1. De eisen aan het digitale archiefDe eisen aan het digitale archief
en de relatie meten de relatie met
Internal/Operational auditingInternal/Operational auditing
“Deze eischen zijn, dat het nieuw archief niet alleen doelmatig moet
worden bewaard, doch dat de zich daarin bevindende stukken ook
zoodanig zijn gerangschikt en geregistreerd, dat elk stuk op
verlangen in den kortst mogelijken tijd moet kunnen worden te
voorschijn gebracht en over elk onderwerp zoo vlug mogelijk alle
gegevens moeten kunnen worden verstrekt, die daaromtrent uit de
zich in het archief bevindende stukken te putten zijn"
Uit een Verslag van den toestand der Gemeente Groningen, (19e
eeuw)
Drs RTC van der Steen RE
Slotexamendocument voor het Kopjaar Internal/Operational Auditing 2004-2005
Erasmus School of Accounting & Assurance
Erasmus Universiteit Rotterdam
Juni 2006

2. Slotexamen RTC vd Steen pagina - 131
Inleiding en samenvatting
Hierbij mijn slotexamendocument ter afsluiting van de opleiding Kopjaar voor de
Internal/Operational auditing opleiding. Ik heb mijn EDP-auditing opleiding in 2001 afgerond
met het referaat IT-Auditing in het archiefwezen. Aansluitend heb ik in 2003 een artikel
geschreven over het onderwerp Archivering in een digitale wereld voor de EDP-auditor.
Daarnaast zijn er enkele publicaties van mij over dit onderwerp in enkele handboeken
verschenen. Er is momenteel een groeiende belangstelling voor het onderwerp. Zo is
Auditing in a paperless society een van de onderwerpen van de aanstaande Summercourse
2006 “Audit kwaliteit, geen vanzelfsprekende zaak”, welke georganiseerd wordt door de
Erasmus School of Accounting & Assurance.
In het voor u liggende document heb ik getracht het onderwerp Digitale archivering wat meer
toe te spitsen op het vakgebied Operational auditing.
Binnen veel organisaties staat momenteel het 'in control'-vraagstuk hoog op de agenda van
het management door ontwikkelingen als de Sarbanes-Oxley Act, de Corporate Governance
Code (Tabaksblat), verscherping van toezicht op organisaties en risk management. Deze
ontwikkelingen hebben consequenties voor de kwaliteit van de beheersing van de
organisatie. Een belangrijk aspect binnen een organisatie is de beheersing van informatie.
Organisaties produceren immers steeds meer (digitale) informatie. In de meeste organisaties
is de traditionele papieren documenthuishouding meestal wel op orde en wordt papieren
informatie conform de daarvoor geldende wetten en regels opgeborgen in het traditionele
archief. Contracten en andere juridische documenten worden meestal met een handtekening
bekrachtigd. Hier stoelt men op jarenlange ervaring, bijvoorbeeld volgens de idee van het
plaatje van de voorpagina; de belangrijkste documenten zijn goed geordend, bevinden zich in
authentieke staat, worden goed beheerd en zijn last but not least vindbaar!
Maar hoe is het gesteld met de digitale informatie en wat is de relatie met Internal/Operational
auditing?
Het is een open deur te veronderstellen dat de informatiehuishouding in organisaties op orde
is. Toch meen ik dat het besef dat digitale informatie, net als de papieren informatie, op een
deugdelijke wijze beheerd moet worden, in veel organisaties nog onvoldoende aanwezig is.
Als gevolg daarvan is er dan ook nog weinig geregeld op het gebied van het beheer van
digitale documenten en gegevensstromen. Daardoor ontstaat risico op het gebied van de
beheersing van bedrijfsprocessen en kan de verplichting van de organisatie om zich voor
haar bedrijfsvoering intern of extern te verantwoorden in gevaar komen.
Een extra complicatie is dat digitale informatie moeilijker te onderhouden of te bewaren is dan
papier omdat er hulpmiddelen nodig zijn om deze informatie te lezen. Digitale informatie
veroudert snel. De kans is groot dat digitaal opgeslagen documenten door organisatorische,
technische en archivistische problemen na enkele jaren al niet meer opgevraagd kunnen
worden. De inrichting en kwaliteit van het archiefproces zijn onderwerpen die naar mijn idee
in steeds meer probleemsignalerende, diagnostische of oplossinggerichte audits aan de orde
zullen komen naast de andere onderwerpen waar het management de inbreng van een
auditor verlangd voor het onafhankelijk beoordelen van het ‘in control’ zijn van de organisatie.
Leeswijzer
• Hoofdstuk I bevat een samenvatting van mijn referaat IT-auditing in het archiefwezen
voor EDP-auditing opleiding (pag. 2 en 3)
• Hoofdstuk II bevat een relaas over de functie van accounting standaarden (pag. 4 - 5)
• Hoofdstuk III bevat een verhandeling van Management control (pag. 6 t/m 9)
• Hoofdstuk IV gaat over Corporate Governance (pag 10 en 11)
• Het slotexamendocument wordt afgesloten met het stukje Conclusie (pag. 12)

3. Slotexamen RTC vd Steen pagina - 132
Hoofdstuk I Het archiefbeheer binnen de overheid
Het archiefwezen is het geheel van organisaties en regelgeving belast met of betrekking
hebbend op archiefbeheer binnen de overheid. In Nederland bestaat het archiefwezen uit het
Rijksarchief, het Provinciaal Archief en het Gemeentearchief. In deze archieven zijn voor een
groot deel het handelen van een persoon of een overheidsinstelling terug te vinden. De
Archiefwet vormt het wettelijk kader waarin het archiefwezen moet opereren.
De overheid produceert sinds de opkomst van de automatisering steeds meer informatie in
digitale vorm. Het archiefwezen moet zich zo snel mogelijk meer richten op het digitale
document zodat het overheidshandelen van na 1975 blijvend getoetst kan worden. Het is
daarom belangrijk dat er bewaarstrategieën voor digitale documenten worden uitgewerkt.
Het archiefwezen moet een digitaal archief gaan inrichten om de vele digitale bescheiden die
op haar afkomen te kunnen archiveren. Er wordt momenteel gewerkt aan het formuleren van
eisen aan digitale documenten en bestanden gezien vanuit het oogpunt van verantwoording
en continuïteitseisen.
