De evoluerende rol van de IT-auditor

Maat: px
Weergave met pagina beginnen:

Download "De evoluerende rol van de IT-auditor"

Transcriptie

1 De evoluerende rol van de IT-auditor Team: 907 Studenten: S.P. Heijens MSc Ing. F.E. van Wieringen MSc RI Instituut: Vrije Universiteit Amsterdam Faculteit der Economische Wetenschappen en Bedrijfskunde Postgraduate School IT Audit opleiding Begeleiders: Drs. J. Stierman RE E. de Horde RA Versie: 1.0 Datum: 30 maart 2009

2 Inhoudsopgave Samenvatting...4 Voorwoord Inleiding Doelstelling Probleemstelling Verwachte resultaat Beperking van de scope Onderzoeksaanpak en planning Outline Literatuuronderzoek Traditionele rol IT-auditor financiële audit Belangrijkste technologische ontwikkelingen ERP-systemen Workflow Management Systemen Computer Aided Audit Techniques (CAATs) extensible Business Reporting Language (XBRL) Continuous Auditing Invloed volwassenheidsniveau IT op de toegevoegde waarde IT audit Huidige/Toekomstige rol IT-auditor Verschillen in perceptie tussen IT en financiële auditor Samenvatting literatuuronderzoek Praktijkonderzoek Onderzoeksmodel Hypothesen per onderzoeksvraag Opzet enquête Opzet van enquêteonderdelen en -vragen Verspreiding van de enquête Respons enquête Analyse van de enquêteresultaten De traditionele rol van de IT-auditor bij de jaarrekeningcontrole Betere ondersteuning gezien vanuit de financiële auditor Betere ondersteuning gezien vanuit de klant Betrokkenheid van de IT-auditor is niet meer voldoende Relevante technologische ontwikkelingen Impact van ERP-systemen Impact van Workflow Management Systemen Impact van CAATs Impact van XBRL Impact van Continuous Auditing Volwassenheidsniveau IT klant Andere factoren van invloed op inzet IT-auditor Samenvatting praktijkonderzoek Conclusies & aanbevelingen Aanbevelingen Vervolgonderzoek...44 Literatuurlijst...45 Appendix A Enquête

3 Lijst van figuren / tabellen Figuur 1: Unified Theory of Acceptance and Use of Technology (UTAUT) [32]...11 Figuur 2: IT Governance aspecten volgens De Haes et al. [10]...14 Figuur 3: Verdeling respondenten...22 Figuur 4: Verdeling respondenten naar functieniveau...23 Figuur 5: Verdeling respondenten naar aantal jaren werkervaring...23 Figuur 6: Traditionele rol IT-auditor...24 Figuur 7: Betere ondersteuning vanuit het perspectief van de financiële auditor...25 Figuur 8: Betere ondersteuning vanuit het perspectief van de klant...27 Figuur 9: Verdeling respons voldoet de rol van de IT-auditor nog...28 Figuur 10: Relevante technologische ontwikkelingen met impact op de jaarrekeningcontrole...29 Figuur 11: Verwachte activiteiten van de IT-auditor bij aanwezigheid van een ERP-systeem...30 Figuur 12: Verwachte activiteiten van de IT-auditor bij aanwezigheid van een Workflow Management Systeem. 32 Figuur 13: Verwachte activiteiten van de IT-auditor bij mogelijkheden voor CAATs...33 Figuur 14: Verwachte activiteiten van de IT-auditor bij een XBRL-jaarrekening...34 Figuur 15: Verwachte activiteiten van de IT-auditor bij continuous auditing...35 Figuur 16: Verwachte activiteiten van de IT-auditor bij een klant met een laag IT-volwassenheidsniveau...37 Figuur 17: Verwachte activiteiten van de IT-auditor bij een klant met een gemiddeld IT-volwassenheidsniveau.38 Figuur 18: Verwachte activiteiten van de IT-auditor bij een klant met een hoog IT-volwassenheidsniveau...39 Figuur 19: Klanteigenschappen die van invloed zijn op de inzet van de IT-auditor bij de jaarrekeningcontrole...40 Figuur 20: Andere factoren van invloed op de inzet van de IT-auditor...41 Tabel 1: Significante verschillen tussen de financiële- en de IT-auditor, traditionele werkzaamheden IT-auditor.25 Tabel 2: Significante verschillen tussen de financiële- en de IT-auditor, betere ondersteuning vanuit het perspectief van de financiële auditor...26 Tabel 3: Significante verschillen tussen de financiële- en de IT-auditor, betere ondersteuning vanuit het perspectief van de klant : Significante verschillen tussen de financiële- en de IT-auditor, relevante technologische ontwikkelingen Tabel 5: Significante verschillen tussen de financiële- en IT-auditor, werkzaamheden IT-auditor bij aanwezigheid van een ERP-systeem...31 Tabel 6: Significante verschillen tussen de financiële- en de IT-auditor, werkzaamheden IT-auditor bij aanwezigheid van Workflow Management Systeem...33 Tabel 7: Significante verschillen tussen de financiële- en de IT-auditor, werkzaamheden IT-auditor bij XBRLjaarrekening...35 Tabel 8: Significante verschillen tussen de financiële- en de IT-auditor, werkzaamheden IT-auditor bij continuous auditing...36 Tabel 9: Significante verschillen tussen de financiële- en de IT-auditor, verwachte activiteiten IT-auditor bij een klant met een laag volwassenheidsniveau...37 Tabel 10: Significante verschillen tussen de financiële- en de IT-auditor, verwachte activiteiten IT-auditor bij een klant met een gemiddeld volwassenheidsniveau...38 Tabel 11: Significante verschillen tussen de financiële- en de IT-auditor, verwachte activiteiten IT-auditor bij een klant met een hoog volwassenheidsniveau...39 Tabel 12: Significante verschillen tussen de financiële- en de IT-auditor, klanteigenschappen die van invloed zijn op de inzet van de IT-auditor bij de jaarrekeningcontrole...40 Tabel 13: Significante verschillen tussen de financiële- en de IT-auditor, andere factoren die van invloed zijn op de inzet van de IT-auditor bij de jaarrekeningcontrole

