Wellicht dat de nieuwe accountingstandaarden de zondaars tijdig tot de orde kan roepen.


Hoofdstuk III Management control en digitale archivering Bij een operational audit onderzoekt de auditor de bedrijfsprocessen, inclusief de processen voor de periodieke financiële verslaglegging, de geautomatiseerde systemen en de informatie- en technologie-omgeving. Deze laatste worden ook wel EDP/IT-audits genoemd. Bij een financiële audit onderzoekt de auditor de betrouwbaarheid van de financiële informatie van de organisatie. Met compliance audits wordt onderzocht of de organisatie voldoet aan de voor die organisatie geldende in- en externe wet- en regelgeving. Auditing in een papierloze organisatie zal op zoek moeten gaan naar de wijze waarop organisaties worden bestuurd, beheerst en verantwoording afleggen. Auditors kunnen aan de hand van normenkaders die momenteel voor een digitaal archief gelden, checklisten opstellen voor digitaal bewaarbeleid en voor de behandeling van digitale documenten en bestanden vanuit het oogpunt van (wettelijke) verantwoording en continuïteitseisen. Slecht beheer van vastgelegde informatie, of die nu op papier, microfilm of digitaal (diskette, tape, cd-rom, dvd) is vastgelegd, leidt er gauw toe dat cruciale informatie verloren gaat. Bedrijfs- en beleidsprocessen worden dan niet of onvoldoende geëvalueerd en gecontroleerd, er wordt dan geen verantwoording afgelegd en zelfs de continuïteit van de bedrijfsvoering kan op het spel komen te staan. Ter beheersing van dit risico is het verstandig dat de manager al in de fase voor het creëren van bestanden de juiste maatregelen te nemen. Digitale archivering draagt bij aan de effectiviteit en de efficiëntie van de organisatie. Het ligt voor de hand om digitaal gecreëerde documenten die voor archivering in aanmerking komen ook digitaal te bewaren. Er zijn voldoende digitale opslagmedia waardoor het niet meer noodzakelijk is om documenten op papier te bewaren. Papier als gegevensdrager wordt dan ook in toenemende mate vervangen door andere opslagmedia. Administraties worden steeds vaker volledig geautomatiseerd waardoor er zelfs geen papieren documenten meer ontstaan. De archieffunctie faciliteert enerzijds de werkprocessen in een organisatie, anderzijds speelt het een wezenlijke rol voor verantwoording op middellange en lange termijn. Toch blijven het toegankelijk maken van informatie en beschikbaar stellen van documentaire informatie kerntaken van de organisatieonderdelen die met de documentaire informatievoorziening zijn belast. Bewaren heeft alleen zin als er een selectie gemaakt wordt van het bestaande materiaal en dit systematisch gerubriceerd wordt. Toch wordt vaak het archief zelden door het management als stuurinstrument gebruikt. Helaas ontdekt men pas bij grote calamiteiten het nut en de functie van een goed archief1. In het kader van de managementcontrole en het feit dat het management strafrechtelijk aansprakelijk is wanneer de gepresenteerde informatie niet blijkt te kloppen, is het van belang de onderstaande zaken goed te organiseren: Bedrijfseconomisch belang. Men moet de risico’s en bedreigingen onderkennen van de gegevens en informatie over bedrijfsprocessen, die verloren kunnen gaan. Cruciaal zijn basisregistraties, klantenbestanden, receptuur en/of uitstaande orders. Vanuit bedrijfseconomisch oogpunt dient men vast te stellen welke gegevens, waarom en voor hoe lang moeten worden bewaard. Gegevensmanagement moet goed georganiseerd zijn. Bewijsmiddel. Hier gaat het om de mogelijkheid om als organisatie recht te kunnen halen of te kunnen verdedigen. De organisatie wordt geconfronteerd met de noodzaak tot bewaring van een veelheid aan informatie. Welke informatie is noodzakelijk als men bij een claim in de rechtszaal zijn gelijk wil bewijzen, en heeft het gepresenteerde bewijs voldoende bewijskracht? Bij digitaal bewijsmateriaal is het proces van vastlegging en bewaring cruciaal. Vertrouwt de rechter een uitgedraaide kopie als bewijsmateriaal of verlangt hij extra waarborgen om de authenticiteit aan te tonen van de bewijsstukken?