Binnen het archiefwezen wordt op dit moment bij de ontwikkeling van bewaarbeleid in de
digitale context veel gesproken over Record Keeping Systems (RKS) en de standaard US
DoD 5015-2 STD van het Amerikaanse Ministerie van Defensie en de ISO norm 15489 welke
zich richt op het archiefproces binnen een organisatie. De DoD standaard voor duurzaam
archiefbeheer beschrijft de verplichte en optionele eisen waaraan software moet voldoen voor
het geautomatiseerde beheer van archiefbescheiden. Onder invloed van de verdergaande
digitalisering en door toepassing van het digitale archief verschuift de rol van het archief in
steeds meer organisaties volgens deze standaard van uitvoerend naar kaderstellend en
regievoerend.
Voor zowel papieren als elektronische/digitale archiefbescheiden dienen er eisen te worden
vastgelegd over vastlegging en registratie, authenticiteit, contextgegevens, selectie en
vernietiging, toegankelijkheid en duurzame bewaring. De functionaliteit voor digitale
archivering wordt mede bepaald door registratie en metagegevens voor documenten naast
procedures in vastleggen en bewaren, in selectie en opschoning, en indien van toepassing in
overdracht aan een archiefdienst van archiefbescheiden.
Indien een informatiesysteem archiefbescheiden bewaart, moeten de eisen voor digitale
archivering gespecificeerd en meegenomen worden in het ontwerp, de implementatie en
procedures.
Procedures in de organisatie moeten bepalen welke typen digitale archiefbescheiden moeten
worden afgedrukt op papier en welke moeten worden vastgelegd in een digitaal
archiveringssysteem. Juist vanwege de kosten is digitaal archiveren niet altijd
vanzelfsprekend. Deze procedures moeten ondersteund worden door een kwaliteitssysteem
dat waarborgt dat de vastgestelde procedures worden nageleefd.
Tot op heden zijn digitalisering van de bedrijfsprocessen en de archieffunctie bij de overheid
nog niet geïntegreerd tot een harmonieus, goed geolied geheel. Ondanks wet- en regelgeving
omtrent (digitale) archivering dreigen ze uit elkaar te drijven omdat het inhoudelijk beheer van
digitale documenten nog niet goed geregeld is. Het is niet duidelijk waar de
verantwoordelijkheden van dit beheer liggen. In alle lagen van de overheid zijn momenteel
deze problemen zichtbaar.
Digitale informatie is anders als papieren informatie omdat er een hulpmiddel nodig is om
deze informatie te lezen. De paradox van het digitaal bewaren van gegevens is dat met de
komst van IT-systemen er nauwelijks nog beperkingen lijken te zijn voor het verzamelen en
vervolgens vastleggen van informatie, terwijl er wel belangrijke beperkingen lijken op te
treden bij de duurzaamheid van deze informatie. Soms blijkt digitale informatie na enkele
jaren al niet meer leesbaar te zijn.
Vanuit wet- en regelgeving worden er allerlei bewaartermijnen bepaald. De archiefwet schrijft
een bewaartermijn van minstens 100 jaar voor. Om als geheugenbron of als
verantwoordingseis te kunnen fungeren, moeten archiefbescheiden dusdanig worden
beheerd dat ze voldoen aan de algemene kwaliteitseisen; volledigheid (geen delen van
informatie gaan verloren), authenticiteit (het document is echt), betrouwbaarheid (juistheid

4. Slotexamen RTC vd Steen pagina - 133
van de informatie), toegankelijkheid (documenten zijn vindbaar), raadpleegbaarheid
(documenten kunnen ook daadwerkelijk gelezen worden), beschikbaarheid (gevonden en
leesbare documenten kunnen tijdig worden geraadpleegd).
Wanneer de functie van het archiefbescheiden bewijsvoering is, dan is authenticiteit de
belangrijkste kwaliteitseis.
In de levenscyclus van (digitale) documenten en registraties bij de overheid spelen wet en
regelgeving een grote rol. Het bevat voor digitale documenten de kwaliteitseisen
betrouwbaarheid, exclusiviteit, integriteit en verifieerbaarheid. Voor het openbaar bestuur
behoren de juridische aspecten tot de belangrijkste onderwerpen die in gedachten moeten
worden gehouden. Het digitaal bewaren van informatie is niet alleen een kwestie van
techniek, maar vraagt tevens om een zorgvuldig overdacht organisatorisch beleid met
juridische voorwaarden. Toch kan ook besloten worden bepaalde documenten juist buiten het
digitale archief te houden of om een separaat archief van de oorspronkelijke documenten aan
te houden, omdat er nog geen harde jurisprudentie bestaat over de bewijswaarde van digitale
documenten in strafzaken. De juridische aspecten zijn één van de belangrijkste onderwerpen
die in gedachte moeten worden gehouden bij elke digitale informatiestrategie.
Naast het digitale archief komt de bedrijfsvoering van de archieffunctie zelf ook in aanmerking
voor automatisering. Momenteel is het niveau van automatisering binnen het archiefwezen
nog niet dusdanig hoog dat er een noodzaak is audits uit te laten voeren. Dit zal veranderen,
want het Ministerie van OC&W en ook de Raad voor de Kunst leggen steeds meer nadruk op
de inzet van IT binnen het archiefwezen. Door schaalvergroting en de inzet van Internet wil
het archiefwezen haar diensten ook op Internet gaan aanbieden. Diverse projecten staan
hiervoor op stapel. Het management kan voor vraagstukken komen staan waar een auditor
op basis van zijn kennis en expertise vanuit een adviesfunctie een antwoord op kan geven.
Om de betekenis van een archiefstuk voor het bedrijfsproces te bepalen, is het nodig om ook
over gegevens óver het document te beschikken. Momenteel komen er applicaties op de
markt om organisaties hierin te ondersteunen bij hun record keeping functie. Met de
standaard US DoD 5015-2 kan de auditor vanuit zijn toetsfunctie normen opstellen van wat
een elektronisch archiefbeheersysteem functioneel moet kunnen om aan de eisen die
voortvloeien uit de archiefregelgeving, te voldoen.