4 Samenvatting In het afgelopen decennium hebben er diverse technologische ontwikkelingen plaatsgevonden. Doel van dit onderzoek is om te onderzoeken of gezien de technologische ontwikkelingen van het afgelopen decennium de traditionele rol van de IT-auditor nog voldoet. Om antwoord te geven op die onderzoeksvraag hebben we een aantal deelvragen gedefiniëerd waar wij de literatuurstudie en het praktijkonderzoek op hebben gebaseerd. Uit de literatuurstudie komt o.a. naar voren dat tot het einde van de 20 e eeuw vaak nog om systemen heen werd geaudit en dat IT audit maar een zeer beperkt onderdeel van de jaarrekeningcontrole is. Daarnaast hebben wij vijf relevante technologische ontwikkelingen behandeld in de literatuurstudie, te weten (1) ERP-systemen, (2) Workflow Management systemen, (3) Computer Aided Audit Techniques (CAATs), (4) XBRL en (5) Continuous Auditing. Tevens komt uit de literatuur naar voren dat de impact van deze ontwikkelingen op de jaarrekeningcontrole van een aantal factoren afhankelijk is, zoals het perceptieverschil tussen de financiële auditor en de IT-auditor, maar ook de IT-volwassenheid van de klant. De resultaten van de literatuurstudie vormden de basis voor ons praktijkonderzoek. In het praktijkonderzoek onderzoeken wij door gebruik te maken van een enquête welke mogelijkheden er zijn voor verbetering van de van de inzet van de IT-auditor bij de jaarrekeningcontrole binnen een accountantskantoor in Nederland gezien de recente technologische ontwikkelingen. De enquête is zowel door financiële als IT-auditors ingevuld. Vervolgens is door middel van de resultaten van zowel de literatuurstudie als de enquête antwoord gegeven op de gedefiniëerde deelvragen en uiteindelijk ook op de hoofdvraag. Uit het onderzoek komt naar voren dat de traditionele werkzaamheden van de IT-auditor in relatie tot de jaarrekeningcontrole bestaat uit het toetsen van generieke IT-beheersmaatregelen, autorisaties en geautomatiseerde beheersmaatregelen. Om te kunnen beoordelen of deze traditionele werkzaamheden nog voldoen hebben we onderzocht wanneer er sprake is van een betere ondersteuning en in welke mate de traditionele werkzaamheden nog voldoen. Een betere ondersteuning voor de financiële auditor kenmerkt zich volgens de door ons onderzochte groep respondenten in het voldoende comfort krijgen over systemen, het toetsen van geautomatiseerde beheersmaatregelen en het in kaart brengen van IT-risico s. Het in kaart brengen van IT-risico s wordt ook genoemd als betere ondersteuning voor de klant, samen met het leveren van toegevoegde waarde en het bieden van specifieke kennis. Opvallend is dat de onderzochte groep respondenten over het algemeen van mening is dat de traditionele werkzaamheden nog grotendeels voldoen maar het blijkt wel dat er nog niet volledig gebruik wordt gemaakt van nieuwe mogelijkheden door de technologische ontwikkelingen. Het blijkt ook dat er nogal verschillen bestaan in de perceptie van de financiële- en de IT-auditors. ITauditors worden nog steeds als echte IT-specialisten gezien door de financiële auditor terwijl de ITauditor zichzelf ook als processpecialist lijkt te zien. 4

5 Voorwoord Deze scriptie is onderdeel van het examen voor de IT-audit opleiding aan de Vrije Universiteit Amsterdam en is dus onderdeel van het 3 e jaar van de opleiding. Doelstelling van het schrijven van de scriptie als onderdeel van de opleiding is om kennis en vaardigheden op het gebied van onderzoek op te doen, en om kritisch en diepgaand een relevant onderwerp binnen het vakgebied IT-auditing te bespreken. Het onderzoek is uitgevoerd vanaf juli 2008 (orienteren op een onderwerp) tot en met maart 2009 (afronding). Vereiste voor het onderzoek was dat het zowel een literatuuronderzoek als een parktijkonderzoek omvatte. Het praktijkonderzoek hebben we uitgevoerd in de vorm van een enquête onder financiële- en IT-auditors. We vonden het erg interessant en leerzaam om diepgaand met dit onderwerp bezig te zijn en hopen dat we hiermee een eerste stap hebben kunnen zetten naar een betere inzet van de IT-auditor en een betere samenwerking met de financiële auditors tijdens de jaarrekeningcontrole. Wij bedanken onze begeleiders voor hun begeleiding en de tijdige en kritische feedback. Amsterdam, 23 maart 2009 Friso van Wieringen Saphira Heijens Begeleider VU: Job Stierman Begeleider bedrijfscoach: Erwin de Horde 5