1 Met name het archief van een milieudienst is dan de start van een grootscheeps onderzoek naar de oorzaak


Verantwoording. Het afleggen van verantwoording door de overheid is een voorwaarde van het democratisch proces. Inzicht in het functioneren van de overheid, transparantie voor de burger en het meten van prestaties zijn hot items, zie verderop het VBTB verhaal. De aanwezigheid van deugdelijke informatie voor het afleggen van verantwoording over het beleid is van essentieel belang. De Sarbanes Oxley Act en de code Tabaksblat verplichten managers van beursgenoteerde ondernemingen tot het afgeven van een ‘in control’ statement. Bedrijfsgeheugen. Kennismanagement, datamining zijn moderne hulpmiddelen om de vastgelegde informatie te benutten om bijvoorbeeld trends te ontdekken, de marktpositie te verstevigen of de burger beter van dienst te zijn. In digitale bestanden zit vaak de kennis van veel bedrijven opgesloten welke cruciaal voor de continuïteit van de onderneming. Maatschappelijk geheugen. Informatie van cultuurhistorisch belang dient permanent beschikbaar te zijn voor wetenschappers en anderen die daarmee hun voordeel kunnen doen. Daarnaast kan informatie een maatschappelijk belang dienen. Informatiebeheer Een snelle en accurate toegang tot informatie leidt tot grotere efficiëntie. Goed informatiebeheer zorgt voor effectieve beheersing van daarmee samenhangende kosten van de informatievoorziening. De pure aanwezigheid van correcte informatie is essentieel voor een organisatie. Gegevens moeten goed toegankelijk zijn voor degenen die daartoe zijn bevoegd (en ontoegankelijk voor anderen).

Record Management Applicatie (RMA) als digitaal archief (RMA)

Ter ondersteuning van de managementcontrol komen er momenteel applicaties op de markt om organisaties te ondersteunen bij hun informatiehuishouding. Deze systemen zijn gebaseerd op het eerder genoemde DoD concept en worden Record Management Applicatie (RMA) genoemd. Het is een softwarepakket dat een organisatie in staat stelt om de archiefbescheiden (records), ongeacht hun vorm, te beheren en tevens de digitale archiefbestanden op te slaan en duurzaam te beheren. Met name digitale archiefbescheiden worden in zo'n systeem opgeslagen en duurzaam beheerd. Concreet kan men zich een RMA voorstellen als een aantal voorzieningen binnen een kantoorautomatiseringomgeving. Met behulp van een RMA kunnen alle archiefbescheiden eenduidig geordend en beheerd worden en kunnen de digitale archiefstukken in een niet-muteerbare vorm worden opgeslagen en ter beschikking gesteld worden. De records die in een RMA worden opgeslagen worden direct aan de van toepassing zijnde context- en metagegevens gekoppeld. In een RMA kunnen de benodigde gegevens voor het beheer van archiefbescheiden, ongeacht de drager, worden opgeslagen. De dossiers in een RMA bevatten gegevens over de stukken, direct raadpleegbare digitale archiefbescheiden en een verwijzing naar de verblijfplaats(en) van de niet-digitale stukken. Alle functies van een RMA (o.a. raadplegen, toevoegen en verwijderen van records) kunnen door autorisaties worden gereguleerd. Pas na een autorisatie kan een gebruiker een handeling uitvoeren. De controle over het digitale document en het beheer daarvan gaat volledig over van de omgeving van de gebruiker naar een RMA, zodra het archiefstuk is geïdentificeerd als zijnde een archiefstuk. In de RMA dient ook de van toepassing zijnde wet- en regelgeving geïmplementeerd te zijn. Daarnaast wordt de archiefordening en de verwijdering van stukken geregeld en de leesbaarheid van de bescheiden onderhouden.