De archiefwetenschap weet de computerrisico's van digitale archivering goed in te schatten.
Er is veel theorievorming rond kwaliteitsaspecten authenticiteit en integriteit over een digitaal
archief. Het huidige archiefwezen kan echter de complexiteit van de beheersing van de
informatisering nog niet geheel overzien. Het kan gebeuren dat vraagstukken die niet binnen
de organisatie kunnen worden opgelost, door een onpartijdige auditor wel kunnen worden
beantwoord. Deze IT-auditor moet dan wel eerst zich de wet- en regelgeving die geldt binnen
het archiefwezen eigen maken voordat hij een audit kan uitvoeren.
De archieffunctie zal in plaats van achter aan de keten in het bedrijfsproces verschuiven naar
de voorkant. Het archiefwezen staat op een belangrijk omslagpunt, van papier naar digitaal.
Er moet op korte termijn een digitaal archief geïntroduceerd worden, anders wordt het een
digitale chaos.
Momenteel wordt er bij de ontwikkeling van informatiesystemen nog zelden rekening
gehouden met het incorporeren en/of ondersteunen van de archieffunctie. Dit is opmerkelijk
want de archieffunctie is in een digitale omgeving een dynamische spil in het
kennismanagement van een organisatie.
Mede daarom is het belangrijk dat het archiefwezen en de Internal auditing wereld zo snel
mogelijk intensiever met elkaar gaan samenwerken.

5. Slotexamen RTC vd Steen pagina - 134
Hoofdstuk II Accounting standaarden en het belang van het digitale archief
In de nieuwe economie worden organisaties steeds digitaler of danken hun bestaan uit het
feit dat ze in informatie als waardegoed handelen in plaats van in fysieke goederen. Deze
organisaties maken gebruik van het enorme Internet om op een goedkope manier hun
klanten te benaderen. Veel van deze nieuwe bedrijven gingen gewoon aan de slag zonder
intern of financieel controlesysteem, zelfs zonder een bedacht marketinginstrument. De
meeste van deze organisaties zijn dan ook in de internethype jammerlijk ten onder gegaan.
Door de eeuwen heen hebben mensen vele en veelsoortige activiteiten ontplooid. Soms
deden ze dat individueel, maar gewoonlijk in samenwerking met anderen. Bij de uitvoering
van activiteiten werd in toenemende mate gebruik gemaakt van allerlei hulpmiddelen. De
eerste tellingen stelden een hoeveelheid vastomlijnde voorwerpen voor en duiken pas rond
8000 v.Chr. in Mesopotamië op. Kleifiguurtjes, met een doorsnede van 2 cm of minder,
werden voor die doeleinden gebruikt: een cilinder voor een dier, en kegeltjes en bolletjes voor
twee afzonderlijke maten graan. Hoewel het ook hier nog ging om één+één+één-tellen (twee
dieren werden voorgesteld door twee cilinders, en twee schepels graan door twee bolletjes),
betekende het gebruik van verschillende figuurtjes voor verschillende voorwerpen al een
enorme vooruitgang: goederen uit de landbouw en veeteelt konden worden geteld en voor
latere gegevensverwerking bewaard, zonder onderhevig te zijn aan de menselijke
vergeetachtigheid. Essentieel bij deze registratie is dus het vermogen van de mens om de
toenamen en de afnamen met elkaar in verband te brengen, met andere woorden: om de
causale relatie te onderkennen.
Mensen en middelen gingen in organisatie in onderling samenwerking activiteiten ontplooien
teneinde op doelmatige wijze overeengekomen doelstellingen te bereiken. Wanneer dit
beheerst wordt door het streven naar een gunstige nut/kostenverhouding spreekt men van
zogenaamde economische principe.
Er zijn veel vormen van organisaties maar alle hebben dezelfde kenmerken of
wetmatigheden: ze zijn doelbewust en ontstaan niet automatisch, ze zijn doelgericht op het
voortbrengen en/of aanbieden van goederen en diensten waar de samenleving behoefte aan
heeft en ze zijn efficient. Het uitvoeren van werkzaamheden en het gebruik of verbruik van
middelen dient op een zo doelmatige wijze plaats te vinden. Dit is het streven van
organisaties waarbij men de kosten zo laag mogelijk probeert te houden.
Een organisatie is geen besloten gemeenschap en kan doelstellingen niet eenzijdig
vaststellen maar moet rekening houden met wat de deelnemers (werknemers, leveranciers,
afnemers, banken ed.) van hen verwachten. Om dit te kunnen doen heeft de organisatie
behoefte aan conventies en algemeen geaccepteerde uitvoeringsregels voor de
informatievoorziening. Dit is nodig voor zowel de interne als externe verslaglegging waaruit
de verantwoording van de gang van zaken van de organisatie terug te lezen is in de vorm van
een jaarverslaggeving.
Als gevolg van delegatie van taken en bevoegdheden binnen organisaties en de scheiding
tussen eigendom en beheer, is er bij de leiding van de organisaties en bij het
maatschappelijke verkeer de behoefte ontstaan aan controles welke door onafhankelijke
deskundigheden, accountants, worden uitgevoerd. Tevens heeft men behoefte aan op deze
controles gebaseerde oordelen.