6 1 Inleiding Als IT-auditors valt het ons op dat de belangrijkste bezigheid van de IT-auditor het toetsen van beheersmaatregelen is: het zogenaamde controls testing. Met de opkomst van ERP-systemen, workflow-systemen, document management systemen, CAATs, XBRL, en bijvoorbeeld data-analyse applicaties vragen wij ons af in hoeverre deze traditionele rol van de IT-auditor nog voldoet en op welke manier een IT-auditor beter en efficiënter kan ondersteunen bij een financiële audit. 1.1 Doelstelling De doelstelling van ons onderzoek is te onderzoeken welke mogelijkheden er zijn om een jaarrekeningcontrole beter en efficiënter uit te voeren. Daarnaast willen wij met dit onderzoek concrete aanbevelingen doen om dit te bewerkstelligen. Daarmee hopen we het werk voor zowel de IT-auditor als de financiële auditor efficiënter en tevens uitdagender en leuker te maken. 1.2 Probleemstelling Om aan de doelstelling van het onderzoek te voldoen staat de volgende onderzoeksvraag centraal: In hoeverre kan de IT-auditor een betere ondersteuning bieden bij de financiële audit? Om deze onderzoeksvraag te kunnen beantwoorden hebben wij een aantal deelvragen geformuleerd: 1. Waaruit bestaat de traditionele rol van de IT-auditor in relatie tot de financiële audit? 2. Wanneer is er sprake van betere ondersteuning bij de financiële audit? 3. Welke relevante technologische veranderingen hebben er plaatsgevonden in het afgelopen decennium en welke technologische veranderingen vinden er in de nabije toekomst plaats? 4. In welke mate voldoet de traditionele rol van de IT-auditor bij de huidige financiële audit nog? 5. Welke invloed hebben deze veranderingen op de financiële audit? 6. In welke mate is het volwassenheidsniveau van de klant op het gebied van IT en beheersmaatregelen van invloed op de rol van de IT-auditor bij de financiële audit? Met de financiële audit wordt in dit geval het uitvoeren van werkzaamheden t.b.v. de jaarrekeningcontrole bedoeld. 1.3 Verwachte resultaat De verwachte resultaten van dit onderzoek zijn: Een analyse van de huidige literatuur over de relatie tussen IT audit en de financiële audit. Een analyse van de huidige situatie binnen een accountantskantoor gebaseerd op de ervaringen van zowel de financiële als de IT-auditors uit de praktijk. Aanbevelingen voor een betere inzet van IT audit bij de financiële audit. Wij verwachten dat de mate waarin de IT audit een betere ondersteuning kan bieden bij de jaarrekeningcontrole af zal hangen van het type klant en de mate van volwassenheid van de IT omgeving. Indien een klant immers weinig geavanceerde IT-systemen heeft geïmplementeerd en geen goede interne beheersomgeving heeft zal een IT audit weinig toegevoegde waarde bieden voor de financiële auditors. 6

7 1.4 Beperking van de scope Bij het bepalen van de scope van het onderzoek zijn de volgende zaken expliciet buiten het onderzoek gehouden: We beperken ons tot de technologische ontwikkelingen met invloed op de IT audit als onderdeel van de financiële audit. Andere ontwikkelingen binnen IT-audit zoals business ITalignment zullen we dus niet bespreken. Er is een grote variëteit aan ERP-systemen en overige applicaties op de markt die bij kunnen dragen aan een efficiëntere en effectievere audit. Tijdens ons onderzoek zullen wij niet op specifieke ERP-systemen ingaan. Er is een grote variëteit aan workflow management systemen op de markt die bij kunnen dragen aan een efficiëntere en effectievere audit. Tijdens ons onderzoek zullen wij niet op specifieke workflow management systemen ingaan. 1.5 Onderzoeksaanpak en planning Ons onderzoek zal worden uitgevoerd vanaf juli 2008 tot en met maart 2009 en onderscheidt zich in de volgende fasen: Literatuurstudie. Analyse van de huidige literatuur over de relatie tussen de IT audit en de financiële audit. Praktijkonderzoek. Het praktijkonderzoek zal bestaat uit: o Een enquête. Door het enquêteren van junior en senior medewerkers van zowel de financiële audit als de IT-audit groep binnen een accountantskantoor zullen wij onderzoeken in hoeverre de IT audit een onderdeel is van de jaarrekeningcontrole en bij welk type klanten de IT audit als meest waardevol wordt gezien door zowel de financiële als de ITauditors. Documenteren van de resultaten van het praktijkonderzoek Schrijven van de conclusie en aanbevelingen 1.6 Outline De overige onderdelen van deze scriptie zijn als volgt opgebouwd: In Hoofdstuk 2 zijn de resultaten van de literatuurstudie opgenomen. In Hoofdstuk 3 zijn de resultaten van het praktijkonderzoek opgenomen. In Hoofdstuk 4 beschrijven we onze conclusies en aanbevelingen en suggesties voor verder onderzoek. 7

