De archivaris als vertrouwenspersoon Referaat RTC van der Steen

De archivaris als vertrouwenspersoon

© www.foksuk.nl

Student: drs. R.T.C. van der Steen RE RO EMIA

Docenten:

Dr. F. Foscarini (scriptiebegeleiding)

Prof. dr. T.H.P.M. Thomassen (tweede lezer)

Studierichting

Duale Master Erfgoedstudies, Archiefwetenschap

Universiteit van Amsterdam

Nijmegen 15-06-2015


2

Abstract

Remarkable changes are occurring in the archiving profession nowadays. These changes are the result of even more remarkable changes in organizations operating in a new digital world order.

Archivists in the old custodial world are very experienced in how to process archives using arrangement and description principles in order to make them accessible (inside organizations or outside to the public). Some argue that archivists need to change their traditional role from keepers to auditors who work more pro-actively in this new digital world.1 In a new digital world order Archivists may play an active role in:

• Managing and preserving the archives from different administrative departments delivered to the archival authority and making them available by systematic identification for the citizens and other authorities;

• Giving advice about recordkeeping to the administrative departments; • Working to develop retention and disposal schedules in collaboration with the

administrative departments; • Executing auditing on behalf of the archival authority.

The task of the archivist is to explain the nature and structure of the archive and to preserve it as the basis for the interpretation of the activities which created it.2 This interpretation should be based upon a strong investigation of the trustworthiness of these activities. The nature of trust and trustworthiness has been the subject of much research and debate both in the records and archival disciplines and the broader information management discipline.3 The question is: do archivists have the skills to execute the tasks which are typical for auditors (whose role is to investigate independently and objectively the integrity of operations, performance and information) so as to offer various forms of assurance to the administrative departments and the archival authority? Can they act like an information accountant and be the guardians of trust? There is a professional group whose commodity in trade is trust. Its function is to truly determine what is and what is not the case and to assure that what is has been properly communicated and investigated. This job is neither management nor accounting, but it is vital to the success of both.4 It’s intended to increase people’s confidence in information. This professional is called an auditor, his or her function is to assess facts by using an auditing methodology and the outcome is an audit report. The latter is an assessment that something is true or genuine. If an archivist wants to bear testimony with his reports, he or she must follow the steps of auditing and educate himself or herself in COSO internal control principles and risk management. This is the central thesis of my paper. Before archivists take the auditing role as part of their professional practice, they must be educated in or informed about the methodology of auditing and organization science. Nowadays things change very quickly in the digital world. Perhaps, the auditor, archivist and archive scientist must prepare himself or herself for a new paradigm: that of Open Data.

1 Kallberg, M., ‘Archivists 2.0: Redefining the archivist’s profession in the digital age’, in: Record Management 2 Lovblad, H., Monk, ‘Knight or Artist? The Archivist as a Straddler of a Paradigm’, in: Archival Science 3 2003 (Stockholm 2003) 151. 3 Oliver, G.and Foscarini F., ‘Records management and information culture’, (London 2014) 142. 4 R.L. Ratliff, ‘Introduction to Auditing: Logic, Principles, and Techniques’ (Florida 2004) xvii.


3

Inhoud' '1" Algemene Inleiding ........................................................................................................ 4"

1.1" Achtergrond ........................................................................................................... 4"1.2" Probleemstelling en vraagstelling .............................................................................. 4"1.3" Methoden van onderzoek ......................................................................................... 5"1.4" Leeswijzer ............................................................................................................. 6

2" Het vertrouwen van de archivaris in de praktijk ................................................................. 8 3" Vertrouwen als begrip .................................................................................................. 12"

3.1" Inleiding .............................................................................................................. 12"3.2" Vertrouwen en betrouwbaarheid bij het archiefproces ................................................ 12"3.3" Het begrip wantrouwen ......................................................................................... 14"3.4" Het begrip interne risicobeheersing ......................................................................... 16"3.5" Het begrip verantwoording ..................................................................................... 17"3.6" Het begrip onafhankelijkheid en onpartijdigheid ........................................................ 18

4" Methoden en technieken Auditing .................................................................................. 20"

4.1" Inleiding .............................................................................................................. 20"4.2" Wetenschappelijk onderzoek .................................................................................. 20"4.3" De auditingtheorie ................................................................................................ 23"4.4" Soorten auditing ................................................................................................... 26"

4.4.1" De functie van financiële auditing ..................................................................... 26"4.4.2" De functie van internal auditing ........................................................................ 28"4.4.3" De functie van operational auditing ................................................................... 29"4.4.4" De functie van IT-Auditing ............................................................................... 31

5" Professionele rol van de archivaris vergeleken met de rol van een auditor ........................... 34"

5.1" Inleiding .............................................................................................................. 34"5.2" Vertrouwen door bekwaamheden ............................................................................ 34"5.3" Vertrouwen door toezicht ....................................................................................... 35"5.4" Vertrouwen door beheer ........................................................................................ 38"5.5" Vertrouwen door de beroepsgroep ........................................................................... 40"5.6" Vertrouwen door professionaliteit ............................................................................ 43"

5.6.1" Opleidingsvakgebieden .................................................................................... 44"5.7" Vertrouwen door professionalisering ........................................................................ 48

6" Conclusie en aanbevelingen .......................................................................................... 52"

6.1" Wat verstaat de archivaris en de auditor onder het begrip vertrouwen? ........................ 52"6.2" Wat zijn de methoden en technieken van auditing? ................................................... 53"6.3" Wat is de professionele rol van de archivaris vergeleken met de rol van een auditor? ..... 54"6.4" Eindconclusie ....................................................................................................... 55"6.5" Aanbevelingen ...................................................................................................... 55"6.6" Slotopmerking ...................................................................................................... 56

7" Bronnen en literatuur ................................................................................................... 57 8" ""Bijlage COSO ............................................................................................................ 60 9" ""Bijlage De validiteit en betrouwbaarheid van het onderzoek ............................................. 62 10" Bijlage Het ontwerpen van een audit: de theorie ............................................................ 66 11" Bijlage Het uitvoeren van een audit: een praktijkvoorbeeld ............................................. 72 12" Bijlage beroepscode voor archivarissen ........................................................................ 82 13" Bijlage beroepscode Internal auditor ............................................................................ 86 14" Bijlage NBA Verordening gedrags- en beroepsregels accountants ..................................... 88"


4

1 Algemene Inleiding

1.1 Achtergrond Er zijn opmerkelijke veranderingen in het archiefwereld gaande als gevolg van nog meer

opmerkelijke veranderingen in organisaties die actief zijn in een nieuwe digitale wereld.

Archivarissen in Nederland raken steeds meer betrokken bij ontwikkelingen rond thema’s als

digitale duurzaamheid, e-depot, digitale documentdiensten en het ontwikkelen van normenstelsel

en standaarden.

Al meer dan 30 jaar worden veel vragen over digitale duurzaamheid binnen de

archiefwereld gesteld of wetenschappelijk onderzocht. De belangrijkste vraag is hoe we om moeten

gaan met (overheids) informatie in deze nieuwe digitale wereld? De paradox van het digitaal

bewaren van gegevens is dat met de komst van IT-systemen er nauwelijks beperkingen meer zijn

voor het verzamelen en vastleggen van informatie, terwijl de duurzaamheid ervan soms beperkt

wordt. Archivarissen hebben traditioneel veel ervaring met het waarderen en selecteren van

papieren archieven in de custodiale 5 wereld maar niet met automatisering en de moderne

informatietechnologie in post-custodiale 6 wereld. Voordat een digitaal archief opgenomen kan

worden als uiting van een proces, moet er zekerheid verschaft worden over de kwaliteit van de

procesgebonden informatie en de metadata die onlosmakelijk met dit archief verbonden zijn. Er

zou additionele zekerheid door een auditor gegeven kunnen worden dat de digitale

archiefbescheiden zijn wat ze beweren te zijn. Tegenwoordig zeggen archivarissen deze audits ook

uit te (kunnen) voeren, maar ik ben van mening dat dit meestal niet methodologisch goed gebeurt.

Archivarissen willen de samenleving documenteren en zijn nu steeds actiever betrokken bij het

beheer en behoud van de digitale archieven van verschillende organisaties om ze straks gereed te

maken voor de openbaarheid ten behoeve van burgers en andere overheden. Archivarissen geven

adviezen hoe organisaties hun informatiehuishouding het beste kunnen organiseren zoals het

opstellen van selectielijsten in relatie tot administratieve processen. Daarnaast voeren

archivarissen audits uit in opdracht van de archiefvormende organisatie of in opdracht van de

archiefbeherende organisatie. Archiefwetenschappers voeren onderzoeken uit naar de

informatiecultuur van organisaties.7

1.2 Probleemstelling en vraagstelling Het betekent dat archivarissen steeds meer een bedrijfskundige en bestuurskundige achtergrond

moeten hebben. Ook moet de archivaris, in mijn ogen, als een soort auditor gaan opereren die,

onafhankelijk en onpartijdig, een beeld dient te verkrijgen van de kwaliteit van de (informatie)

huishouding, de relevante weten regelgeving, het strategisch plan (doelstelling en missie), de

kansen en bedreigingen en de zwaktes en sterktes van de organisatie. De archivaris moet hiervan

in de vorm van een verklaring (attest) verslag over doen, hetgeen wezenlijk iets anders is dan een

traditionele archiefbeschrijving. Hij moet de ideeën achter interne controleprincipes kennen die

voor een auditor gemeengoed zijn. De archivaris als auditor, is het centrale thema van mijn 5 Het Latijnse woord custos betekent bewaker en in deze wereld is een custodiale archivaris een bewaker. 6 In het post-custodiale wereld (na het bewaken) is de archivaris informatiebeheerder en zorgt hij voor de integriteit en duurzaamheid van relaties tussen informatie en een werkproces. 7 Kallberg, M., ‘Archivists 2.0: Redefining the archivist’s profession in the digital age’, in: Record Management Journal, 22,2.


5

referaat met als centrale onderzoeksvraag: Kan de archivaris net als de auditor als

vertrouwenspersoon voor de maatschappij gezien worden? Gebaseerd op deze vraagstelling heb ik

drie subvragen gedefinieerd:

I. Wat verstaat de archivaris en de auditor onder het begrip vertrouwen?

In dit deel van mijn referaat gaat in op een aantal publieke uitingen van archivarissen en

beschrijf ik hoe vanuit de archiefwetenschap tegen het begrip (het geven van) vertrouwen

wordt aangekeken en hoe auditors het begrip al meer dan twintig jaar hanteren.

II. Wat zijn de methoden en technieken van auditing?

In dit deel van mijn referaat worden antwoorden gegeven op de auditstappen die van

toepassing zijn op elke type audit dat ‘additionele’ zekerheid verschaft, de verschillende

typen auditors en soorten audits.

III. Wat is de rol van de archivaris vergeleken met de rol van een auditor?

In dit deel van mijn referaat maak ik een vergelijking in de verschillen en overeenkomsten

tussen archivarissen en auditors ten aanzien van de professie, de professionaliteit en de

professionalisering van beide vakgebieden. Zo kennen auditors strenge opleidingseisen en

beroepsregels die uitgedragen (en gecontroleerd) worden door wettelijk erkende

beroepsverenigingen. Geldt dit ook voor archivarissen?

In de bijlage wordt een experiment getoond van een fictieve audit van een digitaal archief

op basis van het ISO 15489 normenkader. Dit als aanvulling op het onderdeel Methodologie van

Auditing en een antwoord op de vraag hoe een auditontwerprapport er in de praktijk uit kunnen

zien wanneer een audit uitgevoerd zou worden om de kwaliteit van een archiefinformatiesysteem,

te beoordelen. Dit zou bijvoorbeeld het geval kunnen zijn bij een inname ten behoeve van het

definitief opnemen van het archief in een e-depot waarbij aan een auditor gevraagd wordt een

oordeel te geven over de kwaliteit van het aangeboden digitaal archief en de achterliggende

beheerorganisatie. In dit deel van mijn referaat geef ik een voorbeeld van een zogeheten

conceptueel en technisch auditmodel. Met dit model kan de archivaris methodisch een audit

uitvoeren met als doel een gefundeerde uitspraak te doen over de mate van betrouwbaarheid. Het

laat ook zien dat een auditor anders met het begrip betrouwbaarheid omgaat dan de archivaris.

Het doel van mijn betoog is om archivarissen op de hoogte te brengen van de methode en

technieken van auditing zodat ze zich hierin kunnen scholen en het instrument op de juiste wijze

kunnen inzetten bij managementvraagstukken rond het informatiseringsproces van organisaties.

Daartoe is in de bijlage ook een praktijkcasus uitgewerkt als experiment volgens de theorie van

auditing.

1.3 Methoden van onderzoek De methode van onderzoek is een vergelijkende casestudie op basis van literatuur uit de

accountancy en archiefwetenschap en een experiment. Met dit onderzoek wil ik een bijdrage

leveren aan het methodisch onderzoeken van betrouwbaarheidsvraagstukken waar archivarissen

mee te maken kunnen krijgen in een digitale wereld.


6

1.4 Leeswijzer In dit referaat wordt de archivaris constant naast de auditor gezet om uiteindelijk een antwoord te

kunnen formuleren op de hoofdvraagstelling die in de algemene inleiding wordt verwoord. In het

eerste hoofdstuk worden citaten van archivarissen uit de dagelijkse praktijk aangehaald waaruit

een groot vertrouwen in eigen kunnen blijkt. In het volgende hoofdstuk twee ga ik dieper in op het

begrippen vertrouwen en interne controle. Hierbij hoort een eerste bijlage waarbij het COSO-

controle raamwerk wordt getoond. In het derde hoofdstuk worden de methoden en technieken van

auditing besproken. De auditingtheorie wordt verder in de bijlagen dieper uitgewerkt met een

fictieve praktijkcasus. In het vierde hoofdstuk worden beide professies met elkaar vergeleken op

basis van opgewekt vertrouwen voor de maatschappij door bekwaamheden, beroeps- en

opleidingseisen. Ik eindig dit hoofdstuk met een korte reflectie op mogelijke toekomstige

ontwikkelingen in de vakgebieden van archivarissen en auditors om te zien wat ze van elkaar

kunnen overnemen. Tot slot geef ik met een samenvattende conclusie van de drie subvragen die in

de algemene inleiding is gesteld. Ik rond het geheel af met een slotopmerking en geef ik enkele

aanbevelingen voor de archivaris.

In mijn referaat wordt steeds gesproken over "de archivaris" in de mannelijke vorm. Waar

dat aan de orde is, kunt u ook de vrouwelijke grammaticale vorm "zij" of "haar" lezen.

Begrenzing

In dit onderzoek wordt niet onderzocht of de uitkomst van mijn experiment ook echt in de praktijk

toepasbaar is voor archivarissen. Een auditor kan er wel zo mee aan de slag.


7


8

2 Het vertrouwen van de archivaris in de praktijk

Hieronder volgt een bloemlezing van citaten van archivarissen waaruit een beeld van vertrouwen

geschapen wordt.

De archivaris is niet degene die als poortwachter voor de deur van de archiefbewaarplaats

zit om oud-archief in ontvangst te nemen, maar hij is degene die aan het begin van de

levenscyclus van een document nauw betrokken wordt bij de inrichting van de

informatiehuishouding. Bij documentcreatie en ordening worden al voorwaarden geschapen om aan

het eind van de levenscyclus van een document (of, zo u wilt, een archiefstuk) dit zorgvuldig te

kunnen beheren in de archiefbewaarplaats. In het najaar ben ik begonnen met de toepassing van

RODIN (Referentiekader Opbouw Digitaal Informatiebeheer) op het informatiebeheer van de

provincie; dit wordt voortgezet in 2015.8

Het zijn twee citaten uit een jaarverslag van een provinciale archivaris te Nederland.

Bij het eerste citaat is de moderne archivaris betrokken bij de voorkant van de organisatie, bijna

als recordmanager en in het tweede citaat is hij de auditor die toetst aan de hand van een

normenkader.

Op zijn verzoek besloot ik een archiefinspectie uit te voeren met een aantal doelen:

- het in kaart brengen van alle archiefbestanden in de organisatie;

- de directie bewust maken van de problemen bij de DIV;

- middelen bij de directie verkrijgen om de problemen aan te pakken.9

Hier is de archivaris gelijktijdig toezichthouder, inspecteur en interimmanager. Als externe op

afstand staande archivaris is er tijdens het uitvoeren van de wettelijke toezichtstaak een probleem

gesignaleerd en heeft deze archivaris daarna de opdracht gekregen meer aandacht bij de directie

voor het probleem te krijgen en fondsen te verwerven om de kwaliteit van het DIV-werk te

verbeteren. Er dreigt hier een collisiegevaar voor de toezichthouder wanneer hij wederom deze DIV

afdeling gaat beoordelen.

De digitale archivaris is een gebruiker van de digitale snelweg maar tekent als architect ook

mee aan de aanleg en de inrichting.10

Als digitale informatiearchitect je eigen weg mede te mogen ontwerpen en dit te laten bouwen is

echter geen waarborg dat deze weg er over 100 jaar nog ligt. Dit is mede afhankelijk van de keuze

van de aannemer, de te gebruiken bouwmaterialen, de plek waar de weg wordt aangelegd en niet

te vergeten of er überhaupt wel gebruik van gemaakt kan worden.11

Het niet in eigen beheer hebben van de content of metadata leidt tot tal van risico’s zoals

het verdwijnen of onvindbaar zijn content of metadata. 12 Archieven zijn plaatsen van

democratische verantwoording en continuïteit.13

Dit zijn enkele voorbeelden van archivarissen die van mening zijn dat archieven of een

archiefbeherende instelling impliciet vertrouwen kunnen bieden. Glenn Dingwall ziet archivarissen 8 Verslag provinciale archiefinspectie en provinciearchivaris Overijssel 2014, (Zwolle 2015) 6. 9 www.ingovernment.nl/blogsedocmanager/archiefinspectie, 02-05-2015. 10 Boudrez, F., ‘een informatiearchitect met digitale kennis van zaken: de archivaris anno 2010’, in Jaarboek 2010 Stichting Archiefpublicaties (Den Haag 2010) 69. 11 Zie: http://nl.wikipedia.org/wiki/Grote_nutteloze_werken. 12 Houbrakken C., e.a., ‘De sociale archivaris’, in: Jaarboek 2010 Stichting Archiefpublicaties (Den Haag 2010) 59. 13 Eastwood, T., ‘Reflections on the Development of Archives in Canada and Australia’, in Archival Documents: ‘Providing Accountability Through Recordkeeping’ (Melbourne 1993) 36.


9

als de bewakers van deze plaatsen.14 Het concept van het archief als locus credibilis, een te

vertrouwen plaats, werd al in de Romeinse tijd gehanteerd om staatsstukken te deponeren in het

Tabellarium en ze zo te behoeden voor vernietiging of verandering. Pas na deponering was een wet

of besluit geldig en de rechten van staat en burger werden zo op een te vertrouwen plaats

beschermd15. Pas na deponeren zouden de archieven in veiligheid gebracht zijn zodat ze nooit

meer zullen verdwijnen. Kan een archivaris dit vertrouwen ook bieden in de digitale wereld?

Modellen en theorieën over kwaliteitsmanagement, governance en auditing kunnen helpen

bij onze visievorming en zullen daarom bij de beantwoording van de vraagstelling

gebruikt worden. Het inspectieveld begint zich deze materie steeds meer eigen te maken. Zo

beschikken steeds meer archiefinspecteurs over een post-HBO diploma Internal Auditing16.

De vraag is of deze archivarissen na een korte cursus17 wel een gedegen internal audit kunnen

uitvoeren zonder ooit op een internal auditing (control) afdeling gewerkt te hebben? Vermoedelijk

zullen de rapportages van deze archivarissen door de werkende gecertificeerde operational auditors

en het gecontroleerde recordsmanagement niet erg vertrouwwekkend gevonden worden. Voor het

in de juiste context kunnen plaatsen van de kwaliteit van een informatiehuishouding waarover

zekerheid moet worden gegeven en het auditen van relevante processen daarbij is naast

materiedeskundigheid ook auditdeskundigheid nodig. Aan archivarissen wordt door de markt ook

een korte IT-audit opleiding aangeboden. 18 Zonder gedegen auditing achtergrond zullen

archivarissen wellicht nooit dezelfde status kunnen verwerven als de auditor in de maatschappij.

Het bewaken van de authenticiteit is bij uitstek de taak van de archivaris in een digitale

maatschappij.19 ‘Het is een hele uitdaging voor een archivaris om het kwaliteitsaspect authenticiteit

te vertalen en te operationaliseren in een digitale wereld’, zei Ellen Küller al in de jaren negentig.20

Belangrijk aandachtspunt is namelijk dat in een digitale omgeving het verschil tussen kopie en

origineel moeilijk is aan te geven. In een papieren omgeving is dit wat makkelijker want een kopie

ziet er fysiek anders uit als het origineel. Met de digitale wereld tot ieders beschikking is het niet

meer zo belangrijk waar de informatie staat, maar waar je het kunt vinden en interpreteren.

Belangrijk hierbij is waar geselecteerde gegevens kunnen worden teruggevonden en hoe deze

kunnen worden ontsloten. Het stelt natuurlijk hoge eisen aan beheersvraagstukken van

informatieobjecten rond beveiliging, uitwisseling en continuïteit.21 Er zijn veel risico’s in een digitale

wereld die de authenticiteit van een digitaal archiefstuk of archief bedreigen. De vraag is of het

beoordelen van de risico’s en de daarbij horende compenserende maatregelen tot het

competentiegebied behoort van een archivaris. Door archivarissen is bijvoorbeeld een

referentiekader RODIN samengesteld, mede om deze vraagstukken ZELF te gaan ‘auditen’. Deze

audits gaan niet diep want het gaat om het afvinken van een rijtje regels waaraan moet zijn

voldaan. Veelal worden dit soort audits periodiek herhaald. Waar een auditor nogal strikt is in de te

14 Dingwall, G., ‘Trusting Archivists: The Role of Archival Ethics Codes in Establishing Public Faith’, in: The American Archivist, 67 (2004) 11. 15 Steen, R.T.C. van, ‘Archivering in een digitale wereld’, in: de EDP-Auditor, 4 2003 (Amsterdam 2003) 7. 16 http://www.vng.nl/onderwerpenindex/cultuur-en-sport/archieven-enmusea/brieven/horizontale-verantwoording-archiefwet-1995-op-waarstaatjegemeenten, 05-05-2015. 17 http://www.dehaagsehogeschool.nl/professional-courses/overzicht-opleidingen-trainingen/internal-auditing/in-het-kort, 05-05-2015. 18 http://www.auditconnect.nl/nl/trainingen/it-audit/it-audit-archiefinspecteurs/, 06-05-2015. 19 http://www.kvan.nl/kvan/vakkennis/beroepsprofiel.php, 05-05-2015. 20 Küller E. ,’ Verantwoording verzekerd’, in: Het Boek van bewaring (Samson 1997) 87. 21 Steen, R.T.C. van der, ‘IT-auditing in het archiefwezen’, (Nijmegen 2001), 5.


10

onderscheiden kwaliteitsaspecten in relatie tot normenkaders, ontbreekt dit bij RODIN. 22 Een

auditor zal eerst de toereikendheid van bijvoorbeeld het informatiebeleid willen bepalen. In RODIN

wordt met een vastgesteld informatiebeleid al voldaan aan de norm. Een auditor zou in het

normenstelsel eerst een opsomming van de onderwerpen willen geven die in het informatiebeleid

behoren voor te komen. Positief is dat archivarissen met RODIN leren om risicogericht naar

organisaties te kijken.

De archivaris zit niet aan tafel. Uiteindelijk zijn de vraagstukken van praktische

toepasbaarheid [van informatie] allemaal vraagstukken waarmee de archivaris zich altijd al heeft

bezig gehouden. Hoe bewaar ik? Hoe ontsluit ik? Hoe bied ik aan? Het is niets anders dan het

toepassen van informatiemodellen op een ander gebied. Maar je ziet dat allerlei bedrijven het wiel

opnieuw uitvinden zonder zelfs maar te overwegen een archivaris te raadplegen. De archivaris mist

dus de boot. Hij heeft te weinig bluf, denk ik, en is van nature te weinig toepassingsgericht, te

weinig betrokken bij het (winst)doel van de organisatie23. Waar de auditor als accountant, IT-

auditor of internal auditor wel mogen aanschuiven bij het hoogste management om hun

bevindingen te rapporteren, mag de archivaris dit niet. De vraag is of de archivaris wel geschikt is

om managementvraagstukken aan de orde te stellen zonder goede scholing in de moderne

bedrijfskunde. Meestal is hij alleen maar de adviseur voor het goed organiseren van informatie.

Daarna stokt daarna zijn rol.

'

22 Zie ook http://www.vhic.nl/index.php?option=com_content&view=article&id=689, 05-05-2015. 23 DOXIS, ‘Een vak met een zeldzame dynamiek Mensen in de documentaire informatievoorziening’ (Den haag 2003), 59.


11


12

3 Vertrouwen als begrip

3.1 Inleiding Voorafgaand zijn enkele citaten aangehaald waarbij archivarissen van mening zijn vertrouwen te

kunnen opwekken met hun werkzaamheden. Er is een vakgebied dat vertrouwen als zijn

bestaansrecht heeft: de wereld van auditing waarmee vertrouwen (assurance) gegeven wordt.

Vertrouwen is een rekbaar begrip, zowel in de omgangstaal als in het wetenschappelijk

onderzoek24. Aan het begrip vertrouwen wordt meestal vanzelfsprekend, iets of iemand vertrouwen,

als betekenis gegeven. Er wordt hierbij aan een verwachting voldaan. Het begrip wordt in sociaal

wetenschappelijke studies vanuit diverse invalshoeken beschreven en het dient verschillende

doelen en functies. Een gemeenschappelijk kenmerk uit al deze studies is, dat vertrouwen een

fenomeen is, dat door de mens wordt gebruikt om te kunnen om gaan met een complexe

ongrijpbare wereld. Men heeft het vertrouwen dat een arts het menselijk lichaam goed kent en

ziektes kan genezen zodat dit niet allemaal zelf geleerd hoeft te worden. Vertrouwen wordt ook

gekoppeld aan impliciete kennis die opgedaan is door lering en ervaring. Hierdoor is het mogelijk

om dingen te verkrijgen of te verwezenlijken door aan te nemen, vanuit het onderbewustzijn, dat

iets een bepaalde uitkomst heeft. Vertrouwen wordt gekoppeld aan geloof en mystiek. Ik vertrouw

op een god zodat ik zelf niet over alles hoef na te denken. Vertrouwen wordt ook verondersteld bij

te dragen aan het omgaan en het onderhouden van een sociale orde en het vergemakkelijken van

de economische en politieke samenwerking. Vertrouwen is vooral relationeel. Het is een

subjectieve relatie tussen een persoon en een object of een ander persoon. Het vertrouwen ergens

in of bij iemand wordt gewekt. Het gaat hierbij om intermenselijke relaties en het vereist een

zekere vorm van wederkerigheid. Vertrouwen (zoals bij de maffia) kan ook bestaan uit een

ongelijke verdeling van macht en middelen en hoeft dus niet noodzakelijkerwijs gebaseerd te zijn

op gedeelde waarden. De autoriteit van een beroep wordt mede bepaald door het vertrouwen van

het publiek die er een inherente betrouwbaarheid aan toekent. 25 Het wordt de professional

toevertrouwd dat hij de maatschappij met zijn kennis en kunde goed kan dienen. Dit vertrouwen

wordt gecreëerd door de inherent ethische aard van het beroep.

3.2 Vertrouwen en betrouwbaarheid bij het archiefproces In een digitale wereld zijn archieven niet per definitie betrouwbaar en veilig opgeslagen. Met hulp

van objectieve en onafhankelijke auditors is voor de maatschappij aantoonbaar, dat de zorg en het

beheer van digitale archieven op alle mogelijke risico’s is voorbereid en het juiste

preserveringsbeleid kent voor alle soorten opgeslagen bestanden. Niemand zal op voorhand

kunnen aantonen dat de opgeslagen digitale archieven ook duurzaam en toegankelijk blijven over

100 jaar, maar het begint natuurlijk met een stevig fundament van risicobeheersing.

De begrippen vertrouwen en betrouwbaarheid in relatie met de digitale wereld en de toepassing in

het archiefproces zijn in de jaren negentig van de vorige eeuw en daarna in twee

onderzoeksprojecten uitgebreid onderzocht, namelijk het Pittsburghproject en het InterPARES

24 Sundqvist A., ‘Documentation practices and recordkeeping: a matter of trust or distrust?’ in: Archive Science (oktober 2011), 278, e.v.. 25 Dingwall, G., ‘Trusting Archivists: The Role of Archival Ethics Codes in Establishing Public Faith’, in: The American Archivist, vol 67 (2004), 28.


13

project. De Universiteit van Pittsburgh heeft eind vorige eeuw een multidisciplinair onderzoek

afgerond naar de relatie tussen digitale records en werkprocessen.26 Het onderzoek heeft in de

jaren negentig van de vorige eeuw geleid tot de formulering van functionele eisen voor digitale

archivering. Het International Research on Permanent Authentic Records in Electronic Systems

(InterPARES) programma is in 1998 gestart en loopt nog steeds. Het onderzoekt digitale

duurzaamheidsvragen van records en recordsmanagement in relatie met Trust. 27 Het

vertrouwensconcept is hierbij deel van de analyse en een vereiste. De betrouwbaarheid wordt

geacht afhankelijk te zijn van de mate van de integriteit, authenticiteit en juistheid.

Betrouwbaarheid wordt gedefinieerd als de betrouwbaarheid van een gebeurtenis of een feit. Het

record weerspiegelt dit feit. In beide projecten wordt de betrouwbaarheid dus bepaald door

objectieve criteria. Een nadruk op betrouwbaarheid is ook terug te vinden in audittools voor digitaal

archiveren die het NARA heeft ontwikkeld.

Anneli Sundqvist heeft in 2011 het begrip vertrouwen onderzocht met een analyse van het

gebruik ervan in een veertigtal internationale wetenschappelijk artikelen. Een kritische analyse van

de begrippen vertrouwen (Trust) en betrouwbaarheid (Trustworthiness) en hun toepassing in het

archiefproces heeft volgens haar tot dan toe nog nooit plaatsgevonden in de archiefwetenschap.

Het doel van haar studie is tweeledig. Op de eerste plaats wil ze onderzoeken waarom

archiefbescheiden worden beschouwd als betrouwbare objecten. Op de tweede plaats wil ze de

conceptualisering benoemen van de begrippen vertrouwen en betrouwbaarheid in relatie tot

records. Ze geeft een analyse van de relatie tussen het toenemend steunen op formele

standaarden van huidige organisaties en de toenemende eisen op het gebied van de kwaliteit van

organisatiegegevens in digitale archiefsystemen van de laatste jaren. Volgens haar wordt het

begrip vertrouwen verkeerd gehanteerd in relatie tot het archief en de records. Vertrouwen wordt

geacht een objectief en meetbaar kwaliteitscriterium te zijn. Ze ziet een verschuiving van het

begrip vertrouwen naar het begrip betrouwbaarheid. Beide zijn van belang voor de functies van

archieven maar ze dienen analytisch te worden gescheiden. Vertrouwen is juist de reden dat er

records worden gecreëerd. Betrouwbaarheid is een beoordeling van de kwaliteit van een record

gebaseerd op expliciete criteria. Haar voorbeelden uit de taal over het woord vertrouwen en

archief tonen aan dat de focus van vertrouwen verschoven is van een subjectieve aanname van

een vertrouwd object naar inherente kwaliteitscriteria van het vertrouwde object zelf en de

omstandigheden waarin de records zijn ontstaan in de cyclus van creatie, verwerving, verspreiding,

bewaren. De conclusie van haar is ook dat er in het digitale archiefproces veel meer

kwaliteitscriteria worden toegepast dan voorheen in het papieren archiefproces. Blijkbaar moeten

er meer zekerheden worden onderzocht omdat de digitale wereld voor de archivaris en

archiefinstellingen veel complexer is geworden. Wat ze in haar artikel ook zegt is dat vroeger het

woord archief impliciet vertrouwen betekende en dit later door er ineens allerlei

betrouwbaarheidscriteria aan te koppelen, verloren is gegaan.

Vertrouwen en het begrip archief is in een digitale wereld geen vanzelfsprekendheid. Een

archivaris die zegt een betrouwbaar digitaal archief onder zijn hoede te hebben, zal dit eerst

moeten aantonen. Vroeger was het archief een gebouw met dozen, nu een gebouw met kabels en

er is geen doos meer met papieren records. Een archief in de digitale wereld is blijkbaar niet op 26 http://www.archimuse.com/papers/nhprc/BACartic.html, 25-05-2015. 27 https://interparestrust.org/trust.


14

voorhand betrouwbaar want zonder stroom is er ook geen geheugen meer (uit te lezen). Dus

dienen er veel kwaliteitswaarborgen omheen gebouwd te worden die de maatschappij het

vertrouwen moet geven dat het archief als geheugen, verantwoording en bewijs kan dienen.