De controle is nodig omdat de leiding van een organisatie een te rooskleurig dan wel te
pessimistische ontwikkeling van de resultaten kan geven of op basis van fouten in de
administratie. Ook het maatschappelijk verkeer in casu de overheid verwacht een deugdelijke
organisatie en heeft hiervoor wetten en instanties in het leven geroepen met richtlijnen en
(accounting)standaarden. Desondanks blijken organisaties zichzelf te kunnen verrijken ten
koste van de maatschappij. De in de publiciteit gekomen boekhoudschandalen zijn het gevolg
geweest van:
• Onethisch gedrag van management van de organisatie
• Te veel rules-based accounting standaarden
• Te complexe (internationale) bedrijfsstructuren
• Te sterke (financiële) beloningen voor de top van de organisatie

6. Slotexamen RTC vd Steen pagina - 135
• Onethisch gedrag van de interne en externe controleurs (dus ook van accountants)
• Te sterke nadruk op commercialisering van de onafhankelijke"controlefunctie: het
accountantsberoep
• Vervalsing van gegevens uit de informatievoorziening
• Toepassing door accountants van regels ´naar de letter´ en niet ´naar de geest´
Het management moet voortaan in het jaarverslag een mededeling (‘in control statement’)
opnemen, althans volgens de Amerikaanse accountingstandaard, gebaseerd op De
Sarbanes-Oxley Act. Deze wet gaat onder meer over de effectiviteit van de interne
beheersing van het proces van financiële verantwoording. Het management is strafrechtelijk
aansprakelijk als de gepresenteerde informatie niet blijkt te kloppen. Het systeem van interne
beheersing moet beheersbaar en controleerbaar en daarom van audit trails voorzien zijn. De
Nederlandse code Tabaksblat bevat principes, best practices en aanbevelingen op het
gebied van controle, risicomanagement, rapportage en verantwoording om de beheersing
van de onderneming te verbeteren. Het werkt, maar blijkt ook risicovol. De onderneming moet
‘in control’ zijn. IT dient hierbij te helpen om controles te faciliteren en bedrijfsrisico’s te
verminderen. De onderbouwende informatie en documentatie dienen hiervoor uiteraard
adequaat te zijn.
Noodzakelijk kwaad
Voor het bereiken van deze nobele doelen zoals een grotere transparantie voor
belanghebbenden en een betere corporate governance, moet men uit kunnen gaan van een
optimale datakwaliteit. Maar is dat eigenlijk wel het geval? Kan de organisatie de digitale
gegevens nog vinden? Kan de toezichthouder nog vertrouwen op de aangeleverde
gegevens. Digitaal archiefbeheer wordt vaak gekwalificeerd als een noodzakelijk kwaad en
de verantwoordelijke managers zien het (ten onrechte) nooit als onderdeel van, of brengen
het nooit in relatie met het kwaliteitssysteem, de bedrijfsvoering en beheersing van een
organisatie.
Het management is strafrechtelijk aansprakelijk als de gepresenteerde informatie niet blijkt te
kloppen. Daarom worden de accountingstandaarden aangescherpt. Ook worden de voor het
beroep van de accountant geldende voorschriften en het toezicht daarop hogere eisen
gesteld zowel op mondiaal, op Europees en op nationaal terrein. Door wetgeving worden de
kerntaken van de accountant bijgesteld. De houding en het gedrag van de accountant zelf
worden in allerlei nieuwe accountingrichtlijnen benadrukt. Er is aandacht voor de kwaliteit van
de opslag van organisatiegegevens. Er zijn stringentere regels die het beroep zichzelf oplegt
(onafhankelijkheid) en de bereidheid om meer in openheid te opereren (transparantie) zoals
het aanscherpen van beroepsvoorschriften (controlestandaarden) en extern toezicht op de
kwaliteitscontrole zelf.
Veel organisaties komen in de problemen door managementfouten of het ontbreken van
sancties vanuit een intern controlesysteem. Wellicht dat de nieuwe accountingstandaarden
de zondaars tijdig tot de orde kan roepen.

7. Slotexamen RTC vd Steen pagina - 136
Hoofdstuk III Management control en digitale archivering
Bij een operational audit onderzoekt de auditor de bedrijfsprocessen, inclusief de processen
voor de periodieke financiële verslaglegging, de geautomatiseerde systemen en de
informatie- en technologie-omgeving. Deze laatste worden ook wel EDP/IT-audits genoemd.
Bij een financiële audit onderzoekt de auditor de betrouwbaarheid van de financiële
informatie van de organisatie. Met compliance audits wordt onderzocht of de organisatie
voldoet aan de voor die organisatie geldende in- en externe wet- en regelgeving.
Auditing in een papierloze organisatie zal op zoek moeten gaan naar de wijze waarop
organisaties worden bestuurd, beheerst en verantwoording afleggen.
Auditors kunnen aan de hand van normenkaders die momenteel voor een digitaal archief
gelden, checklisten opstellen voor digitaal bewaarbeleid en voor de behandeling van digitale
documenten en bestanden vanuit het oogpunt van (wettelijke) verantwoording en
continuïteitseisen. Slecht beheer van vastgelegde informatie, of die nu op papier, microfilm of
digitaal (diskette, tape, cd-rom, dvd) is vastgelegd, leidt er gauw toe dat cruciale informatie
verloren gaat. Bedrijfs- en beleidsprocessen worden dan niet of onvoldoende geëvalueerd en
gecontroleerd, er wordt dan geen verantwoording afgelegd en zelfs de continuïteit van de
bedrijfsvoering kan op het spel komen te staan. Ter beheersing van dit risico is het verstandig
dat de manager al in de fase voor het creëren van bestanden de juiste maatregelen te
nemen.
Digitale archivering draagt bij aan de effectiviteit en de efficiëntie van de organisatie. Het ligt
voor de hand om digitaal gecreëerde documenten die voor archivering in aanmerking komen
ook digitaal te bewaren. Er zijn voldoende digitale opslagmedia waardoor het niet meer
noodzakelijk is om documenten op papier te bewaren. Papier als gegevensdrager wordt dan
ook in toenemende mate vervangen door andere opslagmedia. Administraties worden steeds
vaker volledig geautomatiseerd waardoor er zelfs geen papieren documenten meer ontstaan.
De archieffunctie faciliteert enerzijds de werkprocessen in een organisatie, anderzijds speelt
het een wezenlijke rol voor verantwoording op middellange en lange termijn. Toch blijven het
toegankelijk maken van informatie en beschikbaar stellen van documentaire informatie
kerntaken van de organisatieonderdelen die met de documentaire informatievoorziening zijn
belast. Bewaren heeft alleen zin als er een selectie gemaakt wordt van het bestaande
materiaal en dit systematisch gerubriceerd wordt.
Toch wordt vaak het archief zelden door het management als stuurinstrument gebruikt.
Helaas ontdekt men pas bij grote calamiteiten het nut en de functie van een goed archief
1
.