8 2 Literatuuronderzoek Uitgaande van de onderzoeksvragen in Hoofdstuk 1 hebben we bijpassende literatuur gezocht. We starten met het beschrijven van de traditionele rol van de IT-auditor. Daarna beschrijven we de belangrijkste ontwikkelingen in het afgelopen decennium en in de nabije toekomst met invloed op de financiële audit. Dit vertalen we vervolgens naar de veranderende rol van de IT-auditor in relatie tot de financiële audit. Als laatste leggen we een relatie tussen de rol van de IT-auditor bij verschillende typen bedrijven. Bij welke mate van IT-volwassenheidsniveau heeft de IT-auditor de meeste toegevoegde waarde? 2.1 Traditionele rol IT-auditor financiële audit Binnen 1 van de Big 5 accountantskantoren is er vanaf 1970 een formele IT audit functie ontstaan [29]. De primaire rol van de IT-auditor was destijds het ondersteunen van de jaarrekeningcontrole en de IT audit maakte hier maar een heel klein deel van uit. Sinds 1984 is wettelijk bepaald dat de accountant bij een jaarrekeningcontrole in zijn verslag aan de Raad van Commissarissen en aan het bestuur melding dient te maken van zijn bevindingen met betrekking tot de betrouwbaarheid en continuïteit van de geautomatiseerde gegevensverwerking [23]. Hinson [12] geeft aan dat de keuze, om al dan niet om de IT-systemen heen te auditen, tot het einde van de 20 e eeuw een belangrijk onderdeel van de planningsfase van de jaarrekeningcontrole was. Vanwege de beperkte kennis bij de financiële auditors van IT werden de IT-systemen nog vaak als black boxes gezien. Berekeningen die door een boekhoudpakket geautomatiseerd werden gedaan werden door de financiële auditors gevalideerd om te controleren dat het programma zijn werk goed deed. IT-auditors beperkten zich ook nog puur tot de IT-omgeving (zoals hardware, operating systems, database systemen) en negeerden de bedrijfsprocessen. Vanaf de jaren 90 werd deze scheiding tussen IT audit en de financiële audit doorbroken door het idee van de geïntegreerde audit. In 1995 bracht de NIVRA [22] een studierapport uit waarin normatieve maatregelen voor de geautomatiseerde gegevensverwerking in het kader van de jaarrekeningcontrole worden beschreven. Het studierapport beschrijft richtlijnen voor de beoordeling van de gautomatiseerde gegevensverwerking die de accountant minimaal moet verrichten om zich een oordeel over de getrouwheid van de jaarrekening te kunnen vormen [22]. Tucker [28] geeft aan dat in 2001 de SAS94 standaard werd uitgebracht waarin het effect van informatietechnologie op de evaluatie van de interne controles in het kader van de jaarrekeningcontrole wordt beschreven. Het is een aanvulling op SAS55 (het evalueren van de interne beheersmaatregelen in het kader van de jaarrekeningcontrole) en wordt gezien als belangrijke stap in het erkennen van IT als onderdeel van de controleaanpak. 2.2 Belangrijkste technologische ontwikkelingen In deze sectie beschrijven we de belangrijkste ontwikkelingen in het afgelopen decennium en in de nabije toekomst met invloed op de financiële audit. Deze ontwikkelingen werden het meest genoemd bij het zoeken naar recente literatuur over technologische ontwikkelingen met invloed op de audit. We starten met de invloed van ERP-systemen, Workflow Management Systemen, CAAT s en eindigen met twee actuele ontwikkelingen zoals XBRL en Continuous Auditing. 8

9 2.2.1 ERP-systemen Volgens Sutton [26] is er nog maar weinig onderzoek gedaan naar de invloed van ERP-systemen op accounting. In 2006 doet hij via het International Journal of Accounting Systems een oproep voor onderzoek. Volgens Sutton is door de invoer van ERP-systemen de uitdaging voor de accountants niet meer het opstellen van de financiële rapportages, dit wordt immers grotendeels geautomatiseerd gedaan. Hij ziet nu de grootste uitdaging in het tijdig rapporteren en verstrekken van financiële informatie. Sutton is ook van mening dat auditors slecht zijn in het tijdig aanpassen aan nieuwe technologische ontwikkelingen zoals ERP-systemen. Volgens hem dient de nadruk nu meer te liggen op het reviewen of de activiteiten die automatisch transacties registreren in de ERP-systemen wel juist zijn geprogrammeerd. Hij ziet echter weinig onderzoek dat onderbouwt dat hier genoeg aandacht aan wordt besteed. Open onderzoeksvragen zijn volgens Sutton [26] hoe systeem betrouwbaarheidsonderzoeken onderdeel kunnen worden van de audit en welke technieken en tooling hiervoor het meest effectief ingezet kan worden. Er is ook nog weinig geschreven over hoe continuous auditing gerealiseerd kan worden in een ERP-omgeving. Hunton [14] heeft onderzoek gedaan naar de risico s die bestaan bij de audit van klanten met ERPsystemen. Bij dit onderzoek zijn zowel financial auditors (accountants) en IS audit specialists (ITauditors) betrokken. Uit het onderzoek van Hunton blijkt dat risico s door accountants anders worden geclassificeerd dan door de IT-auditors en dat risico s op het gebied van continuïteit, netwerkbeveiliging, databasebeveiliging, applicatiebeveiliging (waaronder functiescheiding) en beheersbaarheid vaak zeer beperkt of helemaal niet worden onderkend. Tevens blijkt uit het onderzoek dat de ondervraagde accountants vaak van mening zijn dat de risico s van een ERPsysteem zonder tussenkomst van een specialist kunnen worden herkend. Kelechi [15] beschrijft in zijn master thesis de invloed van ERP-systemen op het audit proces. Hij heeft onderzocht in hoeverre de aanwezigheid van een ERP-systeem de audit aanpak beïnvloedt. Kelechi toetst vier hypothesen door het enquêteren van 365 auditors [15]: 1. Het audit proces en procedures veranderen door de implementatie van een ERP-systeem. 2. Het risico op gebied van beheersbaarheid neemt toe na een ERP implementatie. 3. Er hoeft minder substantive te worden getest. 4. De kwaliteit en efficiency van de audit neemt toe door het sneller beschikbaar zijn van realtime informatie. De eerste drie hypothesen werden op basis van de statistische analyse aangenomen. Er werd geen bewijs gevonden dat de audit trail van ERP-systemen ertoe leidt dat de benodige informatie voor de audit sneller beschikbaar is. Wel werd volgens Kelechi [15] duidelijk dat ERP-systemen functionaliteiten bieden die het audit process kunnen versnellen en efficiënter kunnen maken. Hij beschrijft echter niet welke functionaliteiten dit zijn Workflow Management Systemen Een andere nieuwe mogelijkheid door de opkomst van workflow management systemen is het auditen of processen in overeenstemming met de definitie worden uitgevoerd [9]. Er wordt tegenwoordig een heleboel informatie gelogd in de meeste informatiesystemen. Heijens [11] beschrijft een datamodel waarin de benodigde informatie is opgenomen voor een bruikbare audit trail ten behoeve van monitoring doeleinden. Er wordt echter nog weinig met deze logging gedaan volgens Hakvoort en Sluiter [9]. Process mining is een nieuw onderzoeksgebied waarin er op basis van logging kennis wordt vergaard over processen maar ook over sociale netwerken. Op deze manier kan er inzicht verkregen worden in hoe processen 9