Archivarissen als beheerders moeten dit vertrouwen, in mijn ogen, samen met onafhankelijke en

onpartijdige auditors gaan opbouwen. Auditors worden daarmee één van de belangrijkste

elementen in het creëren van vertrouwen en het onderbouwen van de ‘geloofwaardigheid’ van het

archief in de digitale wereld.28

3.3 Het begrip wantrouwen Tegenover vertrouwen staat wantrouwen. Auditors worden ingeschakeld omdat organisaties hun

mensen en middelen niet vertrouwen en een onpartijdig en onafhankelijk oordeel willen van een

deskundige. Dat begon al in de 17e eeuw toen de aandeelhouders de bestuurders van de VOC niet

vertrouwden en een soort toezichthouder aanstelde om de boel in de gaten te houden.

Onderzoeken die auditors uitvoeren (audits) zijn feitelijk gebaseerd op wantrouwen. Er zit ook een

theorie achter. Deze audittheorie is gebaseerd op drie basistheorieën: agenttheorie,

verzekeringstheorie en vertrouwenstheorie. Elk ervan geeft een beeld van welk wantrouwen wordt

weggenomen en welke maatregelen daarbij horen. De auditor moet zich de vraag te stellen welke

van deze drie theorieën het effectiefst is voor het uit te voeren onderzoek. Het antwoord op deze

vraag is dat de effectiviteit wordt bepaald aan de hand van het doel van het onderzoek en de

organisatiedoelstellingen.29

Afbeelding 1 Audit

Agenttheorie

De principaal-agenttheorie (lastgever-agenttheorie) betreft de relatie tussen principaal

(opdrachtgever) en agent (opdrachtnemer) waarbij de opdrachtnemer niet alleen de belangen van

de opdrachtgever nastreeft bij het uitvoeren van onderzoekstaken voor die opdrachtgever. De

opdrachtgever is niet volledig in staat om dit te controleren omdat deze de taak niet zelf uitvoert

en daarmee bepaalde informatie niet heeft. Er is sprake van informatieasymmetrie in het voordeel

van de agent. Door de informatie- en kennisvoorsprong van de agent krijgt deze ruimte om buiten

of zelfs tegen het belang van de principaal het eigen belang te dienen. De agent is meestal de

specialist en heeft door zijn positie "dichter bij het vuur" ook een kennisvoorsprong. De agent is

28 Boudrez F., , ‘Digitale depots en hun inhoud’ in: (Den Haag 2010 ) 13. 29 Ekelen, E., van., ‘Een effectieve financiële audit om risico’s beheersbaar te maken’ in 3e Advisory & Control.


15

weliswaar gehoorzaamheid verschuldigd aan de principaal, maar de principaal kan dit niet

afdoende controleren.30 De principaal die een auditor inschakelt vertrouwt zijn eigen management

niet en huurt daarom een onafhankelijke onderzoeker in. Karakteristiek voor de agency-theorie is

dat de bestuurder eigenbelang verkiest boven dat stakeholder zoals aandeelhouders, dat de

bestuurder en manager tegengestelde belangen hebben en elkaar niet vertrouwen en niet

beschikken over dezelfde informatie. De bestuurder wil de aandeelhouders tevreden stellen, maar

meer ook niet. De bestuurder zal maximalisatie van de aandeelhouderswaarde nastreven voor

zover hij daartoe gedwongen wordt.

Verzekeringstheorie

In deze theorie wordt het inzetten van een auditor gezien als te betalen “premie” in de vorm van

auditcontroles om het risico van onbetrouwbare informatie en de gevolgen hiervan in de vorm van

aansprakelijkheid als gevolg van een wanprestatie of onrechtmatige daad. Voorbeelden waarbij

deze theorie voor een audit gebruikt kunnen worden zijn: het toetsen van de apparaten die bij een

digitaal archief betrokken zijn, de kwaliteit van opslag van de tapes waar kopieën van het digitaal

archief staan, de toegang tot het digitaal archief. Wanneer een archief niet betrouwbaar is, kan het

niet als juridische verantwoording gelden en zal het geen vertrouwen wekken.

Vertrouwenstheorie

In de vertrouwenstheorie staat het maatschappij centraal, waarbij de auditor geldt als een

vertrouwenspersoon. Volgens deze theorie is het bestaansrecht van de audit afhankelijk van het

vertrouwen dat zijn controlefunctie wekt bij de maatschappij. Dit heeft twee consequenties,

namelijk dat de auditor de terechte verwachtingen niet mag beschamen en dat de auditor geen

groter vertrouwen mag wekken dan op grond van zijn onderzoek is gerechtvaardigd. Dit houdt in

dat tijdens een audit de auditor geen verwachtingen mag stellen die hij niet kan waarmaken en dat

hij duidelijk moet aangegeven wie hij is en wat hij wel en niet tijdens het auditproces heeft

gecontroleerd. Het is voor de auditor van belang dat hij zijn onderzoeksinformatie en conclusies

gedegen en controleerbaar onderbouwt.31

Iets meer vertrouwen

De audittheorie gaat feitelijk uit van een negatief mensbeeld. Daarentegen is er ook een

controletheorie die uitgaat van een positief mensbeeld: de stakeholdertheorie. Deze theorie hangt

nauw samen met het begrip Corporate Governance waarbij het gaat om goed en behoorlijk bestuur

in de organisatie. Binnen dit systeem is er een actieve externe markt van stakeholders, met name

de aandeelhouder, die de organisatie controleert en iedere stakeholder kan persoonlijk invloed

uitoefenen op managementbeslissingen. De theorie gaat ervan uit dat de bestuurder het beste voor

heeft met de organisatie. De bestuurder pleegt goed rentmeesterschap over de aan hem

toevertrouwde onderneming en hij is gericht op de continuïteit en de maximalisatie van de waarde

van de organisatie op de lange termijn. Het begrip Corporate Governance kwam al ter sprake in de

eerste Nederlandse beursvennootschap, de VOC. De scheiding tussen eigendom en leiding werd

toen voor het eerst aangebracht. Het bestuur van de VOC werd gevormd door de Heeren Zeventien 30 http://nl.wikipedia.org/wiki/Principaal-agenttheorie 31 Ekelen, E., van., ‘Een effectieve financiële audit om risico’s beheersbaar te maken’ in: 3e Advisory & Control.


16

en de aandeelhouders hadden in beginsel geen macht. Toen de aandeelhouders ondervonden dat

de bestuurders hun macht misbruikten, eisten ze een betere informatievoorziening en adequaat

toezicht op het bestuur.32 De interne controle was geboren.

3.4 Het begrip interne risicobeheersing Vertrouwen in organisaties, het management en hun functioneren kan natuurlijk niet impliciet goed

gaan. In het midden van de jaren zeventig van de vorige eeuw is er in de Verenigde Staten,

vanwege door een aantal omkoopschandalen en dubieuze politieke campagnes, een

overheidscommissie ingesteld en wetgeving 33 uitgebracht met als doel omkoping en andere

fraudeleuze zaken zwaarder strafbaar te kunnen stellen. Het verplichtte organisaties om hun

administraties transparanter te maken en interne controle programma’s op te gaan zetten.34 In de

jaren tachtig is er in de VS vanuit de private sector (the Treadway Commission) een initiatief

gekomen om de kwaliteit van financiële informatie van bedrijven te gaan inspecteren en de

uitingsvorm te gaan verbeteren zodat frauduleuze jaarrekeningrapportages beter ontdekt konden

worden. Uit deze commissie is, begin jaren negentig van de vorige eeuw, een Committee of

Sponsoring Organizations (COSO) voortgekomen die samen met de accountancyfirma Price

Waterhouse Coopers (PWC) een framework van interne controle heeft ontworpen. Het framework

stelde een definitie van interne beheersing en controle op en zorgde voor een normenkader

waartegen bestaande interne managementskwaliteitssystemen getoetst konden worden. Het uit

vier delen bestaande framework genaamd Internal Control— Integrated Framework is daarna een

interne standaard voor organisaties geworden en zorgde voor nieuwe functies zoals de internal

controller en internal operational auditor die als beroepseis meekregen dat ze onafhankelijkheid en

onpartijdigheid moesten opereren. Het is daarnaast ook een externe controle standaard geworden

voor financiële en InformatieTechnologie (IT) auditors. Financiële auditors hebben het verbonden

aan hun auditing standaard (AS2). IT-Auditors hebben COSO verbonden met hun eigen controle

standaard Control Objectives for Information and related Technology (COBIT). Het is een

informatiemanagement raamwerk voor het gestructureerd inrichten en beoordelen van een IT-

beheeromgeving.

Begin 20e eeuw zijn door COSO, wederom als gevolg van financiële schandalen zoals bij de

firma ENRON, de begrippen Corporate Governance en Risk Management verder uitgewerkt in een

Enterprise Risk Management - Integrated Framework. Hiermee wordt de focus van de internal

control voortaan op het risicomanagement van de gehele organisatie gericht. Interne controle en

risicomanagement kunnen het natuurlijk niet alleen af. Met dwingende wetgeving35 is het nog

steeds nodig om de zondaars tot de orde te roepen. Overheidsorganisaties hebben deze interne

controlestandaarden uit het bedrijfsleven stilzwijgend overgenomen.

Wanneer archivarissen de kwaliteit van organisaties willen gaan onderzoeken, dan moeten

ze op de hoogte zijn van de principes van het COSO framework omdat ook de beheersing van de

informatiehuishouding erin zit opgesloten. Archivarissen die zich op enigerlei wijze met risico’s van

32 Fentrop, P., ‘Ondernemingen en hun aandeelhouders sinds de VOC, Corporate Governance 1602-2002’, (Amsterdam 2002). 33 Foreign Corrupt Practices Act (FCPA). 34 http://en.wikipedia.org/wiki/Committee_of_Sponsoring_Organizations_of_the_Treadway_Commission, 27-04-2015. 35 Sarbanes-Oxley Act (SOx).


17

informatiebeheer bezighouden dienen dit framework te kennen omdat het de basis is voor

risicomanagement in organisaties in het algemeen. COSO geeft ook aan hoe een organisatie door

een onpartijdige functionaris gecontroleerd en beoordeeld kan worden. Wanneer de archivaris de

COSO aandachtgebieden volgt, krijgt hij een compleet beeld van de kwaliteit van de interne

beheersing. Ook andere erfgoedinstellingen dienen zich de basisprincipes ter harte te nemen en de

ideeën van risicomanagement te begrijpen omdat ook zij steeds meer in een digitale wereld

opereren met alle beheersingsrisico’s van dien. Er dient daarom aldaar een passend stelsel van

interne controle ingericht te zijn om deze risico’s te minimaliseren. OAIS stelt als framework, voor

de inrichting van een archiefbeherende instelling in relatie met het e-depot, de beoordeling van de

kwaliteit van de beheersing in de vorm van audits dan ook verplicht. COSO wordt ook actief

bijgehouden. In 2010 heeft COSO een update gemaakt zodat het framework beter past bij de

alsmaar groeiende complexiteit van organisaties door de snelle veranderingen van de digitale

wereld als gevolg van internet en email. In 1992, toen de eerste versie van het framework

ontstond, bestond deze aandacht nog niet. OAIS wordt als ISO 14721 bijgehouden en heeft in

2012 een laatste update gehad.

Risicomanagement bestaat als goed uitgedacht aandachtgebied dus al meer dan twintig jaar

en zit, zolang de functie van auditor en met name de accountant bestaat, in zijn genen.

Archivarissen hebben de neiging om het begrip risicomanagement enkel van toepassing te

verklaren op de smalle informatiestroom die hun archief straks zullen gaan bereiken36. COSO laat

zien dat men organisatiebreed moet gaan denken. Wel is natuurlijk zo dat het aandachtsgebied van

archivarissen met name procesgebonden beleidsinformatie is en veel minder de financiële

informatiestromen. Andersom heeft de financiële auditor traditioneel voornamelijk aandacht voor

de financiële informatiestromen in relatie tot het begrip verantwoording en minder voor de kwaliteit

van de beleidsinformatie. Overigens is dit laatste punt aan het veranderen omdat de

informatiecultuur en managementstijl van organisatie (wederom door negatieve signalen) steeds

meer onder de aandacht van de auditors komt. Wanneer archivarissen de kennis van COSO tot zich

nemen, spreken ze in ieder geval dezelfde risicomanagementtaal als de auditors. Dat is ook iets

wat COBIT nastreeft. Het is zowel een controlestelsel als beheersstelsel zodat zowel de auditor als

het management dezelfde normen, termen en begrippen gebruiken.

3.5 Het begrip verantwoording Auditors zoeken naar verantwoording door naar de kwaliteit van de informatie en de benodigde

interne controlemaatregelen van de administratieve processen te kijken. Auditors zijn geschoold in

het vakgebied Bestuurlijk informatie. Hierin worden de verantwoordingsgebieden gedetailleerd

uitgewerkt volgens de theorie van Starreveld en zijn typologie van organisaties. Het begrip

informatie wordt hierin zeer nadrukkelijk behandeld. "Het besturen van een organisatie is in zekere

zin onder één noemer te brengen met het besturen van een machine. Informatie is voor beide de

sturende kracht. En daar machines en installaties normaliter moeten fungeren binnen het kader

van een bepaalde organisatie, is het duidelijk, dat in principe deels van dezelfde informatie kan

36 Findlay,C., ‘Reinventing Archival Methods, Presentation for Roundtable event in honour of Hans Hofman’ (Den Haag 2014).


18

worden gebruik gemaakt, een omstandigheid die voor de automatisering van het

informatieverwerkingsproces van bijzondere betekenis is”.37

Archivarissen gebruiken het begrip verantwoording tegenstrijdig. Theodore Schellenberg

introduceerde in jaren vijftig van de vorige eeuw begrippen als primaire en secundaire waarden

(‘primary’ en ‘secondary values’) van informatie. Met het begrip primaire waarden geeft hij de

waarde aan die records hebben voor de organisatie en met het begrip secundair de waarde die

records hebben voor verantwoording en herinnering.38 David Bearman daarentegen verwierp al in

de jaren tachtig van de vorige eeuw deze klassieke metafoor van records als bijproduct van de

administratieve processen waaruit het handelen bestaat. Volgens hem zijn ze juist de atomen van

het proces en niet de neerslag op het einde. Ze zijn of waren voor een belangrijk deel de

bouwstenen van het administratieve proces. 39 Hij had toen al het idee van gedistribueerde

bewaarplaatsen in plaats van een levenscyclus van informatie met op einde een centrale opslag als

statisch geheel. Archiefstrategieën van de toekomst zouden volgens David Bearman uit niets

anders dan standaarden moeten bestaan waaraan de archieven binnen in een netwerk aan moeten

voldoen en waarbij auditors, regelaars, trainers en metadata-manager bestaan.

Vooral in een digitale wereld is het veel lastiger om aan te tonen dat een digitaal informatie

object is wat het beweerd te zijn en dat er niet mee gemanipuleerd is en als verantwoording kan

dienen. Een organisatie waar een gebrekkig controle is ingericht op de kwaliteit van informatie, kan

moeilijk verantwoording afleggen en zal weinig vertrouwen wekken. Telkens weer blijkt na (vooral

financiële) schandalen dat het lang duurt voordat het vertrouwen weer hersteld is. Wanneer dit

gebeurt, staat de archivaris aan de zijlijn. Sommige denken dat archivarissen in organisaties er

voor waken dat de informatie authentiek blijft en dus waarborgen afgeven dat de informatie als

verantwoording kan dienen.40 Na een schandaal gaat echter niet de archivaris aan de slag met

voorstellen voor verbeteringen van de bouwstenen van het administratieve proces maar een

andere meer gezag uitstralende functionaris of beroepsgroep. Soms zijn het dus zelfs particulieren

initiatieven uit de samenleving zoals COSO die waarborgen van verantwoording en vertrouwen

afdwingen.

3.6 Het begrip onafhankelijkheid en onpartijdigheid Wat COSO sterk benadrukt is de onafhankelijke en onpartijdige rol die een auditor dient te hebben.

De eerder genoemde wetgeving in de VS waar indirect COSO uit voortgekomen is gaat zelfs terug

tot de jaren dertig van de vorige eeuw toen door de Drooglegging wetgeving moest worden

aangescherpt. Controles op deze drooglegging moesten door onafhankelijke en onpartijdige

ambtenaren worden uitgevoerd. Of ze dit lukte, laat ik hier in het midden. Natuurlijk zijn er

tegenwoordig financiële en interne auditors die de oorspronkelijke principes van onafhankelijkheid

en onpartijdigheid aan hun laars lappen en de beroepsgroepen van auditors schade berokkenen. Ze

worden zelfs aangewezen als een van de veroorzakers van de kredietcrisis41. Niet geheel onterecht

37 http://nl.wikipedia.org/wiki/Remmer_Willem_Starreveld, 15-05-2015. 38 Schellenberg, T.R., Modern Archives: Principles and Techniques (Chicago 1956), 119. 39 Horsman, P., ‘Archivering van Elektronische Post. Methoden, meningen en alternatieven’ (Amsterdam 1999) 10 40 Dingwall G., ‘Trusting Archivists: The Role of Archival Ethics Codes in Establishing Public Faith’, in: The American Archivist, 67 (2004) 21. 41 Thomassen T., Onttakeling of modernisering in: Jaarboek 2010 Stichting Archiefpublicaties (Den Haag 2010) 306.


19

natuurlijk, maar net zoals Diederiek Stapel de wetenschap in diskrediet gebracht heeft, hoeft dat

nog niet te betekenen dat de gehele beroepsgroep niet deugt. Onafhankelijkheid is geen absolute

term en auditors en archivarissen zijn dit in meer of mindere mate. Volgens Joris Luyendijk bepaalt

de afhankelijkheid van een bepaalde dure levensstijl de mores van een beroepsgroep.42 Externe

auditors zijn onafhankelijker dan een interne auditor maar worden wel betaald door hun broodheer.

De interne auditor kan door druk van het management ook eerder zijn onafhankelijkheid verliezen.

Ook bestaat er een collisiegevaar waarbij de auditor zijn eigen adviezen later weer in de

organisatie tegenkomt en het raar zou zijn deze af te keuren. Een Ethische Code moet een

beroepsgroep kunnen behoeden voor dit soort vraagstukken. Ook de beroepscode voor

archivarissen benadrukt dat de archivaris zich dient te onthouden van iedere activiteit die zijn

professionele integriteit, objectiviteit en onpartijdigheid zou kunnen schaden. De archivaris mag uit

zijn werk noch financieel, noch enig ander persoonlijk voordeel halen ten koste van instellingen,

gebruikers of collega's. Zie hiervoor ook de bijlagen.

42 Luyendijk, J., 'Dit kan niet waar zijn' iBook (Amsterdam 2014).


20

4 Methoden en technieken Auditing

4.1 Inleiding Een archivaris die wil gaan auditen, dient de stappen van wetenschappelijk onderzoek te doorlopen.

Als er al een geheim voor succesvol auditen is, dan zit dit in het kwaliteitscriteria deugdelijkheid.

Een audit is valide wanneer het onderzoek deugdelijk is uitgevoerd of zoals een auditor zegt dat

het op basis van een deugdelijke grondslag (‘persuasive evidence’) is uitgevoerd. De methode van

selecteren, verzamelen, evalueren en presenteren van de auditbevindingen zijn gestoeld op de

principes van wetenschappelijk onderzoek43. De methode en technieken van onderzoek kennen de

volgende stappen:

- Kennis van het onderzoeksobject;

- Benoemen van onderzoeksvraag aan de hand van hypotheses;

- Bepalen hoeveel bewijzen er nodig zijn om de hypotheses te testen en om aan de

onderzoeksvragen te voldoen;

- Ontwerpen van een onderzoeksmethode om het bewijs te gaan verzamelen;

- Uitvoeren van de testen door gegevens te verzamelen;

- Kritisch de testresultaten analyseren;

- Rapporteren over de onderzoeksresultaten met conclusies betreffende de juistheid of

onjuistheid van de hypothese.

Audits worden overigens meestal niet gelijkgesteld met wetenschappelijk onderzoek maar

doorlopen wel dezelfde stappen in de onderzoeksopzet. Er moet sprake zijn van een adequaat en

toetsbaar normenkader (´suitable critera´) en een auditprotocol waarbij de auditor op grond van

zijn deskundigheid en expertise verantwoordelijkheid kan nemen voor zijn oordeelsvorming. Een

financiële financiële auditor verkrijgt betrouwbare en valide onderzoeksresultaten op basis van

kwantitatief onderzoek. Een operational auditor vertoont daarentegen meer overeenkomsten met

de eigenschappen van kwalitatief onderzoek.

4.2 Wetenschappelijk onderzoek Wetenschappelijk gezien is er een onderscheid tussen kwantitatief en kwalitatief onderzoek.44

Beide aanpakken kennen verschillende onderliggende paradigma’s; een positivistische aanpak en

de interpretatieve aanpak. Het positivistische paradigma gaat uit van de perceptie dat er een

objectieve, eenduidige waarheid in de wereld bestaat die met systematisch en statistisch meten

van relaties tussen verschillende variabelen onderzocht kan worden. Er wordt van algemeen naar

specifiek geredeneerd (deductief) waarbij de kennis wordt vergaard als objectieve outsider.

Het interpretatieve paradigma gaat uit van de perceptie dat er vele realiteiten ontstaan door de

verschillende ervaringen die individuen beleven. Er wordt van specifiek naar algemeen geredeneerd

(inductief) waarbij de werkelijke aard van de kennis wordt vergaard als subjectieve insider.

De gedachte dat verschillende methoden van onderzoek gebaseerd zijn op verschillende filosofieën

heeft gevolgen voor de invulling van het onderzoek zoals het volgende schema laat zien.

43 Ratliff, R., ‘Introduction to Auditing: Logic, principles and techniques’ (Florida, 2004) xvi. 44 Bergsma, M., ‘Betrouwbaarheid en Validiteit van Kwalitatief georiënteerde Operational Audits’ (Den Haag 2003) 9 e.v..


21

Kwantitatief Kwalitatief Paradigma Positivistisch Interpretatief Realiteitsperceptie Er bestaat een objectieve,

eenduidige waarheid Er bestaan verscheidende realiteiten, gevormd door individuele percepties

Theorievorming Deductief (van algemeen naar specifiek)

Inductief (van specifiek naar algemeen)

Werkelijke aard van kennis Kennis wordt vergaard als objectieve outsider.

Kennis wordt vergaard als subjectieve insider.

Tabel 1 Verschillen in paradigma's

Op basis van dit paradigma schema is een financiële auditor en andere typen auditors zoals

een internal operational auditor of IT-auditor in te delen bij kwantitatief onderzoek. Er is sprake

van een objectieve eenduidige waarheid in de vorm van ken- en stuurgetallen waarbij de relatie

tussen twee begrippen wordt getoetst: (Kloppen de gegevens die de organisatie aan de externe

auditor oplevert, kloppen de gegevens die het management oplevert aan de internal auditor)?

Hierbij is een meetinstrument valide wanneer deze meet wat er gemeten dient te worden. De

onderzoeksdata die voortkomen uit kwantitatief onderzoek bestaan uit getallen.45 Men onderzoekt

van algemeen naar specifiek en de onderzoeksvraag is gesloten: het voldoet wel of het voldoet niet

aan de gestelde normen (cijfers). Het gaat de auditor om de getrouwheid van de aangeleverde

gegevens maar niet letterlijk want uitkomsten moeten soms geschat worden. De financiële auditor

laat ook zijn licht schijnen op de kwaliteit van de interne organisatie (ook wel genoemd de

Administratieve Organisatie/Interne Controle). Hij heeft dan de pet op van kwalitatief onderzoeker.

Hoewel de archivaris ook als objectieve outsider gezien kan worden, is zijn onderzoeksmethode

niet gebaseerd op cijfers maar op percepties uit interviews of documenten. Een enquêteinstrument

die toezichthoudende archivarissen soms gebruiken kan weer wel als kwantitatief onderzoek gezien

worden.

Het paradigma van kwalitatief onderzoek is de interpretatie. Kwalitatief onderzoek gaat

over het verkrijgen van inzichten. De uitkomsten bij kwalitatief onderzoek worden enkel

beschreven in woorden en niet in getallen. Ook is onderzoeksvraag bij kwalitatief onderzoek vaak

erg breed. Dit komt omdat de uitkomsten van het onderzoek minder goed te voorspellen zijn en de

uitkomsten kunnen nog alle kanten op. Er is dus relatief weinig voorkennis, waardoor er minder

toegespitst kan worden in de onderzoeksvraag. Binnen kwalitatief onderzoek ligt de nadruk ook

veel meer op de validiteit van de interpretaties. Met andere woorden: zijn de door de onderzoeker

getrokken conclusies valide in relatie tot de onderliggende verzamelde gegevens? Op basis hiervan

kunnen onderzoeken van de operational auditor en een archivaris worden ingedeeld als kwalitatief

onderzoek. De internal auditor valt hier deels ook onder want hij is onderdeel van de management

control cyclus en dus een subjectieve insider van de organisatie. Gegevensverwerking zoals het

verwerken van enquêtes kan een onderdeel zijn van een kwalitatief onderzoek.

45 http://wetenschap.infonu.nl/onderzoek/106079-kenmerken-kwalitatief-kwantitatief-onderzoek.html, 03-05-2015.


22

Het begrip Audit

De term Audit is afgeleid van het Latijnse ‘audire’ en betekent aanhoren. In de middeleeuwen

geschiedde de afrekening tussen landeigenaar en pachter door het voorlezen van de rekening. Men

vermoedt dat vanuit Amerika de gewoonte is ontstaan om ook het oordelen in het algemeen, dus

ook over niet-financiële aangelegenheden met de term audit aan te duiden. Accountants hebben

jarenlang het begrip voor zichzelf geclaimd. Met het begrip audit wordt tegenwoordig het

onderzoek aangeduid dat een gefundeerd oordeel moet opleveren zodat deze uitkomst zekerheid

(‘assurance’) kan verschaffen aan het management.

Het begrip Auditing

De term Auditing kent de volgende algemene definitie: de onpartijdige controle en/of evaluatie van

objecten, uitgevoerd door deskundigen die onafhankelijk staan ten opzicht van diegenen die

verantwoordelijkheid voor de desbetreffende objecten dragen 46 . Een gangbare definitie van

auditing is: Auditing is het vakgebied dat zich bezig houdt met het, op grond van onderzoek

(audit) door een deskundige (auditor), beoordelen van één of meerdere (audit)objecten in relatie

tot (toetsings)normen en het weergeven van de uitkomsten van het onderzoek in de vorm van een

oordeel aan de opdrachtgever en/of (via de opdrachtgever) aan derden.47 De kern van auditing is

het proces waarin een deskundig, onpartijdig en onafhankelijk oordeel wordt gevormd over een of

meer aspecten van een onderzoeksobject.48 Hierbij vallen de volgende zaken op: het vormen van

een oordeel, de deskundigheid onpartijdigheid en onafhankelijkheid van de auditor; de

werkzaamheden (het proces) die verricht worden om tot een oordeel te komen en de objecten

(met daarin de kwaliteitsaspecten) waarover een oordeel gevormd moet worden.

46 Frielink, A.B., e.a., Leerboek Accountantscontrole, (Houten 1996) 2. 47 Kocks, C., ‘Auditing, audit, auditor, wat moeten we ermee?’, in: 20 over Internal/Operational Auditing; bijdragen aan governance & control (Rotterdam, 2008), pag 20. 48 Praat J., van., e.a. Inleiding EDP-auditing (Deventer 1992), 19 e.v..


23

4.3 De auditingtheorie De auditing theorie beschrijft de context waarbinnen een audit als onderzoek plaatsvindt. Deze

auditcontext bestaat uit een auditontwerp dat onderverdeeld is in een conceptueel en een

technisch ontwerp.

Afbeelding 2 Auditingtheorie

Het ontwerp beschrijft het doel en de inhoud van de audit (het WAT) en bestaat uit: de

beschrijving van de doelstelling van de audit; de nadere afbakening van het object van de audit en

de beschrijving van het gehanteerde auditmodel; de auditvragen die in het onderzoek worden

beantwoord; de operationalisatie van begrippen, om een eenduidige interpretatie bij alle

betrokkenen te waarborgen. In de technische analyse gaat de auditor de onzekerheden van het

onderzoek in kaart brengen met de Audit Riskformule. Zijn er bijvoorbeeld verborgen agenda’s

met de kans dat de audit misbruikt wordt om een bepaalde beslissing af te dwingen. Is er sprake

van een slecht functionerend kwaliteitssysteem? In deze fase worden de keuze voor de methoden

en technieken voor het verzamelen van gegevens tijdens de uitvoering van de audit bepaald. In de

bijlagen wordt dit model verder uitgewerkt in een theoretisch en praktisch kader.

Het vormen van een oordeel

Een auditor moet deskundig zijn met het onderwerp waarover zijn onderzoek gaat. Het doel van

een audit is het geven van een oordeel en hiermee een zekere mate van zekerheid aan de

opdrachtgever. Een auditor geeft geen absolute zekerheid maar houdt bij zijn oordeelsvorming

altijd een bepaalde mate van tolerantie aan. Er is een tolerantie bij de afweging en een tolerantie

bij de mate van zekerheid dat het oordeel juist is. Dit betekent dat de auditor bij zijn

opdrachtgever moet aangeven welke mate van zekerheid hij kan geven. Hij zal op grond van de

vereiste nauwkeurigheid en betrouwbaarheid zijn controle-aanpak, de aard en omvang van de uit

te voeren werkzaamheden bepalen. De auditor zal ook een mate van risico bepalen dat hij als

maatstaf zal accepteren wanneer zijn oordeel niet juist blijkt te zijn. Deze maatstaf wordt ook wel

het auditrisk genoemd. De auditor moet nagaan in welk kader en hoe zijn oordeel gebruikt gaat

worden. Het op juist wijze interpreteren van een oordeel is veelal alleen door de opdrachtgever of

belanghebbende mogelijk en vereist naast kennis van de auditcontext inzicht in de gehanteerde


24

normering. De opdrachtgever moet vooraf ook op de hoogte zijn de mate van betrouwbaarheid van

het oordeel. Dit voorkomt misverstanden en een rapport dat ‘onderin de la’ zal verdwijnen. In

principe moet een auditor een positief of negatief oordeel geven: het onderzoeksobject voldoet al

dan niet aan de norm (ook wel genoemd als de term ‘aan de daaraan te stellen eisen’). Wanneer

de auditor onvoldoende zekerheid heeft, zal hij zijn werkzaamheden moeten uitbreiden. Er is voor

een auditor een strikte scheiding tussen audit en advies. Een audit kijkt terug in de tijd een advies

veelal vooruit. Zoals de dokter het advies geeft om minder te eten, zal de auditor alleen in de

voorbereidingen van een audit het advies geven om al dan niet een audit uit te voeren in gesprek

met de opdrachtgever die met een probleem te kampen heeft. Een adviseur zal sneller met

oplossingen komen vanuit de rol van expert, partner of raadgever. In deze volgorde zal ook de

verantwoordelijkheid en betrokkenheid van de adviseur meer of minder zijn. Vaak is het wenselijk

voor de opdrachtgever om de adviseur de WeightWatchersoplossingen ook uit te laten uitwerken

en implementeren en er op toe te zien dat de patiënt afvalt. Voor een auditor mag dit niet en is dit

streng gereglementeerd in zijn gedrags en beroepsregels. Hij zal na een jaar weer worden

uitgenodigd om het gewicht te wegen en beamen dat het nu wel binnen de norm is.

Een archivaris adviseert ook hoe de organisatie aan voorkant het beste de archiefwettelijke

regels kan implementeren. Ook dan zal hij de stappen van de auditmethodiek kunnen toepassen bij

het gedegen voorbereiden en uitwerken van zijn adviesrapport. Hij mag dit geen auditrapport

noemen omdat hij hiermee geen zekerheid geeft en geen interne opdrachtgever. Als

toezichthouder loopt hij wel gevaar dat hij de gevolgen van zijn (verkeerde) adviezen in een later

stadium nog tegenkomt. Toch is in de praktijk het onderscheid tussen advies en audit en het

verlenen van zekerheid (assurance) soms kunstmatig, want een audit zonder advies lijkt

nauwelijks zinvol.49 De opdrachtgever heeft natuurlijk behoefte aan een oplossingsrichting voor zijn

mogelijke probleem. In de praktijk lopen de twee onderzoeksvormen vaak in elkaar over en wordt

het colissiegevaar van audit en advies (kunstmatig) opgelost door twee rapportages in de vorm

van een aanbiedingsbrief met beperkte mogelijke oplossingsrichtingen voor de toekomst en een

strak auditrapport dat terugkijkt op basis van een afgesproken norm naar wat er mis is.

Soorten audits

De meest voorkomende soorten audits zijn audits die gericht zijn op financiële doelstellingen in

relatie tot de bedrijfsprocessen, op de doelmatigheid (effectiviteit en efficiency) van

bedrijfsprocessen (interne en operational audits), op het kwaliteitssysteem, op het voldoen aan wet

en regelgeving, op de informatietechnologie, op fraude aspecten, op het milieu, gezondheid en

veiligheidsaspecten enzovoorts. De term audit is jarenlang geclaimd door publieke accountants,

met name bij die accountants die bij private accountantskantoren werkzaam waren. De uitingen

van accountants gaven ‘assurance’. Steeds meer ontstond de behoefte om diverse soorten audits

te gaan onderscheiden gericht op het geven op het geven van zekerheid50. Commerciële motieven

waren hier natuurlijk niet vreemd aan. Men kan ook denken dat er in een complexere

bedrijfseconomische omgeving de behoefte steeds groter werd aan onafhankelijke oordelen gericht

op voorspelbaarheid en beheersbaarheid van processen. Met name bij het informatie- en

archiefmanagement van organisaties is er meer aandacht gekomen voor de begrippen vertrouwen 49 Fijneman, R., e.a., ‘Grondslagen IT-auditing’, (Den Haag 2005). 50 Ratliff, R., ‘Introduction to Auditing: Logic, principles and techniques’ (Florida, 2004) xxii


25

en betrouwbaarheid. 51 De begrippen zijn ook opvallend aanwezig in allerlei normenkaders,

modellen en best practices. Ook zijn ze onderwerp van onderzoek in de archiefwetenschap.