Hiermee kunnen voor het management de volgende voordelen van digitale archivering behaald: Betere beheersing Digitale archivering kan de beheersbaarheid van de organisatie vergroten. Het is duidelijk wie met welke documenten bezig is, wat de “workload” is en welke voortgang geboekt wordt. Tevens kan men de relatie tussen de verschillende documenten gegevensstromen inzichtelijk maken. Efficiëntie Met digitale archivering zijn efficiëntieverbeteringen in interne en externe documenten gegevensstromen te behalen. Het kost minder tijd om documenten te zoeken. Relevante documenten en gegevens zijn beter toegankelijk als gevolg van onafhankelijkheid van de fysieke locatie. Kostenbesparingen Andere voordelen van digitale archivering zijn kostenbesparingen, want dossierkasten, lectrievers en opbergmaterialen zijn amper meer nodig. Vergeleken met de opslag van originele papieren documenten verhoudt zich de opslag van images van het document in een Documentair Management Systeem tot een besparing van opslagruimte in de orde van 4000:1. Er is daardoor een besparing te behalen van dure vierkante meters huisvesting. Hier tegenover staan de kosten die gemaakt moeten worden om een digitaal archief in te richten. Maar ook hier kunnen besparingen behaald worden omdat vrijwel jaarlijks de opslagcapaciteit van bijvoorbeeld fileservers verdubbelt. Minder kwetsbaar Digitale archieven zijn minder kwetsbaar dat papieren archieven. Zij bieden een grotere bescherming tegen calamiteiten, want de archieven kunnen tegelijkertijd op een andere plek worden opgeslagen, onder voorwaarde dat het beheer goed is. Recente overstromingen in Europa hebben de kwetsbaarheid van een papieren archief weer eens aangetoond. Een digitaal archief heeft het voordeel dat het snel weer operationeel kan zijn, mits het ook elders opgeslagen wordt. Wettelijke verplichting. Er is een diversiteit in wet- en regelgeving met bepalingen over de bewaring en de bewijskracht van gegevens. Wanneer de organisatie een inventarisatie maakt van de voor haar in haar branche van toepassing zijnde wet- en regelgeving en opneemt waar deze informatie gevonden kan worden, kan zij snel voldoen aan haar wettelijke verplichtingen. Alleen zo kan het beheer van de in de organisatie aanwezige informatie hierop worden afgestemd. Milieu Tot slot kan het stroomlijnen van digitale poststromen en integraal beheersen van documenten gegevenstromen een bijdrage leveren aan milieudoelstellingen. Er is minder papier en transport nodig en geen dure investeringen in klimaatbeheersing. Slot Voor de verdere vormgeving van de managementcontrolfunctie voor het afleggen van verantwoording zouden audits het management ten dienste kunnen staan om tot stapsgewijze verbeteringen te komen op het gebeid van de informatiehuishouding. Met behulp van de auditor kunnen referentiepunten worden vastgesteld die voor de monitoring als uitgangspunt dienen. Archiefdoelstellingen moeten dusdanig worden geformuleerd dat vooraf meetpunten worden gedefinieerd. Periodiek moet worden gemeten en gerapporteerd over de kwaliteit van de digitale archivering. Ook auditors moeten het belang inzien om het laatste stukje van een bedrijfsproces, de archiveringaspecten van bedrijfsprocessen, volgens geldende regels te corporeren in bijvoorbeeld het ontwerp of invoering van een informatiesysteem. Digitale archivering en duurzame opslag zullen in organisaties in de toekomst een steeds belangrijkere rol gaan