In het kader van de managementcontrole en het feit dat het management strafrechtelijk
aansprakelijk is wanneer de gepresenteerde informatie niet blijkt te kloppen, is het van belang
de onderstaande zaken goed te organiseren:
Bedrijfseconomisch belang. Men moet de risico’s en bedreigingen onderkennen van de
gegevens en informatie over bedrijfsprocessen, die verloren kunnen gaan. Cruciaal zijn
basisregistraties, klantenbestanden, receptuur en/of uitstaande orders. Vanuit
bedrijfseconomisch oogpunt dient men vast te stellen welke gegevens, waarom en voor hoe
lang moeten worden bewaard. Gegevensmanagement moet goed georganiseerd zijn.
Bewijsmiddel. Hier gaat het om de mogelijkheid om als organisatie recht te kunnen halen of
te kunnen verdedigen. De organisatie wordt geconfronteerd met de noodzaak tot bewaring
van een veelheid aan informatie. Welke informatie is noodzakelijk als men bij een claim in de
rechtszaal zijn gelijk wil bewijzen, en heeft het gepresenteerde bewijs voldoende
bewijskracht? Bij digitaal bewijsmateriaal is het proces van vastlegging en bewaring cruciaal.
Vertrouwt de rechter een uitgedraaide kopie als bewijsmateriaal of verlangt hij extra
waarborgen om de authenticiteit aan te tonen van de bewijsstukken?
1
Met name het archief van een milieudienst is dan de start van een grootscheeps onderzoek naar de oorzaak

8. Slotexamen RTC vd Steen pagina - 137
Verantwoording. Het afleggen van verantwoording door de overheid is een voorwaarde van
het democratisch proces. Inzicht in het functioneren van de overheid, transparantie voor de
burger en het meten van prestaties zijn hot items, zie verderop het VBTB verhaal. De
aanwezigheid van deugdelijke informatie voor het afleggen van verantwoording over het
beleid is van essentieel belang. De Sarbanes Oxley Act en de code Tabaksblat verplichten
managers van beursgenoteerde ondernemingen tot het afgeven van een ‘in control’
statement.
Bedrijfsgeheugen. Kennismanagement, datamining zijn moderne hulpmiddelen om de
vastgelegde informatie te benutten om bijvoorbeeld trends te ontdekken, de marktpositie te
verstevigen of de burger beter van dienst te zijn. In digitale bestanden zit vaak de kennis van
veel bedrijven opgesloten welke cruciaal voor de continuïteit van de onderneming.
Maatschappelijk geheugen. Informatie van cultuurhistorisch belang dient permanent
beschikbaar te zijn voor wetenschappers en anderen die daarmee hun voordeel kunnen
doen. Daarnaast kan informatie een maatschappelijk belang dienen.
Informatiebeheer
Een snelle en accurate toegang tot informatie leidt tot grotere efficiëntie. Goed
informatiebeheer zorgt voor effectieve beheersing van daarmee samenhangende kosten van
de informatievoorziening. De pure aanwezigheid van correcte informatie is essentieel voor
een organisatie. Gegevens moeten goed toegankelijk zijn voor degenen die daartoe zijn
bevoegd (en ontoegankelijk voor anderen).
Record Management Applicatie (RMA) als digitaal archief (RMA)
Ter ondersteuning van de managementcontrol komen er momenteel applicaties op de markt
om organisaties te ondersteunen bij hun informatiehuishouding. Deze systemen zijn
gebaseerd op het eerder genoemde DoD concept en worden Record Management Applicatie
(RMA) genoemd. Het is een softwarepakket dat een organisatie in staat stelt om de
archiefbescheiden (records), ongeacht hun vorm, te beheren en tevens de digitale
archiefbestanden op te slaan en duurzaam te beheren.
Met name digitale archiefbescheiden worden in zo'n systeem opgeslagen en duurzaam
beheerd. Concreet kan men zich een RMA voorstellen als een aantal voorzieningen binnen
een kantoorautomatiseringomgeving. Met behulp van een RMA kunnen alle
archiefbescheiden eenduidig geordend en beheerd worden en kunnen de digitale
archiefstukken in een niet-muteerbare vorm worden opgeslagen en ter beschikking gesteld
worden. De records die in een RMA worden opgeslagen worden direct aan de van toepassing
zijnde context- en metagegevens gekoppeld. In een RMA kunnen de benodigde gegevens
voor het beheer van archiefbescheiden, ongeacht de drager, worden opgeslagen. De
dossiers in een RMA bevatten gegevens over de stukken, direct raadpleegbare digitale
archiefbescheiden en een verwijzing naar de verblijfplaats(en) van de niet-digitale stukken.
Alle functies van een RMA (o.a. raadplegen, toevoegen en verwijderen van records) kunnen
door autorisaties worden gereguleerd. Pas na een autorisatie kan een gebruiker een
handeling uitvoeren. De controle over het digitale document en het beheer daarvan gaat
volledig over van de omgeving van de gebruiker naar een RMA, zodra het archiefstuk is
geïdentificeerd als zijnde een archiefstuk. In de RMA dient ook de van toepassing zijnde wet-
en regelgeving geïmplementeerd te zijn. Daarnaast wordt de archiefordening en de
verwijdering van stukken geregeld en de leesbaarheid van de bescheiden onderhouden.

9. Slotexamen RTC vd Steen pagina - 138
Hiermee kunnen voor het management de volgende voordelen van digitale archivering
behaald:
Betere beheersing
Digitale archivering kan de beheersbaarheid van de organisatie vergroten. Het is duidelijk wie
met welke documenten bezig is, wat de “workload” is en welke voortgang geboekt wordt.
Tevens kan men de relatie tussen de verschillende document- en gegevensstromen
inzichtelijk maken.
Efficiëntie
Met digitale archivering zijn efficiëntieverbeteringen in interne en externe document- en
gegevensstromen te behalen. Het kost minder tijd om documenten te zoeken. Relevante
documenten en gegevens zijn beter toegankelijk als gevolg van onafhankelijkheid van de
fysieke locatie.
Kostenbesparingen
Andere voordelen van digitale archivering zijn kostenbesparingen, want dossierkasten,
lectrievers en opbergmaterialen zijn amper meer nodig. Vergeleken met de opslag van
originele papieren documenten verhoudt zich de opslag van images van het document in een
Documentair Management Systeem tot een besparing van opslagruimte in de orde van
4000:1. Er is daardoor een besparing te behalen van dure vierkante meters huisvesting. Hier
tegenover staan de kosten die gemaakt moeten worden om een digitaal archief in te richten.