Tegelijkertijd is er in de sociale wetenschap een groeiende belangstelling voor deze begrippen,

inclusief de discussie over wantrouwen en een vermeende maatschappelijke daling van vertrouwen

in instituties. Sommige wetenschappers menen dat de groeiende behoefte aan formele

documentatie voor controle juist een aanwijzing is van een gebrek aan vertrouwen. In het

archiefwezen wordt het begrip audit te pas en te onpas gebruikt. Waar men audit noemt, bedoelt

men vaak een analyse of het afwerken van een checklist.52

Auditing maakt geen deel uit van de management of administratie cyclus van een organisatie

maar is wel essentieel voor het functioneren ervan. In de managementcyclus van Inrichting (Plan),

Uitvoering (Do), Evaluatie (Check) en Beleid (Act) draait het als een satelliet om de kern van de

PDCAcyclus heen.

51 Sundqvist, A., Documentation practices and recordkeeping: a matter of trust or distrust? 52 “Het E-depot is getoetst op degelijkheid op basis van de ED3 eisenset (Eisen Duurzaam Digitaal Depot). Voorjaar 2012 is deze audit door de provinciale archiefinspectie Noord-Holland positief afgesloten” op http://stadsarchief.amsterdam.nl/stadsarchief/e-depot/introductie/, 25-04-2015.


26

4.4 Soorten auditing

4.4.1 De functie van financiële auditing De werkzaamheden van een financiële auditor zijn wettelijk bepaald en worden ondersteund met

allerlei verplichte richtlijnen en nationale en internationale beroepsregels.53 De techniek van zijn

onderzoek is volledig gericht om zo effectiviteit en efficiënt mogelijk het beoogde controle doel te

bereiken. Het is niet voldoende om kennis te hebben van de controlemiddelen zelf (het

gereedschap) maar ook moet de methode, waarlangs het controledoel het beste kan worden

bereikt, heel helder bepaald worden. Een collega auditor moet later, na raadpleging van het

onderzoeksdossier, tot exact dezelfde conclusie komen. Voor de financiële auditor is de effectiviteit

en efficiency van zijn onderzoek dus een zeer belangrijk aspect, mede vanwege de deadline van

zijn handtekening onder de jaarrekening van een organisatie. Hiermee keurt hij, op het einde van

zijn onderzoek, het jaarlijkse huishoudboekje van de organisatie met een verklaring al dan niet

goed. Deze verklaring gaat over de getrouwheid en niet over de absolute betrouwbaarheid van de

door de organisatie opgeleverde informatie. In hoofdzaak heeft hij twee onderzoeksmethoden:

synthetische (progressieve) en analytische (regressieve).

Bij de synthetische (samenstellende) methode bouwt de auditor zelf het huishoudboekje

van een organisatie op en werkt dit opklimmend (progressief) uit ten behoeve van zijn

oordeelsvorming. Dit huishoudboekje omspant een weergave van de gehele organisatie. Het

bijbehorende systeem van de interne controle van een organisatie dient wel te voldoen aan

minimale eisen, anders kan hij hier niet op steunen. Met een zogenaamd gesloten systeem van

omspannende totaal en verbandcontroles, verkrijgt de financiële auditor een kwantitatief oordeel.

Bij de analytische (top-down) methode gaat de accountant uit van de door de organisatie

zelf aangeleverde totaalcijfers waaronder de jaarrekening. De auditor onderzoekt de cijfers die

opvallen en beoordeelt de interne beheersing die de organisatie zelf heeft ingericht54. Bijzondere

ontwikkelingen en belangrijke afwijkingen van normen worden door hem geanalyseerd waarbij de

organisatie documenten in zijn onderzoek betrekt. Hij werkt nu dus nu vanuit het eindproduct naar

de basis. Dit is een vorm van kwalitatief onderzoek want de auditor richt zich nu op de beoordeling

van de kwaliteit van de verslaglegging en wijze waarop de documenten met financiële gegevens uit

de organisatie tot stand komen. Ook beoordeelt hij de kwaliteit van de administratieve organisatie

en het systeem van interne controle. De term Administratieve Organisatie duidt op een proces

tekening van activiteiten die een organisatie of afdeling verricht. Interne controle zijn de

waarborgen die men inbouwt om de organisatie doelstellingen te behalen.

Risico-analytische controleaanpak

De onderzoeksaanpak van een financiële auditor gaat uit van de efficiëntst wijze om vast te stellen

dat zijn onderzoek (controle van de verantwoording van een organisatie) voldoet aan de ‘daaraan

te stellen eisen’. Hierbij hoort een berekening van de kans (het risico) dat zich onvolkomenheden

van belang voordoen. Daarnaast wordt getoetst of deze schattingen in overeenstemming zijn met

de realiteit, dan wel aangepast moeten worden. Het komt er op neer dat de financiële auditor in

53 NivRA, ‘Elementaire kennis Accountantscontrole’ (Groningen 1992) hoofdstuk 10 en 11. 54 Spruyt, R., ‘PDO/IOA’, (Rotterdam 2005). Zie verder het COSO raamwerk.


27

zijn oordeelsvorming een soort kans inbouwt dat er toch nog in de financiële cijfers van de

organisatie fouten zitten, die niet ontdekt zijn en dat hij, ondanks zijn gedegen onderzoek, toch

een goedkeurende verklaring geeft. De auditor zal deze kans taxeren in termen van hoog, normaal

en laag risico. Zie ook de bijlage waar de Audit Risicomethode nader wordt toegelicht.

Controleaanpak

Bij zijn aanpak gaat de auditor vooraf bepalen welke controledoelen hij moet formuleren met de

bovenstaande kansberekening in gedachte. Hij kan uitkomstengericht (systeemanalyse) of

gegevensgericht te werk gaan (gegevensanalyse).

Bij een systeemgerichte aanpak wordt de deugdelijkheid van de opzet en werking van het

financiële systeem onderzocht. De kwaliteit van de financiële (geautomatiseerde) gegevens die een

organisatie gebruikt, is hier immers sterk van afhankelijk.

Bij een gegevensgerichte aanpak wordt de relatie met de gegevens van de organisatie buiten het

financiële (geautomatiseerde) systeem om onderzocht en vast gesteld.

Gezien het feit dat de financiële informatievoorziening vrijwel volledig geautomatiseerd verloopt,

moet de financiële auditor vrijwel altijd systeemgericht controleren. Het financiële systeem mag

voor hem geen ‘black box’ zijn. Hij past hiervoor ook audit-software toe om de, in het systeem

opgeslagen financiële gegevens, te analyseren. Daarnaast roept hij de hulp in van een IT-auditor

die de algemene beheersingsomgeving van de financiële automatisering onderzoekt (m.b.v. een

Baseline Informatiebeveiliging, ITIL en vele andere normenkaders), die de ingebouwde instellingen

(geautomatiseerd of instelbaar) beoordeelt en de gebruikersprocedures van het geautomatiseerde

systeem zelf onderzoekt.

Gesteld dat het financiële systeem erg slecht beheerd wordt, dan moet de financiële auditor

gegevensgericht gaan werken en op een andere manier buiten het systeem om (inkomsten en

uitgaven vergelijken) zijn onderzoek doen.

Conclusie De financiële auditor kijkt terug in de tijd of het jaarverslag op een deugdelijke grondslag is

gebaseerd. Daartoe voert hij een langdurig onderzoek uit en meet hij de werking van de interne

beheersing en controle.


28

4.4.2 De functie van internal auditing De term internal audit wordt ook wel Internal controlling genoemd en duidt op de bewaking van de

economische rationaliteit van de bedrijfsvoering. Vanuit dat perspectief van de economische

rationaliteit ondersteunt de internal audit het management van een organisatie, met name door de

inrichting en de interne beheersing van informatie- en controlesystemen.55 De functie van internal

auditor of controller is in het algemeen een interne managementfunctie van een organisatie. Hij

heeft twee verantwoordelijkheden: ondersteuning van het management in de

besluitvormingsprocessen en het verzekeren dat de gerapporteerde financiële informatie

betrouwbaar is en dat de interne beheersingsmaatregelen worden nageleefd56. Diegene of de

afdeling waarbinnen de functie is opgezet, houdt zich bezig met het ontwerpen en formuleren van

kengetallen en normen als onderdeel van de planning en controlecyclus. Kengetallen kunnen

worden gebruik om inzicht te verkrijgen in het verloop en werking van (beleids)processen.

Wat levert een extra euro op die aan marketing wordt besteed? Welke prestatiemaatstaven

moeten gehanteerd worden om de medewerkers te stimuleren? Welke financieringsstructuur past

het best bij de organisatie? Dat zijn voorbeelden van vraagstukken voor controllers. De controller

is vaak lid van het managementteam. Soms is de controller de financieel directeur of Chief

Financiële Officer (CFO)57 en specifiek opgeleid als accountant maar niet werkzaam als zodanig. Hij

noemt zich, afhankelijk van het type organisatie, ook wel de internal auditor.

Een controller is vooral verantwoordelijk voor het proces van planning en control zelf

binnen een organisatie. De controller ziet als bedrijfseconomisch onderzoeker toe op de efficiëntie

en effectiviteit van de ondernomen activiteiten en adviseert de (financiële) leiding van het bedrijf.

Zijn type onderzoek is zowel kwantitatief als kwalitatief en meer bedrijfskundig van aard. Het

object van zijn onderzoek is de verantwoording van de organisatie met name de bestuurlijke

informatievoorziening met als doel besturing en beheersing. De controller is verantwoordelijk voor

de inrichting en werking van het systeem van management informatie. In de rolopvatting van

financiële controller houdt hij zich dan bezig met de financiële rapportage en de opzet en werking

van de administratieve organisatie. In de rolopvatting van mangementcontroller zal zijn object van

onderzoek de door het management geformuleerde kritische succesfactoren zijn en het toetsen van

de inhoudelijke kwaliteit van de managementinformatie.58

De controller maakt gebruik van een groot aantal kwantitatieve informatiebronnen zoals de

input en output van de bestuurlijke informatievoorziening, prestatie maatstaven, kwaliteit van de

administratieve organisatie, interne beheersing en het verbeteren van systemen, werkwijzen en

procedures. Hij verzorgt ook de begroting en soms de jaarrekening van de organisatie. De

controller is in staat om op een structurele wijze waarde voor de organisatie te creëren59.

Informatievoorziening en archivering dient als zijn aandachtgebied, al wordt het laatste punt

meestal minder belangrijk geacht, althans voornamelijk gericht op de archivering van financiële

informatie ten behoeve van verantwoording en minder als toekomstig onderzoeksobject voor

55 Vrij vertaald naar http://www.eur.nl/esaa/post_master_en_postinitiele_opleidingen/registercontroller /opleiding_registercontroller, geraadpleegd op 05-05-2014. 56 Korte R. de, e.a., Internal/Operational Auditing, bijdragen aan governace & control (Rotterdam 2008) 254. 57 http://www.nyenrode.nl/Education/master-postmaster/schakeltraject/Pages/De-accountant-versus-de-controller.aspx, geraadpleegd op 17-12-2013. 58 Driesen J., e.a., Controller en auditor: een onmogelijke combinatie? ,(Deventer 1996) 29. 59 http://nl.wikipedia.org/wiki/Controller, geraadpleegd op 17-12-2013.


29

historici. Het is meer gericht op de bureaucratische context en op juridische bewijsstukken dan op

cultureel erfgoed aspecten. Het is de informatiecultuur die de mate van aandacht bepaalt die een

interne controle functie geeft aan een goede archiefvorming60. Meestal is de internal auditor meer

gericht op de financiële informatiestromen en het kortstondig bewaren daarvan dan op

beleidsinformatiestromen die langdurig bewaard moeten worden. Deze verschillen in aandacht en

in typen interne controle zou men ook als informatiecultuur kunnen bestempelen.

4.4.3 De functie van operational auditing Operational auditing is een containerbegrip61: De accountant definieert het soms als de interne

controlewerkzaamheden gericht op Administratieve Organisatie /Interne Controle (AO/IC). Soms

wordt een top-downbenadering bedoeld die gericht is op de controle van de naleving van door het

topmanagement uitgevaardigde ‘tight controls’. Een andere benaming is dan ook de internal

auditor. In een operational audit worden de beheersingsmaatregelen meer in kwalitatieve zin

getoetst. Operational auditing is daarmee een vakgebied dat wordt opgeëist door onder meer

accountants, controllers, kwaliteitsauditors, consultants en ook archiefinspecteurs. Het wordt ook

als Management Control Audit aangeduid. Het vakgebied kent een eigen internationale

beroepsvereniging (IIA) en postdoctorale opleidingen, zie hoofdstuk 5. Het doel van een

operational audit is het geven van additionele zekerheid aan de opdrachtgever (of via die

opdrachtgever aan derden) over de kwaliteit van de beheersmaatregelen gericht op het realiseren

van de organisatiedoelen. Binnen een operational audit vindt in principe geen analyse plaats van de

inhoud van de periodieke, met name kwantitatieve managementinformatie. Dit is primair de

verantwoordelijkheid van de controller. Het doel van operational audit kan ook worden omschreven

als het verminderen van de onzekerheid of het beperken van het risico van de opdrachtgever (of

derden) door kennis toe te voegen.62

Object van onderzoek

De audit richt zich, in de managementcyclus, op het gehele traject van beleid (richting), structuur

(inrichting) en proces (uitvoering). De nadruk het object van onderzoek ligt op de beheersing van

organisatiedoelen (organisatie-eenheden, processen, thema’s). De mate van diepgang van de

onderzoeker, hangt sterk af van de opdrachtgever en van de door de onderzoeker uitgevoerde

risicoanalyse aan de hand van een analytisch kader of referentiemodel. De systeemleer63 uit het

vakgebied Organisatiekunde wordt vaak als uitgangspunt gekozen voor het analytisch kader.

Onderzoekselementen

Vergeleken met de vorige twee auditors maakt de operational auditor gebruik van een beperkt

aantal informatiebronnen (personen, documenten). Hiervoor zijn twee verschillende oorzaken aan

te geven. De relatief kleine omvang van het object van audit en de arbeidsintensieve aard van de

60 Foscarini, F., ‘Theo Thomassen in gesprek met Fiorella Foscarini’ in: Archievenblad 9 2014 (Arnhem 2014), pag 17. 61 Korte, R. de., e.a., Operational audit: Van ‘containerbegrip’ naar een methodologisch ondersteunde auditvorm, in: Controllersreeks, (Rotterdam 2003) 11. 62 Idem. 63 Het is de meest universele bron die aan vrijwel alle disciplines ten grondslag ligt. Elk model, elk ontwerp en elke architectuur is gebaseerd op ongeveer tien fundamentele basisbegrippen uit de systeemleer. Het gaat om begrippen als functie, constructie, decompositie en beschouwingsniveau.


30

gehanteerde methoden van gegevensverzameling, maken dat de operational auditor maar een

beperkt aantal gegevensbronnen kan raadplegen. Dit aspect is eveneens herkend als eigenschap

van kwalitatief onderzoek. Gesteld is dat een kwalitatief onderzoek zich meer richt op de diepte

dan de breedte. Met behulp van kwalitatieve onderzoeksmethoden probeert de onderzoeker een zo

volledig en gedetailleerd mogelijk inzicht en begrip te krijgen. De arbeids- en tijdsintensieve aard

van deze methoden maakt echter dat de kwalitatieve onderzoeker veelal met een klein aantal

waarnemingen moet werken.64 De normen de een operational auditor hanteert zijn gericht op de

effectiviteit en efficiëntie van de bedrijfsvoering. Veel gebruikt wordt het 7S-model van het

instituut Mc Kinsey waarmee aan de hand van zeven dimensies of aspecten een organisatie

beschreven kan worden: Strategy, Structure, System and procedures, Skills, Staff, Style of

management, Shared values. De SWOT-analyse wordt ook veel gehanteerd voor het maken van

een interne analyse: de Strongnesses and Weaknesses / Opportunitess and Threats. Het

management control framework van de Harvard-publicits Robert Simons bijvoorbeeld voor de

analyse van een grote gedecentraliseerde organisatie.

Afbeelding 3 De 'four' levers of control' en de kernbegrippen

De Kwaliteit van de Administratieve dienstverlening (KAD) is een methode voor de

inrichting en beheersing van administratieve porcessen en van de bestuurlijke

informatievoorziening. COSO als framework voor de interne beheersing is al eerder aangehaald.

Zie hiervoor ook de bijlage. De aandachtsgebieden van een operational auditing zijn daarom zo

interessant voor de archiefwetenschap omdat het ook de aandachtgebieden voor de moderne

archivaris of archiefwetenschapper zijn: de kwaliteit van de organisatie.

Men dient zich wel te realiseren dat het spiegelen van een framework aan de

daadwerkelijke inrichting van een organisatie geen garantie voor een succesvolle onderneming is.

NOKIA was tot voor enkele jaren terug het schoolvoorbeeld van EQFM (European Foundation for

Quality Management) en kreeg het predicaat Excellence. Dit framework had bij Nokia het doel om

via een managementmodel de concurrentiepositie te verbeteren en een optimale relatie met de

stakeholders te bewerkstelligen. Nokia kreeg het predicaat uitmuntendheid. Anno 2015 is juist

Nokia volledig uit de markt weg geconcurreerd…..

64 Bergsma M., ‘Betrouwbaarheid en Validiteit van Kwalitatief georiënteerde Operational Audits’ (Den Haag 2003) 14.


31

4.4.4 De functie van IT-Auditing IT-auditing is de discipline die zich bezig houdt met het beoordelen van en adviseren over de

kwaliteit van de informatieverwerking in een omgeving waarin sprake is van informatie en

communicatie technologie (ICT) ten behoeve van de beheersing daarvan. Het gaat hierbij om ICT

in al zijn facetten met een focus op de technisch organisatorische controles. Het vakgebied is

ontstaan toen met de introductie van de automatisering problemen ontstonden voor de

accountant. 65 Ouderwetse functiescheidingen en op papier opgestelde verantwoordingen van

aparte administratieve afdelingen, konden ineens geïntegreerd in een computersysteem worden

verwerkt. Dit leiden in de jaren tachtig van de vorige eeuw binnen de accountancy tot een nieuwe

specialisatie en een nieuw vakgebied EDP-auditing. Tegenwoordig wordt het IT-auditing genoemd.

Door de hoge mate van toepassing van informatietechnologie en de grote invloed hiervan op de

bedrijfsprocessen van organisaties is een onderzoeker met IT-auditkennis onontbeerlijk geworden.

De financiële en IT-auditor hebben een gezamenlijk controle raamwerk wanneer, in het kader van

de een jaarrekening controle, de risicogebieden en de mate van ICT beheersing van een

organisatie dient te worden beoordeeld: General controls, Applicatie controls en User controles.

General controls

Dit zijn controles die gericht zijn op het in kaart brengen van de algemene beheersing van IT

systemen in de organisatie zoals het regelen van toegangen op systemen, het aanpassen van

informatiesystemen, het incidenten beheer. Opvallend is dat continuïteit, in de ogen van de

accountant maar beperkt aandacht krijgt. Waarborgen voor de duurzame toegankelijkheid van

informatie is niet een aandachtgebied maar zou het wel moeten zijn.

Applicaties controles

Dit zijn de ingebouwde controles in de informatiesystemen zelf op veldniveau, bijvoorbeeld de

maximale of minimale waarde. Het is een in het systeem geprogrammeerde controle, gericht op

het vergelijken van een gegeven met een ingestelde norm, bij afwijking gevolgd door een

signalering aan de gebruiker.66 Het informatiesysteem controleert of gebruikers wel bepaalde

beheerhandelingen in een e-depotapplicatie mogen verrichten. Het is van belang dat de archivaris

op de hoogte is van alle ingebouwde controles van bijvoorbeeld een e-depotinformatiesysteem om

enige zekerheid te hebben op de kwaliteit van het informatiesysteem en welke risico’s wel en niet

worden afgedekt.

User controles

Tot slot zijn er risico’s die niet op het hoogste beheerniveau of in het informatiesysteem kunnen

worden afgedekt. Dan zijn er compenserende maatregelen nodig die in de organisatie zelf

handmatig moeten worden opgezet. Een maatregel is bijvoorbeeld het vier ogenprincipe wanneer

er records moeten worden vernietigd omdat de bewaartermijn verstreken is. Voorafgaand aan de

vernietiging zal er bijvoorbeeld een bericht de organisatie ingestuurd worden dat er een set records

op het punt staat te worden vernietigd. Stel dat er een record toch nog langer bewaard moet

65 Praat, J. van, ‘Inleiding EDP-auditing’ (Deventer 1992) 35. 66 Ibid 189.


32

blijven, vanwege een juridische nasleep, dan kan deze door menselijk ingrijpen nog even behouden

blijven. Zonder deze maatregel zou vanwege een geprogrammeerde controle de instructie gegeven

worden om het record te verwijderen

Samenvattend is de IT-auditor in staat het IT-landschap inzichtelijk te maken en de

belangrijkste risico’s en de onderlinge afhankelijkheden (relaties) tussen informatiestromen en IT-

toepassingen aan te geven. Een IT-auditor hanteert hierbij altijd in zijn onderzoek een

normenkader over ICT risicobeheersing. Veel gebruikt is het COBIT raamwerk, zie afbeelding, en

het onderliggende COSO controle raamwerk67. Het heeft als groot voordeel heeft dat zowel voor

het IT-management als de IT-auditor geschikt is en men daardoor dezelfde een taal spreekt.

Andere raamwerken die IT-Auditors veel gebruiken zijn BiSl voor het functioneel beheer, ASL voor

het applicatiebeheer en ITIL voor de IT-serviceorganisatie. Daarnaast zijn er veel normen over ICT

beveiliging beschikbaar bijvoorbeeld de ISO 27001.

Afbeelding 4 Cobit Framework

67 Zie www.isaca.org.


33


34

5 Professionele rol van de archivaris vergeleken met de rol van een auditor

5.1 Inleiding In dit laatste deel van mijn referaat wil ik een korte vergelijking maken in de verschillen en

overeenkomsten tussen auditors en archivarissen ten aanzien van hun professie en de

professionalisering van beide vakgebieden. Zo kennen auditors strenge opleidingseisen en

beroepsregels die uitgedragen (en gecontroleerd) worden door wettelijk erkende

beroepsverenigingen. Geldt dit ook voor archivarissen? Wat zijn de verschillen en overeenkomsten

tussen archivarissen en auditors? Een professie moet heel wat regelen om als professie te kunnen

bestaan.68

5.2 Vertrouwen door bekwaamheden Net als het archivarisberoep is het auditberoep in vergelijking met tal van andere vrije beroepen

nog betrekkelijk jong. Het beroep is aan het eind van de 19e eeuw ontstaan en heeft zich pas

halverwege de 20e eeuw in zijn huidige vorm ontwikkeld. Het ontstaan houdt verband met twee

belangrijke economische gebeurtenissen. De eerste was de industriële revolutie. De tweede was

dat er in de loop van de 20e eeuw een opmars te zien was van naamloze vennootschappen en een

scheiding van eigendom en beheer. Daarmee ontstond ook de behoefte aan een auditor die als een

professional een breed pakket aan controlerende werkzaamheden ging uitvoeren. In de jaren

zeventig van de twintigste eeuw bleek ook steeds meer de behoefte in de maatschappij aan

oordelen van onafhankelijke en onpartijdige deskundigen op het gebied van automatisering en de

informatietechnologie 69 . Toen werd al geconcludeerd dat het auditberoep onder invloed van

automatisering sterk zou gaan veranderen als gevolg van wijzigingen van organisatorische aard in

de organisaties zelf.

Het archiefwezen in Nederland begon zich pas in de tweede helft van 19e eeuw op

rijksniveau te manifesteren.70 Tot ver in de 20e eeuw zijn er in dit archiefwezen discussies over het

domein van archivarissen en de daarmee samenhangende bekwaamheden, opleidingsniveau en

benoembaarheidseisen. Rond 2000 zijn er twee bewegingen te zien die wellicht anno 2015 of

verder nog tot een schisma kunnen leiden. Gaat men de kant uit van het record continuümmodel

waarbij aansluiting gezocht wordt bij de ontwikkelingen in de digitale wereld van de organisatie

met een actieve rol voor de archivaris of gaat men de kant van het custodiaal idee waarbij men

volhoudt aan archivistische beginselen zoals bestemming en structuur en de archivaris geen

actieve rol (maar wel bemoeienis71) heeft aan de voorkant van de archiefvorming?

De auditor is een vertrouwenspersoon voor het maatschappelijk verkeer, gebaseerd op de

kwaliteit van zijn dienstverlening. Deze theorie is gebaseerd op een twee stellingen, namelijk dat

de auditor geen groter vertrouwen mag wekken dan hij kan waarmaken (verwachtingskloof) en dat

hij de verwachtingen die er terecht zijn niet mag beschamen en daarom deugdelijk werk moet 68 Thomassen T., ‘Onttakeling of modernisering’, in: Jaarboek 2010 Stichting Archiefpublicaties (Den Haag 2010) 317. 69 Praat, J. van, e.a. Inleiding EDP-auditing (Deventer 1994), 37. 70 Hokke E. ,’Er is een arbeideling gekomen’, in: Jaarboek 2010 Stichting Archiefpublicaties (Den Haag 2010), 25. 71 Thomassen T., ‘Archivarissen en recordmanagers’ in: Jaarboek 2010 Stichting Archiefpublicaties (Den Haag 2010), 194.


35

leveren. Door strenge langdurige opleidingseisen en een strenge achterliggende beroepsvereniging

wordt hij nog steeds gezien als vertrouwenspersoon72. Uitingen van een auditor zijn aan velerlei

regels en vormeisen gebonden. Uitingen van archivarissen zijn dit nog niet.

Het is belangrijk dat afnemers van uitingen van archivarissen (en de aanbieders natuurlijk)

de verschillen en toepassingsgebieden van hun audits of adviesrapporten goed kunnen

onderscheiden. Een verdieping daarbij is welke vorm van zekerheid het auditrapport van een

archivaris biedt. Een auditor kan door zijn bekwaamheids-, onafhankelijkheids- en

opleidingsachtergrond assurance en/of certificering bieden zoals gewenst is in een specifieke

situatie. Voor adviesopdrachten gelden voor hem strikte regels. In toenemende mate komen zowel

IT-gerelateerde ISO-certificaten als IT- assurancerapporten in dezelfde omgeving voor. Denk

hierbij bijvoorbeeld aan ISO 27001- certificaten voor informatiebeveiliging en de COS/Richtlijn

3000/3402 assurancerapporten voor algemene IT-beheersingsmaatregelen. Een

toezichtsonderzoek van een archivaris zouden directie aanbevelingen moeten bevatten om die

gebieden die hij als risico voor de duurzaamheid van de records ziet, aan audits onderhevig te

laten zijn zodat een diagnostische audit uitgevoerd kan worden waarmee het

informatiemanagement verbeteringen in het proces kan aanbrengen. De archivaris zou dan als

risicomanager kunnen gaan fungeren.

5.3 Vertrouwen door toezicht Toezicht is het verzamelen van de informatie over de vraag of een handeling of zaak voldoet aan

de daaraan gestelde eisen, het zich daarna vormen van een oordeel daarover en het eventueel

naar aanleiding daarvan interveniëren (handhaving). 73'Het idee is dat toezicht vertrouwen kan

geven:'‘Toezicht bevordert de naleving van in beleid en regelgeving vastgelegde normen door

regels te handhaven. Daarnaast levert toezicht informatie over de kwaliteit van de uitvoering van

publieke taken door zelfstandige organisatie. Op basis van deze informatie kan de minister zo

nodig bijsturen. Ten derde informeert toezicht minister, parlement en samenleving over

ontwikkelingen in de praktijk en de effecten van beleid. Toezicht ondersteunt de ministeriele

verantwoordelijkheid en heeft daarnaast een maatschappelijke functie’.74'Eerder noemde ik al de toezichthouder die door de aandeelhouders van de VOC was

afgedwongen en de toezichthouder die in de middeleeuwen de afrekening tussen pachter en

landheer voorlas. In de 18e eeuw ontwikkelde sociale denkers de eerste wetenschappelijke

principes over het begrip toezicht. Het idee was dat veel institutionele gebreken, zoals wanorde in

overvolle ruimtes, verholpen zouden kunnen worden door passend effectief toezicht. ‘The better

they are watched, the better they behave’.75 Rationele toepassingen hiervan zijn in de 18e en 19e

eeuwse architectuur terug te vinden zoals cirkelvormige gevangenissen waarbij men de

gevangenen in een buitenring vanuit het centrum in de gaten kon houden. Toezicht werd aldus in

de 19e eeuw vooral vanuit het machtsdenken geïnstitutionaliseerd. In de 20e eeuw ging toezicht en

72 Door allerlei financiële schandalen staat de professie accountancy overigens heden ten dagen wel onder druk staat. Dit doet niets af van het feit dat accountancy in het algemeen als een deskundig, betrouwbaar en transparant beroep gezien wordt. 73 Velders, R., e.a., Begrippenkader rijksinspecties (Den Haag 2013) 24. 74 Ministerie van BZK, ‘Minder last, meer effect, zes principes van goed toezicht’, in: Kaderstellende visie op toezicht (Den Haag 2005). 75 Scholtes, E., ‘Transparantie, icoon van de dollende overheid’, (Den Haag 2012), 34 e.v..


36

verantwoording door de sterke industrialisatie zich steeds meer richten op kwaliteit76 en moest het

management van organisatie zelf toezicht gaan houden op de effectieve werking van de

bedrijfsprocessen. 77 Begin 21e eeuw wordt toezicht steeds meer geassocieerd met last en

bureaucratie en tegelijkertijd wordt de roep om toezicht groter vanwege misstanden bij de

overheid zelf en financiële schandalen bij banken en landen.78

Toezicht en audit

Enkele grootschalige financiële schandalen hebben begin 21e eeuw in de Verenigde Staten geleid

tot de invoering van de Sarbanes-Oxley-wet. In Nederland leidde dit tot Commissie Corporate

Governance en de code Tabaksblat met gedragsregels voor het bestuur van ondernemingen. Dit

moest bijdragen tot een efficiënt toezicht op het bestuur, de raad van commissarissen en de

aandeelhouders van grote organisaties. Daarbij is ook een belangrijke rol weggelegd voor

zogenaamde auditcommissies die ook buitenstanders (meestal een financial auditor in zich opnam

met als doel de integriteit van de jaarrekening organisatie te bewaken. Met de introducties in het

jaar 2003 van het idee van een auditcommissie is er een drielaags toezichtsmodel gecreëerd:

lijnmanagement gesteund door de interne controle, de controller gesteund door risicomanagement

en de internal audit gesteund door de external audit. Nu zou het niet meer fout kunnen gaan, is

het idee tot het jaar 2008. Daarna ontstaat de bankencrises en blijkt dat het drielaags

toezichtmodel voor de bankwereld niet gewerkt heeft. Goed toezicht blijkt anno 2015 nog steeds

weerbarstig. Er zijn tal van voorbeelden waarbij de toezichtslagen frauduleus zijn gaan

samenwerken79 of te veel op elkaar vertrouwen.80

Afbeelding 5 Drielaags toezichtsmodel81

76 ISO 9000, INK modellen e.d. en niet te vergeten het baanbrekend werk van W. Edwards Deming. 77 Jurgens, A., e.a., kwaliteit van de documentaire informatie in: Management van interne en civiele diensten www.factomedia.nl mei 2003, 43. 78 Griek, M., van de, e.a., ’toezicht houden en archiveren: bouwstenen voor leren en controleren, Jaarboek 2013 Stichting Archiefpublicaties (Den Haag 2013) 41. 79 Anno 2015 zijn er veel fraudegevallen bij woningcoöperaties, zorginstellingen, scholengemeenschappen etc. 80 Mismanagement bij de Nederlandse Spoorwegen. 81 https://na.theiia.org/ 15-05-2015.


37

Toezicht en archief

Enerzijds is de wens voor toezicht sterker en anderzijds wil men toezicht verminderen omdat het

als last ervaren wordt. Deze toezichtsparadox is goed terug te zien bij de ontwikkeling van het

toezicht op archieven in Nederland. Toezicht op archieven is pas vanaf de 20e eeuw structureel in

wetgeving opgenomen in de opeenvolgende archiefwetten 1918, 1962 en 1995 voorschriften en

regels voor archiefzorg en archiefbeheer op rijks, provinciaal, gemeentelijk en waterschappen

niveau. De Archiefwet 1918 verplichtte overheidsorganen zorg te dragen dat de onder hen

berustende archieven in goede en geordende staat werden gebracht en gehouden. Er was toezicht

over zowel de dynamische archieven die nog niet overgebracht waren als ook de archieven die

overgebracht zijn naar de aangewezen archiefbewaarplaats.82

In de Archiefwet 1962 komt er een onderscheid tussen toezicht op de zorg en toezicht op de

naleving: het beheer. Zorg omhelst volgens de Archiefwet in hoofdzaak het vaststellen van

beheerregels, het beschikbaar stellen van voldoende financiële middelen, vakbekwaam personeel

en adequate archiefruimten. Beheer richt zich op de ambtelijke uitvoering van het archiefbeheer.