vervullen. De archieffunctie in een digitale omgeving is bijvoorbeeld een dynamische spil in het kennismanagement. Feitelijk wordt archivering, traditioneel het laatste stukje van een bedrijfsproces, naar voren gehaald naar de start van het bedrijfsproces. Zonder goede vastlegging direct na ontvangst of creatie van een digitaal document immers geen verantwoording waar je op kunt steunen. Overigens is dankzij de informatietechnologie het informatieaanbod zo groot dat zelden iets terug te vinden is, omdat meestal voorbijgegaan wordt aan de voorwaarde van systematische opslag. Alleen strenge selectie uit het beschikbare materiaal is een alternatief. Veel overheidsorganisaties, zoals gemeenten, passen momenteel hun kerntaken aan. Oude gemeentelijke instellingen zullen worden omgebouwd tot informatieleveranciers aan de burgers die gelijktijdig een verantwoording van genomen beslissingen krijgen. Hierbij kan zeker een auditor zijn nut bewijzen. Auditors kunnen hun kennis van modellen en objecten en de kwaliteitseisen en risico's daaromtrent uitdragen die niet bekend zijn. Juist het vakgebied Internal/operational auditing levert dikwijls vaktechnisch een aanvullende bijdrage aan het formuleren van kwaliteitseisen (aspecten) en normen binnen de organisatie in het algemeen.


Hoofdstuk IV Corporate governance en de rol van digitale archivering Dienstverlening De overheid wil transparanter zijn naar de burger en de elektronische mogelijkheden benutten om meer inzicht te geven in haar doen en laten. De burger moet in de archiefkast van de overheid kunnen kijken en daarin zijn weg kunnen vinden. Ook in het kader van de ‘De Andere Overheid’ heeft in december 2003 Thom de Graaf, de toenmalige minister van Bestuurlijke Vernieuwing en Koninkrijkrelaties, grootse ambities geuit. ‘De ICT helpt bij het verbeteren van de overheidsdienstverlening, onder andere door de burger op afstand 24 uur per dag, zeven dagen per week toegang tot de overheid te bieden.’ Het plan is om een concept van eenmalige gegevensverstrekking te ontwikkelen. Burgers en bedrijven hebben daardoor minder administratieve lasten. Kennisdeling is voor de gewenste verbetering essentieel. Voorwaarde voor het succes van deze door de regering gewenste moderne overheid is wel degelijk een zekere basiskwaliteit, beschikbaarheid en toegankelijkheid van digitale informatie. Digitale archivering binnen de rijksoverheid moet volgens zo’n systeem worden uitgevoerd. Daaraan zal echter nog hard moeten worden gewerkt. Beheersbaar In het bedrijfsleven heeft de invulling van corporate governance verregaande consequenties. De Sarbanes-Oxley Act bijvoorbeeld, ook van toepassing voor Nederlandse bedrijven die op de Amerikaanse beurs zijn genoteerd, schrijft onder meer voor dat het management in het jaarverslag een mededeling (‘in control statement’) moet opnemen over de effectiviteit van de interne beheersing van het proces van financiële verantwoording. Het management is strafrechtelijk aansprakelijk als de gepresenteerde informatie niet blijkt te kloppen. Het systeem van interne beheersing moet beheersbaar en controleerbaar en daarom van audit trails voorzien zijn. De code Tabaksblat bevat principes, best practices en aanbevelingen op het gebied van controle, risicomanagement, rapportage en verantwoording om de beheersing van de onderneming te verbeteren. Het werkt, maar blijkt ook risicovol. De onderneming moet ‘in control’ zijn. IT dient hierbij te helpen om controles te faciliteren en bedrijfsrisico’s te verminderen. De onderbouwende informatie en documentatie dienen hiervoor uiteraard adequaat te zijn. VBTB Binnen de Rijksoverheid zijn belangrijke ontwikkelingen gaande met betrekking tot de auditfunctie. Dit is vooral het gevolg van de implementatie van de regeringsnota ‘Van Beleidsbegroting tot Beleidsverantwoording’ (VBTB). Dit nieuwe begrotings- en verantwoordingsstelsel, dat geldt vanaf het jaar 2002, kenmerkt zich meer dan voorheen door een output- en outcomegerichte benadering, alsmede door veel aandacht voor het realiseren van een transparante en kwalitatief hoogwaardige bedrijfsvoering. In de eerste helft van 2001 heeft een commissie onder voorzitterschap van voormalig Rekenkamerpresident Frans Kordes onderzoek verricht naar de gevolgen van de VBTB voor de auditfunctie. Duidelijk is dat de VBTB ertoe leidt dat het politieke en ambtelijke management van de departementen behoefte zullen hebben aan een bredere auditfunctie dan de traditionele accountantsfunctie. De VBTB vraagt om een moderne auditfunctie, die zich richt op oordeelsvorming en advisering over de gehele bedrijfsvoering. De auditfunctie kan als instrument dienen voor het politieke en ambtelijke management van de departementen om in continuïteit verbeteringen in de bedrijfsvoering te onderkennen en door te voeren. Tevens kan het management van een departement mede op basis van de uitkomsten van uitgevoerde audits in zijn verantwoording opnemen dat zij ‘in control’ zijn. Om de voorstellen uit de nota VBTB te kunnen realiseren, worden hoge eisen gesteld aan de sturing, beheersing en verantwoording van overheidsbeleid. De VBTB veronderstelt derhalve dus een goede governance. De visie van de commissie Kordes uit haar rapport ‘De auditfunctie in het VBTB-tijdperk’ is in 2003 door de DAR verder uitgewerkt in het ‘Kwaliteitsplan auditfunctie Rijksdienst’. Dit plan is bedoeld om een bijdrage te leveren aan de verdere ontwikkeling van de auditfunctie.