Maar ook hier kunnen besparingen behaald worden omdat vrijwel jaarlijks de opslagcapaciteit
van bijvoorbeeld fileservers verdubbelt.
Minder kwetsbaar
Digitale archieven zijn minder kwetsbaar dat papieren archieven. Zij bieden een grotere
bescherming tegen calamiteiten, want de archieven kunnen tegelijkertijd op een andere plek
worden opgeslagen, onder voorwaarde dat het beheer goed is. Recente overstromingen in
Europa hebben de kwetsbaarheid van een papieren archief weer eens aangetoond. Een
digitaal archief heeft het voordeel dat het snel weer operationeel kan zijn, mits het ook elders
opgeslagen wordt.
Wettelijke verplichting.
Er is een diversiteit in wet- en regelgeving met bepalingen over de bewaring en de
bewijskracht van gegevens. Wanneer de organisatie een inventarisatie maakt van de voor
haar in haar branche van toepassing zijnde wet- en regelgeving en opneemt waar deze
informatie gevonden kan worden, kan zij snel voldoen aan haar wettelijke verplichtingen.
Alleen zo kan het beheer van de in de organisatie aanwezige informatie hierop worden
afgestemd.
Milieu
Tot slot kan het stroomlijnen van digitale poststromen en integraal beheersen van document-
en gegevenstromen een bijdrage leveren aan milieudoelstellingen. Er is minder papier en
transport nodig en geen dure investeringen in klimaatbeheersing.
Slot
Voor de verdere vormgeving van de managementcontrolfunctie voor het afleggen van
verantwoording zouden audits het management ten dienste kunnen staan om tot
stapsgewijze verbeteringen te komen op het gebeid van de informatiehuishouding. Met
behulp van de auditor kunnen referentiepunten worden vastgesteld die voor de monitoring als
uitgangspunt dienen. Archiefdoelstellingen moeten dusdanig worden geformuleerd dat vooraf
meetpunten worden gedefinieerd. Periodiek moet worden gemeten en gerapporteerd over de
kwaliteit van de digitale archivering.
Ook auditors moeten het belang inzien om het laatste stukje van een bedrijfsproces, de
archiveringaspecten van bedrijfsprocessen, volgens geldende regels te corporeren in
bijvoorbeeld het ontwerp of invoering van een informatiesysteem. Digitale archivering en
duurzame opslag zullen in organisaties in de toekomst een steeds belangrijkere rol gaan

10. Slotexamen RTC vd Steen pagina - 139
vervullen. De archieffunctie in een digitale omgeving is bijvoorbeeld een dynamische spil in
het kennismanagement. Feitelijk wordt archivering, traditioneel het laatste stukje van een
bedrijfsproces, naar voren gehaald naar de start van het bedrijfsproces. Zonder goede
vastlegging direct na ontvangst of creatie van een digitaal document immers geen
verantwoording waar je op kunt steunen. Overigens is dankzij de informatietechnologie het
informatieaanbod zo groot dat zelden iets terug te vinden is, omdat meestal voorbijgegaan
wordt aan de voorwaarde van systematische opslag. Alleen strenge selectie uit het
beschikbare materiaal is een alternatief.
Veel overheidsorganisaties, zoals gemeenten, passen momenteel hun kerntaken aan. Oude
gemeentelijke instellingen zullen worden omgebouwd tot informatieleveranciers aan de
burgers die gelijktijdig een verantwoording van genomen beslissingen krijgen. Hierbij kan
zeker een auditor zijn nut bewijzen. Auditors kunnen hun kennis van modellen en objecten en
de kwaliteitseisen en risico's daaromtrent uitdragen die niet bekend zijn. Juist het vakgebied
Internal/operational auditing levert dikwijls vaktechnisch een aanvullende bijdrage aan het
formuleren van kwaliteitseisen (aspecten) en normen binnen de organisatie in het algemeen.

11. Slotexamen RTC vd Steen pagina - 1310
Hoofdstuk IV Corporate governance en de rol van digitale archivering
Dienstverlening
De overheid wil transparanter zijn naar de burger en de elektronische mogelijkheden
benutten om meer inzicht te geven in haar doen en laten. De burger moet in de archiefkast
van de overheid kunnen kijken en daarin zijn weg kunnen vinden. Ook in het kader van de
‘De Andere Overheid’ heeft in december 2003 Thom de Graaf, de toenmalige minister van
Bestuurlijke Vernieuwing en Koninkrijkrelaties, grootse ambities geuit. ‘De ICT helpt bij het
verbeteren van de overheidsdienstverlening, onder andere door de burger op afstand 24 uur
per dag, zeven dagen per week toegang tot de overheid te bieden.’ Het plan is om een
concept van eenmalige gegevensverstrekking te ontwikkelen. Burgers en bedrijven hebben
daardoor minder administratieve lasten. Kennisdeling is voor de gewenste verbetering
essentieel. Voorwaarde voor het succes van deze door de regering gewenste moderne
overheid is wel degelijk een zekere basiskwaliteit, beschikbaarheid en toegankelijkheid van
digitale informatie. Digitale archivering binnen de rijksoverheid moet volgens zo’n systeem
worden uitgevoerd. Daaraan zal echter nog hard moeten worden gewerkt.
Beheersbaar
In het bedrijfsleven heeft de invulling van corporate governance verregaande consequenties.
De Sarbanes-Oxley Act bijvoorbeeld, ook van toepassing voor Nederlandse bedrijven die op
de Amerikaanse beurs zijn genoteerd, schrijft onder meer voor dat het management in het
jaarverslag een mededeling (‘in control statement’) moet opnemen over de effectiviteit van de
interne beheersing van het proces van financiële verantwoording. Het management is
strafrechtelijk aansprakelijk als de gepresenteerde informatie niet blijkt te kloppen. Het
systeem van interne beheersing moet beheersbaar en controleerbaar en daarom van audit
trails voorzien zijn. De code Tabaksblat bevat principes, best practices en aanbevelingen op
het gebied van controle, risicomanagement, rapportage en verantwoording om de beheersing
van de onderneming te verbeteren. Het werkt, maar blijkt ook risicovol. De onderneming moet
‘in control’ zijn. IT dient hierbij te helpen om controles te faciliteren en bedrijfsrisico’s te
verminderen. De onderbouwende informatie en documentatie dienen hiervoor uiteraard
adequaat te zijn.