Met de invoering van de huidige archiefwet in 1995 kreeg elke bestuurslaag wettelijk de plicht een

archiefinspecteur te benoemen. Daarbij ging de provinciale archiefinspecteur langs bij de lokale

overheid om een inspectie op de zorg uit te voeren. De archiefinspecteur hield vervolgens toezicht

op het beheer van archieven in zijn eigen gemeente. Uiteindelijk is in 2012 het interbestuurlijk

toezicht verdwenen met de Wet Revitalisering Generiek Toezicht (Wet Rgt). Deze wet vervangt

diverse vormen van specifiek toezicht (waaronder archieftoezicht) door generiek toezicht. De

inspectietaken van provincie, gemeente en waterschappen zijn toen ook uit de Archiefwet 1995

gehaald. De inspectietaken van een landelijke Erfgoedinspectie zijn als enige toezichtstaak anno

2015 in de Archiefwet overgebleven. Tot 1950 bestond er zelfs geen toezicht op de archieven van

rijksorganen83. Daarna tot 1997 berust het toezicht op de zorg voor de archiefbescheiden van de

rijksorganen bij de algemene rijksarchivaris en is het onderdeel van de Rijksarchiefdienst. Ieder

rijksarchief heeft een inspecteur. In 1997 wordt het toezicht en het relatiebeheer binnen de

Rijksarchiefdienst van elkaar gescheiden. Als onderdeel van de Rijksarchiefdienst wordt een

landelijk team Rijksarchiefinspectie opgericht, gevestigd in Den Haag. In 2001 wordt de

Rijksarchiefinspectie formeel losgemaakt van de Rijksarchiefdienst en in 2005 worden in het kader

van schaalvergroting vier erfgoedinspectiediensten samengevoegd tot de Erfgoedinspectie en wordt

het een zelfstandig onderdeel van het ministerie van OCW. Er vindt nadien een verschuiving plaats

van het toezicht op de naleving van de Archiefwet 1995, naar het volgen van de inspanningen die

de departementen de komende jaren verrichten om te komen tot een betere sturing en beheersing

van de informatiehuishouding84 van de zogenaamde zorgdragers zoals ministeries en Zelfstandig

bestuurlijke ondernemingen zoals de Kamer van Koophandel.

Met de Wet RGT is de rol van de archivaris als toezichthouder er binnen provincie,

gemeente en waterschappen niet duidelijker op geworden. Men is zoekende.85 Hoewel deze wet

juist bedoeld is om de toezichtslast te verlagen, grijpen archivarissen de kans aan om juist meer te

gaan inspecteren; nu niet alleen op het deel dat in het archief gaat belanden maar juist de hele

82 Advies positionering inspectie BRAIN conceptversie 21 maart 2014, 6. 83 Selectielijst_egi_vastgesteld_stcrt_2015_8328.pdf (Den Haag 2015). 84 Rekenkamer, ‘Achtergrondstudie informatiehuishouding van het Rijk’ (Den Haag 2010) 31. 85 Oss, J., van, ‘gemeentelijke archiefinspectie: pleidooi voor een nieuwe aanpak’ in: Jaarboek 2013 Stichting Archiefpublicaties (Den Haag 2013) 178.


38

informatieketen met speciale aandacht voor de digitale duurzaamheid als gevolg van de omarming

van het record continuümdenken. Het takenpakket van de (gemeentelijke) archiefinspecteur is

hiermee behoorlijk verbreed, zegt de archivaris86. Het record continuümmodel is echter geen

legitimering en zeker geen controle raamwerk zoals COSO maar een denkmodel van de

verschillende functies van een record waarbij de archivaris één van de spelers in het totale veld

van informatie- en archiefbeheer is. Feitelijk zou de archivaris het informatiebeheer niet namens de

eigen toezichthoudersfunctie moeten inspecteren maar namens de internal control afdeling in de

third line of defence. De vraag is of de archivaris wel voldoende competenties heeft in de digitale

wereld om het complexe werk van een internal auditor te verrichten. Hij is immers niet geschoold

in de moderne bedrijfsmatige informatiekunde en auditing. Het risico is aanwezig dat niet de juiste

auditsprincipes zijn toegepast met voldoende diepgang waardoor zijn inspectierapport geen

vertrouwen zal wekken.

Archivarissen nemen dus als toezichthouder uiteenlopende rollen aan en hebben al dan niet

bedrijfskundig of bestuurskundig achtergrond. Men erkent deze omissie ook zelf. Zo beschikken

steeds meer gemeentelijk archiefinspecteurs over een post-hbo diploma Internal Auditing. De

vraag is echter of hedendaagse archivarissen niet al tijdens hun archiefopleiding gedoceerd moeten

worden met de vakgebieden van een operational auditor. Wanneer men de beoogde taakdomeinen

beschouwt zoals deze in een beroepsprofiel Archivaris zijn opgesteld (zie bijlage), dan schiet de

huidige archiefopleiding tekort en ‘moet men het inderdaad in de praktijk leren’ zoals ik in

Hoofdstuk 1 aanhaal.

Archivarissen beoordelen, inspecteren en bezien door toezicht maar auditen niet. Er zijn

wel overeenkomsten tussen de auditor en de toezichthouder qua methoden en technieken. Beide

functies maken gebruik van kwalitatieve methoden en technieken zoals interviews,

documentstudies en observaties. Zowel de auditor als de archivaris bestuderen het object van

onderzoek in zijn natuurlijke omgeving en werken daarbij met een relatief klein aantal

onderzoekseenheden. Met valide onderzoek zorgt men ervoor dat de conclusies van de audit of

toezichtsrapport een logisch en zuiver gevolg zijn van de onderzocht situatie. De binnen kwalitatief

onderzoek erkende bronnen van verstoringen kunnen zich zowel voordoen tijdens de uitvoering

van een operational audit en een archiefinspectie. Een operational auditor is opgeleid om hier

bedacht op te zijn en zal als gevolg van praktische aspecten en het oordeelsvormende karakter van

de audit, weten dat de ene onderzoeksmethode beter toepasbaar is dan de andere. Een archivaris

is hier echter niet voor opgeleid. Wanneer archivarissen nu op basis van zelf samengestelde

normenkaders zoals RODIN of ED3 onderzoeken gaan uitvoeren, dan moeten de uitkomsten een

signaleringsfunctie hebben.

5.4 Vertrouwen door beheer Het archiefwezen in Nederland begon zich pas in de tweede helft van 19e eeuw op rijksniveau te

manifesteren.87 Tot ver in de 20e eeuw zijn er in dit archiefwezen discussies over het domein van

archivarissen en de daarmee samenhangende bekwaamheden, opleidingsniveau en

benoembaarheidseisen. Rond 2000 zijn er twee bewegingen te zien die nog steeds spelen. Gaat 86 OP DEZELFDE LIJN VERDER? Advies van de Werkgroep positionering archiefinspectie in opdracht van BRAIN (2014). 87 Hokke, E., ’er is een arbeidsdeling gekomen’, in: Jaarboek 2010 Stichting Archiefpublicaties (Den Haag 2010) 25.


39

men de kant uit van het record continuümmodel waarbij aansluiting gezocht wordt bij de

ontwikkelingen in de digitale wereld van de organisatie met een actieve rol voor de archivaris? Of

gaat men de custodiale kant uit waarbij men volhoudt aan de archivistische beginselen van

bestemming en structuur. Hierbij heeft de archivaris geen actieve rol (maar wel bemoeienis88) bij

de voorkant van de archiefvorming? Theo Thomassen stelt dat de archivaris een beheerder is. Als

beheerder maakt de archivaris noch deel uit van het archief noch van de groep gebruikers. De

archivaris is een onpartijdige buitenstaander die zorgt voor de integriteit en dus de bewijskracht

van het archief. Hij is de gids die gebruikers van het archief assisteert zonder enige vorm van

discriminatie en zo belangeloos en objectief mogelijk. Theo Thomassen vraagt zich af wie van de

archivarissen denkt “nog de rol te spelen van de objectieve en onpartijdige bewaker van

historische getuigenissen, die de waarheid dient door eenieder die naar kennis smacht gelijkelijk

met archieven te bedienen?” 89 Als gids dient de archivaris zich daarbij te verantwoorden voor elke

toegang die hij tot een archief verschaft. “Wie zich bekend maakt als auteur [...] van welke

toegang dan ook, wie zijn naam eronder zet, neemt de verantwoordelijkheid voor de inhoud ervan

en verklaart zich bereid er rekenschap over af te leggen”.90 De vraag is echter of de archivaris deze

verantwoordelijkheid wel op zich kan nemen in de digitale wereld omdat er erg veel onzekerheden

kunnen zijn. Als zelfs de financiële auditor hiervoor de hulp nodig heeft van een IT of operational

auditor, wat zegt dit over het zelfbeeld van de archivarissen die bij archiefbeherende instellingen

steeds meer digitale archieven op zich af zien komen en zelfs de wens hebben deze actief te gaan

binnenhalen? Een overzicht dat onderzoeksbureau Berenschot91 in 2014 gemaakt heeft van 60

archiefbeherende instellingen en het zelfbeeld dat ze hebben over de invulling van hun beheer

rollen en activiteiten voor de diverse doelgroepen laat zien dat er grote verschillen zijn in de

hoogste en laagste score.

Tabel 2 Overzicht zelfbeeld archiefbeherende instellingen

Alle bovenstaande assen raken de digitale wereld en de as Informatiebeheer nog het meest. Het

betreft met name de interne en vaak informatietechnische functies met beheersmatig karakter.

Hieronder vallen ook de DIV-werkzaamheden ten behoeve van zorgdragers, selectie en vernietiging

van archieven, digital born databeheer, backoffice archieftaken, afhandeling van interne en

overheidsvragen, beheer van private archieven, ontsluiting en metadatering van archiefbronnen en

de uitvoering van digitalisering (bulk scanning, scanning on demand et cetera)92. De conclusie is

88 Thomassen, T., ‘Archivarissen en Recordmanagers’, in: Jaarboek 1999 Stichting Archiefpublicaties (Den Haag 1999) 194. 89 Thomassen, T., in: Jaarboek 2002 Stichting Archiefpublicaties (Den Haag 2002) 13. 90 Thomassen, T., ‘Instrumenten van de macht. De Staten Generaal en hun archieven 1576-1796’, (Amsterdam 2009) 112. 91 Vinkenburg, B., e.a., ‘Archiefinstellingen profileren zich’, in Archievenblad 9 2014 (Arnhem 2014) 10. 92 ibid.


40

dat er in Nederland grote verschillen zijn in de taakopvattingen van archiefbeherende instellingen.

De ene instelling zal wel klaar zijn voor de digitale wereld en de andere nog lang niet.

Fred van Kan meent dat de archivaris in het informatiebeheer van de archiefvormende

organisatie goed de rol van Chief Information Officer (CIO) kan vervullen, want hij kan er met zijn

bagage voor zorgen dat behalve aan de technische kant van dit beroep hij ook kan zorgen dat

aandacht wordt gegeven aan authenticiteit, betrouwbaarheid en blijvende toegankelijkheid van de

opgeslagen records van een organisatie93. Ook Filip Boudrez is enthousiast over de archivaris als

informatiearchitect met digitale kennis van zaken. 94Maar een archivaris die meent het hele

spectrum van de informatievoorziening te kunnen bezien, zal toch eerst de vakgebieden van

informatiemanagement tot zich moeten nemen. Eigenlijk zou het andersom moeten zijn: eerst een

opleiding tot informatiemanager met als specialisatie archiefmanagement.

5.5 Vertrouwen door de beroepsgroep Beroepsgroepen zijn al eeuwenoud. In de Romeinse tijd kende men al de zogenaamde collegia. Het

zijn de voorlopers van de gilden en waren bonden voor een bepaalde beroepsgroep waarbij men

zich vrijwillig kon aansluiten wanneer men dat beroep uitoefende. Met de komst van gilden werd

ook de concurrentie tussen de leden van een ambacht gereguleerd.95 In de 14e eeuw verdween het

vrijwillige karakter van de gilden en werd het een ambachtsmonopolie waarvan zelfs bepaalde

bevolkingsgroepen werden uitgesloten. Er ging corrumperende werking van uit en eeuwenoude

werkwijzen mochten niet veranderd worden. Iemand met vernieuwende ideeën moest dus ofwel lid

worden van het gilde (en deze ideeën dus opgeven), ofwel een ander beroep kiezen. Met

vernieuwingen, of het afwijzen ervan zoals bij de oude gilden, hebben alle beroepsgroepen nog

steeds moeite. Zo heeft de Nederlandse Orde voor EDP-Auditors (NOREA), de beroepsvereniging

van IT-Auditors, de mogelijkheid om aan te sluiten bij de internationale auditorganisatie ISACA die

ook het COBIT controle raamwerk beheert. Men heeft het afgewezen omdat met de beoogde

aansluiting de eigen beroepstitel RE vervangen moest worden door de internationale SICA of ISA

titel en ook de huidige invloed op de universitaire beroepsopleidingen van auditors door NOREA

losgelaten zou moeten worden. Twee beroepsgroepen van de financiële auditor, de Koninklijk

Nederlands Instituut van Registeraccountants (NIVRA) en de Nederlandse Orde van Accountants-

Administratieconsulenten (NOvAA), zijn onlangs opgegaan in de Nederlandse beroepsgroep voor

Accountants (NBA). Net de archivaris is met name de financiële auditor een veelkleurige

beroepsgroep die overal werkzaam kan zijn. DE NBA beoogt een aparte beroepseed voor

accountants in het leven te gaan roepen. Binnen het vakgebied wordt dit idee met de nodige

scepsis ontvangen omdat er al genoeg professionele codes, vaktechnische voorschriften en

dwingende wettelijke bepalingen bestaan.96 Ook is bekend is dat niet alle accountants de huidige

ontwikkelingen in digitale wereld kunnen bijhouden.

93 Kan, F., van, ‘De archivaris moet emanciperen’ in: Jaarboek 2010 Stichting Archiefpublicaties (Den Haag 2010) 283. 94 Boudrez, F., ‘een informatiearchitect met digitale kennis van zaken: de archivaris anno 2010’, in Jaarboek 2010 Stichting Archiefpublicaties (Den Haag 2010) 69. 95 http://nl.wikipedia.org/wiki/Gilde_(beroepsgroep) 96 www.accountant.nl/opinie/20151/6/de-eed-een-alternatief-voorstel/ 15-05-2015


41

KVAN Voor archivarissen en recordsmanagers is er een gezamenlijk beroepsgroep genaamd Koninklijke

Vereniging van Archivarissen in Nederland (KVAN). Dit ondanks de waarschuwing van Theodore

Schellenberg dat de uitgangspunten van recordsmanagers over het eigenaarschap van informatie,

archivarissen belemmeren in hun beroepsuitoefening.97 Dat de twee verschillende beroepen twee

verschillende beroepsprofielen van de vereniging meegekregen heeft, is te danken aan de

omarming van het Record Continuüm idee. KVAN beschouwt zich nadrukkelijk als vereniging van

alle archivarissen waar deze ook in het record continuüm werkzaam zijn.98 De vereniging werd

oorspronkelijk opgericht in 1891 met als doel de belangen van het Nederlands archiefwezen te

behartigen en de deskundigheid van archivarissen te bevorderen. De doelgroepen van de KVAN

zijn degenen die zijn (of waren) verbonden aan een instelling van archiefbeheer, archiefzorg of

documentatie, degenen die in het bezit zijn van een diploma Archivistiek A of B of een

vergelijkbare opleiding hebben afgerond, degenen die een studie volgen op het gebied van de

archivistiek en degenen die willen bijdragen aan de doelstellingen van de vereniging. Zo

beschouwd is deze definitie veel te breed en kan iedereen die de archivaris een warm hart

toedraagt, lid worden. Dat klinkt niet als een beroepsgroep maar als een groep van kennisdelers

met eigen bladen voor de leden: het Archievenblad en de Almanak van het Nederlands

Archiefwezen.99De beroepscode voor archivarissen heeft het KVAN overgenomen van de Code of

Ethics van de Internationale Council on Archives (ICA). Deze lijkt vooral bedoeld als een algemeen

kader om de eenheid van archivarissen wereldwijd te benadrukken en niet voor de kwaliteit van de

beroepsuitoefening zelf. 100 Daardoor is de beroepscode niet helemaal te vergelijken met de

beroepscode van auditors (zie bijlagen) omdat in de beroepscode meer de functies van archieven

en de rol daarbij van de archivaris wordt beschreven. Auditors hebben daar aparte reglementen

voor. De beroepsvereniging KVAN heeft ook beroepsprofielen gemaakt voor archivarissen en

recordmanagers die in het archiefwezen niet erg enthousiast ontvangen zijn. Het ontbreekt

kennelijk aan noodzakelijk draagvlak om tot een generiek competentieprofiel te komen met een

compromis als resultaat waardoor weer de herkenbaarheid van het beroep, de bruikbaarheid en

het vertrouwen van de maatschappij laag is.101 De KVAN zou zich kunnen gaan vernoemen in KVIN

met de I van bijvoorbeeld informatiekundigen zoals de Nederlandse vereniging voor

bedrijfsarchivarissen (NVBA) gedaan hebben. Zij heten nu heel modern de Nederlandse vereniging

voor informatieprofessionals (NVBI).

IIA Het Instituut van Internal Auditors Nederland (IIA) is de grootste beroepsvereniging van internal

auditors in Nederland. De missie van IIA is om het beroep en vak internal audit in Nederland te

ontwikkelen en te promoten en daarvoor internal auditors, management en andere

belanghebbenden te ondersteunen bij een succesvolle invulling van de internal auditfunctie. De

97 Schellenberg, T.R., ‘Modern Archives: Principles and Techniques’, (Chicago 1956), 119. 98 Kan, F., van, ‘De archivaris moet emanciperen’ in: Jaarboek 2010 Stichting Archiefpublicaties (Den Haag 2010) 279. 99 www.kvan.nl. 100 Thomassen,T., ‘onttakeling of modernisering’, in: Jaarboek 2010 Stichting Archiefpublicaties (Den Haag 2010) 319. 101 Vos, M. de, in: ‘http://ingmarbladertenschrijft.blogspot.nl/2011/08/wat-moet-een-archivaris-kunnen.html’, 15-05-2015.


42

hoofdtaken van IIA bestaan uit het profileren van het vak, kwaliteitsbewaking, belangenbehartiging

en het delen van kennis.102

NOREA

NOREA is de beroepsorganisatie van IT-auditors in Nederland. NOREA beheert het register van

gekwalificeerde IT-auditors (RE = 'register EDP-auditor'). Het geeft aan opdrachtgevers en derden

de mogelijkheid om vast te stellen of iemand op grond van zijn opleiding en ervaring heeft voldaan

aan de eisen die door de beroepsorganisatie worden gesteld. Daarnaast heeft de

beroepsorganisatie de volgende doelstellingen: bevorderen van de kwaliteit van de

beroepsbeoefening, het bevorderen van de ontwikkeling van het vakgebied en het behartigen van

gemeenschappelijke belangen van de leden.103

NBA

De Koninklijke Nederlandse Beroepsorganisatie van Accountants (NBA) is de bij wet ingestelde

publiekrechtelijke organisatie die onder andere belast is met het bevorderen van de goede

beroepsuitoefening van haar leden (registeraccountants en Accountants-Administratieconsulenten).

In het accountantsregister van de NBA staan alle accountants in Nederland ingeschreven. Dit

register wordt ook gebruikt om aan te tonen of een persoon zich daadwerkelijk accountant mag

noemen. Vertrouwen in een persoon is op deze manier dus op elk moment te controleren.

Net als archivarissen kunnen financiële auditors werkzaam zijn in de openbare praktijk, bij

de overheid, als intern accountant en in het management van organisaties. Ze vormen een brede,

pluriforme beroepsgroep van ruim 21.000 professionals met gemeenschappelijke gedragsregels.

Integriteit, objectiviteit, deskundigheid en zorgvuldigheid, geheimhouding en professioneel gedrag

zijn essentiële waarden voor iedere accountant. De accountant heeft vanwege zijn of haar cruciale

rol in de maatschappij een wettelijk beschermde titel. De NBA beschermt de beide titels die

accountants mogen hanteren (RA en AA) en bevordert een goede beroepsuitoefening. Zij doet dit

door het opstellen en handhaven van heldere gedrags- en beroepsregels voor alle accountants,

door toetsing en door permanente educatie. De beroepsorganisatie bewaakt de kwaliteit van het

accountantsberoep en stimuleert de ontwikkeling van het vakgebied. Ook is de NBA het

Nederlandse aanspreekpunt voor internationale accountancy verenigingen zoals de IFAC. 104

Overigens mag een operational of IT-auditor geen financiële audit uitvoeren, tenzij hij hiervoor ook

de opleiding gedaan heeft.

102 www.iia.nl. 103 www.norea.nl 104 www.nba.nl, 15-05-2015.


43

Wanneer we de vier beroepsverenigingen naast elkaar zetten, ontstaat het volgende beeld.

Gedragsregels/beroepsgroep KVAN IIA NOREA NBA Integriteit + ++ ++ ++ Objectiviteit + ++ ++ ++ Deskundigheid/zorgvuldigheid + + + + Geheimhouding + + + + Professioneel gedrag + + + + Ethische Conflicten 0 + + + Sancties 0 + + + Opleiding 0 + + + Permanente educatie 0 + + + Functies en inhoud van het vakgebied

+ 0 0 0

Aantal Beroepsprofielen 2 1 1 1 Vakblad + + + + + = aanwezig 0 = afwezig Tabel 3 Thema’s beroepsgroepen

Samenvattend lijken de beroepsgroepen van de diverse soorten auditing erg op elkaar hetgeen

verklaarbaar is omdat de financiële auditor de bakermat is voor de andere auditingsoorten. De

beroepsgroep van archivarissen is vooral bedoeld om het belang van de functie van archieven te

onderstrepen maar minder op echte ethische beroepseisen als sancties. Auditors worden lid van

een beroepsvereniging om een gecertificeerde titel te bemachtigen. De archivaris kent geen

beroepstitel.

5.6 Vertrouwen door professionaliteit Opleidingen Een gereglementeerd beroep of beschermd beroep is een beroep dat alleen mag worden

uitgeoefend door iemand die daarvoor toestemming heeft gekregen van een bevoegde autoriteit.

In tegenstelling tot de beroepsvereniging van archivarissen hebben alle audit beroepsverenigingen

grote invloed op de universitaire opleidingen die kwalificeren voor inschrijving in hun

beroepsregisters als Register Accountant(RA), Register EDP-auditor (RE) en Register Operational

auditor (RO). Ze voldoen daarmee aan de eindtermen die door de beroepsverenigingen in overleg

met de universitaire opleidingen zijn vastgesteld. Periodiek vindt een evaluatie van de vakgebieden

plaats. De normen en regels voor erkenning zijn vastgesteld in het Reglement van Toelating en er

vindt accreditatie plaats. In Nederland zijn er zeven universiteiten105 die een twee jaar durende

post-master auditingopleidingen verzorgen en circa 25 hogescholen hebben de markt van het

auditvakgebied ontdekt door kortstondige opleidingsmodules van een half jaar aan te bieden.

Alleen de auditor met een universitaire auditopleiding mag, na voldoende ervaringsjaren de titel RE,

RA of RO dragen. Het is vergelijkbaar in verschil met Archivistiek A en Archivistiek B. De opleiding

tot gecertificeerde financiële auditor RA duurt het langst: gemiddeld 10 jaar. Aansluitend kan de RA

nog een post-masterstudie volgen tot Controller als hoofd van Internal Audit afdeling waarvoor hij

Master of Finance and Control (EMFC) titel krijgt. De RE en RO opleidingen duren twee jaar. De RE

en RO wordt pas verleend nadat aantoonbaar drie jaar audits zijn uitgevoerd. Een gecertificeerde

collega auditor moet dit controleren en zijn handtekening plaatsen. Pas dan mag de als RE of RO

105 Universiteit Nyenrode, Erasmus Universiteit Rotterdam, Tilburg Universiteit, Vrije Universiteit Amsterdam, Universiteit van Amsterdam, Rijksuniversiteit Groningen, Universiteit van Maastricht.


44

gecertificeerde auditor zogenaamde ‘assurance’ rapportages afgeven die beogen het management

zekerheid en vertrouwen te geven. De RA titel is wettelijk vastgelegd. De titel RE/RO/EMFC zijn

alleen als een beroepenmerktitel beschermd. Voor IT-auditors is er nog een internationale titel

CISA en ISA mogelijk op de vakgebieden van COBIT maar pas na minimaal vijf jaar auditervaring.

Dit wordt als avondstudie aangeboden door de IT-auditing opleidingen. De academische

masteropleiding Archiefwetenschap levert een MA titel op, niet van Master Archivaris maar van

Master of Arts. Net als een archivaris is een auditor geen beschermde naamstitel. Iedereen die

deskundig is op een bepaald gebied vakgebied (materiedeskundigheid) en tevens op het gebied

van het uitvoeren van audits op basis van de auditingtheorie mag zich auditor noemen.106 De titel

accountant is wel wettelijk beschermd maar niet de term financiële auditor. De archivaris als

archiefinspecteur bij het Rijk wordt wel ‘aangewezen’ bij publicatie in de Staatscourant hetgeen

hem een wettelijke status geeft en een bepaalde machtsuitoefening. De archivaris bij een

gemeente wordt aangewezen door het college van Burgemeester en Wethouders.

5.6.1 Opleidingsvakgebieden De eerder genoemde opleidingen doceren de volgende vakgebieden:

Accountancy

Financiële en Internal auditors hebben veelal een bachelor in de Accountancy, Economie,

Bedrijfskunde of Fiscale Economie. De verplichte vakgebieden zijn:

• Algemene theorie en beginselen van de boekhouding (BIV AO),

• Wettelijke voorschriften en normen voor de opstelling van jaarrekeningen en

geconsolideerde jaarrekeningen;

• Internationale standaarden voor jaarrekeningen;

• Financiële analyse;

• Analytische en beleidsboekhouding;

• Risicomanagement en interne beheersing;

• (Interne) Controleleer en beroepsvaardigheden;

• Wettelijke voorschriften en gedrags- en beroepsnormen betreffende de wettelijke controle

van jaarrekeningen en de daarmee belaste accountants;

• Internationale controlestandaarden;

• Beroepsethiek en onafhankelijkheid;

• Vennootschapsrecht en corporate governance;

• Faillissementsrecht en soortgelijke procedures;

• Belastingrecht;

• Burgerlijk en handelsrecht;

• Socialezekerheidsrecht en arbeidsrecht;

• Informatietechnologie en informaticasystemen;

• Algemene, financiële en bedrijfseconomie;

• Wiskunde en statistiek.

Additioneel:

106 Korte, R. de, e.a., ‘Internal/operational auditing: bijdrage aan governance& controle’ (Rotterdam 2008) 157.


45

• Grondbeginselen van financieel bedrijfsbeheer (Controller);

• Fiscaal Concernrecht (Controller);

• Demand & Supply Chain Management (Controller);

• Strategisch Management (Controller);

• Pensioenen (Controller);

• Management Accounting & Control (Controller);

• Treasury Management (Controller);

• Finance (Controller).

Internal & Operational auditing

• Angelsaksische Auditbenadering;

• Financiële & Management Accounting;

• Auditing;

• Bestuurlijke Informatieverzorging en Administratieve Organisatie (BIV AO);

• Governance & Risk Management;

• Management Control in (Project)organisaties;

• Auditing van Strategie en Informatiemanagement;

• Control Frameworks;

• Behavioural Controls;

• Kwantitatieve Analyse;

• Ethiek, Auditvaardigheden;

• Auditmethodologie & Praktijkopdracht;

• Advisory en een Keuzemodule.

IT-auditing

• Kwantitatieve methoden en accounting en finance;

• Business Process Control ( COSO theoretische concepten en AO/IC);

• Business Research Methods;

• IT Auditing Fundamentals;

• Security & Technology Management (RiskManagement);

• IT delivery;

• Comprehensive IT-Auditing.

Additioneel:

• Process of Auditing Information Systems (CISA);

• Governance and Management of IT (CISA);

• Information Systems Acquisition, Development and Implementation (CISA);

• Information Systems Operations, Maintenance and Support (CISA);

• Protection of Information Assets (CISA).

Archiefwetenschap

• Archieven en de samenleving

• Archiveringssystemen

• Information Retrieval

• Stage


46

• Vergelijkende Archiefwetenschap

Additioneel

• Introduction to Information and the Digital (Schakel);

• Informatiemethoden (Schakel);

• Inleiding archiefwetenschap (Schakel);

• Wetenschapsfilosofie Mediastudies (Schakel);

Bij de auditopleidingen zijn met name deze vakgebieden Auditing, Bestuurlijke

Informatieverzorging en Administratieve Organisatie (BIV AO) en Risk Management de gedeelde

vakgebieden die ook voor archivarissen van belang kunnen zijn.107 Risk Management wordt daarbij

door een auditor als echt vakgebied beschouwd, terwijl een archivaris snel zal zeggen dat hij aan

riskmanagement doet door risicogebieden in de informatieketen aan te wijzen. Het vakgebied

Auditing is eerder in dit referaat al uitgelegd. Het vakgebied BIV AO legt de basisprincipes van de

administratieve organisatie en de interne controle uit aan de hand van de theorie van Starreveld.

Een Internal Auditor moet o.a. in staat zijn vast te stellen dat een organisatie ‘aantoonbaar in

control’ is. Hiertoe zal hij een organisatie moeten beoordelen op de kwaliteit van de genomen

beheersmaatregelen en de kwaliteit van de bestuurlijke informatieverzorging, die de werking van

deze beheersmaatregelen zichtbaar maakt. Waar het begrip procesgebonden informatie de basis

voor de werkzaamheden van de archivaris is, is het begrip BIV AO dat voor de auditor. Hierbij mag

het woord Administratief niet uitsluitend verbonden worden aan het begrip boekhouding of

financiële administratieve maar veel meer aan registratieve gebeuren in en omtrent een

organisatie.108 Het is een handboek met actuele processenbeschrijvingen van een organisatie met

een input- en outputtrigger en welke functionarissen hierbij betrokken zijn. Het is direct gekoppeld

aan de logische werkprocessen van een organisatie. Een auditor zal tijdens zijn onderzoek altijd

vragen naar het AO-handboek om inzicht te verwerven in de processen van een organisatie.

Ik vraag mij af of archivarissen op de hoogte zijn van dit handboek en of het als te bewaren

informatie op selectielijsten voorkomt. Nu is het wel zo dat AO-handboeken vooral gemaakt

worden om de financiële processen en verantwoordelijkheden te beschrijven maar het is een prima

instrument om ook voor beleidsprocessen te gebruiken. Met een actuele AO-beschrijving van een

werkproces voor ogen kan de archivaris in een oogopslag de procesgebondenheid van de

informatie bepalen. Overigens is de actualiteit van een AO-handboek niet op voorhand vast te

stellen, want net als archiveren, is het beschrijven en herschrijven van een werkproces en

herschrijven vaak een activiteit die uitgesteld wordt.

Met het auditvakgebied Governance & Risk Management, wordt ingegaan op de relatie

tussen Internal Audit en de andere partijen zoals externe regelgevers en toezichthouders, Raad

van Commissarissen/Audit Committees, Raad van Bestuur/Directie en de externe accountant. Ook

de relatie tussen corporate governance en IT-governance en op de vertaling van het gedachtegoed

naar de publieke sector wordt genoemd. Concrete uitwerkingen van Corporate en IT Governance

vereisen Risk Management. De vraag is of de archivaris hierbij ook als stakeholder gezien wordt?

107 Zie http://www.eur.nl/esaa/post_master_en_postinitiele_opleidingen/internal_auditing_and_advisory/ opleiding_internal_auditor/#Programma. 108 Jans, E.O.J., ‘Grondslagen Administratieve Organisatie’, (Alphen aan de Rijn 1997) 7.