Het plan signaleert een noodzaak om te investeren in de kwaliteit van de audit-functie bij de overheid om twee hoofdredenen:

1. De ontwikkelingen in de praktijk en in het bijzonder de implementatie van de regeringsnota VBTB laten een duidelijke behoefte zien aan een brede, multidisciplinaire audit-functie

2. Uit de onderzoeken naar de arbeidsmarkt overheidsaccountancy is een aantal

verontrustende knelpunten naar voren gekomen. Inmiddels zijn op alle ministeries brede auditdiensten ingesteld met operational, financiële en EDP-auditing als disciplines, zie de inrichting van de Auditdienst Financiën.

Een van de belangrijkste vragen van de VBTB was het beter toegankelijk maken van de begroting. In 2004 is in een interdepartementaal project een evaluatie gegeven op vijf jaar VBTB. Het ministerie van Financiën dat verantwoordelijk was voor de coördinatie en uitvoering en zes departementen hebben een analyse gemaakt over de resultaten van de VBTB. De voornaamste conclusie is dat het “dunner en vooral concreter" zou moeten worden. Er is wel een duidelijke vooruitgang gemaakt in een andere manier van denken en doen rond de begroting en het jaarverslag. Centraal staan nu de doelen van beleid waarover departementen, naast de behaalde resultaten, verantwoording over moeten afleggen. Gevolg is dat de beleidsambtenaren meer zijn gaan nadenken over de resultaten van het beleid dat ze zelf maken. In de begroting 2006 zijn concreet de antwoorden te zien op de drie hoofdvragen uit de VBTB: wat wil men bereiken, wat gaat men daarvoor doen, en wat mag het kosten. Was de VBTB in de eerste jaren vooral gericht op de meetbaarheid van de resultaten van al het beleid, nu staat vooral kwaliteit en de politiek voorop. Belangrijkste doelgroep is de Kamer die alleen die resultaten te zien krijgt, die zinvol zijn om de inzet van het geld te kunnen beoordelen. Dit komt de compactheid en inzichtelijkheid van de begroting ten goede. Tenslotte hoeft niets alles zichtbaar gemaakt te worden, als het maar uitlegbaar is, vindt men bij de departementen. Problemen blijven er wel. De Kamer vindt het lastig om prioriteiten te stellen en doelen kunnen om politieke redenen veranderen. Hierdoor kan de Kamer het zicht op hoofdlijnen en concreet resultaat verliezen. Door de VBTB aanpak dunner te maken, door voor te stellen juist minder maar "politieke en beter toegelichte" doelen te formuleren, kunnen de departementen beter begroten en kan de Kamer beter beoordelen hoe de middelen zijn ingezet. Hiermee is de begroting een stuk concreter geworden. De VBTB is dus als begrotingsinstrument nog lang niet uitontwikkeld. Men beseft dat het nog beter kan en dat niet alles meetbaar is. Dit geeft weliswaar een stuk vrijheid, maar alles moet wel verklaarbaar en dus verantwoord zijn. Dit heeft dus ook zijn impact op de rol van de auditfunctie. De VBTB leidde ertoe dat de scope van de Audit-committees uitgebreid moest worden met de onderzoeken op de terreinen beleid en bedrijfsvoering. De auditfunctie van het ministerie zal dus met de ontwikkelingen van de VBTB moeten meegroeien als een onderdeel van het geheel van managementcontrol. Anno 2006 blijkt dat beleid afrekenen voor de overheid een kunst op zich is 2. De doelstellingen van de overheid worden nog veel te weinig in meetbare cijfers omgezet en dus wordt het dan moeilijk te controleren of de doelstellingen gehaald