VBTB
Binnen de Rijksoverheid zijn belangrijke ontwikkelingen gaande met betrekking tot de
auditfunctie. Dit is vooral het gevolg van de implementatie van de regeringsnota ‘Van
Beleidsbegroting tot Beleidsverantwoording’ (VBTB). Dit nieuwe begrotings- en
verantwoordingsstelsel, dat geldt vanaf het jaar 2002, kenmerkt zich meer dan voorheen door
een output- en outcomegerichte benadering, alsmede door veel aandacht voor het realiseren
van een transparante en kwalitatief hoogwaardige bedrijfsvoering.
In de eerste helft van 2001 heeft een commissie onder voorzitterschap van voormalig
Rekenkamerpresident Frans Kordes onderzoek verricht naar de gevolgen van de VBTB voor
de auditfunctie. Duidelijk is dat de VBTB ertoe leidt dat het politieke en ambtelijke
management van de departementen behoefte zullen hebben aan een bredere auditfunctie
dan de traditionele accountantsfunctie. De VBTB vraagt om een moderne auditfunctie, die
zich richt op oordeelsvorming en advisering over de gehele bedrijfsvoering. De auditfunctie
kan als instrument dienen voor het politieke en ambtelijke management van de
departementen om in continuïteit verbeteringen in de bedrijfsvoering te onderkennen en door
te voeren. Tevens kan het management van een departement mede op basis van de
uitkomsten van uitgevoerde audits in zijn verantwoording opnemen dat zij ‘in control’ zijn.
Om de voorstellen uit de nota VBTB te kunnen realiseren, worden hoge eisen gesteld aan de
sturing, beheersing en verantwoording van overheidsbeleid.
De VBTB veronderstelt derhalve dus een goede governance. De visie van de commissie
Kordes uit haar rapport ‘De auditfunctie in het VBTB-tijdperk’ is in 2003 door de DAR verder
uitgewerkt in het ‘Kwaliteitsplan auditfunctie Rijksdienst’. Dit plan is bedoeld om een bijdrage
te leveren aan de verdere ontwikkeling van de auditfunctie.

12. Slotexamen RTC vd Steen pagina - 1311
Het plan signaleert een noodzaak om te investeren in de kwaliteit van de audit-functie bij de
overheid om twee hoofdredenen:
1. De ontwikkelingen in de praktijk en in het bijzonder de implementatie van de
regeringsnota VBTB laten een duidelijke behoefte zien aan een brede,
multidisciplinaire audit-functie
2. Uit de onderzoeken naar de arbeidsmarkt overheidsaccountancy is een aantal
verontrustende knelpunten naar voren gekomen. Inmiddels zijn op alle ministeries
brede auditdiensten ingesteld met operational, financiële en EDP-auditing als
disciplines, zie de inrichting van de Auditdienst Financiën.
Een van de belangrijkste vragen van de VBTB was het beter toegankelijk maken van de
begroting. In 2004 is in een interdepartementaal project een evaluatie gegeven op vijf jaar
VBTB. Het ministerie van Financiën dat verantwoordelijk was voor de coördinatie en
uitvoering en zes departementen hebben een analyse gemaakt over de resultaten van de
VBTB. De voornaamste conclusie is dat het “dunner en vooral concreter" zou moeten
worden. Er is wel een duidelijke vooruitgang gemaakt in een andere manier van denken en
doen rond de begroting en het jaarverslag. Centraal staan nu de doelen van beleid waarover
departementen, naast de behaalde resultaten, verantwoording over moeten afleggen.
Gevolg is dat de beleidsambtenaren meer zijn gaan nadenken over de resultaten van het
beleid dat ze zelf maken.
In de begroting 2006 zijn concreet de antwoorden te zien op de drie hoofdvragen uit de
VBTB: wat wil men bereiken, wat gaat men daarvoor doen, en wat mag het kosten.
Was de VBTB in de eerste jaren vooral gericht op de meetbaarheid van de resultaten van al
het beleid, nu staat vooral kwaliteit en de politiek voorop. Belangrijkste doelgroep is de Kamer
die alleen die resultaten te zien krijgt, die zinvol zijn om de inzet van het geld te kunnen
beoordelen. Dit komt de compactheid en inzichtelijkheid van de begroting ten goede.
Tenslotte hoeft niets alles zichtbaar gemaakt te worden, als het maar uitlegbaar is, vindt men
bij de departementen. Problemen blijven er wel. De Kamer vindt het lastig om prioriteiten te
stellen en doelen kunnen om politieke redenen veranderen. Hierdoor kan de Kamer het zicht
op hoofdlijnen en concreet resultaat verliezen. Door de VBTB aanpak dunner te maken, door
voor te stellen juist minder maar "politieke en beter toegelichte" doelen te formuleren, kunnen
de departementen beter begroten en kan de Kamer beter beoordelen hoe de middelen zijn
ingezet. Hiermee is de begroting een stuk concreter geworden.
De VBTB is dus als begrotingsinstrument nog lang niet uitontwikkeld. Men beseft dat het nog
beter kan en dat niet alles meetbaar is. Dit geeft weliswaar een stuk vrijheid, maar alles moet
wel verklaarbaar en dus verantwoord zijn. Dit heeft dus ook zijn impact op de rol van de
auditfunctie. De VBTB leidde ertoe dat de scope van de Audit-committees uitgebreid moest
worden met de onderzoeken op de terreinen beleid en bedrijfsvoering. De auditfunctie van
het ministerie zal dus met de ontwikkelingen van de VBTB moeten meegroeien als een
onderdeel van het geheel van managementcontrol.
Anno 2006 blijkt dat beleid afrekenen voor de overheid een kunst op zich is
2
. De
doelstellingen van de overheid worden nog veel te weinig in meetbare cijfers omgezet en dus
wordt het dan moeilijk te controleren of de doelstellingen gehaald worden. De moeite die men
heeft de beleidsdoelstellingen te kwantificeren en dus meetbaar te maken, kan te maken
hebben met een totaal versnipperde informatiehuishouding. Wanneer men een goed digitaal
archief heeft waarin de beleidsinformatie op een centrale plek terug te vinden is, biedt dit een
uitstekende basis voor de noodzakelijk beleidsverantwoording.