47

Het vakgebied Management Control in (Project)organisaties bestaat uit twee onderdelen,

namelijk management control (in brede zin) en managementcontrole binnen projecten en

programma’s. Management Control gaat over aansturing en motivatie van mensen in organisaties

met als doel het bereiken van de organisatiedoelstellingen. Om dit te bewerkstelligen hebben

organisaties een pakket aan controle instrumenten tot hun beschikking. De inzet van deze

controles, de werking en uitwerking ervan op het gedrag van medewerkers en het functioneren als

systeem staat in dit vakgebied centraal. Daarnaast gaat de module in op de problematiek rond het

besturen en auditen/reviewen van programma’s en projecten. Een archivaris zou hiervan kennis

moeten hebben omdat hij soms ook veranderingsprogramma’s aanstuurt om de dynamische

archieven eerder in de invloedssfeer te krijgen van de archiefbeherende instelling.109

De vakgebieden IT-Auditing staan ver af van de huidige archivaris terwijl dit vakgebied wel

volledig het monitoren van de digitale wereld in het algemeen en de specifiek de risico’s van het

speelveld van een digitaal archief en de inrichting van een e-depot bestrijkt. Momenteel nemen

archivarissen er kennis van vanwege de zelf opgestelde IT checklijsten zoals RODIN en ED3 en

loopt er project om universele normen voor de digitale wereld op te zetten. In de praktijk blijkt dat

archivarissen moeite hebben de ED3-checklist goed te begrijpen.110

De vakgebieden van de Archiefwetenschap staan in nauwe relatie met erfgoedstudies,

sociologie, antropologie, culturele studies en mediastudies. Het vakgebied is geëvolueerd van

hulpwetenschap van de geschiedenis tot een autonome discipline op het gebied van de

informatiewetenschap specifiek gericht op het gebied van de betrouwbaarheid en de relatieve

bewijs en herinneringswaarde van het aspect archief.111 Het onderscheid tussen recordmanager en

archivaris blijkt niet uit het aanbod van de huidige vakgebieden van de Archiefwetenschap. Wel is

er een kruisbestuiving van de opleiding voor Culturele Informatiekunde dat ook Information

Retrieval als vakgebied heeft. Zoals Peter Horsman al in 1996 pleitte voor een duidelijk scheiding in

verantwoordelijkheden tussen de recordmanagers en archivaris, zo gaf ook Theo Thomassen in

1999 aan dat archivarissen zich niet moeten bemoeien met de taken van recordsmanagers maar

wel bemoeienis moeten hebben in de vorm van archiveringseisen voor de bedrijfsapplicaties van de

bestuurlijke systemen van organisaties.

Vertrouwen door kruisbestuiving van vakgebieden

Archivarissen kunnen van auditors met name de vakgebieden BIV AO, Governance en

Riskmanagement en ManagementControl overnemen. Gaat het om gedragsanalyse van de

informatiecultuur, dan biedt het vakgebied Behaviour Controls goede aanknopingspunten.

De auditor en met name de financiële auditor heeft een diepgaande bedrijfsmatige en

auditing achtergrond en is door deze deskundigheid als vertrouwenspersoon erkend. Het leergebied

van vak Administratieve organisatie is een basisvakgebied voor elke auditopleiding. Met deze

kennis wordt elke organisatietype tot op detailniveau ontleed. Archivarissen worden hierin niet op

voorhand geschoold tenzij ze een bedrijfskundig-economische achtergrond hebben. Wanneer een

archivaris vanuit zijn archief de organisatie aan de voorkant van adviezen wil voorzien, dient hij op

109 Zie het project Seamless Flow bij The National Archive van het Verenigd Koninkrijk. 110 Zie pilot gemeente Haarlem bij het Noord Hollands Archief in: https://archief2020.nl/projecten/pilot-e-depot-gemeente-haarlem 15-05-2015. 111Thomassen T., ‘onttakeling of modernisering’, in: Jaarboek 2010 Stichting Archiefpublicaties (Den Haag 2010) 322.


48

de hoogte te zijn van de interne organisatie en bijhorende informatiestromen. Auditors zijn hier op

voorhand al deskundig in. De auditors kunnen de deskundigheidsgebieden van archivarissen eigen

maken en gebruiken voor onderzoeken die te maken hebben met informatie en

archiefmanagement. Men zou ook bijvoorbeeld gezamenlijk integrale audits kunnen uitzetten

waarbij de archivaris als deskundige aan het auditteam wordt toegevoegd. Operational auditors

zouden zich de deskundigheidsgebieden van de archivaris eigen kunnen maken zodat het

beoordelen van informatie en archiefmanagement meer tot hun takenpakker gaat behoren. Ook

zou in de compliance onderzoeken van auditors de Archiefwet 1995 meegenomen moeten worden.

Dit gebeurt echter amper. Financiële auditors kunnen het controle aspect bewaartermijn,

gekoppeld aan informatiestromen, eenvoudig meenemen in hun onderzoek naar ordelijk en

controleerbaar informatiebeheer. Auditors kunnen in het algemeen die aandachtsgebieden ook

vanuit de Archiefwetgeving meenemen met name die onderdelen die gericht zijn op de

kwetsbaarheden van een digitaal archief.

5.7 Vertrouwen door professionalisering De digitale wereld verandert geïnstitutionaliseerde systemen en processen die daarmee hun unieke

kracht van door organisatie verliezen. Administratie en archivering kan eenvoudig buiten de

organisatie geplaats worden.

Nieuwe soorten audits

In de nieuwe digitale wereld worden organisaties steeds digitaler en danken hun bestaan uit het

feit dat ze in informatie als waardegoed handelen in plaats van in fysieke goederen. Deze

organisaties maken gebruik van Internet om op een goedkope manier hun klanten te benaderen.

Veel van deze nieuwe bedrijven gaan gewoon aan de slag zonder intern verantwoordingssysteem

of financieel controlesysteem, zelfs zonder een bedacht marketinginstrument. Dat maakt het lastig

voor de overheid om er grip op te krijgen. Ook vindt er steeds meer samenwerking tussen

organisaties plaats en wordt informatie in een keten uitgewisseld, waarbij elke stukje van keten

weer eigen meta-informatie toegevoegd. Organisaties en ook de overheid gaat steeds meer

informatie in de Cloud verwerken Door alle ontwikkelingen in de digitale wereld ontstaan er nieuwe

soorten audits zoals ketenaudits, statistical audits en data-analyse audits mede door het in

toenemende mate beschikbaar komen van Open data datasets en daarmee ook continuous

auditing: het permanent en op elke moment gegevens kunnen onderzoeken. Het beroep auditor

heeft als voordeel dat er bij alle ontwikkelingen in de digitale wereld onpartijdige en afhankelijke

auditors als vertrouwenspersoon nodig zullen zijn.

Daarnaast is er een toenemende aandacht voor audits die gericht zijn op de

informatiecultuur bij organisatie. ‘Als zich incidenten voordoen in het openbaar bestuur, richt de

aandacht zich op de bestuurders en wordt hun het missen van een moreel kompas verweten. Door

deze bestuurders weg te sturen en de aandacht te vestigen op ethisch besef, lijkt het probleem

opgelost. Daarmee wordt echter voorbijgegaan aan de regels en richtlijnen zelf die perversiteit

kunnen aanwakkeren. Naast bestuurders zouden we ook degenen die deze systemen ontwerpen en

(onder andere via audits) in stand houden, moeten aanspreken op een tragiek van goede


49

bedoelingen’.112Ook financiële auditors vragen zich af of aan de eigen mores niet een beroepseed

moet worden toegevoegd gezien het toenemende aantal frauderende organisaties en de

betrokkenheid hierbij van financiële auditors.

Nieuw paradigma?

Twee modellen voeren momenteel de boventoon in de praktijk van de archivaris: Het Records

Continuümmodel dat uit 1985 stamt en het Life Cycle model of levensloopmodel. Het laatst model

stamt uit 1944 toen Amerikaanse archivarissen (Margaret Cross Norton en Philip C. Brooks) met

het idee kwamen dat niet alle records bewaard konden worden en dat er dus een waardering en

selectie nodig is: records ontstaan, worden gebruikt, dan opgeslagen voor incidenteel gebruik en

wanneer het al dan niet archiefwaardig is, wordt het permanent opgeslagen of vernietigd.

Theodore Schellenberg kwam daarna met de ideeën van de primaire en secundaire waarde van

archiefbescheiden. Archiefprincipes zoals Respect des Fonds (archiefbescheiden moeten bijeen

gehouden worden volgens de oorspronkelijke archiefvormer) en het Provenienz princip (archieven

mogen niet gemixed worden en moeten de oorspronkelijke ordening aanhouden) stammen zelfs

nog uit de 19e eeuw.

Het Record Continuümmodel waarbij de archieffunctie vorm krijgt vanuit een bedrijfsproces

werd voor het eerst gebruikt door de archivaris Jay Atherton in 1985 op de jaarlijkse conferentie

van de Association of Canadian Archivists.113 Het model is in de jaren negentig van de twintigste

eeuw verder ontwikkeld in Australië, in het bijzonder door de archiefwetenschappers Frank Upward

en Sue McKemmish van de Monash University in Melbourne. Het model wordt vaak geplaatst

tegenover het eerder aangehaalde en veelgebruikte levensloopmodel. In dit model verandert de

functie van het archief in verschillende duidelijk te onderscheiden en elkaar opvolgende

“levensfasen” van het archief. In tegenstelling tot het levensloopmodel gaat het Record Continuüm

model er vanuit dat archief verschillende dimensies en verschillende functies kan hebben op

hetzelfde moment. Deze nieuwe invalshoek kwam voort uit de pogingen om grip te krijgen op de

problematiek ten aanzien van het beheer van steeds meer elektronische documenten, die in een

digitale wereld geen fysieke vorm meer hadden en op ieder moment ongeacht de plaats en tijd

door meerdere personen konden worden benaderd. Het Record Continuümmodel richt zich in de

eerste plaats op records als logische entiteiten in plaats van de fysieke records waar traditioneel in

het levensloopmodel vanuit wordt gegaan. Hierbij is de vorm van de record van minder belang.

Daarom wordt dit het model zowel toepasbaar op digitaal als fysiek archief geacht. Het

uitgangspunt dat records plaatsen tijdsonafhankelijk kunnen worden benaderd, maakt het echter

in bijzonder van toepassing op het digitaal archief. Overigens is mij niet bekend dat het Record

Continuümconcept buiten de professie van de archiefwereld nergens omarmd is. Wel zijn er

ontwikkelingen die de ideeën van het record continuüm uitvoeren zoals in 2005 het Seamless Flow

project in het Verenigd Koninkrijk en het project DWR-Archief in Nederland uit 2013 waarbij delen

van digitale archieven van archiefvormende instellingen al vervroegd worden overgeplaatst naar

112 Twist, M. van, ‘Moreel kompas als misleidende metafoor’ in: ‘http://www.eur.nl/esaa/nieuws/nieuws_detail/article/72312-pe-bijeenkomst-onderzoek-naar-gedrag-en-cultuur/)’, 15-05-2015. 113 Flynn, S.J.A.,`Records continuum model in context and its implications for archival practice'', in: Journal of the Society of Archivists’, 22 1, 80.


50

een zogenaamd e-depot informatiesysteem van een archiefbeherende instelling, ruim voordat de

wettelijke overbrengingstermijn verstreken is.

Er zijn hierbij wel enkele conceptuele problemen want de wijze waarop een modern e-depot

systeem gebouwd is, gaat uit van een custodiale manier van archiveren: pas wanneer het

aangeboden digitaal archief vooraf voldoet aan de aansluitvoorwaarden van het e-depot

informatiesysteem, kan het worden opgenomen. Nadien mag er niet meer in gewijzigd worden en

niet meer vernietigd. Een ander probleem is dat digitale archieven die aan de poort kloppen van

een archief beherende instelling te maken krijgen met een migratiebewerking. Deze

migratiebewerking is nodig omdat het e-depot bepaalde eisen stelt aan de kwaliteit van het

aangeboden archief. Deze migratiebewerking botst echter met de custodiale ideeën dat records

bijeen gehouden moeten worden volgens de oorspronkelijke archiefvormer en dat archieven niet

gemixed mogen worden en de oorspronkelijke ordening moeten aanhouden. Voordat het digital

archief kan worden opgenomen, moeten er dus allerlei bewerkingen plaatsvinden. Deze zouden als

metadata bij het nieuwe archief aangeboden moeten worden zodat later nog zichtbaar is wat er

met het oorspronkelijke archief is gebeurd. Zelfs als de digitale archieven opgenomen zijn in het e-

depot systeem, zijn er wijzigingen mogelijk op basis van het efficiënt inrichten van het

databasesysteem van het e-depot.114 Al deze wijzigingen moeten ook in de toekomst nog te

reconstrueren zijn en daarom moeten deze metagegevens aan het specifieke digitale archief

gekoppeld blijven. Vervolgens moet de archivaris zijn custodiaal idee loslaten, want hij moet zich

juist heel post-custodiaal met de voorkant van de organisatie gaan bemoeien om te zorgen dat de

organisatierecords volgens zijn aansluitvoorwaarde en bijbehorende metadata ontstaan en

vervolgens worden verwerkt.

Een andere aandachtspunt in de digitale wereld is de hoeveelheid informatie die

geproduceerd wordt. Er worden namelijk zoveel records geproduceerd dat alleen het gebruik

daarvan (lees het openbaar maken bijvoorbeeld in de vorm van Open Data datasets) nog te

reguleren valt. Dit betekent dat de traditionele ideeën van waardering en selecteren losgelaten

moeten worden. Wanneer records al openbaar zijn gemaakt aan de voorkant van de

informatieketen in de vorm van Open Data, wat heeft het dan nog voor zin om heel veel effort te

steken in het waarderen en selecteren van informatie aan de achterkant van de informatieketen in

casu het archief? Het is wel van belang om zekerheid te hebben dat deze records (op basis van een

deugdelijke grondslag) betrouwbaar zijn en integer, om in de termen van de archivaris te spreken.

Andere nieuwe ontwikkelingen zijn de ideeën van het documenteren van de samenleving

op basis van trendanalyses en hotspots. De samenleving gaat zich, in al haar verschijningsvormen,

steeds sterker digitaliseren. Burgers documenteren hun leven en dat wat ze interessant vinden op

zoveel digitale platforms dat alleen een selectieve subjectieve keuze hieruit zal bepalen wat de

moeite van het bewaren voor de toekomst waard is. De rest gaat gewoonweg verloren, tenzij we

alle mogelijke data bewaren en op een later tijdstip met datamining een reconstructie uit het

verleden proberen te maken. Deze data-analyse maakt het mogelijk om ook op een later tijdstip

een trend te signaleren. Of al direct aan de voorkant.

In de digitale wereld van de archivaris spelen er dus momenteel allerlei issues, waar in mijn

ogen, beide modellen geen antwoord meer op hebben. Doordat de nadruk steeds meer op allerlei

114 In 2010 werd de e-depot database gereorganiseerd, zie www.nationalarchives.gov.uk, 05-05-2015.


51

ontwikkelingen in de digitale wereld zal komen te liggen in plaats van het traditionele record,

werken volgens mij de aloude archivistische principes niet meer, want de grondslag van het begrip

document is verdwenen. Tijd dus voor een nieuw paradigma? Zoals vaker in een

paradigmaverschuiving binnen een wetenschappelijke discipline, laten het oude en nieuwe

paradigma zich moeilijk in neutrale termen vergelijken omdat begrippen waarnaar wordt verwezen

een andere betekenis hebben gekregen. Zoals de archiefwetenschap in 2003 van mening was data

data in informatiesystemen niet als records beschouwd konden worden115, zal de digitale wereld

anno 2015 en verder voor veel nieuwe uitdagingen gaan zorgen voor de archivaris en zijn

archiefwetenschappelijke discipline. De datarevolutie staat aan het begin van een tijdperk in de

digitale wereld en gaat ongekend snel. Binnen enkele jaren zullen open data, datainfrastructuren

en big data een substantieel invloed hebben op het informatielandschap. In dit discours zullen

positieven en negatieven effecten blijken, bijvoorbeeld op het gebied van privacy, openbaarheid en

authenticiteit van overheidsinformatie. Dan mag de archivaris, wil hij een vertrouwenspersoon zijn

die opkomt voor privacy, openbaarheid en authenticiteit niet langs de zijlijn staan. Hij moet zich

gaan opmaken voor een nieuw paradigma.

115 Shepherd E., e.a., ‘Managing Records, a handbook of principles and practice’, (London 2003) 14.


52

6 Conclusie en aanbevelingen In dit referaat staat de archivaris en de auditor centraal als vertrouwenspersoon. De vraag of de

archivaris net als de auditor als vertrouwenspersoon voor de maatschappij gezien worden. Daartoe

zijn de volgende onderzoekvragen onderzocht: Wat verstaat de archivaris en de auditor onder het

begrip vertrouwen? Wat zijn de methoden en technieken van auditing? Wat is de rol van de

archivaris vergeleken met de rol van een auditor?

6.1 Wat verstaat de archivaris en de auditor onder het begrip vertrouwen? Het vertrouwen van de archivaris in de praktijk is er een van groot vertrouwen in eigen kunnen.

Van traditionele beheerder aan de achterkant van de informatieketen wil hij tegenwoordig graag

invloed uitoefenen aan de voorkant van informatieketen. Hij zegt daarbij onafhankelijk en

onpartijdig te kunnen handelen en met veel deskundigheid onderzoeken uit kunnen voeren in de

digitale wereld. Deze archivaris is een alleskunner: hij ontwerpt, hij bouwt, hij audit, hij adviseert,

hij houdt toezicht, hij inspecteert en hij beheert. De vraag is of hij dit allemaal waar kan maken en

het antwoord is: niet in alle gevallen!

Vroeger was het archief een bastion van vertrouwen en had het woord archief en de

bijbehorende records ook de betekenis van vertrouwen. Later heeft het een andere betekenis

gekregen, mede door de risico’s van de digitale wereld moesten er allerlei kwaliteitsaspecten

benoemd worden om van het archief en de bijbehorende records weer een betrouwbare plaats te

maken. Er is in de maatschappij, door schade en schande wijs geworden, een beroepsgroep

ontstaan die gebaseerd op de theorie van het wantrouwen organisaties en haar middelen

controleert.

Wanneer er schandalen plaatsvinden en de kwaliteit van de informatieketen in twijfel

getrokken wordt, staat niet de archivaris als eerste op om hierin verbeteringen aan te brengen.

Vaak zijn dit particuliere initiatieven die ondersteunt door wetgeving de informatieketen dwingend

verbeteren. Wanneer dit gebeurt, staat de archivaris aan de zijlijn toe te kijken. Sommigen denken

dat archivarissen in organisaties ervoor waken dat de informatie authentiek blijft en dus

waarborgen afgeven dat de informatie als verantwoording kan dienen. Maar na een schandaal

gaat echter niet de archivaris aan de slag met voorstellen voor verbeteringen maar een andere

meer gezag uitstralende functionaris of beroepsgroep. Daaruit is de functie van auditor ontstaan

die vanaf de zijlijn de organisatie onderzoekt op basis van een controleraamwerk dat alle

kwetsbare interne organisatiegebieden behelst. Hierdoor kan hij gefundeerd en onafhankelijk en

onpartijdig uitspraken doen over de kwaliteit van organisatie.

Archivarissen en auditors zijn niet eenduidig in het begrippenkader als ze moeten

samenwerken. Archivarissen zijn het onderling ook niet altijd eens of verantwoording nu impliciet

of expliciet aanwezig moet zijn in de informatieketen. Auditors zijn daar veel eenduidiger in en de

diverse soorten auditors (financiële, internal & operational en informatietechnologie audits) nemen

elkaars raamwerken over. Dit heeft als voordeel dat ze elkaars taal spreken en dat boezemt de

maatschappij vertrouwen in. Het zou goed zijn wanneer auditors en archivarissen daarvoor COSO

als startpunt zouden nemen.


53

6.2 Wat zijn de methoden en technieken van auditing? Auditors gaan gestructureerd te werk in hun onderzoek. Een gecertificeerde auditor heeft een

verplichte opleidingsachtergrond en strikte gedrags- en beroepsregels. Wanneer het een

kwantitatief onderzoek betreft, zal de financiële auditor volgens zeer strikte regels zijn onderzoek

uitvoeren. Hij gaat deductief te werk om met veel controles een bepaald beeld van de organisatie

te krijgen. Ter ondersteuning van zijn kwantitatief onderzoek, gaat hij inductief te werk om een

beeld te krijgen van de betrouwbaarheid van de informatie die hem aangereikt wordt. Hoeveel

kwalitatief onderzoek hij hiervoor moet verrichten, bepaalt hij met een audit-risicoformule. Hij

weet hiermee uit te drukken de hoeveelheid werkzaamheden hij moet verrichten om tot een

bepaalde conclusie te komen. Met zijn onderzoek heeft hij een beeld van de kwaliteit van de

interne beheersingsmaatregelen van de organisatie verkregen. Dit beeld is niet alleen beperkt tot

financiële huishouding, maar ook tot de informatiemanagement huishouding. Voor dit laatste

steunt hij op een andere type onderzoeker, namelijk de IT-auditor. Deze auditor geeft hem een

beeld van de kwaliteit van de automatisering in het algemeen of informatiesysteem technisch

specifiek. Ook de gebruikersomgeving (user controls) neemt de IT-auditor mee in zijn beschouwing.

Ook Operational en IT-auditors gebruiken de analyse van kwantitatieve gegevens als methoden en

techniek voor hun kwalitatief onderzoek. Organisaties waar Financiële, Operational- en IT auditors

werkzaam zijn, hebben veel kennis over hedendaagse frameworks waarmee een organisatie

getypeerd en geanalyseerd kan worden.

Auditors zijn opgeleid om methodisch onderzoek uit te voeren en hebben een HBO- of een

academisch niveau. Zij hanteren in hun onderzoekswerkzaamheden een strikt auditmodel dat het

onderzoek in allerlei fasen verdeeld. Afhankelijk van type object is het beschouwingsgebied van

een auditor beperkt tot de opdracht en het te onderzoeken object van zijn onderzoek. Daarnaast

moet hij materiedeskundig zijn. Zijn onderzoeksmethoden zijn erop gericht om een zo’n hoog

mogelijke validiteit en betrouwbaarheidsniveau te bereiken.


54

6.3 Wat is de professionele rol van de archivaris vergeleken met de rol van een auditor?

Elke verandering in de archiefwetgeving bracht de archivaris dichterbij de organisatie en haar

informatiehuishouding maar zorgde ook voor meer onduidelijkheden in bevoegd- en

bekwaamheden, vooral op gemeentelijk en provinciaal niveau. Archivarissen zijn als toezichthouder

en inspecteur nog steeds zoekende naar hun takenpakket. Dit komt de uitstraling van de archivaris

als vertrouwenspersoon niet ten goede. Men acht zich een onderdeel van het kwaliteitssysteem als

toetser van de kwaliteit van de archiefvorming, maar ook ongevraagd van het bredere

informatiebeheer. Naar mijn idee moet de beoordeling van de kwaliteit van het informatiebeheer

door de interne controlefunctie uitgevoerd worden en dient de archivaris als onafhankelijke

toezichthouder er op toe te zien of de uitkomsten van de controles hem voldoende zekerheid geven

dat de digitale duurzaamheid van het dynamische archief is gewaarborgd en het geheel past

binnen de kaders van de archiefwet. Is dit niet het geval, dan kan hij het management adviseren

een onderzoek door een externe auditor in te laten stellen naar de oorzaken van de omissies en

verzoeken om verbeteringen in de informatieketen aan te laten brengen. Wanneer het digitaal

archief dan zijn kant uitkomt heeft hij zekerheid dat het kan dienen voor het afleggen van

verantwoording en later als historisch archief voor diverse doelgroepen. Hij kan dan al zijn

aandacht richten op het beheer van de in de archiefbeherende instelling berustende records en

andere documentaire verzamelingen. De invulling hiervan door deze instellingen van hun rollen en

activiteiten voor de diverse doelgroepen van het dynamische of historisch archief laat zien dat er

grote verschillen zijn in de taakopvattingen. Niet alle instellingen zijn even ver met de digitale

wereld.

De auditor is een vertrouwenspersoon voor het maatschappelijk verkeer, gebaseerd op de

kwaliteit van zijn dienstverlening. Uitingen van een auditor zijn aan velerlei regels en vormeisen

gebonden. Uitingen van archivarissen zijn dit nog niet. De auditor mag volgens zijn beroepsregels

geen groter vertrouwen wekken dan hij kan waarmaken (verwachtingskloof) en hij mag de

verwachtingen, die er terecht zijn, niet beschamen en daarom deugdelijk werk moet leveren. en

een strenge achterliggende beroepsvereniging. De beroepsvereniging van de KVAN heeft een

andere soort beroepscode dan auditors. Waar auditors direct afgerekend kunnen worden op hun

gedrag, ontbreekt dit bij archivarissen. Zijn beroepsregels gaan ook meer over de inhoud van zijn

functie en zijn vakgebied terwijl dat bij auditors in aparte reglementen is verwerkt met specifieke

vormvereisten over de schriftelijke uitingen. Toezichthoudende archivarissen die als auditors

opereren hebben een conflict of interest. Auditors hebben beroepsregels die dit voorkomen. Per

type auditfunctie is er een aparte beroepsgroep. De beroepsgroep van archivarissen daarentegen

bedient twee typen archieffunctie (recordsmanagers en archivarissen). Archivarissen zouden zich

tijdens hun vooropleiding ook moeten bekwamen in moderne bedrijfskundige vakgebieden van

auditors zoals Risicomanagement, Auditing en Bestuurlijk Informatievoorziening Administratieve

Organisatie.

Auditors en Archivarissen moeten zich voorbereiden op een nieuw paradigma dat op hen

afkomt, dat van Open Data waarbij datasets op elk moment procesgebonden informatie kunnen

recontextualiseren en men met een druk op de knop het geheugen van de samenleving kan

representeren over elk willekeurig onderwerp dan ook. Of er dan nog een archivaris nodig is, weet


55

ik niet, wellicht in vorm van een data-steward die de gebruikers van de open data wegwijs kan

maken in het analyseren ervan.

6.4 Eindconclusie Willen archivarissen als vertrouwenspersoon fungeren dan moet de maatschappij de onmisbaarheid

en kwaliteit erkennen van de diensten die ze aanbieden.116 Om dit op een hoger plan te brengen

hebben ze wel andere vakgebieden nodig om zich staande te kunnen houden in de complexe

digitale wereld. De archivaris als beheerder kan samen met de auditor de waarborgen geven die

de maatschappij van hem verlangt om een archiefbeherende instelling te exploiteren dat het

vertrouwen van digitale duurzaamheid in zich heeft. De archivaris als onderzoeker kan de

methoden en technieken overnemen van de auditor, afhankelijk van het beschouwingsgebied. De

omissies die hij aantreft moet hij door de organisatie zelf laten oplossen waarbij hij eventueel

aanbeveelt een auditor in te schakelen. De archivaris als wetenschapper moet zich net als de

auditor voorbereiden op een nieuw paradigma, dat van Open Data. Voor de auditor komt nu

continuous auditing binnen zijn bereik. Voor de archivaris komt er een gigantisch digitaal archief

zijn kant op als continuous identity van de samenleving.

6.5 Aanbevelingen

• Bespreek samen met de auditor de functies en componenten van het archiveringssysteem.

• De archivaris moet goed bedenken wat voor type kwaliteitsonderzoek hij wil uitvoeren:

checklist, audit of advies.

• De archivaris moet niet op de stoel van auditor gaan zitten tenzij hetzelfde geschoold.

• Laat de interne auditors audits uitvoeren op de kwaliteit van de informatiehuishouding.

• Leer de taal van de organisatie en de auditors te spreken door een goede bedrijfskundige

vooropleiding.

• Betrek het vakgebied Bedrijfskunde meer bij de Archiefwetenschap opleiding met name de

COSO onderdelen die over Bestuurlijke informatie en Risicomanagement gaan.

• Laat meer audits en certificeringen uitvoeren in de digitale wereld van archivarissen.

Certificering alleen is niet voldoende. Een cyclus van audits hoort daarbij.

• Ga in gesprek met de externe stakeholders en vraag waarom herinnering voor hen geen

aandachtsgebied is.

• Het record continuümmodel is al dertig jaar oud. Laat archivarissen en de

archiefwetenschap nadenken over een nieuwe paradigma dat op hen afkomt, dat van Open

Data.117

116 Thomassen T., ‘onttakeling of modernisering’, in: Jaarboek 2010 Stichting Archiefpublicaties (Den Haag 2010) 326. 117 Het DM-Bok datamodel kan hierbij als startpunt voor de betekenissen van data gelden, zie http://www.dama.org/content/body-knowledge. Technische universiteiten ontwerpen momenteel nieuwe Open Data studies voor toekomstige data-analisten.


56

6.6 Slotopmerking De definitie van auditors van de Administratieve Organisatie luidt als volgt: ‘het systematisch

verzamelen, vastleggen en verwerken van gegevens voor het verstrekken van informatie, ten

behoeve van het besturen en doen functioneren van een organisatie en de verantwoording die

daarover moet worden afgelegd’.118 De definitie van een archiveringssysteem is: ‘het geheel van

documenten, metadata, processen, kennis, regels, middelen en mensen waarmee een persoon of

organisatie zich voorziet van betrouwbare en duurzame informatie voor bedrijfsvoering,

herinnering en verantwoording’.119 Het enige verschil is het begrip herinnering. De auditor en

archivaris zitten dichter bij elkaars belevingswereld en zelfs dichter bij het post-custodiale

paradigma van archief als procesgebonden informatie, dan ze zelf beseffen.

'

118 Kamermans, M.C., ‘Administratieve Organisatie’ (’s-Hertogenbosch 1995) 14. 119 Horsman, P.J., ‘Abuysen ende Desordie ̈n. Archiefvorming en archivering in Dordrecht’, (Amsterdam 2009) 27.


57

7 Bronnen en literatuur

• Auditdienst Financiën, ‘kwaliteitshandboek HARo deel III’ (Den Haag 2005). • Bergsma, M., ‘Betrouwbaarheid en Validiteit van Kwalitatief georiënteerde Operational

Audits’, (Den Haag 2003). • Boudrez, F., ‘Digitale depots in Nederland’, in: Het E-depot als avontuur (2010). • Boudrez, F., ‘Een informatiearchitect met digitale kennis van zaken: de archivaris anno

2010’, in Jaarboek 2010 Stichting Archiefpublicaties (Den Haag 2010). • BRAIN, ‘Advies positionering inspectie BRAIN conceptversie 21 maart 2014’. • BRAIN, ‘OP DEZELFDE LIJN VERDER?’ Advies van de Werkgroep positionering

archiefinspectie in opdracht van BRAIN (2014). • Dingwall, G., ‘Trusting Archivists: The Role of Archival Ethics Codes in Establishing Public

Faith’, in: The American Archivist, 67 (2004). • DOXIS, ‘Een vak met een zeldzame dynamiek Mensen in de documentaire

informatievoorziening’ (Den haag 2003). • Eastwood T., ‘Reflections on the Development of Archives in Canada and Australia’, in

Archival Documents: ‘Providing Accountability Through Recordkeeping’ (Melbourne 1993). • Ekelen, E. van, ‘Een effectieve financiële audit om risico’s beheersbaar te maken’ in 3e

Advisory & Control. • Fentrop, P., ‘Ondernemingen en hun aandeelhouders sinds de VOC, Corporate Governance

1602-2002’, (Amsterdam 2002). • Fijneman, R., e.a., ‘Grondslagen IT-auditing’, (Den Haag 2005). • Findlay, C., ‘Reinventing Archival Methods, Presentation for Roundtable event in honour of

Hans Hofman’ (Den Haag 2014). • Flynn, S.J.A.,`Records continuum model in context and its implications for archival

practice'', in: Journal of the Society of Archivists’. • Foscarini, F., ‘Theo Thomassen in gesprek met Fiorella Foscarini’ in: Archievenblad 9 2014

(Arnhem 2014). • Frielink, A.B., e.a. ‘Leerboek accountscontrole’ (Groningen 2001). • Griek, M. van de., e.a., ’toezicht houden en archiveren: bouwstenen voor leren en

controleren, Jaarboek 2013 Stichting Archiefpublicaties (Den Haag 2013). • Hokke E.,’Er is een arbeidsdeling gekomen’, in: Jaarboek 2010 Stichting Archiefpublicaties

(Den Haag 2010). • Horsman, P.J., ‘Archiveren. Een inleiding’, (Den Haag 2006). • Horsman, P.J., ‘Archivering van Elektronische Post. Methoden, meningen en alternatieven’

(Amsterdam 1999). • Horsman, P.J., ‘Abuysen ende Desordie ̈n. Archiefvorming en archivering in Dordrecht’

(Proefschrift Faculteit der Geesteswetenschappen Universiteit van Amsterdam 2009). • Houbrakken C., e.a., ‘De sociale archivaris’, in: Jaarboek 2010 Stichting Archiefpublicaties

(Den Haag 2010). • IAB, ‘Handboek Operational auditing’ (Utrecht 2000). • J. Driesen e.a., Controller en auditor: een onmogelijke combinatie? ,(Deventer 1996). • Jurgens, A., e.a., kwaliteit van de documentaire informatie in: Management van interne en

civiele diensten www.factomedia.nl 5 2003 (2003). • Kallberg, M., ‘Archivists 2.0: Redefining the archivist’s profession in the digital age’, in:

Record Management Journal (2012). • Kamermans, M.C. ‘Administratieve Organisatie’ (’s-Hertogenbosch 1995). • Kan, F., van., ‘De archivaris moet emanciperen’ in: Jaarboek 2010 Stichting

Archiefpublicaties (Den Haag 2010). • Kocks, C., ‘Auditing, audit, auditor, wat moeten we ermee?’, in: 20 over

Internal/Operational Auditing; bijdragen aan governance & control (Rotterdam, 2008). • Koning F. de, ‘Maandblad voor Accountancy en Bedrijfseconomie’ (juni 2002). • Koorn, R.F., ‘IT-Assurance versus IT-certificering’ (zonder jaartal). • Korte, R. de, e.a., ‘Internal/operational auditing: bijdrage aan governance& controle’

(Rotterdam 2008). • Korte, R., de., e.a., ‘Operational audit: Van ‘containerbegrip’ naar een methodologisch

ondersteunde auditvorm’, in: Controllersreeks, (Rotterdam 2003). • Küller, E.’ Verantwoording verzekerd’, in: Het Boek van bewaring (Samson 1997). • Lovblad, H., ‘Monk, Knight or Artist? The Archivist as a Straddler of a Paradigm’, in:

Archival Science 3 2003 (Stockholm 2003). • Luyendijk, J., 'Dit kan niet waar zijn' (Amsterdam 2014). • Ministerie van BZK, ‘Minder last, meer effect, zes principes van goed toezicht’, in:

Kaderstellende visie op toezicht (Den Haag 2005).