10 daadwerkelijk worden uitgevoerd waardoor een betere risicoanalyse kan worden uitgevoerd. Vooralsnog wordt process mining vaak gebruikt om procesverbetering te bewerkstellingen. Hakvoort en Sluiter [9] hebben onderzocht hoe process mining ook kan worden ingezet voor de financiële audit. Voordelen die zij hebben gevonden van conformance analysis zijn het significant verminderen van het aantal transacties dat substantive moet worden getest en het verkrijgen van inzicht in hoe vaak het proces door bepaalde personen wordt uitgevoerd. Nadelen die Hakvoort en Sluiter onderkennen zijn het niet kunnen analyseren op procesattributen (zoals bedragen) en of de transacties op het juist niveau zijn goedgekeurd. Ze concluderen dat process mining interessante inzichten kan bieden, maar dat er nog een aantal verbeteringen nodig zijn, ook in de transactie logs van ERP-systemen, voor het echt kan worden ingezet als tool voor de financiële audit. Naast process mining bieden Workflow Management Systemen nog andere voordelen voor auditors. Indien de workflow goed wordt ingericht dwingt een workflow management systeem immers een bepaalde werkwijze af [9]. Zo kan worden ingesteld dat de manager van een medewerker een bepaald inkoopverzoek moet goedkeuren alvorens het wordt doorgezet naar de inkoopafdeling. Zoals bij alle informatiesystemen is het hier ook belangrijk dat de IT general controls goed zijn ingericht opdat het juist functioneren van de procedures die door het systeem worden afgedwongen wordt gewaarborgd. Met name autorisaties en functiescheiding dienen goed te worden bekeken Computer Aided Audit Techniques (CAATs) Computer Aided Audit Techniques (CAATs) zijn volgens De Vries [31] op te delen in vier categorieën: 1. Data analyse software zoals ACL, Microsoft Access en Excel. 2. Netwerk beveiliging en netwerk evaluatie software. 3. Operating System en Database Management systeem beveiliging evaluatie software. 4. Software voor testen van programmacode. Spreadsheet Assurance is tevens een voorbeeld van CAATs. Hier zijn verschillende tools voor beschikbaar zoals Spreadsheet Professional en XL Analyst [25]. Naast de categorieën genoemd door De Vries kunnen we ook de tools voor het testen van automated controls en security als aparte categorie onderscheiden. Computer Aided Audit Techniques hebben veel potentie om een audit efficiënter en effectiever te maken [6]. Onderzoek toont echter aan dat CAATs in de praktijk nog niet veelvuldig worden gebruikt [16]. Volgens Curtis en Payne [6] is dit grotendeels te wijten aan de prestatiegerichte cultuur binnen accountantskantoren. Zij hebben onderzocht welke factoren er een rol spelen bij het inzetten van IT voor de audit. Hierbij maken ze onderscheid tussen contextuele (duur van de opdracht/budget en invloed van leidinggevenden) en individuele factoren (risico voorkeur, audit ervaring en druk op het budget). Curtis en Payne gebruiken hiervoor een aangepaste versie van het Unified Theory of Acceptance and Use of Technology (UTAUT) model [30]. Volgens dit model wordt het gebruik van technologie bepaald door drie aspecten, te weten (1) de verwachte toegevoegde waarde (performance expectancy), (2) de verwachte te leveren inspanning (effort expectancy) en (3) de mate waarin iemand sociaal wordt beïnvloed. Tot slot zijn er een aantal faciliterende omstandigheden die als enabler werken en uiteindelijk leiden tot het gebruik van de technologie. Zie ook Figuur 1. Curtis en Payne hebben bij hun onderzoek gebruik gemaakt van de aspecten Performance Expectancy en Social Influance. 10