Digitaal archiefbeheer wordt vaak gekwalificeerd als een noodzakelijk kwaad en het wordt
vrijwel nooit in relatie gebracht met het kwaliteitssysteem, de bedrijfsvoering en beheersing
van een organisatie. Bovendien ziet men de adequate zorg voor bewaring nog nauwelijks als
een voorwaarde voor de VBTB of voor de realisatie van ‘De Andere Overheid’.
2
De Volkskrant, 18 mei 2006

13. Slotexamen RTC vd Steen pagina - 1312
Conclusie en afsluiting
Wat is de impact van het toenemend belang van digitale archivering in organisaties op de
functie van operational auditing?
Operational auditing is een onmisbaar onderdeel bij de managementcyclus. Het geeft
additionele zekerheid aan de manager over de beheersmaatregelen gericht op het realiseren
van organisatiedoelen. Uit het oogpunt van interne beheersing bestaat er bij het
verantwoordelijke management in toenemende mate de behoefte om beleidsontwikkeling,
planvorming en bedrijfsvoering pro-actief te toetsen aan de daartoe gestelde kaders.
Operational auditing benadrukt de verantwoordelijkheid van het management zelf. De
operational audit-functie houdt het topmanagement op de hoogte van de kwaliteit van het
functioneren van de organisatie in relatie tot de strategische uitgangspunten en de geldende
beheersingskaders bijvoorbeeld op het gebied van de digitale informatiehuishouding.
Hiermee kan operational auditing zich manifesteren als een noodzakelijk
beheersingsinstrument en additionele zekerheid geven aan het management. Het kan zo een
bijdrage leveren aan de (verbetering van de) doeltreffendheid en doelmatigheid van de
informatiehuishouding, zowel de strategische- en beleidsontwikkeling als de bedrijfsvoering.
Het toekomstbeeld van een nieuwe digitale wereld vraagt nieuwe kennis, nieuwe
vaardigheden en een nieuwe werkwijze .
“Van papier naar digitaal: het vraagt een totale cultuuromslag. Functies, overlegvormen,
taken en bevoegdheden zullen kantelen. De opmars, bij wijze van spreken vanuit de kelder,
naar het centrum van de organisatie is begonnen. Het is een enorme uitdaging met een
potentiële meerwaarde: een perfect cumulatief kenniscentrum, transparant, actueel, open.
Optimaal zinvol en dienstbaar, voor nu en later. Het is voor alle betrokkenen een werkend
perspectief”
3
.
Om dit perspectief echt werkend te maken moet er nog heel wat gebeuren. Het management
moet ervan uit kunnen gaan dat het beleidsmatig, procedureel en technisch ook allemaal
mogelijk is. Hier ligt dus ook een taak voor de auditor. Ik hoop dat hij met mij het belang van
een goede organisatie van digitale archivering onderschrijft. Daarbij zijn de eisen aan het
digitale archiefproces als volgt; dat het doelmatig is ingericht, dat de daarbij behorende
stukken goed zijn gerangschikt, dat elk stuk op verlangen van het management in korte tijd
kan worden teruggevonden zodat er over elk onderwerp zo vlug mogelijk verantwoording kan
worden afgelegd.
Feitelijk zou de nieuwe digitale informatiehuishouding niet anders mogen zijn ingericht dan
die van de papieren wereld uit een ver ver verleden
4
.....
3
Mr. R.H.L.M. van Boxtel, uit, Koenen, K., Baak, P., Het geheugen als actieve kracht, Den Haag, 22 juli 1999, pag. 7
4
zie de voorpagina van dit slotexamendocument

14. Slotexamen RTC vd Steen pagina - 1313
Bronnen
Algemene Rekenkamer, Achtergrondstudie Verbreding van de publieke verantwoording,
maart 2004.
Beleid afrekenen is een kunst, De Volkskrant, 18 mei 2006.
Bujar, Ila en Boudien J. Glashouwer RE RI CISA. Een duurzaam transparante overheid:
haalbaar of nog een brug te ver? De EDP-Auditor, nummer 4-2002.
DAR, Jubileumrapport GoGo, november 2000.
DAR, Kwaliteitsplan Rijksoverheid, 1995.
DAR, Reviewbeleid als sluitstuk van goed toezicht, een handreiking voor het waarborgen van
betrouwbare verantwoordingsinformatie, Juni 2002.
Glashouwer, B.J., Pasmooij, P., De tijd van aanmodderen is voorbij, in Controllersmagazine,
maart 2004.
Horrevorts, T., Code Tabaksblat ook dringend nodig voor overheid zelf, in Het Financieel
Dagblad, 17 maart 2003.
ICT is hoeksteen voor ‘Andere Overheid’, Automatisering Gids, 5-12-2003.
IT-implicaties ‘Tabaksblat’ nog onduidelijk, Automatisering Gids, 09-01-04.
Koenen, K., Baak, P., Het geheugen als actieve kracht, Den Haag, 22 juli 1999.
Korte, R., Otten, J., Operational audit: van ‘containerbegrip’ naar een methodologisch
ondersteunende auditvorm, in: Controllersreeks, 2003.
Lang A., Koch E.A., Heeft de overheid een auditcommissie?, in: Overheids MANAGEMENT,
oktober 2004.
Ministerie van Bestuurlijke Vernieuwing en Koninkrijksrelaties. Actieprogramma ‘Andere
overheid’, Den Haag, december 2003.
Minsterie van Financiën, , Directie Audit en Toezichtbeleid, Risicomanagement in het
perspectief van de omgevingsanalyse, in Congresbundel 2004.
Snaterse H., Audit Committees bij de rijksoverheid, afstuurreferaat OA, Universiteit van
Amsterdam, augustus 2000.
Steen, van der, RTC, Archivering in een digitale wereld. Hoe beheersen wij de paradox?, in
de EDP-Aditor, nummer 4-2003.
Wielaard, N., Audit-commissie binnen rijksoverheid?, in De Accountant, november 2004.