58

• NivRA, ‘Normatieve maatregelen voor de geautomatiseerde gegevensverwerking’, (Amsterdam 1995).

• NivRA, Elementaire kennis Accountantscontrole (Groningen 1992). • NoREa, Studierapport 3, Raamwerk voor ontwikkeling normenstelsels en standaarden. • NoREa, Studierapport 2, ‘een kwaliteitsmodel voor register EDP-auditors’, (Den Haag

1997). • NoREa., ‘Studierapport 3’, (Den Haag 2002). • Oss J. van, ‘gemeentelijke archiefinspectie: pleidooi voor een nieuwe aanpak’ in: Jaarboek

2013 Stichting Archiefpublicaties (Den Haag 2013). • Otten, J.H.M., e.a., ‘Auditmethodologie, metal-tool voor klant-gericht auditen’, (zonder

jaar). • Praat, J. van, e.a., ‘Inleiding EDP-auditing’ (Deventer 1994). • R. de Korte e.a., ‘Internal/Operational Auditing, bijdragen aan governance & control’

(Rotterdam 2008). • Ratliff, R., ‘Introduction to Auditing: Logic, principles and techniques’ (Florida, 2004). • Rekenkamer, ‘Achtergrondstudie informatiehuishouding van het Rijk’ (Den Haag 2010). • Schellenberg, T.T., ‘Modern Archives: Principles and Techniques’ (Chicago 1956). • Scholtes, E., ‘Transparantie, icoon van de dollende overheid’, (Den Haag 2012). • Selectielijst_egi_vastgesteld_stcrt_2015_8328.pdf (Den Haag 2015). • Shepherd E., e.a., ‘Managing Records, a handbook of principles and practice’, (London

2003). • Sierman B., ‘Het OAIS-model, een leidraad voor duurzame toegankelijkheid’, in:

Informatiewetenschap (2012). • Spruyt, R., artikel PDO/IOA, (Rotterdam 2005) Zie verder het COSO raamwerk. • Steen, R.T.C. van der, ‘Archivering in een digitale wereld’, in: de EDP-Auditor, 4 2003

(Amsterdam 2003). • Steen, R.T.C. van der, ‘IT-auditing in het archiefwezen’, (Nijmegen 2001). • Sundqvist A., ‘Documentation practices and recordkeeping: a matter of trust or distrust?’

in: Archive Science 11 2011. • Thomassen T., ‘Onttakeling of modernisering’, in: Jaarboek 2010 Stichting

Archiefpublicaties (Den Haag 2010). • Thomassen, T., ‘Instrumenten van de macht. De Staten Generaal en hun archieven 1576-

1796’, Proefschrift Faculteit der Geesteswetenschappen Universiteit van Amsterdam 2009). • Thomassen, T., in: Jaarboek 2002 Stichting Archiefpublicaties (Den Haag 2002). • Twist, M. van, ‘Moreel kompas als misleidende metafoor’ in: http://www.eur.nl/esaa

/nieuws/nieuws_detail/article/72312-pe-bijeenkomst-onderzoek-naar-gedrag-en-cultuur/)’,. • Velders, R., e.a., Begrippenkader rijksinspecties (Den Haag 2013). • Verschuren, P., e.a., ‘Het ontwerpen van een onderzoek’ (Amsterdam 2000). • Verslag provinciale archiefinspectie en provinciearchivaris Overijssel 2014, (Zwolle 2015). • Vinkenburg, B., e.a., Archiefinstellingen profileren zich, in: Archievenblad 9 2014 (Arnhem

2014). • Vos, M. de, in: ‘http://ingmarbladertenschrijft.blogspot.nl/2011/08/wat-moet-een-

archivaris-kunnen.html’. Geraadpleegde Websites (15-05-2015)

• http://en www.coso.org • http://nl.wikipedia.org/wiki/Controller • http://nl.wikipedia.org/wiki/COSO • http://nl.wikipedia.org/wiki/Gilde_(beroepsgroep) • http://nl.wikipedia.org/wiki/Grote_nutteloze_werken • http://nl.wikipedia.org/wiki/Principaal-agenttheorie. • http://nl.wikipedia.org/wiki/Remmer_Willem_Starreveld • http://nl.wikipedia.org/wiki/Validiteit • http://stadsarchief.amsterdam.nl/stadsarchief/e-depot/introductie • http://wetenschap.infonu.nl/onderzoek/106079-kenmerken-kwalitatief-kwantitatief-

onderzoek.html • http://www.accountant.nl/opinie/20151/6/de-eed-een-alternatief-voorstel/ • http://www.archimuse.com/papers/nhprc/BACartic.html • http://www.auditconnect.nl/nl/trainingen/it-audit/it-audit-archiefinspecteurs/ • http://www.dama.org/content/body-knowledge • http://www.dehaagsehogeschool.nl/professional-courses/overzicht-opleidingen-

trainingen/internal-auditing/in-het-kort • http://www.eur.nl/esaa/post_master_en_postinitiele_opleidingen/registercontroller/opleidi

ng_registercontroller


59

• http://www.iia.nl • http://www.ingovernment.nl/blogsedocmanager/archiefinspectie • http://www.isaca.org • http://www.kvan.nl • http://www.kvan.nl/kvan/vakkennis/beroepsprofiel.php • http://www.nba.nl • http://www.norea.nl • http://www.nyenrode.nl/Education/master-postmaster/schakeltraject/Pages/De-

accountant-versus-de-controller.aspx • http://www.vbds.nl/toetsen/ • http://www.vhic.nl/index.php?option=com_content&view=article&id=689, 05-05-2015. • http://www.vng.nl/onderwerpenindex/cultuur-en-sport/archieven-

enmusea/brieven/horizontale-verantwoording-archiefwet-1995-op-waarstaatjegemeenten. • https://interparestrust.org/trust • https://na.theiia.org/


60

8 Bijlage COSO Het Committee Of Sponsoring Organisations of the Treadway Commission (COSO), bestaande uit Amerikaanse beroepsorganisaties van accountants en controllers heeft een raamwerk gemaakt dat bestaat 5 hoofdcomponenten en uit 17 principes.

Afbeelding 6 COSO Framework Het COSO-model is het meest gehanteerde model op gebied van Interne Controle en biedt een raamwerk met allerlei evaluatie instrumenten. Het verbreedt de beheersingsomgeving en de beheersingmaatregelen van organisaties met componenten als Risk Assessment, Information & Communication en Monitoring. Doel van COSO is ondersteuning bieden aan het management (i.c. bestuur) van organisaties bij de beheersing van de activiteiten (=bedrijfsprocessen) van de onderneming. De uitgangspunten (grondslagen) bij COSO zijn:

1. Beheersmaatregelen zijn “ingebouwd in” processen; 2. Internal control wordt uitgevoerd door mensen, die allen hun unieke achtergrond en eigen

doelstellingen hebben; 3. Ieder beheersingssysteem is feilbaar, want:

• Mensen maken fouten; • Kosten/baten-overwegingen spelen een rol; • Mensen kunnen tegengestelde belangen hebben; • Management kan beheersmaatregelen “doorbreken”. •

Hiervan zijn de volgende 17 principes afgeleid:

Afbeelding 7 COSO Interne controle componenten en afgeleide principes


61

Tabel 4 Met COSO zijn volwassenheidmodellen te maken

Het COSO raamwerk is zowel bedoeld voor managers van de organisatie als voor de onafhankelijke en onpartijdige auditors en heeft tot doel een eenduidige definitie te geven van het begrip interne beheersing, alsmede een aantal handvatten te geven voor de opzet en beoordeling van het interne beheersingssyteem. COSO’s risicomanagement ligt in het verlengde van de aandacht voor interne beheersing die al in organisatie zelf opgesloten zit.120

120 Zie verder nl.wikipedia.org/wiki/COSO en www.coso.org.


62

9 Bijlage De validiteit en betrouwbaarheid van het onderzoek Net als archivarissen niet geheel waardevrij zijn in het toepassen van waardering en selectie zijn onderzoekers dit ook niet. In deze bijlage wordt nagegaan hoe de begrippen ‘validiteit’ en ‘betrouwbaarheid’ binnen een kwalitatief onderzoek een rol spelen om waardevrij onderzoek te kunnen uitvoeren. Vervolgens zal een aantal verstoringen besproken worden die voortkomen uit de eigenschappen van kwalitatief onderzoek en een bedreiging vormen voor validiteit en betrouwbaarheid. De vraag staat centraal hoe een audit de validiteit en betrouwbaarheid kan waarborgen? Validiteit De validiteit of geldigheid van een onderzoek is de mate waarin het onderzoek meet wat hij zou moeten meten. Bij het onderzoeken van de validiteit wordt gekeken naar de mate waarin de resultaten van een test en het te meten verschijnsel met elkaar overeenkomen. De "omgekeerd, ook vice versa" manier. De validiteit is een gradatie; het is niet zo dat de ene test valide is en de andere niet. Wel is de ene test meer valide dan een andere.121

Validiteit is de mate van overeenstemming tussen feiten enerzijds en interpretaties en conclusies anderzijds. Een valide analysemodel waarborgt dat de conclusies van een onderzoek een logisch en zuiver gevolg zijn van de onderzochte situatie. De belangrijkste vormen van validiteit zijn: construct validiteit, causale validiteit, statistische validiteit en externe validiteit Construct validiteit heeft betrekking op de vraag of de resultaten van een onderzoek wel werkelijk een indicatie zijn voor het te onderzoeken object van onderzoek. Resultaten van een onderzoek kunnen perfect aansluiten bij de theorie, maar er kan onvoldoende rekening zijn gehouden met andere variabelen die ook van invloed zijn. Met andere woorden, zijn de gekozen variabelen de juiste en zijn alle variabelen geïdentificeerd. Constructvaliditeit is verder te onderscheiden in convergente- en divergente validiteit. Bij convergente validiteit wordt de samenhang tussen de resultaten van het oorspronkelijke onderzoek en de resultaten van een gelijksoortig onderzoek bekeken. Een test wordt meer valide wanneer er hiertussen een correlatie bestaat. Er kan ook gekeken worden naar de samenhang tussen de resultaten van onderzoek en te observeren gedrag. Bij divergente validiteit wordt gekeken naar de samenhang tussen de resultaten van het oorspronkelijke onderzoek en de resultaten van een ander onderzoek. Om een meer valide test te doen, moet de correlatie zo veel mogelijk rond het nulpunt moet liggen. Er kan ook sprake zijn van een onder representatie wanneer er te weinig variabelen in een onderzoekskader aanwezig zijn of dat er irrelevante of onzorgvuldig gedefinieerde begrippen worden gehanteerd in het onderzoek. Bij de causale validiteit is het de vraag in hoeverre de waarnemingen tijdens een onderzoek echt iets zeggen over hetgeen men te weten wil komen. Worden de juiste verbanden gelegd. Vaak worden in interviews en enquêtes vragen gesteld die niet intern valide zijn waarbij men onterecht uitgaat van een causaal verband.122 Bijvoorbeeld wanneer naar de opvattingen worden gevraagd en niet naar de feitelijke redenen.

Statistische validiteit speelt vooral bij steekproeven en deelwaarnemingen een belangrijke rol. Het gaat dan om beslissingen over de grootte van de steekproef of deelwaarneming. Stel dat men de kwaliteit van een digitaal archief wil controleren omdat men uitspraken, gedaan in interviews, wil verifiëren. Stel men beweert dat aan alle records de juiste bewaartermijnen worden gekoppeld. Hoeveel steken moet men dan nemen om vast te stellen dat de bewerking klopt en dat bij alle opgenomen records de juiste bewaartermijnen zijn toegekend in het systeem? Een ander probleem hierbij is de noodzakelijke toegepaste foutenmarge123 van bv 5% op een populatie van 300 te trekken posten (dit is handmatig nog net behapbaar). Stel dat een digitaal archief 10.000 records bevat, dan betekent dit een aanname dat er 500 records geen bewaartermijn hoeven te hebben. Voorwaar op voorhand geen kwalitatief goed archief! Soms worden juist te verwaarlozen verschillen gesignaleerd van zaken die bijvoorbeeld goed beschreven staan in een handboek maar toevallig niet bij die ene geïnterviewde bekend is. Wellicht was deze persoon niet representatief binnen zijn eenheid. In plaats hiervan zou men een deelwaarneming kunnen toepassen bijvoorbeeld door een demonstratie van het informatiesysteem. Daarbij moet men zich realiseren dat deelwaarneming in mindere mate voldoen aan de eis van wetenschappelijk verantwoord onderzoek en eerder leiden tot een goede indicatie of onderbouwing van veronderstellingen.124

121 http://nl.wikipedia.org/wiki/Validiteit, geraadpleegd op 15-05-2015 122 IAB, ‘Handboek Operational auditing’ (Utrecht 2000) 27. 123 Hoe lager de gewenste foutmarge, hoe hoger het aantal posten dat men moet trekken uit de a-selecte steekproef. 124 IAB, ‘Handboek Operational Auditing’ (Utrecht 2000) 30.


63

De externe validiteit geeft aan, in hoeverre onderzoeksresultaten te generaliseren zijn. Er zijn twee vormen van generaliteit: generalisatie en specificatie. Bij generalisatie gaat het om de vraag of de onderzoeksresultaten generaliseerbaar zijn naar de populatie (eenheid, afdeling, directie), naar een periode of naar andere populaties. Er zijn twee vormen van generalisatie: representativiteit en extrapolatie. Zijn de uitspraken representatief voor de hele eenheid waarvan de geïnterviewde persoenen afkomstig zijn? Kunnen de uitspraken en bevindingen geëxtrapoleerd worden naar die eenheden, periode, omstandigheden die niet onderzocht zijn? De kans op representatieve onderzoeksresultaten en een beter onderbouwd oordeel, neemt toe naarmate de personen die geïnterviewd zijn goed op de hoogte zijn van de processen en de inhoud van de dossiers goed overeenkomen met de vertelde werkelijkheid. Maar het is vaak moeilijk in te schatten of deze situatie ook voor andere afdelingen geldt en dat extrapolatie naar andere afdelingen en dergelijke mogelijk is. Bij specificatie is het net andersom en is de vraag of bepaalde onderzoeksresultaten ook gelden voor meer specifieke populaties of periodes (eenheden, teams, personen, maanden). Kan een onderzoek dat op meso of macro niveau heeft plaatsgevonden, ook worden toegepast op bijvoorbeeld het micro niveau van een archiefvormende afdeling?

Er zijn voor de onderzoeker nog een aantal aandachtspunten van externe validiteit van belang. Het onderzoek mag niet te eenzijdig gericht zijn door bijvoorbeeld maar een enkele ontsluitingstechniek toe te passen. Het hanteren van meerdere methodes in een onderzoek is vaak gewenst, door bijvoorbeeld naast documentanalyse ook de observaties als ontsluitingstechniek toe te voegen. Een ander aandachtpunt is de zogenaamde evalution apprehension waarmee bedoeld wordt dat geïnterviewde hun gedrag en uitspraken aanpassen wanneer ze het gevoel hebben beoordeeld te worden. Wanneer bijvoorbeeld een groepsinterview telkens door de organisatie wordt uitgesteld, dan kan bij de onderzoeker het beeld ontstaan dat het onderzoek bij een bepaalde partij niet echt gewenst is en er meer aan de hand is. Ook de onderzoeker zelf is niet waardevrij. Heel vaak speelt onbewust een zekere vooringenomenheid een rol bij de interpretatie en waardering van onderzoeksgegevens. Er is een risico (elite bias) dat het verzamelde materiaal afkomstig van mondige, goed geïnformeerde, en doorgaans vooraanstaande respondenten, zwaarder wordt meegewogen in de bewijsvoering, terwijl informatie afkomstig van minder mondige informanten. Uit onderzoekt blijkt bijvoorbeeld dat docenten een goede leerling een hogere waardering toekennen bij hetzelfde proefwerk en gelijke beantwoording, dan bij een slechte leerling. Ook is er een risico (holistic fallacy) dat de waargenomen gebeurtenissen als meer representatief worden geïnterpreteerd dan dat zij in werkelijkheid zijn. Tot slot is er een risico (going native) waarbij de onderzoeker het eigen perspectief en oordeelsvorming verliezen door het overnemen van meningen en interpretaties van de informanten. Effecten op betrouwbaarheid De bovenstaande verstoringen komen voort uit de eigenschappen van kwalitatief onderzoek in het algemeen.125 Er zijn een aantal maatregelen om deze verstoringen beheersbaar te maken en daarmee de validiteit en betrouwbaarheid van de onderzoeksresultaten te waarborgen. Voor de hand liggende maatregelen om deze verstoringen op te heffen, zijn het vergroten van de steekproef of het opzettelijk zoeken naar gevallen die de getrokken conclusies tegenspreken. Bij dit zoeken naar negatief bewijs gaat de onderzoeker actief op zoek naar informatie die de getrokken conclusies weerleggen. Maar dit is hooguit een indicatie van de betrouwbaarheid van de getrokken conclusie en zal alleen maar zelden tot een verhoogde betrouwbaarheid van de conclusies en nooit als doorslaggevende bevestiging van de getrokken conclusies dienen. Een andere maatregel zou een spreiding van respondenten kunnen zijn en het benaderen van mensen buiten het primaire object van onderzoek.

De auditor heeft als kwalitatief onderzoeker invloed op het onderzochte, en vice versa. Zeker in het geval wanneer het onderzoek in de natuurlijke omgeving van het object wordt uitgevoerd kunnen beide invloedsferen een verstorende werking hebben op de totstandkoming van de conclusies. Een interview houden op locatie heeft een andere uitstraling dan een interview houden op het kantoor van de archivaris.

De communicatie van de onderzoeker met de organisatie moet natuurlijk helder zijn over de reden van het onderzoek, wat er onderzocht wordt, hoe dat onderzocht wordt en wat er met de resultaten gaat gebeuren. Ook veronderstelde probleem bij de respondenten moeten niet direct te hoog worden opgeblazen. De onderzoeker is nu eenmaal geen grote factor in het leven van de respondenten. Daarnaast moet de onderzoeker veelvuldig methodetriangulatie toepassen (zie hierna) en niet alleen vertrouwen op interviews en observaties bij het begrijpen van de problematiek. Wanneer bij de onderzoeker het gevoel van misleiding bestaat, moet de onderzoeker proberen te begrijpen waarom een respondent het nodig vindt om hem te misleiden en dit ‘spoor’, voor zover, mogelijk te volgen. 125 Bergsma, M., ‘Betrouwbaarheid en Validiteit van Kwalitatief georiënteerde Operational Audits’, (Den Haag 2003) 17.


64

Een manier om verstoringen tegen te gaan, is de validering van informatie door triangulatie toe te passen. Dit is het vergelijken van de informatie en data met minstens twee andere bronnen. Op deze manier kan de relatieve waarde van de ene informatiebron worden bepaald in vergelijking met andere informatiebronnen die over het object van onderzoek beschikbaar zijn. Triangulatie is de belangrijkste methode waarmee onderzoekers proberen de validiteit van hun bevindingen te controleren. Er is een analogie te maken met ontdekkingsreizigers die de posities van verwijderde objecten nauwkeuriger kunnen bepalen, door ze vanuit verschillende locaties te observeren, de hoeken te meten en dan trigonometrie toepassen.

Het verkrijgen van feedback wordt regelmatig toegepast binnen operational auditing en archiefinspectie als methode voor het valideren van zijn verzamelde gegevens, en niet zo zeer voor de oordeelsvorming zelf. Dit is op zich ook zowel een praktisch als ethisch aspect. Wanneer de auditee (de gecontroleerde) een conclusie kan beamen, is dit van groot belang. Ook het toepassen van het zogenaamde Audit Risk (onderzoeksrisico) is een methode om de betrouwbaarheid van het onderzoek te vergroten omdat de kans op onzekerheden in de onderzoekmethode worden verminderd. 126 Onderzoekers worden onvermijdelijk blootgesteld aan het risico van verkeerde beoordelingen bij het uitvoeren van hun onderzoek. De onderzoeksconclusie moet natuurlijk valide en betrouwbaar zijn. Naast de eerder genoemde validiteit en betrouwbaarheidswaarborgen gebruiken auditors nog een methode om onzekerheid in een onderzoek weg te nemen. Hierbij is wegnemen niet het juiste woord want het gaat hier om het vaststellen van het onderzoeksrisico: het auditrisk. Zonder al te diep op de auditrisk formule in te gaan, komt het er simpelweg op neer dat een auditor meer of minder onderzoeksinspanningen moet verrichten, afhankelijk van de kwaliteit van de interne beheersmaatregelen van een organisatie. De auditor kan met een statische formule (vooraf of tijdens het onderzoek) zijn eigen onderzoeksonzekerheid reduceren. De formule luidt: AR = ƒ (IR, ICR, DR) Het totale auditrisico bestaat uit de som van het inherente risico (IR) en het Interne controle risico (ICR) en het detectierisico (DR).

• IR is de kans dat fouten in het onderzoek kunnen worden voorkomen, gesteld dat er geen controle in een organisatie zelf georganiseerd is. Ondanks de werkzaamheden van de interne controle afdeling worden fouten soms niet ontdekt. Er zijn externe en interne omgevingsfactoren die van invloed op de mate van diepgang van het onderzoek. Externe invloeden zijn de invloeden van marktkenmerken, overheidsvoorschriften (wetgeving, regelingen e.d.), specifieke organisatiekenmerken. Interne invloeden zijn de aard van de bedrijfsvoering, personele aspecten (competenties), mate van complexiteit van operationele aspecten (specifieke risico’s), financiering (voldoende beschikbare middelen).

• ICR (Interne controle risico) is de kans dat fouten door het interne (kwaliteits) controle

systeem niet worden ontdekt.

• DR (Detectie risico, ontdekkingsrisico) is de kans dat de fouten (die ook niet door de interne controle worden ontdekt) ook niet door een (steekproef) onderzoek van de financiële auditor worden ontdekt.

Door het toekennen van wegingsfactoren Hoog, Midden en Laag krijgt de auditor een uitkomst bij het Audit Risk. Is de uitkomst hoog, dan zal hij meer onderzoek moeten uitvoeren, soms zelfs buiten informatiesystemen om omdat de getallen uit de database niet vertrouwd kunnen worden omdat teveel mensen toegang tot het systeem hadden. Het Audit Risico model is, blijkens de onderzoeken van het Panel on Audit Effectiveness127, in principe een goede basis voor een effectief

126 Ook wel Accountantscontrolerisico (AR) genoemd. 127 F. de Koning, Maandblad voor Accountancy en Bedrijfseconomie (juni 2002) 297.


65

onderzoek. Het audit risicomodel wordt bij alle vormen van audits toegepast. Soms wordt de invulling ook impliciet op basis van de professional judgement van de auditor bepaald. Hij maakt dan een risicoinschatting hoog omdat hij bijvoorbeeld al weet dat de organisatie een matig kwaliteitssysteem heeft. Voor een buitenstander zoals een archivaris is het lastig om met dit begrip om te gaan want hoe kun je nu een onzekerheid kwantificeren? Toch is de theorie van het Audit Risico nodig om redenen van onzekerheidsreductie en het creëert daardoor een valide en betrouwbaar onderzoek. In het hierna te benoemen auditmodel valt het onder de zogenaamde de technische factoren die in een auditaanpak worden benoemd. Stel dat er is een matige controle op de kwaliteit van de informatieverzorging dan zal de auditor zijn onderzoekswerkzaamheden moeten uitbreiden door bijvoorbeeld meer interviews met de DIV medewerkers te houden. Gesteld dat er een goed werkend kwaliteitssysteem is, dan is alleen een interview met het hoofd van de DIV afdeling voldoende om een oordeel te vellen.


66

10 Bijlage Het ontwerpen van een audit: de theorie Inleiding Een auditor dient gebruik te maken van een methodologisch verantwoorde onderzoeksmethode om een waardevolle, significante bijdrage te leveren aan de kennisbehoefte van de organisatie. Zijn onderzoek moeten waarborgen bevatten dat het onderzoeksresultaat relevant en deugdelijk (betrouwbaar en reproduceerbaar) is en dat de audit efficiënt wordt uitgevoerd. Het is de primaire taak van de auditor om (additionele) zekerheid te bieden. 128 Afgezien van de financiële audit zijn de andere audits meestal geen standaard onderzoeken. Een certificeringsaudit is dit meestal wel. In theorie voert de financiële auditor een onderzoek uit volgens opgelegde wettelijke controle standaarden. De operationele en IT audits daarentegen zijn vaak specialistische unieke opdrachten129. Het te onderzoeken object, de te hanteren normen, alsmede de uit te voeren werkzaamheden kunnen per opdracht sterk verschillen. Bij het uitvoeren van een onderzoek is er wel een vast stramien te onderkennen dat in principe opgaat voor alle auditopdrachten:

• Vooronderzoek met een planning en analyse van de probleemstelling; • Uitvoering van het onderzoek met het veldwerk en de analyse; • Afronding van het onderzoek met rapportage en evaluatie en follow-up.

Vooronderzoek (analyse van de probleemstelling) Bij de start van de audit, in de kennisbehoefteanalyse, dient de auditor uitvoerig stil te staan bij de vraag wat de kennisbehoefte van de opdrachtgever is. Wat is voor de opdrachtgever het relevante probleem dat opgelost dient te worden? Het beantwoorden van deze vraag kan leiden tot drie wezenlijk verschillende soorten van auditvragen: probleemsignalerende audit, diagnostische audit, ontwerpgerichte audit:

a) Is er sprake van een (beheers)probleem? Wat is het probleem? Wat is de omvang van het probleem? De opdrachtgever wenst bijvoorbeeld zekerheid over de vraag of in een bepaald proces of organisatieonderdeel voldoende waarborgen zijn getroffen om de geplande doelstellingen te realiseren. Het is de meest traditionele onderzoeksvraag die wordt beantwoord door een zogenaamde probleemsignalerende audit.

b) Soms heeft de opdrachtgever een idee van de oorzaken van het probleem en wil hij

hierover zekerheid en geeft hij opdracht te geven aan de auditor om de juistheid van dit idee te onderzoeken en hierover een oordeel te geven. We spreken in dit geval van een diagnostische audit.

c) Wanneer de opdrachtgever kennis heeft van de oplossing van het probleem en dit wil laten

toetsen door een auditor, dan gaat hij aan de slag gaat met een zogenaamde ontwerpgerichte audit.

Een probleemsignalerende audit zal onderzoeksresultaten moeten opleveren die geschikt zijn voor bewustmaking, agendasetting of consensusvorming, terwijl een diagnostische audit vooral inzicht in oorzaken moet opleveren. Een ontwerpgerichte audit zal toetsten of de juiste keuzes gemaakt zijn.

Na dit vooronderzoek heeft de auditor een scherper beeld van de onderzoeksopdracht en weet hij of hij Assurance (zekerheid) moet geven of bevindingen (additionele zekerheid) over een proces of product en kan de uitvoering (planning) van het onderzoek beginnen met het opstellen van het onderzoeksplan (auditplan). Voor het beoordelen van het object van onderzoek dient de auditor te beschikken over toetsingsnormen die wettelijk (wet en regelgeving) of aangedragen (bv geformuleerd als beleid) kunnen zijn.

Risicoanalyse Bij het opstellen van het onderzoeksplan zal de operational- en IT auditor, net als de financiële auditor, gebruik maken van een vorm van risicoanalyse om het Audit Risico vast te stellen. Hiermee wordt de onzekerheid verstaan die de operational of IT-auditor (op zijn opdrachtgever) wenst te aanvaarden met betrekking tot het afgegeven oordeel. Op grond van deze analyse zal de auditor moeten bepalen welke werkzaamheden met welk intensiteit, wanneer en met welke methoden en technieken, moeten worden uitgevoerd om tot een oordeel met de gewenste zekerheid te komen. 128 Otten, J.H.M., e.a., ‘Auditmethodologie, metal-tool voor klant-gericht auditen’, (zonder jaar). 129 Norea, studierapport 2, ‘een kwaliteitsmodel voor register EDP-auditors’, (Den Haag 1997)


67

Uitvoering van het onderzoek In het begin van deze fase wordt de probleemstelling van de opdrachtgever vertaald in een opdracht, een auditplan en tijdsfasering. Het plan (raamwerk) dat zowel Operational- als ICT-auditors hanteren is het eerdere genoemde auditmodel. Hierbij wordt het onderzoek gepresenteerd als een proces van beslissingen van methodische aard gericht op het realiseren van de onderzoeksdoelstellingen. Het onderzoeksplan bestaat verder uit de auditcontext met de onderdelen: kennisbehoefteanalyse, inhoudelijke context analyse en een technische contextanalyse. Auditcontext De auditcontext kent een inhoudelijke en een technische context analyse. De aard en inhoud van de onderzoeksvraag zijn in het vooronderzoek bepaald. De auditor bespreekt met de opdrachtgever de problematiek die er speelt met bijbehorende achtergronden en andere aspecten die van belang zijn. Met een inhoudelijke contextanalyse helpt de auditor de opdrachtgever bij het formuleren van de juiste auditvraag en biedt hem de mogelijkheid tijdens de voorbereiding van de audit te adviseren over de te kiezen norm (Soll-situatie), waaraan de werkelijkheid (Ist-situatie) kan worden getoetst. De adviesfunctie van een auditor zit hierbij dus aan de voorkant. Vaak wil de opdrachtgever dat de auditor op het einde van onderzoek met adviezen komt aanzetten als vaste afsluiting van (probleemsignalerende) audits. Maar het risico hierbij is, dat de adviezen over het oplossen van geconstateerde problemen niet gestoeld te zijn op gedegen onderzoek want dat was immer niet de onderzoeksvraag. Bovendien bestaat het risico dat als gevolg van de rol en positie van de auditor een niet nader onderzochte aanbeveling als dwingend of voorschrijvend wordt opgevat. Tot slot is er een risico dat de auditor op een later moment zijn eigen adviezen gaat onderzoeken. Normen: het referentiekader Audits onderzoeken of een bestaande situatie, afgezet tegen een referentiekader, voldoen aan de gestelde eisen. Het bruikbaar maken van een referentiekader voor een audit is een creatief proces dat niet op een eenvoudige wijze procesmatig te beschrijven is. Auditors kennen op basis van eerdere onderzoeken vrij precies hoe ze normenkaders moeten toepassen en welke risicoanalyse ze moeten gebruiken op de te controleren omgeving. Archivarissen missen deze ervaring en zullen snel geneigd zijn bestaande kaders te kiezen als out-of-the-box oplossing zoals RODIN of het op TRAC gebaseerde ED3. Dat is eigenlijk weinig zinvol omdat er geen organisaties zijn die altijd dezelfde standaard informatiseringsoplossingen kiezen die getoetst kunnen worden met een universele checklist. Een certificering is weliswaar een standaardnormenkader waartegen organisaties zich kunnen laten certificeren maar certificeringsaudits zijn wat anders dan audits die assurance afgeven. Zie hierover ook hoofdstuk 3. Een auditor zal daarom altijd een referentiekader in de vorm van een samenspel met de opdrachtgever kiezen. Hierbij geldt een aantal uitgangspunten:130

1. Het referentiekader en het daarvan deel uitmakende analysemodel en de wegingscriteria komen tot stand in een samenspel tussen de leden van het onderzoeksteam en met betrokkenheid van materiedeskundigen en de opdrachtgever;

2. Het referentiekader en de uitwerking daarvan is niet het primaat van de auditor alleen. De opdrachtgever moet zich kunnen herkennen in het kader en criteria, wil het eindproduct bruikbaar zijn voor interventiedoeleinden. Daarom moet de auditor altijd een referentiekader maken dat al bij de onderzochte organisatie in gebruik is, bijvoorbeeld het INK-model of een Balanced Score Card. COSO is hierbij ook hanteerbaar;

3. Het referentiekader moet vervolgens aansluiten bij de voorlopige verkenning van de haalbaarheid en doorlooptijd van het onderzoek. Daarvoor dient het simpel en herkenbaar te zijn, zowel voor de opdrachtgever als voor het onderzoeksteam. De auditor zal ook eerder voorstellen met een vervolgonderzoek dan werken met een onoverzichtelijk (groot, complex) referentiekader;

4. Met het auditmodel kan de auditor de marsroute schematisch uitwerken van de marsroute van referentiekader tot en met resultaat van het onderzoek helpt het auditteam om zich te blijven focussen op de opdracht. In de volgende bijlage is hiervan een voorbeeld te zien;

5. Bij het maken van het referentiekader bestaat het creatieve proces eruit dat gezocht wordt naar kenmerken die net genoeg iets zeggen over het auditobject. Het valide definiëren van begrippen voorkomt in de uitvoeringsfase dat de verkeerde dingen worden gevraagd.