worden. De moeite die men heeft de beleidsdoelstellingen te kwantificeren en dus meetbaar te maken, kan te maken hebben met een totaal versnipperde informatiehuishouding. Wanneer men een goed digitaal archief heeft waarin de beleidsinformatie op een centrale plek terug te vinden is, biedt dit een uitstekende basis voor de noodzakelijk beleidsverantwoording. Digitaal archiefbeheer wordt vaak gekwalificeerd als een noodzakelijk kwaad en het wordt vrijwel nooit in relatie gebracht met het kwaliteitssysteem, de bedrijfsvoering en beheersing van een organisatie. Bovendien ziet men de adequate zorg voor bewaring nog nauwelijks als een voorwaarde voor de VBTB of voor de realisatie van ‘De Andere Overheid’.

2 De Volkskrant, 18 mei 2006


Conclusie en afsluiting Wat is de impact van het toenemend belang van digitale archivering in organisaties op de functie van operational auditing? Operational auditing is een onmisbaar onderdeel bij de managementcyclus. Het geeft additionele zekerheid aan de manager over de beheersmaatregelen gericht op het realiseren van organisatiedoelen. Uit het oogpunt van interne beheersing bestaat er bij het verantwoordelijke management in toenemende mate de behoefte om beleidsontwikkeling, planvorming en bedrijfsvoering pro-actief te toetsen aan de daartoe gestelde kaders. Operational auditing benadrukt de verantwoordelijkheid van het management zelf. De operational audit-functie houdt het topmanagement op de hoogte van de kwaliteit van het functioneren van de organisatie in relatie tot de strategische uitgangspunten en de geldende beheersingskaders bijvoorbeeld op het gebied van de digitale informatiehuishouding. Hiermee kan operational auditing zich manifesteren als een noodzakelijk beheersingsinstrument en additionele zekerheid geven aan het management. Het kan zo een bijdrage leveren aan de (verbetering van de) doeltreffendheid en doelmatigheid van de informatiehuishouding, zowel de strategische- en beleidsontwikkeling als de bedrijfsvoering. Het toekomstbeeld van een nieuwe digitale wereld vraagt nieuwe kennis, nieuwe vaardigheden en een nieuwe werkwijze . “Van papier naar digitaal: het vraagt een totale cultuuromslag. Functies, overlegvormen, taken en bevoegdheden zullen kantelen. De opmars, bij wijze van spreken vanuit de kelder, naar het centrum van de organisatie is begonnen. Het is een enorme uitdaging met een potentiële meerwaarde: een perfect cumulatief kenniscentrum, transparant, actueel, open. Optimaal zinvol en dienstbaar, voor nu en later. Het is voor alle betrokkenen een werkend perspectief”3. Om dit perspectief echt werkend te maken moet er nog heel wat gebeuren. Het management moet ervan uit kunnen gaan dat het beleidsmatig, procedureel en technisch ook allemaal mogelijk is. Hier ligt dus ook een taak voor de auditor. Ik hoop dat hij met mij het belang van een goede organisatie van digitale archivering onderschrijft. Daarbij zijn de eisen aan het digitale archiefproces als volgt; dat het doelmatig is ingericht, dat de daarbij behorende stukken goed zijn gerangschikt, dat elk stuk op verlangen van het management in korte tijd kan worden teruggevonden zodat er over elk onderwerp zo vlug mogelijk verantwoording kan worden afgelegd. Feitelijk zou de nieuwe digitale informatiehuishouding niet anders mogen zijn ingericht dan die van de papieren wereld uit een ver ver verleden4.....