11 Figuur 1: Unified Theory of Acceptance and Use of Technology (UTAUT) [32] Uit het onderzoek van Curtis en Payne blijkt dat de auditors vaker nieuwe technologieën zoals CAATs inzetten als er een budget voor een langere periode, bijvoorbeeld drie jaar wordt opgesteld. Dit omdat het inzetten van een nieuwe technologie in het eerste jaar vaak extra kosten met zich meebrengt en dit zichzelf pas in de volgende jaren terugbetaalt. Uit de statistische analyse komt ook naar voren dat auditors vaker nieuwe technologieën inzetten als ze weten dat de leidinggevenden daar een voorkeur voor hebben. Daarnaast spelen ook individuele factoren een rol, maar in mindere mate dan de contextuele factoren. Indien de contextuele factoren niet bekend zijn spelen de individuele factoren zoals risicovoorkeur en budgetdruk die wordt ervaren een grotere rol. Indien budgetten hevig onder druk staan hebben risicoaverse personen de neiging om geen onzekerheden (nieuwe technologieën) in het audit plan op te nemen [6]. Curtis en Payne geven aan dat er mogelijk nog andere factoren de keuze beïnvloeden, zoals bekendheid met de technologie en roulerende audit staff. Ook interessant om te onderzoeken is hoe nieuwe technologieën zoals continuous auditing de auditors dwingen om meer geautomatiseerde substantive testing uit te gaan voeren omdat zij anders hun concurrentievoordeel niet meer kunnen behouden. Beide onderwerpen worden aangedragen als mogelijke verdere studies. Volgens Van Beek kunnen ook andere factoren het al dan niet gebruiken van IT-tooling beïnvloeden [1]. Anti-virus programma s beperken het gebruik van door de auditor gebruikte software utilities om bijvoorbeeld wachtwoordinstellingen te achterhalen. Van Beek geeft echter ook dat deze beperkingen wel makkelijk te omzeilen zijn. De Vries geeft aan dat het succes van het gebruik van CAATs voor de financiële audit afhangt van de manier waarop CAATs door de auditor wordt ingezet [31]. Hij geeft aan dat CAATs vaak reactief of verplicht wordt ingezet wat vaak tot hoge kosten en weinig toegevoegde waarde leidt. De Vries pleit ervoor om CAATs proactief in te zetten en een vast onderdeel te maken van de financiële audit. Dit kan alleen als de financiële auditor ook goed begrijpt wat de voordelen zijn die CAATs bieden. De Vries onderzoekt vervolgens hoe CAATs meer toegevoegde waarde kunnen bieden voor de jaarrekeningcontrole. CAATs kunnen zowel bij geautomatiseerde controles als gegevensgerichte werkzaamheden worden ingezet. Een groot voordeel van CAATs in de praktijk is dat herhaalbaarheid van de werkzaamheden mogelijk is [3]. Ook wordt het mogelijk om gehele populaties te testen waardoor meer zekerheid kan worden verkregen dan bij handmatig testen [31]. Volgens De Vries kunnen er voordelen worden behaald voor de jaarrekeningcontrole indien tijdens het definiëren van de audit aanpak al wordt geëvalueerd om wel of geen CAATs in te zetten. De kosten kunnen dan goed worden afgewogen tegen de voordelen die te behalen zijn met de inzet van CAATs. 11

12 2.2.4 extensible Business Reporting Language (XBRL) XBRL staat voor extensible Business Reporting Language en is een op XML gebaseerde open standaard die het mogelijk maakt financiële gegevens te verzamelen, elektronisch uit te wisselen, te analyseren en indien nodig te bewerken [17]. In 1998 is XBRL International opgericht: een organisatie die de promotie en adoptie van XBRL in bedrijven moet ondersteunen. Pasmooij [24] geeft aan dat XBRL gebruik maakt van een zogenaamde taxonomie, waarin de gegevenselementen worden vastgelegd en worden beschreven. Door deze taxonomie te verspreiden onder partijen waarmee gegevens moeten worden uitgewisseld kunnen elementen uit de administratie worden gelabeld met elementnamen uit de taxonomie. Op deze manier ontstaat een eenduidige manier om gegevenselementen te definiëren. Door deze gelabelde gegevens op te nemen in een tekstdocument kunnen de elementen uit de administratie worden verzonden naar een andere partij. Een standaardfunctionaliteit van XML, en daarmee ook XBRL, is dat er op alle documenten zogenaamde style sheets kunnen worden toegepast, waardoor de uiteindelijke presentatie van de gegevens kan worden beïnvloed. Op deze manier kan hetzelfde XBRL-tekstbestand door middel van twee verschillende style sheets worden gepresenteerd als bijvoorbeeld een balans of een winst- en verliesrekening Belang voor de IT-auditor De implementatie van XBRL bij bedrijven heeft implicaties voor de accountantscontrole en daarom ook voor de betrokkenheid van de IT-auditor. Pasmooij [24] geeft vier gebieden aan waar de IT-auditor een bijdrage kan leveren, te weten (1) het ondersteunen van organisaties bij de inrichting van hun op XBRL gebaseerde informatieverwerkingsprocessen, (2) het samenstellen van rapportage op basis van XBRL, (3) het ondersteunen van financiële auditors bij de accountantscontrole en (4) het geven van zekerheid over de processen onderliggend aan de totstandkoming van XBRL-rapportages. Koning et al. [17] voegen hier aan toe dat de IT-auditor tevens kan ondersteunen bij het vergelijken van de XBRL-jaarrekening met de klassieke jaarrekening, of de documenten voldoen aan wet- en regelgeving en of data-elementen in het XBRL-document overeenkomen met de brondata Continuous Auditing Een andere ontwikkeling van het afgelopen decennium is het begrip Continuous Auditing. Continuous auditing wordt door Hoffer [13] omschreven als an auditing technique, rather than a business operations activity, and it includes the frequent auditing of a specific area, function, or set of risks and controls. Met andere woorden, het betreft een audittechniek die zich richt op het regelmatig testen van een bedrijfsonderdeel, -functie of risico met beheersmaatregelen. Volgens Coderre et al. [5] is continuous auditing a method used to automatically perform control and risk assessments on a more frequent basis : het periodiek geautomatiseerd testen van beheersmaatregelen en risico s. Beide definities hebben het over het periodiek testen van beheersmaatregelen en risico s en scharen continuous auditing dus meer in de hoek van de interim controle, waar de interne beheersmaatregelen worden getoetst. Flowerday et al. [8] hanteren bij hun vergelijking van verschillende continuous auditing modellen de definitie a methodology that enables independent auditors to provide written assurance on a subject matter using a series of auditors reports issues simultaneously with, or a short time after, the occurrence of events underlying the subject matter. Deze definitie is duidelijk meer gericht op transactionele data in plaats van op beheersmaatregelen Criteria voor continuous auditing Uit de bestudeerde literatuur komt als algemeen beeld naar voren dat het betrekken van technologie essentieel is voor het slagen van continuous auditing. Flowerday et al. [8] beschrijft dat het hebben 12