130 Auditdienst Financiën, kwaliteitshandboek HARo deel III (Den Haag 2005) 247.


68

Afbeelding 8 Referentiekader131 Na dit vooronderzoek gaat de auditor verder met het ontwerpen van de audit volgens een vast stramien. Het is belangrijk en verplicht dat hij hiervan een goed dossier vastlegt zodat een andere auditor later als het ware het onderzoek onafhankelijk weer uit kan voeren. Volgens de beroepsregels van de auditor moet deze andere auditor tot exact dezelfde conclusies van het onderzoek komen. Auditontwerp Het audit ontwerp bestaat uit een conceptueel en een technisch ontwerp.

Afbeelding 9 Auditraamwerk Het conceptueel ontwerp beschrijft het doel en de inhoud van de audit (het WAT) en bestaat uit: de beschrijving van de doelstelling van de audit, de nadere afbakening van het object van de audit en de beschrijving van het gehanteerde auditmodel, de auditvragen die in het onderzoek worden beantwoord en de operationalisatie van begrippen om een eenduidige interpretatie bij alle betrokkenen te waarborgen. In deze fase gaat de auditor de onzekerheden van het onderzoek in kaart brengen met de Audit Risk formule. Zijn er bijvoorbeeld verborgen agenda’s met de kans dat de audit misbruikt wordt om een bepaalde beslissing af te dwingen. Is er sprake van een slecht functionerend kwaliteitssysteem? In deze fase worden de keuze voor de methoden en technieken voor het verzamelen van gegevens tijdens de uitvoering van de audit bepaald.

131 Verschuren, P., e.a., ‘Het ontwerpen van een onderzoek’ (Amsterdam 2000).


69

Het technisch ontwerp beschrijft de wijze waarop de audit wordt uitgevoerd (HOE) en

bestaat uit: de auditstrategie, waarin beschreven wordt op welke wijze de audit zal worden uitgevoerd, het onderzoeksmateriaal waarin beschreven staat hoe benodigde gegevens worden verkregen, de wijze van verwerking van de gegevens en de organisatie en planning van de audit. Invulling en afronding van het onderzoek De auditor voert een onderzoeksopdracht uit waarin de feitelijke situatie (IST) wordt vergeleken met het analysemodel met de normen als SOLL positie. De auditor gebruikt daarvoor deze datamatrix met de onderzoekscriteria (de risico’s) die vooraf vastgesteld door de opdrachtgever. De datamatrix is een hulpmiddel om de onderzoeksuitkomsten te analyseren. De structuur van de datamatrix is afhankelijk van het toegepaste het referentiemodel/auditframework.

Afbeelding 10 Datamatrix Na invulling van datamatrix zal het onderzoek leiden nu tot een afgewogen conclusie die de auditor verwoordt in een schriftelijke rapportage. Deze schriftelijke rapportage kennen vorm vereiseten die vanuit de specifieke beroepsgroep van de auditor zijn bepaald. In een eindrapport, waarbij het stramien van het auditontwerp in hoofdlijnen doorlopen wordt, wordt de conclusie gegeven waarmee de auditor de opdrachtgever zekerheid afgeeft over het object van onderzoek. De opdrachtgever kan het rapport nu gebruiken om aan derden verantwoording af te leggen. Afhankelijk van de opdracht en complexiteit van het onderzoek kan er ook een rapportage van bevindingen worden afgegeven zonder feitelijk oordeel. Dit wordt dan het afgegeven van additionele zekerheid genoemd waarbij de opdrachtgever zelf de conclusies moet trekken van de bestaande situatie. Het onderzoek eindigt met een evaluatie zodat men op grond van opgedane ervaringen lering kan trekken voor de toekomst. Gedurende het onderzoek is er een dossier aangelegd. Na de fase evaluatie wordt het dossier gesloten. Onderzoeksmiddelen van de auditor Het auditplan geeft richting aan de verzameling van gegevens. Hierbij kunnen de volgende ontsluitingstechnieken worden gehanteerd. Interviews Interviews zijn vaak een belangrijke methode om informatie te krijgen. Een interview is een gesprek waarin de auditor met een of meerdere personen spreekt om informatie te verzamelen. Er zijn diverse vormen van interviews. Zo kan het interview worden gehouden met één persoon of met een groep mensen. Daarnaast kunnen interviews verschillen in de mate van gestructureerdheid: de mate waarin de te stellen vragen en antwoordmogelijkheden vooraf zijn bepaald. Er zijn verschillende vormen van interviews. Hier wordt onderscheid gemaakt tussen ongestructureerde (open, semi-gestructureerd) en gestructureerde interviews. Het onderscheid is gebaseerd op het verschil in de mate waarin de vragenlijst voor het interview en de daarbij behorende antwoordmogelijkheden zijn gestructureerd en gestandaardiseerd. De interviews kunnen mondeling of telefonisch worden afgenomen. Open en semi-gestructureerde interviews vinden gewoonlijk mondeling plaats omdat, vooral in een persoonlijk gesprek, mogelijkheden bestaan om uit te wijden en door te vragen.


70

Enquête Een enquête is een manier van onderzoek doen waarbij de auditor een vragenlijst aan meerdere personen voorlegt. De vragenlijst van een enquête bestaat meestal grotendeels uit gesloten vragen (uitputtend aantal antwoordcategorieën). Door middel van open vragen kan personen de gelegenheid worden geboden hun persoonlijke mening te verwoorden of een toelichting te geven. De auditor kan de enquête schriftelijk, telefonisch en online afnemen. De auditor legt de resultaten van de enquête vast in de datamatrix (zie Bijlage V Format audit-ontwerp, pagina 9). De auditor neemt verder ook de procedure, overwegingen en werkzaamheden rond de enquête op in het auditdossier. Documentonderzoek Documentonderzoek (ook wel: desk research) vormt over het algemeen een standaardonderdeel van een opdracht waarmee de auditor informatie vergaart om de datamatrix te vullen. Bij documentonderzoek kan ook gebruik gemaakt worden van een statistische steekproef. Welke documenten de auditor onderzoekt, hangt uiteraard af van de aard van de opdracht. Dit is al bij het opstellen van de bronnenmatrix bepaald. Belangrijke overwegingen daarbij zijn de bewijskracht van een document. De auditor hoeft niet de authenticiteit van een document vast te stellen. De auditor beoordeelt wel de betrouwbaarheid van de informatie in het document door bijvoorbeeld naar de bron van de informatie te kijken (gerenommeerde instantie als het CBS of afkomstig uit een betrouwbaar informatiesysteem). Indien dit van belang is, beoordeelt de auditor ook de beheersingsmaatregelen bij de totstandkoming van het document. Workshops Een ander instrument dat een auditor tijdens zijn onderzoek kan inzetten om informatie te verzamelen, is de workshop. Workshops kunnen dus worden ingezet in iedere fase van een opdracht (intake, vooronderzoek, veldwerk, analyse en rapportage). Workshops kunnen bijvoorbeeld worden ingezet om de onderzoeksvraag helder te krijgen, assurance-informatie te verkrijgen of de resultaten van het onderzoek te bespreken. De auditor kent diverse technieken afhankelijk van het type audit. Zogenaamde Control Risk Assessments waarbij een groep deelnemers zelf de risico’s van een proces benoemen en daarbij gefaciliteerd worden door de auditor, worden het meest gebruikt. Bij een brainstormsessie dienen de volgende spelregels in acht te worden genomen: 1. Het probleem is vooraf goed beschreven, met zo mogelijk nadruk op een specifiek aspect. 2. Ideeën kunnen vrijelijk worden geuit en worden niet ter discussie gesteld. 3. Ook onuitgewerkte ideeën mogen worden geuit. 4. Voorkomen moet worden dat dominante groepsleden de boventoon voeren. 5. Er moet een lijst worden bijgehouden met alle suggesties. Observaties Door middel van observatie kunnen gegevens verkregen worden over het verloop van een bepaald proces. Gevaren hierbij liggen in het subjectieve karakter van deze waarnemingen (bijvoorbeeld vanwege onvoldoende bekendheid met het onderwerp) plus in de interpretatie van wat wordt waargenomen (bijvoorbeeld vanwege onbekendheid met de context van een bepaalde waargenomen gebeurtenis). Om het effect van deze gevaren te neutraliseren moet het aantal waarnemingen groot zijn en kan het resultaat voorgelegd worden aan deskundigen. Observatie kan uitkomst bieden wanneer geen andere gegevensbronnen over het onderwerp beschikbaar zijn. Oordelen/bevindingen van derden Er kan ook gesteund worden op Assurance rapportages van derden indien het onderzoek zich mede uitstrekt over activiteiten die bij derden plaatsvinden (bv bij uitbesteding). Daarbij de certificeerde auditor, volgens hun beroepsgroep verplicht informatie uit te wisselen. Benchmarking Benchmarking is het vergelijken van meetwaarden van dezelfde prestatie-indicatoren in vergelijkbare omstandigheden, maar binnen verschillende situaties of organisaties (uit dezelfde branche). Auditors kunnen de resultaten van hun onderzoeken bijvoorbeeld gebruiken om te bepalen welk prestatieniveau verschillende IT-objecten kunnen halen. Bovendien is het met behulp van benchmarking mogelijk om vast te stellen in hoeverre bepaalde dienstverlening voor verbetering vatbaar is. Certificering Een certificaat is een kort en gestandaardiseerd product. Een audit die zekerheid verschaft dient altijd door een gecertifieerde auditor (RA, RE of RO) te zijn ondertekend. Een certificatie-instelling


71

dient geaccrediteerd te zijn door de Raad voor de Accreditatie die toezicht houdt op het goed functioneren van de certificatie-instellingen in Nederland. Er zijn ook adviesbureaus die dit te bureaucratisch vinden en zelf op ISO gebaseerde verklaring geven aan een archief vormende organisatie ten aanzien van de kwaliteit van informatiehuishouding. Daarbij wordt ook een eigen type certificaat (pre-audit verklaringen) bedacht als kwaliteitsuiting.132 Hiermee ontstaat veel begripsverwarring over de inhoud, toepassing en geboden zekerheid door certificering133. Aangezien er zoveel certificeringen zijn, is het niet denkbeeldig dat ze verworden zijn tot een gemeengoed. Certificering legt tijdelijk ook een behoorlijke druk op de organisatie. Wanneer het certificaat binnen is, is niet ondenkbeeldig dat de organisatie even op haar lauweren gaat rusten. Certificering op basis van audits wordt gezien als één van de belangrijkste elementen in het onderbouwen van de ‘geloofwaardigheid’ van digitale depots en hun inhoud gezien.134 Archivarissen ontkomen niet aan de plicht om de integriteit van de onder hen berustende digitale archieven permanent te laten auditen: waarborgen, waarborgen, waarborgen. Audit en certifiëren helpen hem daarbij. Maar certificering en audits zijn twee verschillende dingen. Certificering kan gesteund worden door audits wanneer de normen en werkingsperioden overlappend zijn. Maar wanneer audits moeten steunen op certificering van bijvoorbeeld een e-depot inrichting (DataSeal of Approval), dan gelden er beperkingen. Dergelijke certificeringen worden vaak driejaarlijks uitgevoerd. Het kan onduidelijk zijn welke normen in een specifiek jaar zijn geraakt. Bovendien worden niet alle normen of maatregelen ieder jaar met voldoende waarnemingen onderzocht. Beter is dat een instelling een kwaliteitsafdeling heeft die een continue doorlopende interne auditcyclus hanteert op basis van het COSO volwassenheidsmodel van interne beheersing en daarbij de digitale archieven betrekt. In de IT-Outsourcingbranche dienen de klanten te betalen voor gevraagde certificeringen. Een certificering zegt alleen dat het managementsystemen in control is en niet zozeer de beheersingsmaatregelen zelf. Een certificeringssaudit bevat geen beschrijvingen van tekortkomingen in tegenstelling tot een auditrapport.

132 zie http://www.vbds.nl/toetsen/, 25-05-2015. 133 Koorn, R.F., ‘IT-Assurance versus IT-certificering’ (zonder jaartal). 134 Boudrez, F., ‘Digitale depots in Nederland’, in: Het E-depot als avontuur (2010). 2010, 12.


72

11 Bijlage Het uitvoeren van een audit: een praktijkvoorbeeld Inleiding Casus EDS Deze bijlage is een praktische invuloefening van het hoofdstuk Methoden en Technieken Auditing. Als experiment is een digitaal archief systeem gekozen dat geïmplementeerd is bij een fictieve archiefbeherende organisatie.

Deze notitie is het plan van aanpak van de audit procesinrichting van het digitaal archief systeem EDS van de organisatie Tabellarum. Hoewel dit rapport door het bedrijf Archief Audit & Certifering (AAC) is opgesteld is het mogelijk dat deze audit, in deelaspecten of in zijn geheel, door een derde partij zal worden uitgevoerd. De AAC onderzoeksorganisatie zal vanuit haar expertise onderzoeken hoe de afdeling EDV in de functie van archiefbeheerder van de organisatie Tabellarum waarborgt dat digitale archieven juist en volledig worden opgeslagen in EDS ten behoeve van latere raadpleging dan wel voor procedures waarin kan worden aangetoond dat de digitale archieven en bijbehorende records in ongewijzigde vorm zijn gebleven. Mede gezien de taak van de AAC omtrent het beoordelen van de betrouwbaarheid van de gegevens in EDS geeft AAC hier invulling aan door op hoofdlijnen de inrichting en beheersing van het EDS informatiseringsproces en de daarbij gebruikte programmatuur te beoordelen en te adviseren over mogelijke verbeteringen hierin. De uitingen van AAC zijn niet bedoeld voor het externe maatschappelijke verkeer maar voor het management van de organisatie Tabellarum. Deze organisatie is onderdeel van het Ministerie van Informatie. In dit plan van aanpak wordt het ontwerp van de audit weergegeven en toegelicht. Na een korte omschrijving van de aanleiding en context van de audit (paragraaf 6.1) wordt het auditontwerp in 2 delen beschreven, te weten het conceptueel ontwerp en het technisch ontwerp. Het conceptueel ontwerp beschrijft het doel en de inhoud van de audit (het 'wat') en bestaat uit:

• de beschrijving van de doelstelling van de audit; • de nadere afbakening van het object van de audit en de beschrijving van het gehanteerde

auditmodel; • de auditvragen die in het onderzoek worden beantwoord; • de operationalisatie van begrippen, om een eenduidige interpretatie bij alle betrokkenen te

waarborgen.

Het technisch ontwerp beschrijft de wijze waarop de audit wordt uitgevoerd (HOE) en bestaat uit: • de auditstrategie, waarin beschreven wordt op welke wijze de audit zal worden

uitgevoerd; • het onderzoeksmateriaal, waarin beschreven staat hoe benodigde gegevens worden

verkregen; • de wijze van verwerking van de gegevens; • de organisatie en planning van de audit.

Dit auditmodel is bedoeld om de kennis en opvattingen van tevoren te expliciteren en vormt een referentiekader voor de resultaten die met de audit worden verkregen. Het maakt een zinvolle selectie mogelijk en is een leidraad bij het kiezen van relevante aspecten uit een complexe werkelijkheid. Het biedt de mogelijkheid verantwoording af te leggen over de inhoudelijke benadering. Het voorkomt miscommunicatie tussen auditor, opdrachtgever en auditee. Het voorkomt miscommunicatie tussen de leden van het auditteam.


73

De auditcontext Teneinde in staat te zijn de doelstelling en de afbakening van de audit goed te bepalen alsmede risico's voor de uitvoering te onderkennen, is het kader waarbinnen de audit zich afspeelt nader in kaart gebracht. Hiertoe is een kennisbehoefteanalyse alsmede een inhoudelijke en een technische verkenning uitgevoerd. Kennisbehoefte Binnen de afdeling Technologie (waar de dienstverlening van het digitaal archief is ondergebracht) van de organisatie Tabellarium is behoefte aan een jaarlijkse toets van een deel van haar processen. Doel van de toetsing is additionele zekerheid te verschaffen dat het proces van archiveren met de records, welke in het informatiesysteem EDS (E-depot Systeem) zijn opgeslagen, voldoen aan de daaraan gestelde (wettelijke) eisen135 zodat de kwaliteit van archivering niet door derden in twijfel getrokken kan worden. Hiervoor is een onafhankelijk en onpartijdig kwaliteitstoetsend oordeel nodig. Op basis van de eventuele aanbevelingen kan de afdeling EDV het proces herijken en verbeteringen aanbrengen. Inhoudelijke verkenning Records die bij de organisatie binnenkomen hebben veelal een (fiscaal) juridische verantwoordingwaarde. Dit betekent dat er eventueel, zelfs na verloop van langere tijd, op teruggevallen moet worden omdat ze in een straf - of fiscaaljuridische "zaak" nodig zijn als bewijsmateriaal. Dit is de reden waarom deze (bron-) documenten op een dusdanig wijze gearchiveerd moeten worden dat de betrouwbaarheid (exclusiviteit, integriteit en controleerbaarheid) niet in twijfel getrokken kan worden. Deze stukken zijn niet-openbaar en alleen door de klanten zelf op te vragen. Daarnaast bevat het EDS records die duurzaam bewaard dienen te blijven vanwege de historisch maatschappelijke waarde. Deze stukken zijn openbaar en voor het gehele publiek toegankelijk. EDS is een Nederlandse generieke oplossing voor een digitaal duurzaam archief, waarop klantsystemen kunnen aansluiten die voldoen aan de eisen gesteld vanuit EDS. Vanwege het feit dat nog niet alle Record Management Systemen (RMS) van de klanten voldoen aan de gestelde eisen zal EDS zich alleen richten op de door de organisatie ontvangen ongestructureerde records. Het EDS maakt gebruik van bestaande ICT infrastructuur van de organisatie en volgt de daarvoor geldende exploitatie en beheerprocessen. Het proces archiveren van EDS documenten kent zes deelprocessen: 1. Het centrale ontvangstproces. Hierbij wordt het archiefmateriaal opgenomen en in pakketten

aangeboden (Ingest). 2. Het opslaan van het archiefmateriaal (Archival Storage); 3. Het beheer van de metadata van archiefmateriaal (Data Management); 4. Administration: het beheer van het e-depot systeem; 5. Het plannen van de duurzame bewaring van archiefmateriaal (bijv. door tijdige conversie naar

nieuwere bestandsformaten (Preservation Planning); 6. Het verlenen van toegang tot archiefmateriaal (Access). In de voorfase bestaat er nog een Pre-Ingest fase waarbij in overleg met de klanten records uit het Record Management Systeem klaar worden gezet voor overdracht. Er worden hiertoe haalbaarheidsanalyses uitgevoerd conform de aansluitvoorwaarden van de EDV afdeling. Ook wordt hierbij het archiefregime van de klant geanalyseerd. De volgende figuur geeft het contextdiagram voor de betrokken partijen weer.

Tabel 5 Het OAIS functioneel model

135 Als leidraad wordt genomen: NEN-ISO 15489-1 (nl) Informatie en documentatie - Informatie- en archiefmanagement - Deel 1: Algemeen (ISO 15489-1:2001, IDT), november 2001

SIP is de Submission Information Package, de aangeboden records AIP is de Archival Information Package, de opgenomen records DIP is de Dissemination Information Package, de uitgevraagde records


74

In de volgende tabel worden respectievelijk de actoren en de relaties ertussen beschreven. Actor Omschrijving Producer (Aanbieder)

Dit zijn de klanten die verantwoordelijk zijn voor het aanbieden van het digitaal archief met de metagegevens van de bijbehorende records plus de bijbehorende logistieke en juridische meta-gegevens van de aanbieding van het digitaal archief zelf.

Afdeling Informatiebeleid & Dienstverlening

Deze afdeling heeft de functie om alle benodigde activiteiten te ondernemen in het ontvangstproces van het digitale archiefdocument (data object), tot en met het gereed maken van de AIP ter archivering. In deze fase worden via checksums, viruscontrole, e.d., gecontroleerd of de aangeleverde SIP’s correct overgebracht zijn. Tevens vindt er controle plaats of de SIP exact overeenkomt met de afspraken uit het Submission Agreement. Vervolgens wordt er op basis van een of meer SIP’s, een AIP aangemaakt. In principe is de AIP dan gereed voor invoer in de Archival Storage, maar voordat dit gebeurt, zal de functie Administration de AIP nog op correctheid en volledigheid controleren.

Afdeling Digitale Archivering & Infrastructuur

Datamanagement verzorgt de beheersing van de Information Packages. Feitelijk betreft het hier het databasemanagement systeem van de archiefapplicatie zelf en alle administratieve afhandelingen van informatieverzoeken en het bewaken van de interne integriteit van de Information Packages. Het functioneel beheer is bij deze afdeling ondergebracht.

Afdeling Collectie & Beheer

Administration betreft de beheersing en dienstverlening omtrent het dagelijks beheer van de archiefbeherende organisatie. Administration regelt alle afspraken rondom het leveren van records door Producers aan het OAIS-archief over toegangsrechten, monitoring, interne controles, en preservationrechten. De Preservation Planning-functie betreft de lange termijnbeheersing van het OAIS-archief en waarschuwt, op basis van de verkregen informatie, andere onderdelen van het OAIS-archief om tijdige migratie maatregelen te ondernemen. Een belangrijk terrein daarbij is de Designated Community. De wereld van de Consumer en van de Producer van informatie zal tijdens het bestaan van het OAIS-archief voortdurende veranderen. Het OAIS-archief moet op deze veranderingen inspelen, anders kan het zijn missie niet vervullen. Het tweede aspect van Preservation Planning is het bijhouden en reageren op technische vernieuwingen. Door de snelle ontwikkelingen in file formaten, software en hardware bestaat het risico dat het OAIS-archief door onkunde en onwetendheid de aansluiting op deze ontwikkelingen mist. De Preservation Planning-functie is ook verantwoordelijk om periodiek een risico-inventarisatie te doen en de resultaten daarvan door de sturen naar de afdeling Administration136.

Afdeling Informatie Assurance

Deze afdeling stelt voor alle afdelingen de eisen op waaraan de interne controle moet voldoen. Een van de controle s is bijvoorbeeld het monitoren van het afhandelingsproces met de Producers. Verder verzamelt men alle bestuurlijke informatie en organiseert ook audits binnen de organisatie WBHW.

136Sierman B., ‘Het OAIS-model, een leidraad voor duurzame toegankelijkheid’, in: Informatiewetenschap (2012) IV B 690 (Amsterdam 2012) 22.


75

Actor Omschrijving Afdeling Informatie & Communicatie Technologie

Dit is technisch beheerder. Deze is verantwoordelijk voor het beheer en de exploitatie van de applicatie(s) en de infrastructuur die het proces van het opslaan (‘archiveren’) en de “technische” administratie ervan, ondersteunen. Onder “technische” administratie moet worden verstaan, de administratie waaruit blijkt op waar en op welk medium documenten zijn gearchiveerd. Deze afdeling, onderdeel Archival Storage, verzorgt de beheersfuncties voor de permanente opslag van de AIP’s die het Ingest proces binnen komen. Tevens verzorgt het de duplicaten van AIP’s, die als een informatie verzoek via de Access-functie binnen komen en daarna als DIP aan de Consumer worden geleverd. Archival Storage regelt ook de fysieke opslag van de AIP’s via backups en uitwijkvoorzieningen

Afdeling Publieke Dienstverlening

Deze afdeling verzorgt de toegankelijkheid (Access-functie) van de opgeslagen informatie uit het EDS ten behoeven van de gebruikers. Richting betrokkenen uit het primaire proces die, mits geautoriseerd, archiefbescheiden uit EDS mogen het DM opvragen. De afdeling handelt de informatieverzoeken af. De belangrijkste klant zal de Consumer zijn uit de Designated Community, die informatie opvraagt. Vaak zal een OAIS-archief diverse varianten DIPs ontwikkelen om aan verschillende behoeften tegemoet te komen. Bijvoorbeeld om alleen de metadata te tonen, of het record in meer varianten te laten zien. Ook de toegangsrechtenafspraken die met de Producer gemaakt zijn, wordt door Access verzorgd. Waar nodig, regelt de Access-functie ook de financiële afhandeling van de informatieverzoeken in samenspraak met de afdeling Administratie. Dit is bijvoorbeeld het geval wanneer de consumer data-analyse ondersteuning nodig heeft.

Een jaarlijkse audit moet inzage geven in hoeverre de actoren conform de gekozen leidraadnorm het archiveringsproces van EDS beheersen. Technische verkenning De technische verkenning onderzoekt de stimulerende en belemmerende factoren voor de uitvoering van de audit. Daarbij is middels een krachtenveldanalyse gekeken naar de 'technische' haalbaarheid van de audit alsmede naar mogelijke organisatorische culturele aspecten. De belangrijkste factoren zijn weergegeven in onderstaande figuur. Remmende factoren Audit-moeheid Terughoudendheid in

antwoorden omdat het bedreigend wordt ervaren

Weinig bereidheid medewerking aan audit wegens werkdruk

Zowel de afdeling EDV als de audit organisatie doen 'zoekende en proberende' kennis op

Onervarenheid en ontbrekende proceskennis bij managers waardoor hun inzicht onvoldoende is

Ondersteuning management Organisatie

Ondersteuning van het centraal management

Taken laten prioriteren door management

Joint audit combinatie auditors + archief deskundigen

Enthousiasme auditors

Stimulerende factoren Om de remmende krachten zoveel mogelijk op te heffen, worden de volgende maatregelen getroffen:

1. Uitleg geven over de aanpak en de visie daarachter aan (alle) contacten; 2. Management het belang van de audit en de wenselijkheid tot medewerking laten

communiceren richting contacten binnen de audit; 3. Onderzoeksmethode kiezen waarbij in relatief korte tijd informatie kan worden ingewonnen

door te steunen op reeds uitgevoerde controles van de EDV afdeling.


76

I Conceptueel Ontwerp De auditdoelstelling Centraal staat de vraag "Voldoet het proces van ordening, opslag en bevoegdheden ten aanzien van het beheer van EDS documenten aan de normen welke als leidraad in NEN-ISO 15489137 zijn vastgelegd. De doelstelling van deze audit is: Aantoonbaar maken dat de organisatie het proces van ordening, opslag en bevoegdheden ten aanzien van het beheer van EDS archiefbescheiden beheerst. Hierbij moeten de verantwoordelijkheden vastgesteld worden met betrekking tot archiefbescheiden en archiefbeleid, procedures, systemen en processen. De afdeling EDV dient beleid procedures en praktijken voor het archiefsysteem EDS op te stellen, te documenteren, te onderhouden en bekend te maken. De onderzoeksvragen zijn of de beheersmaatregelen effectief en efficiënt worden uitgevoerd en hoe de betrouwbaarheid (exclusiviteit, integriteit en controleerbaarheid) en beschikbaarheid van de EDS records worden gegarandeerd. Het auditmodel Het auditmodel beschrijft de wijze waarop de doelstelling van de audit dient te worden bereikt. Hierbij wordt nader ingegaan op de nadere omschrijving (afbakening) van het object, de onderzoeksoptiek (ofwel de wijze waarop het object zal worden beoordeeld, de beoordelingscriteria die worden gehanteerd) en de referentiemodellen die zijn gebruikt om die optiek te vormen. Afbakening auditobject Er zal een keten van audits nodig zijn om de betrouwbaarheid van de betreffende archiefdocumenten vast te kunnen stellen. In een eerste audit zal het archiefproces met EDS als architectuur en applicatie centraal staan. Hiertoe moeten de verantwoordelijkheden voor de EDS applicatie beoordeeld worden met betrekking tot archiefdocumenten en archiefbeleid, procedures, systemen en processen volgens de aandachtsgebieden (auditvariabelen) van de NEN-ISO 15489 leidraad. In een volgende fase zullen de IT systemen, die in de keten tot aan aflevering aan EDS, verantwoordelijk zijn voor de ontvangen archiefdocumenten, deel uitmaken van een systeemaudit. Per systeem zal hiervoor een apart auditplan ontworpen worden vanwege de specifiek technische kenmerken. Deze deelaudits betreffen de ketensystemen, de systemen in de poort van de organisatie en de koppelinformatiesystemen voor zover zij betrekken hebben op EDS. Zij voorzien immers in transport en een tijdelijke opslag van de archiefdocumenten. Data wordt indien nodig geconverteerd naar een ander formaat, van papier naar image en van pdf naar xml. Deze systemen moeten daarom eveneens periodiek beoordeeld worden aan de gestelde volledigheidseisen. In een andere deelaudit zal op basis van een maandelijkse steekproef de volledigheid en juistheid worden vastgesteld van de records in EDS. De resultaten van de volledigheidseisen uit de huidige middelensystemen dienen hierbij als referentie. Met het uitvoeren van deze deelaudits kan gesproken worden van een zogenaamde gecertificeerd traject van ontvangst van de records via het Ingest trace tot aan de opslag in de EDS applicatie. Buiten het aandachtsgebied van deze audits vallen expliciet: • De pre-ingest fase want herin zitten werkzaamheden die buiten de organisatie vallen; • De proces- en tussenresultaten van de processen buiten de afdeling EDV; • Aanleveringen die niet binnenkomen bij de afdeling EDV; • De volledige uitslagprocessen bij het 'generiek archief'; • Het archiveren van fysieke records en gegevensdragers.

Contextdiagram Dit auditplan gaat alleen over de beheersing van de records en metadata in relatie tot het archiveringsproces en de functionaliteiten zoals in OAIS benoemd zijn en de NEN-ISO 15489 als leidraad.

137 Deze norm biedt een breed geaccepteerd kader, waarop (overheids)organisaties archiefwettelijke basisregels kunnen vertalen naar de praktijk.


77

Tabel 6 Contexdiagram

Visualisatie auditmodel Het auditmodel dat voor deze audit is ontwikkeld, is weergegeven in onderstaande figuur. Links zijn de diverse referentiemodellen weergegeven. Hieruit zijn de auditvariabelen afgeleid en zullen de criteria afgeleid worden waartegen de onderscheiden objecten van de audit zullen worden beoordeeld. De confrontatie van de auditoptiek en het auditobject leidt tot antwoord op de centrale auditvraag.

Hierna worden de ingrediënten en de auditoptiek nader toegelicht. De auditoptiek wordt nader uitgewerkt in een nadere beschrijving van de auditvariabelen en de beoordelingscriteria die uit het model kunnen worden afgeleid.

Tabel 7 Visualisatie Auditmodel archiveringsgproces EDS

Producer

Consumer

Queries

Results sets

Orders

Submission Information Packages

Dissemination Information Packages

OAIS

Archival Information

Packages


78

Referentiemodellen Om de beoordelingscriteria voor de audit te bepalen zijn de volgende 'ingrediënten gebruikt: relevante wetgeving zoals de Archiefwet 1995 en Archiefregeling, ontwerpdocumenten van het informatiesysteem EDS en internationale standaarden. De belangrijkste eisen uit deze referentiemodellen zijn dat de blijvend te bewaren informatie vindbaar, authentiek en leesbaar moet zijn en blijven. Voor digitale archiefbescheiden gelden extra eisen. Het gaat dan onder meer om het vastleggen van technische gegevens over conversie, migratie en opslagformaten. Vooral de NEN-ISO 15489 is als leidraad belangrijk omdat deze internationale norm voor informatie- en archiefmanagement een algemeen geaccepteerd kader biedt, waarop organisaties hun informatiehuishouding kunnen baseren. De basisregels uit de norm lenen zich echter niet voor een directe beoordeling en moeten worden vertaald naar de bedrijfsomgeving van de organisatie. Auditoptiek (beoordelingscriteria) Auditoptiek De auditoptiek beschrijft de wijze waarop in het onderzoek naar het betreffende object wordt bekeken. Per auditvariabele zijn concrete beoordelingscriteria en onderzoeksvragen geformuleerd, zodanig dat zowel de 'inhoudelijke kwaliteit' als de onderlinge consistentie tussen de diverse auditvariabelen wordt getoetst. Voor de opzet van de beoordelingscriteria is gebruikgemaakt van ISO 15489 als leidraad. Authenticiteit is een kernbegrip bij het bewaren van documenten. Dit wordt gewaarborgd wanneer er voldaan is aan de volgende kwaliteitscriteria van betrouwbaarheid en beschikbaarheid: Kwaliteitsattribuut Beoordelingscriteria Exclusiviteit Er wordt gekeken naar de mate waarin bevoegdheden tot toegang en gebruik

van de EDS gegevens zijn vastgesteld, zo nodig zijn beperkt en gehandhaafd. Integriteit Er wordt gekeken naar de integriteit van de gegevens na verwerking door het

systeem, waarbij gedacht wordt aan juistheid, actualiteit en volledigheid ervan. Controleerbaarheid Er wordt gekeken naar de controleerbaarheid van de gegevens en in verband

daarmee de mogelijkheid tot controle op een doorzichtigheid van het proces van de gegevensverwerking.

Continuïteit Er wordt gekeken naar de beschikbaarheid van de gegevens en in verband daarmee de mogelijkheid uit te sluiten dat bij calamiteiten de gegevens verloren gaan.

De vraagstelling(en) en operationalisatie Auditvariabelen Auditvragen Wettelijke context Wordt er met EDS voldaan aan de relevante wettelijk aspecten? Beleid en Verantwoordelijkheden

Zijn de maatregelen en procedures voor EDS door het management voldoende vastgesteld, gedocumenteerd, onderhouden en verspreid?

Eisen aan informatie- en archiefmanagement

Zijn de eisen aan het informatie- en archiefmanagement van EDS ter waarborging van de betrouwbaarheid en continuïteit van de archiefbescheiden in het archiveringsproces opgenomen?