3 Mr. R.H.L.M. van Boxtel, uit, Koenen, K., Baak, P., Het geheugen als actieve kracht, Den Haag, 22 juli 1999, pag. 7 4 zie de voorpagina van dit slotexamendocument


Bronnen Algemene Rekenkamer, Achtergrondstudie Verbreding van de publieke verantwoording, maart 2004. Beleid afrekenen is een kunst, De Volkskrant, 18 mei 2006. Bujar, Ila en Boudien J. Glashouwer RE RI CISA. Een duurzaam transparante overheid: haalbaar of nog een brug te ver? De EDP-Auditor, nummer 4-2002. DAR, Jubileumrapport GoGo, november 2000. DAR, Kwaliteitsplan Rijksoverheid, 1995. DAR, Reviewbeleid als sluitstuk van goed toezicht, een handreiking voor het waarborgen van betrouwbare verantwoordingsinformatie, Juni 2002. Glashouwer, B.J., Pasmooij, P., De tijd van aanmodderen is voorbij, in Controllersmagazine, maart 2004. Horrevorts, T., Code Tabaksblat ook dringend nodig voor overheid zelf, in Het Financieel Dagblad, 17 maart 2003. ICT is hoeksteen voor ‘Andere Overheid’, Automatisering Gids, 5-12-2003. IT-implicaties ‘Tabaksblat’ nog onduidelijk, Automatisering Gids, 09-01-04. Koenen, K., Baak, P., Het geheugen als actieve kracht, Den Haag, 22 juli 1999. Korte, R., Otten, J., Operational audit: van ‘containerbegrip’ naar een methodologisch ondersteunende auditvorm, in: Controllersreeks, 2003. Lang A., Koch E.A., Heeft de overheid een auditcommissie?, in: Overheids MANAGEMENT, oktober 2004. Ministerie van Bestuurlijke Vernieuwing en Koninkrijksrelaties. Actieprogramma ‘Andere overheid’, Den Haag, december 2003. Minsterie van Financiën, , Directie Audit en Toezichtbeleid, Risicomanagement in het perspectief van de omgevingsanalyse, in Congresbundel 2004. Snaterse H., Audit Committees bij de rijksoverheid, afstuurreferaat OA, Universiteit van Amsterdam, augustus 2000. Steen, van der, RTC, Archivering in een digitale wereld. Hoe beheersen wij de paradox?, in de EDP-Aditor, nummer 4-2003. Wielaard, N., Audit-commissie binnen rijksoverheid?, in De Accountant, november 2004.

Internal Operational auditing en het digitale archief

Documents

Transcript of Internal Operational auditing en het digitale archief