13 van de mogelijkheid om data te downloaden uit alle relevante bronnen, inclusief legacy systemen, cruciaal is voor de ontwikkeling van een continuous auditing systeem. Hoffer [13] geeft aan dat technologie bepalend is voor het mogelijk maken van continuous auditing en kan het niet effectief en juist worden uitgevoerd zonder de integratie van technologie. Technologie is essentieel om (1) datarelaties te documenteren en te onderhouden, (2) analyse op data uit te voeren, (3) anomalieën en trends te onderzoeken en (4) zwakheden in de beheersmaatregelen te ontdekken Continuous auditing modellen Volgens Chou et al. [4] zijn er verscheidene modellen die zich richten op het analyseren van transactionele data door een set van vooraf gedefinieerde regels op deze data toe te passen. Wanneer regels worden overtreden of bepaalde drempels worden overschreden zal dit kenbaar worden gemaakt door middel van rode stoplichtjes en kan dit onder de aandacht van de auditor worden gebracht. Dit kan volgens Chou worden bewerkstelligd via twee benaderingen, te weten (1) Embedded Audit Modules (EAM) waarbij triggers, rapporten en beheersmaatregelen als functionaliteit in het informatiesysteem worden ingebouwd en (2) Audit Data Marts (ADM) waarbij er gebruik wordt gemaakt van een datawarehouse waar data relevant voor de audit naartoe wordt gekopieerd voor verdere analyse door de auditor. Flowerday et al. [8] hebben een drietal modellen op het gebied van continuous auditing vergeleken, waar er twee relevant zijn voor continuous auditing op het gebied van jaarrekeningcontrole. Het Continuous auditing building automated auditing capability model (ontwikkeld door Rezaee et al.) richt zich op het centraal verzamelen van data van verschillende transactionele systemen om dit vervolgens te standaardiseren. Tot slot kunnen er analyses op deze data worden uitgevoerd. Het Towards a paradigm for continuous auditing model dat ontwikkeld is door Onions deelt continuous auditing op in twee fasen. De data wordt (1) op het moment van invoeren direct getoetst aan de hand van verschillende business rules en (2) achteraf getoetst over een langere periode (mogelijk zelfs over meerdere jaren) door middel van expertsystemen die verbanden en trends zoeken in de data Rol van de IT-auditor Voor wat betreft de rol van de IT-auditor blijkt dat deze tweeledig kan zijn. 1. Flowerday et al. [8] merken terecht op dat continuous auditing alleen kan werken wanneer er gebruik gemaakt wordt van een adequaat beveiligd systeem. Zij geven een aantal handgrepen voor normenkaders die als norm kunnen dienen voor de beveiliging van de continuous auditing omgeving, zoals CobIT en de Code voor Informatiebeveiliging (ISO 17799). Het beoordelen of de beveiliging van de systemen voldoet aan de gestelde normen en het beoordelen van de generieke IT-beheersmaatregelen rondom het systeem kan een taak zijn van de IT-auditor. 2. Hoffer [13] brengt onder de aandacht dat de financiële auditor niet de benodigde achtergrond heeft om de geavanceerde data mining tools te gebruiken om complexe analyses op de data uit te voeren. De achtergrond van de IT-auditor ligt meer in het gebied van de technologie. De IT-auditor kan hierbij dus een rol vervullen. Tevens geven Flowerday et al. [8] aan dat er gebruik gemaakt kan worden van allerlei geautomatiseerde triggers en queries, welke beoordeeld dienen te worden door een IT-auditor op juiste, volledige en tijdige verwerking van transacties. 13

14 2.3 Invloed volwassenheidsniveau IT op de toegevoegde waarde IT audit In moderne organisaties speelt IT een steeds grotere rol. Met de komst van Sarbanex-Oxley in 2002 en de daaropvolgende lokale varianten wordt de interne beheersing en beheersing van IT-systemen voor bedrijven steeds belangrijker. Debrenceny [7] geeft aan dat er door bedrijven veelal gebruik wordt gemaakt van het framework dat wordt aangeraden door de Public Company Accounting Oversight Board (PCAOB): het COSO framework. Ook geeft hij aan dat het COSO framework op een aantal gebieden onvoldoende ingaat op de IT-aspecten van bedrijven en dat in dit geval vaak gebruik wordt gemaakt van CobIT. Op het gebied van de relatie tussen het volwassenheidsniveau van IT en de toegevoegde waarde van de IT-auditor bij een financiële audit is nog weinig onderzoek uitgevoerd. Debreceny [7] heeft een eerste onderzoekspoging gedaan waarin hij de relatie onderzoekt tussen het Capability Maturity Model (CMM) van CobIT en de mate van interne beheersing die wordt verwacht door auditing standards. Hij geeft aan dat de beschikbare onderzoeksliteratuur op het gebied van het CMM-framework en IT governance nihil is. Het CMM-framework dat door CobIT gebruikt wordt is direct afgeleid van het Capability Maturity Model van het Software Engineering Institute. Dit model is meer gericht op het softwareontwikkelproces, terwijl het model dat bij CobIT wordt gebruikt is aangepast om het volledige IT-proces te beoordelen. Beide modellen gebruiken dezelfde benadering om de volwassenheid te meten. De vijf niveaus van volwassenheid zijn: geen (0), initieel (1), gestructureerd (2), geïnstitutionaliseerd (3), benchmarking (4) en continue verbetering (5). Volgens De Haes et al. [10] is IT governance te verdelen in drie aspecten, te weten (1) structurele aspecten (zoals de IT-organisatiestructuur, aanstelling van een CIO), (2) procesgerelateerde aspecten (zoals balanced scorecards, CobIT, ITIL, geformaliseerde processen) en (3) relationele aspecten (zoals samenwerking tussen belanghebbenden, incentives en beloningen). Volgens Debreceny [7] is de relatie tussen IT-volwassenheid en de mate van interne beheersing en beheersing van IT-systemen vooral in de procesgerelateerde aspecten te vinden. Op basis van de beschikbare literatuur lijkt er een correlatie te zijn tussen het ITvolwassenheidsniveau en de inzet van de IT-auditor, maar dit dient nog nader te worden onderzocht. In ons praktijkonderzoek zullen we aan dit onderwerp, gezien de complexiteit, dus ook maar beperkt aandacht besteden. Structures Processes Relational Mechanisms IT Governance Figuur 2: IT Governance aspecten volgens De Haes et al. [10] 2.4 Huidige/Toekomstige rol IT-auditor Er zijn enkele artikelen te vinden over IT-auditing in de 21 e eeuw. Hinson [12] geeft een samenvatting van de achtergrond van de huidige IT-auditors, druk op het beroep, tooling en technieken die anno 2007 worden gebruikt en kijkt vooruit naar toekomstige ontwikkelingen. Hij legt echter niet de link naar de financiële audit. Hinson begint met een analyse van de omgevingsfactoren (politiek, economisch, sociologische en technische aspecten) die invloed uitoefenen op de IT-audit. Volgens hem is IT niet meer weg te denken uit een typische audit vanwege de verregaande automatisering van de bedrijfsprocessen. 14