Ontwerp en implementatie

Voldoen de ingebouwde controles in het EDS systeem of daarbuiten geïmplementeerd aan de kwaliteitseisen betrouwbaarheid en beschikbaarheid?

Processen en controles van informatie- en archiefmanagement

Zijn de archiefspecifieke maatregelen en procedures (bestuurlijke informatie) voor EDS door de archiefverantwoordelijke van het management voldoende vastgesteld, gedocumenteerd, onderhouden en verspreid?

Toezicht en controle

Is er een verslag waaruit blijkt dat er toezicht wordt uitgevoerd of regelmatig voldaan wordt aan de gestelde eisen om te garanderen dat de procedure en processen in EDS zijn geïmplementeerd overeenkomstig de beleidslijnen en eisen van de organisatie?

Concretisering (operationalisatie) begrippen EDS is het digitaal archiefsysteem en doelt op de samenstelling, omvang en werking van het informatiesysteem dat de organisatie hanteert zodat digitale archiefbescheiden in goede en geordende staat zijn en blijven.


79

Auditrail138 is de relatie die gelegd moet kunnen worden tussen het opgeslagen metagegeven en het daaraan ten grondslag liggende gegeven, meestal een record basisdocument. De audittrail bij EDS wordt gerealiseerd door het gebruik van mutatieverslagen uit de Ingestfase , het opnemen van herkomstinformatie bij het opgeslagen gegeven, bewaarde mutatiehistorie, bewaren van de bron records. De audittrail is gericht op de controleerbaarheid van EDS teneinde de integriteit te verhogen. II Technisch ontwerp Hiervoor is het conceptueel of inhoudelijk model van de audit beschreven. Vanaf nu wordt ingegaan op het technisch ontwerp ofwel het ontwerp van de wijze van uitvoering van de audit. Achtereenvolgens komen aan de orde: • de auditstrategie; • het auditmateriaal; • de gegevensverwerking; • de organisatie van de audit; • de planning. Auditstrategie Voor de strategie van deze audit is gekozen voor een surveyonderzoek. De reden hiervoor is dat een surveyonderzoek de onderzoekers in staat stelt om in de breedte, systematisch en empirisch te werk te gaan. Breed omdat we middels gestandaardiseerde normenkaders specifieke processen van de organisatie rond het EDS beheer willen onderzoeken; Systematisch, omdat we een totaalbeeld willen krijgen van de diverse hard en software componenten in de keten. Empirisch, omdat we onze bevindingen ook baseren op de empirie van het interview door proceseigenaren en systeembeheerders te interviewen. Andere strategieën zouden niet op dezelfde manier als een surveyonderzoek de mogelijkheden bieden om tot een goed antwoord op de onderzoeksvragen te komen. Zo kijkt een casestudy te veel in de diepte, met veel nuances en veel documentenonderzoek. Groot empirisch onderzoek om een goed beeld van de praktijk te verschaffen is onwenselijk. Een experiment is niet mogelijk omdat we hier niet te doen hebben met een onderzoek waarbij variabelen kunnen worden gewijzigd, maar waar de hoofdvariabelen vaste archivistische structuren omvatten en dus niet als in een experiment kunnen worden veranderd. Er is ook geen sprake van een gefundeerde theoriebenadering. Tenslotte is een bureauonderzoek ook geen optie omdat in deze vorm de empirie buiten beschouwing blijft. De kern van dit surveyonderzoek zal bestaan uit analyse van gegevens die verkregen zijn uit belangrijke documenten zoals de Definitiestudie en het Basisontwerp van EDS, de procesdocumenten van de functioneel beheerder van EDS (afdeling EDV) en de technische beheerders bij de ICT organisatie en interviews met specifieke betrokkenen. Auditmateriaal Het doel van deze fase van het onderzoek is een keuze te maken voor relevant onderzoeksmateriaal dat nodig is voor deze audit. Inzicht wordt verkregen middels:

1. De inrichting van de huidige Administratieve Organisatie en de uitkomsten van Interne Controle in het archiveringsproces van EDS.

2. De uitkomsten van de huidige controleprogramma's van de IAA in de EDS informatie keten. 3. De uitkomsten van de integriteitsonderzoeken bij de betrokken EDS Organisatie eenheden. 4. De uitkomsten van (reeds uitgevoerde) individuele technische audits op de hardware en

software componenten uit de keten. 5. De uitkomsten van de audits welke in het kader van de General Controls op de ICT wordt

uitgevoerd ten behoeve van de jaarrekeningcontrole worden uitgevoerd. 6. De ontwerpdocumentatie van EDS over de in opzet genomen maatregelen en ingebouwde

systeem controles. 7. Nieuw op te stellen documentatie. 8. Interviews met betrokken functionarissen.

Organisatie van de audit De audit zal uitgevoerd worden door de volgende auditoren van de IAA • De hr. Drs. R. van der Steen RE (projectleider) 138 Uit: De EDP-Auditor, nummer 2, 1996


80

• Een nog aan te wijzen Archivaris • Eventuele extra auditors. Planning Dit plan van aanpak is het resultaat van de voorbereiding van de audit. Voordat gestart wordt met de uitvoering van de audit zal het plan van aanpak met het auditontwerp ter accordering worden voorgelegd aan de opdrachtgever het Nationaal Archief. Doel is in de maand juni 2015 de procesinrichting van het EDS conform de leidraad NEN-ISO 15489 te hebben getoetst. De aanvullende technische audits zullen hierna in de tweede helft van 2015 volgen. Ervaringen uit de eerste deelaudit kunnen ertoe leiden dat dit Plan van Aanpak procesinrichting EDS en het normenkader zal worden bijgesteld. Gegevensverwerking [Hieronder wordt vervolgens het werkprogramma weergegeven]. Dit is de invulling Normenkader NEN-ISO 15489 (de zogenaamde SOLL) afgezet tegen de gevonden bevindingen in de organisatie (IST). Dit wordt in het auditmodel in de vorm van een datamatrix geschetst. De beoordelingscriteria zullen hierin worden gerubriceerd naar de auditvariabelen ten einde een antwoord te geven op de onderzoeksvraag. Normen Bevindingen KC139 Evaluatie Ak140 Wettelijke context

- Archiefwettelijke eisen - Openbaarheidseisen - Auteursrechtelijke eisen - . etc

Beleid en Verantwoordelijkheden . etc

ETC

139 Te hanteren kwaliteitscriteria: Exclusiviteit, Integriteit, Controleerbaarheid en Continuïteit. 140 Voldoet aan de norm: Ja of Nee.


81


82

12 Bijlage beroepscode voor archivarissen141 1. De archivaris dient de integriteit van het archiefmateriaal te beschermen en zo te garanderen dat het een betrouwbare getuigenis van het verleden blijft. De voornaamste taak van de archivaris bestaat uit het bewaren van de integriteit van de aan hem toevertrouwde archiefbestanden. Bij het vervullen van deze taak dient te worden gelet op de legitieme, maar soms tegenstrijdige rechten en belangen van werkgevers, eigenaars, personen die in de stukken worden genoemd en voormalige, huidige en toekomstige gebruikers. De objectiviteit en de onpartijdigheid van de archivaris zijn een maatstaf voor zijn vakbekwaamheid. Hij dient elke druk -van wie of waar dan ook- te weerstaan om gegevens te manipuleren met de bedoeling feiten te verbergen of te verdraaien. Integriteit in een digitale wereld 2. De archivaris dient het archiefmateriaal te selecteren en te bewaren in zijn historische, wettelijke en administratieve context en, onder handhaving van het herkomstbeginsel, de oorspronkelijke verhouding tussen de documenten te bewaren en zichtbaar te maken. De archivaris dient te handelen volgens de algemeen aanvaarde archivistische principes en praktijk. De archivaris dient zijn plichten en taken te vervullen overeenkomstig de principes van de archivistiek met betrekking tot de archiefvorming, de behandeling en de overbrenging van dynamisch en semi- statisch archief -met inbegrip van elektronische en multimedia archieven- de selectie en de acquisitie tot permanente bewaring, de beveiliging, de bewaring en conservering en het ordenen, beschrijven, bekend en toegankelijk maken van het hem toevertrouwd archief. De archivaris dient de archiefbescheiden op een onpartijdige wijze te selecteren op basis van een grondige kennis van de eisen en van het acquisitiebeleid van de instelling waaraan hij verbonden is. De archivaris zal de voor bewaring geselecteerde archiefbescheiden zo spoedig mogelijk ordenen en beschrijven overeenkomstig de archivistische principes (met name het herkomst- en structuurbeginsel) en de aanvaarde normen. De archivaris dient archief te verwerven in overeenstemming met de doelstellingen en middelen van zijn instelling. Hij zal er niet naar streven archief te verwerven of te aanvaarden wanneer dit de integriteit of het behoud van de documenten in gevaar zou brengen. De archivaris dient ertoe bij te dragen dat deze archiefbescheiden in de meest geëigende archiefbewaarplaats worden bewaard. De archivaris dient zich coöperatief op te stellen bij de teruggave van afgedwaalde archieven. 3. De archivaris dient de authenticiteit van documenten te beschermen gedurende het bewerken, conserveren en gebruiken daarvan. De archivaris dient er voor te zorgen dat de archivistische waarde van archieven -met inbegrip van elektronische en multimedia archieven- bij selectie, ordening, beschrijving, bewaring en gebruik niet wordt geschaad. Steekproefsgewijze selectie zal altijd dienen te gebeuren aan de hand van zorgvuldige werkmethoden en criteria. Het vervangen van originele archiefbescheiden door andere gegevensdragers dient te gebeuren met inachtname van hun wettelijke, intrinsieke en informatieve waarde. De gebruiker dient ingelicht te worden wanneer niet-openbare archiefbescheiden tijdelijk uit een dossier zijn verwijderd. 4. De archivaris dient de voortdurende toegankelijkheid en begrijpelijkheid van archiefmateriaal te garanderen. Selectie ter bewaring of ter vernietiging door de archivaris dient op de eerste plaats om een essentiële getuigenis te bewaren van de activiteiten van personen of instellingen die het archief hebben gevormd of de documenten verzameld. Bij de selectie dient ook rekening te worden gehouden met veranderende onderzoeksbehoeften. De archivaris dient zich ervan bewust te zijn dat het verwerven van documenten van twijfelachtige herkomst, hoe interessant zij ook mogen zijn, illegale handel in de hand kan werken. De archivaris dient samen te werken met andere archivarissen en met de opsporingsdiensten voor de aanhouding en vervolging van personen die verdacht worden van diefstal van archiefbescheiden. 5. De archivaris dient zijn handelen met het archiefmateriaal te documenteren en in staat te zijn daarvan rekenschap af te leggen. De archivaris dient goede procedures gedurende de gehele levensloop van archieven te bepleiten en samen te werken met de archiefvormers bij het ontwerpen van nieuwe richtlijnen en informatiebeheers- en archiveringssystemen. De archivaris dient niet alleen geïnteresseerd te zijn in het verwerven van bestaande archieven, maar ook na te streven dat huidige informatiebeheers- en archiefsystemen vanaf het begin procedures bevatten om documenten van waarde te bewaren.

141 www.kvan.nl


83

In onderhandelingen met voor overdracht verantwoordelijke personen of met eigenaren van archief, dient de archivaris bij zijn beslissingen zorgvuldig rekening te houden met -indien van toepassing-: de bevoegdheid om archief over te dragen, te schenken of te verkopen, de financiële afspraken, de planning van de bewerking, het reproductiekracht en de voorwaarden voor openbaarheid. Hij dient voortdurend aantekening te houden van alle aanwinsten, conserverings- en archiveringswerkzaamheden. 6. De archivaris dient het gebruik van archieven zo breed mogelijk te bevorderen en onpartijdig aan alle gebruikers diensten te verlenen. De archivaris dient op alle archiefbestanden die hem zijn toevertrouwd de nodige algemene en specifieke toegangen te maken. Hij dient eenieder objectief advies te verstrekken en de beschikbare middelen aan te wenden om een evenwichtig uitgebouwde dienstverlening te verzekeren. De archivaris zal alle redelijke vragen over de door hem bewaarde archiefbestanden hoffelijk en bereidwillig beantwoorden. Hij zal het optimale gebruik ervan aanmoedigen, rekening houdend met het beleid van de instelling, de goede bewaring van het archief, wettelijke bepalingen en reglementen, de rechten van het individu en de afspraken met de schenkers. Beperkende bepalingen betreffende het raadplegen van de bestanden dienen aan eventuele geïnteresseerden te worden verklaard en rechtvaardig te worden toegepast. De archivaris dient onredelijke beperkingen van de openbaarheid en het gebruik van archief te ontmoedigen. Hij mag echter duidelijk omschreven beperkingen van bepaalde duur voorstellen of aanvaarden als een voorwaarde voor het verwerven van archief. De archivaris dient alle afspraken die bij de acquisitie werden gemaakt getrouw en onpartijdig na te komen en toe te passen. Bij veranderde omstandigheden dient hij evenwel, in het belang van grotere openbaarheid, opnieuw over de voorwaarden voor raadpleging te onderhandelen. 7. De archivaris dient zowel de openbaarheid als de privacy te respecteren en te handelen binnen de grenzen van de relevante wetgeving. De archivaris dient er voor te zorgen dat vertrouwelijke gegevens over personen en instellingen, evenals die aangaande de nationale veiligheid, worden beschermd zonder dat informatie wordt vernietigd. Speciale aandacht dient hierbij geschonken aan gegevens op magnetische drager, waar actualisering en wissen een gebruikelijke praktijk zijn. De archivaris dient de persoonlijke levenssfeer van archiefvormers of van personen die in archiefbescheiden worden genoemd te respecteren. Dit geldt in het bijzonder ten aanzien van diegenen die geen zeggenschap hebben gehad over het gebruik of de bestemming van het materiaal. 8. De archivaris dient het speciale vertrouwen dat hem gegeven is te aan te wenden in het algemeen belang en te vermijden dat hij zijn positie gebruikt om zichzelf of anderen onevenredig te bevoordelen. De archivaris dient zich te onthouden van iedere activiteit die zijn professionele integriteit, objectiviteit en onpartijdigheid zou kunnen schaden. De archivaris mag uit zijn werk noch financieel, noch enig ander persoonlijk voordeel halen ten koste van instellingen, gebruikers of collega's. De archivaris mag zelf geen archiefbescheiden verzamelen, noch deel hebben aan handel in archiefbescheiden. Hij zal activiteiten vermijden die bij het publiek een vermoeden van belangenverstrengeling zouden kunnen wekken. De archivaris mag de archieven die in zijn instelling worden bewaard voor eigen onderzoek en publicaties gebruiken, op voorwaarde dat dit gebeurt onder dezelfde voorwaarden als voor andere gebruikers. De archivaris zal informatie die hij heeft verkregen door de omgang met niet-openbare archiefbestanden niet bekendmaken noch gebruiken. Eigen onderzoek en publicaties mogen geen nadelige invloed hebben op een behoorlijke vervulling van de professionele of administratieve verplichtingen waarvoor hij is aangesteld. Bij gebruik van archiefbescheiden uit de eigen instelling mag de archivaris onuitgegeven onderzoeksresultaten van andere onderzoekers niet gebruiken zonder vooraf de betreffende onderzoeker over zijn bedoelingen te hebben ingelicht. Archivarissen mogen werk van vakgenoten, met inbegrip van studies gebaseerd op in hun instelling bewaarde bescheiden, recenseren en becommentariëren. De archivaris kan niet toestaan dat personen vreemd aan zijn beroep zich met zijn werk en beroepsverplichtingen inlaten. 9. De archivaris dient professionele deskundigheid na te streven door systematisch en voortdurend zijn archivistische kennis bij te houden en anderen deelgenoot te maken van de resultaten van zijn onderzoek en ervaring. De archivaris zal er zich op toeleggen zijn beroepskennis en ervaring te ontwikkelen en bij te dragen tot het bevorderen van de deskundigheid van de beroepsgroep. Hij zal er voor instaan dat diegenen die hij bij hun opleiding of activiteiten begeleidt zodanig zijn toegerust dat ze hun taak op een vakbekwame wijze kunnen uitvoeren.


84

10. De archivaris dient het behoud en gebruik van het documentair erfgoed van de wereld te bevorderen door samenwerking met leden van de eigen en andere beroepsgroepen. Archivarissen dienen samenwerking na te streven en conflicten met collega-vakgenoten te vermijden en moeilijkheden op te lossen in overeenstemming met de archivistische normen en de code voor archivarissen. Archivarissen dienen met samen te werken met leden van aanverwante beroepen op basis van wederzijds respect en begrip


85


86

13 Bijlage beroepscode Internal auditor GEDRAGS-EN BEROEPSREGELS INTERNAL AUDITORS142 LGEMENE BEPALINGEN Artikel 1

1. Dit reglement stelt regels voor de leden van de Vereniging Instituut van Internal Auditors Nederland (IIA Nederland).

2. Dit reglement vormt het uitgangspunt voor verwachtingen omtrent het optreden van leden, ongeacht de functie waarin zij optreden en omtrent hun wijze van beroepsuitoefening indien zij optreden als Internal Auditor.

3. Dit reglement vormt de basis voor de door IIA Nederland ingestelde tuchtrechtspraak. Artikel 2

1. Als lid in de zin van dit reglement worden ingevolge artikel 4 lid 1 van de statuten van de IIA Nederland aangemerkt: de gewone leden, geassocieerde leden en ereleden.

2. en lid wordt geacht op te treden als Internal Auditor, indien hij binnen de organisatie waarin hij is aangesteld, werkzaamheden uitvoert, die op het terrein van Internal Audit “Independent appraisal function” liggen, zoals Operational Audit, Financiële Audit, EDP audit etc.

Artikel 3

Dit reglement bevat algemene regels van toepassing op alle leden, alsmede bijzondere regels, welke van toepassing zijn op leden, die als Internal Auditor optreden.

ALGEMENE REGELS VOOR ALLE LEDEN ONGEACHT DE FUNCTIE WAARIN ZIJ OPTREDEN Artikel 4

1. Een lid onthoudt zich van al hetgeen schadelijk is voor IIA Nederland of voor de eer van de stand der Internal Auditors.

2. Een lid is gehouden zijn werkgever en andere direct belanghebbenden ervan in kennis te stellen dat dit Reglement van toepassing is op zijn gedrag en zijn functioneren.

REGELS VOOR LEDEN DIE OPTREDEN ALS INTERNAL AUDITOR Artikel 5

1. De Internal Auditor is verantwoordelijk voor het handhaven van een voldoende niveau van zijn vaktechnische kennis en vaardigheden.

2. De Internal Auditor voert zijn werkzaamheden uit in overeenstemming met vaktechnische normen en standaarden.

Artikel 6

1. De Internal Auditor draagt zorg voor een deugdelijke grondslag voor de door hem gegeven oordelen en adviezen en draagt er zorg voor dat deze oordelen en adviezen een duidelijk beeld geven van de uitkomsten van zijn arbeid en relevante informatie bevatten, waaronder in dit verband wordt verstaan informatie, die voldoet aan de eisen van objectiviteit en volledigheid.

2. In de door de Internal Auditor afgegeven mededelingen dient de taakopdracht duidelijk te worden omschreven, waardoor onduidelijkheden omtrent de reikwijdte van zijn onderzoek worden vermeden.

3. De Internal Auditor is gehouden zorg te dragen voor een zodanige registratie der verrichte werkzaamheden dat op aanvaardbare wijze een goed beeld van de uitvoering kan worden gevormd. Hij is gehouden deze registratie gedurende zeven jaar te bewaren.

Artikel 7

1. De Internal Auditor houdt geheim al hetgeen hem in de uitoefening van zijn beroep als geheim is toevertrouwd of wat daarbij als een vertrouwelijke aangelegenheid te zijner kennis is gekomen, voor zover bij of krachtens de wet niet anders wordt vereist.

2. De Internal Auditor maakt van vertrouwelijke gegevens die in de uitoefening van zijn beroep te zijner kennis zijn gekomen, niet verder of anders gebruik, en aan die gegevens

142 www.iia.nl


87

geeft hij niet verder of anders bekendheid, dan voor de vervulling van zijn taak of bij of krachtens de wet wordt vereist.

3. De Internal Auditor wendt vertrouwelijke informatie waarover hij de beschikking heeft niet aan voor de verkrijging van voordelen voor zichzelf of derden, die daartoe niet gerechtigd zijn.

Artikel 8

De Internal Auditor draagt zorg voor integriteit in de vervulling van zijn functie. Hij aanvaardt geen functies en hij verricht geen activiteiten die zijn functioneren als Internal Auditor kunnen schaden.

ETHISCHE CONFLICTEN Artikel 9

1. Indien het lid op goede gronden van oordeel is, dat door zijn uitvoering van zijn werkzaamheden een handelwijze wordt verlangd, welke in strijd is met de letter en/of de geest van dit reglement en hij derhalve door medewerking aan de uitvoering van de werkzaamheden zijn geloofwaardigheid en/of zijn integriteit als lid van IIA Nederland zou aantasten, dan stelt het lid het bestuur van de organisatie waarin hij werkzaam is daarvan in kennis.

2. Indien na overleg en/of bemiddeling de in lid 1 genoemde strijdigheid niet op een voor hem aanvaardbare wijze wordt weggenomen, dan deelt het lid het bestuur van de organisatie waarin hij werkzaam is met redenen omkleed mede dat hij niet langer als Internal Auditor in de zin van dit reglement kan functioneren. Voorts doet het lid daarvan mededeling aan het bestuur van IIA Nederland.

HANDHAVING VAN DIT REGLEMENT Artikel 10

1. Indien een lid naar de mening van een belanghebbende of het bestuur van IIA Nederland heeft gehandeld in strijd met dit reglement, dan kan die belanghebbende of het bestuur van IIA Nederland schriftelijk een klacht indienen bij de Raad van Tucht van IIA Nederland.

2. Indien gewenst kan het bestuur nadere voorschriften geven. Het bestuur geeft aan alle leden kennis van deze nadere voorschriften.

SLOTBEPALING Artikel 11

Dit reglement is vastgesteld door de Algemene Vergadering van leden van IIA Nederland gehouden te Utrecht op 12 juni 1998 en is van toepassing vanaf 1 juli 1998.


88

14 Bijlage NBA Verordening gedrags- en beroepsregels accountants Verordening gedrags- en beroepsregels accountants143 De ledenvergadering van de Nederlandse beroepsorganisatie van accountants, Gelet op artikel 19, tweede lid, aanhef en onderdeel a, van de Wet op het accountantsberoep, Overwegende dat het onderscheidend kenmerk van het accountantsberoep is de verantwoordelijkheid te handelen in het algemeen belang, Overwegende dat het algemeen belang is gediend met gedrags- en beroepsregels ten behoeve van een goede uitoefening van het accountantsberoep, Stelt de volgende verordening vast: Hoofdstuk 1 – Definities Artikel 1 In deze verordening en daarop berustende bepalingen wordt, voor zover niet anders is bepaald, verstaan onder:

• accountant: accountant als bedoeld in artikel 1 van de Wet op het accountantsberoep; • bedreiging: onaanvaardbaar risico dat de accountant zich niet houdt aan de fundamentele • beginselen als gevolg van eigenbelang, zelftoetsing, belangenbehartiging, vertrouwdheid of

intimidatie; • professionele dienst: werkzaamheden waarvoor vakbekwaamheid als accountant wordt of

kan worden aangewend; • vakbekwaamheid: beschikken over en kunnen toepassen van de noodzakelijke theoretische • kennis van de vakgebieden, genoemd in artikel 2 van het Besluit accountantsopleiding

2013. Hoofdstuk 2 – Fundamentele beginselen Paragraaf 2.1 – Fundamentele beginselen voor de accountant Artikel 2 Teneinde invulling te geven aan zijn verantwoordelijkheid als accountant om te handelen in het algemeen belang, houdt de accountant zich aan de volgende fundamentele beginselen:

a) professionaliteit; b) integriteit; c) objectiviteit; d) vakbekwaamheid en zorgvuldigheid; en e. vertrouwelijkheid.

Artikel 3

1. Het in artikel 2 genoemde fundamentele beginsel professionaliteit is van toepassing op elk handelen of nalaten van de accountant.

2. De in artikel 2 genoemde fundamentele beginselen integriteit, objectiviteit, vakbekwaamheid en zorgvuldigheid, en vertrouwelijkheid zijn van toepassing op de accountant bij de uitoefening van zijn beroep.

Paragraaf 2.2 – Professionaliteit Artikel 4 De accountant onthoudt zich van elk handelen of nalaten waarvan hij weet of behoort te weten dat dit het accountantsberoep in diskrediet brengt of kan brengen. Artikel 5 De accountant die vermoedt dat de organisatie waarbij hij werkzaam is dan wel waaraan hij is verbonden weten regelgeving niet naleeft, treft een redelijkerwijs te nemen maatregel. Paragraaf 2.3 – Integriteit Artikel 6 De accountant treedt eerlijk en oprecht op.

143 www.nba.nl


89

Artikel 7 1. Indien de accountant betrokken is bij of in verband wordt gebracht met niet-integer

handelen van anderen, neemt hij een maatregel gericht op het beëindigen van dit handelen. 2. Indien de maatregel, bedoeld in het eerste lid, niet mogelijk is distantieert de accountant

zich van het niet-integer handelen. Artikel 8 De accountant die vermoedt dat de organisatie waarbij hij werkzaam is dan wel waaraan hij is verbonden niet integer handelt, treft een redelijkerwijs te nemen maatregel. Artikel 9 1. Indien de accountant betrokken is bij of in verband wordt gebracht met informatie die

materieel onjuist, onvolledig of misleidend is: a) neemt hij een maatregel gericht op het wegnemen van de onjuistheid, onvolledigheid of

misleiding; b) of voegt de accountant aan deze informatie een mededeling toe waarin hij de onjuistheid,

onvolledigheid of misleiding aan de beoogde gebruikers van de informatie kenbaar maakt. 2. Indien de maatregel of mededeling, bedoeld in het eerste lid, niet mogelijk is distantieert de

accountant zich van deze informatie. Artikel 10 Indien de betrokkenheid van de accountant bij bepaalde informatie door een ander onjuist wordt voorgesteld, treft de accountant een redelijkerwijs te nemen maatregel om zijn werkelijke betrokkenheid aan de beoogde gebruikers van de informatie kenbaar te maken. Paragraaf 2.4 – Objectiviteit Artikel 11 De accountant laat zich bij zijn afwegingen niet ongepast beïnvloeden. Paragraaf 2.5 – Vakbekwaamheid en zorgvuldigheid Artikel 12 De accountant houdt zijn vakbekwaamheid op het niveau dat is vereist om een professionele dienst op een adequate wijze te kunnen verlenen. Artikel 13 1. De accountant past de bij een professionele dienst relevante weten regelgeving toe. 2. De accountant voert een professionele dienst nauwgezet, grondig en tijdig uit. Artikel 14 De accountant zorgt ervoor dat degene die onder zijn verantwoordelijkheid werkzaamheden uitvoert ten behoeve van een professionele dienst, hiervoor adequaat is toegerust en dat er toereikende begeleiding van, toezicht op en beoordeling van deze werkzaamheden plaatsvindt. Artikel 15 De accountant maakt, indien daartoe aanleiding bestaat, de gebruikers van zijn professionele diensten attent op de beperkingen die inherent aan zijn diensten zijn. Paragraaf 2.6 – Vertrouwelijkheid Artikel 16 De accountant die de beschikking krijgt over gegevens of inlichtingen waarvan hij het vertrouwelijke karakter kent of redelijkerwijs moet vermoeden, is verplicht tot geheimhouding van die gegevens of inlichtingen, behoudens voor zover hij: a) bij of krachtens een wettelijk voorschrift tot het verstrekken van de gegevens of inlichtingen

verplicht is; b) bij of krachtens een wettelijk voorschrift tot het verstrekken van de gegevens of inlichtingen

bevoegd is; c) betrokkenisineengerechtelijkeprocedureofklachtprocedurediejegenshemisaangespannen dan

wel jegens de organisatie waarbij hij werkzaam of waaraan hij verbonden is of is geweest, en de gegevens of inlichtingen in die procedure van belang zijn;

d) van de organisatie waarvoor hij een professionele dienst uitvoert of heeft uitgevoerd, in het kader van een specifiek doel schriftelijke toestemming tot het verstrekken van de gegevens of inlichtingen heeft verkregen en dit doel wordt vastgelegd;


90

e) of het noodzakelijk acht om desgevraagd bij dezelfde organisatie waarvoor hij een professionele dienst uitvoert of heeft uitgevoerd een andere accountant in staat te stellen een professionele dienst op verantwoorde wijze te aanvaarden en uit te voeren.

Artikel 17 1. De accountant betrekt in zijn besluitvorming om op grond van artikel 16, onderdelen b tot en

met e, al dan niet tot het verstrekken van vertrouwelijke gegevens of inlichtingen over te gaan:

a) de belangen van betrokken partijen en derden, waaronder het algemeen belang; b) de betrouwbaarheid, volledigheid en onderbouwing van die gegevens of inlichtingen; c) en de wijze waar op en de persoon of de entiteit aan wie die gegevens of inlichtingen worden

verstrekt. 2. De accountant legt de overwegingen vast die geleid hebben tot het besluit al dan niet tot het

verstrekken van vertrouwelijke gegevens of inlichtingen over te gaan. Artikel 18 De accountant gebruikt vertrouwelijke gegevens of inlichtingen niet voor eigen gewin of het gewin van een derde. Artikel 19 De accountant treft een redelijkerwijs te nemen maatregel om ervoor te zorgen dat degene die onder zijn verantwoordelijkheid werkzaamheden uitvoert ten behoeve van een professionele dienst of aan wie hij advies of ondersteuning vraagt, de vertrouwelijkheidsverplichtingen naleeft zoals deze op grond van de artikelen 16 tot en met 18 voor accountants gelden. Hoofdstuk 3 – Zich houden aan de fundamentele beginselen Artikel 20 Bij het naleven van deze verordening past een accountant professionele oordeelsvorming toe waarbij hij zich baseert op: a) hetgeen een objectieve, redelijke en geïnformeerde derde aanvaardbaar en toereikend acht; b) en de omstandigheden die hij weet of behoort te weten. Artikel 21 1. De accountant identificeert en beoordeelt omstandigheden die een bedreiging kunnen zijn voor

het zich houden aan een fundamenteel beginsel en neemt met betrekking tot dergelijke omstandigheden een toereikende maatregel die ertoe leidt dat hij zich houdt aan de fundamentele beginselen.

2. Indien de accountant bij een bedreiging niet in staat is een maatregel als bedoeld in het eerste lid te nemen, weigert of beëindigt hij de professionele dienst en beëindigt hij zo nodig de relatie met de organisatie waarvoor hij een professionele dienst uitvoert of uitvoerde.

3. Indien sprake is van een bedreiging waarbij een maatregel is genomen die ertoe leidt dat de accountant zich houdt aan de fundamentele beginselen legt de accountant de bedreiging, zijn beoordeling, de toegepaste maatregel en zijn conclusie vast teneinde zich tegenover derden te kunnen verantwoorden.

Artikel 22 Indien de accountant constateert dat hij in strijd handelt of heeft gehandeld met een bepaling van deze verordening, treft hij zo spoedig mogelijk een toereikende maatregel om de strijdigheid en de gevolgen daarvan weg te nemen. Hoofdstuk 4 – Intrekking van regelingen Artikel 23 1. De Verordening gedragscode, vastgesteld door de ledenvergadering van de Nederlandse Orde

van Accountants-Administratieconsulenten, wordt ingetrokken. 2. De Verordening gedragscode, vastgesteld door de ledenvergadering van het Nederlands

Instituut van Registeraccountants, wordt ingetrokken. Hoofdstuk 5 – Slotbepalingen Artikel 24 Het bestuur van de Nederlandse beroepsorganisatie van accountants kan, gehoord de leden, met betrekking tot de artikelen 2 tot en met 22 nadere voorschriften vaststellen.


91

Artikel 25

a) Na de inwerkingtreding van deze verordening berusten op artikel 24 van deze verordening: b) de Nadere voorschriften accountantskantoren ter zake van aan assurance verwante

opdrachten, vastgesteld door het bestuur van de Nederlandse Orde van Accountants-Administratie consulenten;

c) de Nadere voorschriften accountantskantoren ter zake van aan assurance-verwante opdrachten,vastgesteld door het bestuur van het Nederlands Instituut van Registeraccountants;

d) de Nadere voorschriften accountantskantoren ter zake van assurance-opdrachten, vastgesteld door het bestuur van de Nederlandse Orde van Accountants-Administratieconsulenten;

e) de Nadere voorschriften accountantskantoren ter zake van assurance-opdrachten, vastgesteld door het bestuur van het Nederlands Instituut van Registeraccountants;

f) de Nadere voorschriften permanente educatie, vastgesteld door het bestuur van de Nederlandse beroepsorganisatie van accountants.

Artikel 26 Deze verordening wordt aangehaald als: Verordening gedrags- en beroepsregels accountants, bij afkorting VGBA. Artikel 27 Deze verordening treedt in werking op de eerste dag na publicatie in de Staatscourant en werkt terug tot en met 1 januari 2014.

Date post:	22-Jan-2018
Category:	Documents
Upload:	ronald-van-der-steen
View:	483 times
Download:	0 times