15 Andere belangrijke invloeden op de IT audit zijn compliance en de bijbehorende Governance, Risk & Compliance tooling, business IT alignment, en de toenemende breedte van het vakgebied. Hinson ziet de brede kennis en vaardigheden van competente IT-auditors als een waardevolle toevoeging voor elke organisatie. Mede door het kunnen leggen van de relatie tussen IT-risico s en controles en de bedrijfsomgeving en dit bespreekbaar te maken met het management. Als belangrijkste IT audit tools noemt Hinson CobIT, CAATs en audit automation tools zoals Teammate. Verdere technologische ontwikkelingen zoals Software as a Service bieden nieuwe uitdagingen voor de IT-auditor in de komende jaren. Hinson verwacht dan ook dat IT-auditors zich steeds meer zullen gaan specialiseren. Het bieden van toegevoegde waarde voor de gehele organisatie wordt steeds belangrijker en vraagt kennis van de business. Er zijn voorspellingen die zeggen dat IT audit zal verdwijnen vanwege het feit dat geen enkele audit meer om de systemen heen kan en alle auditors dus kennis van IT zullen moeten hebben. Hinson [12] denkt echter dat de technische diepgang die benodigd is voor bijvoorbeeld het auditen van security verder zal gaan dan de meeste niet IT-auditors zullen willen weten over systemen. Hij verwacht dat IT-auditors en auditors elkaar zullen blijven aanvullen. Volgens Sutton [27] is er een verschuiving geweest in auditing waarbij nu de nadruk in de 21 e eeuw meer ligt op het testen van interne beheersingsmaatregelen rondom de informatiesystemen en het reviewen van bedrijfsprocessen. Bierstaker [2] is van mening dat er nu echt een tijdperk is aangebroken waarbij er niet meer om de computer heen kan worden geaudit. Auditors die gebruik maken van de mogelijkheden die de nieuwe technologieën bieden zullen volgens hem enorme efficiëntie voordelen behalen. Kliem [16] heeft anno 2004 een artikel geschreven over kennis die elke nieuwe IT-auditor moet hebben. Dit artikel focust echter meer op de vaardigheden die een IT-auditor nodig heeft en gaat niet zozeer over de technologische ontwikkelingen en impact op de financiële audit. Kor Mollema heeft meerdere artikelen gepubliceerd in De Accountant waarin hij trends in de accountancy bekijkt. Hij betoogt dat een accountant ICT-bijscholing nodig heeft en ICT niet meer als alleen een complex auditobject kan worden gezien [19] [20]. De opkomst van de papierloze samenleving en XBRL vereist dat de accountant kennis heeft om op de digitale informatie te kunnen steunen. In 2006 geeft hij echter ook aan dat de hiervoor benodigde attitudewijziging in de beroepsgroep nog niet heeft plaatsgevonden. Mollema heeft ook een voorspelling gedaan in 2005 waarbij hij vooruitkijkt naar 2020 [18]. Hij voorspelt dat het gebrek aan belangstelling voor IT door de accountants hun doodsteek is geworden. In plaats van de verplichte accountantscontrole laat de onderneming zich vrijwillig raten door één of meer control ratinginstituten. Mollema voorspelt dus dat er een nieuw systeem zal komen met een nieuw type auditors die verregaande scholing in IT aspecten nodig zullen hebben. In 2008 nam Mollema afscheid als hoogleraar EDP-auditing en geeft hij opnieuw aan dat de huidige generatie financiële experts IT nog altijd als iets speciaals ziet in plaats van het fundament voor de gehele informatievoorziening. Hij geeft aan dat dit onder andere komt doordat de accountantskantoren er niet bij gebaat zijn als het personeel een IT-opleiding gaat volgen in plaats van declarabele uren te maken [21]. Hij pleit voor gemengde teams en een betere samenwerking tussen de accountants en IT-auditors Verschillen in perceptie tussen IT en financiële auditor In 2000 hebben Vendrzyk en Bagranoff een onderzoek gedaan naar de evoluerende rol van de ITauditor en hoe zowel de IT-auditors als de financiële auditors dit ervaren [29]. Ze hebben hiervoor veldwerk verricht onder 20 senior managers en partners bij de, toen nog Big 5 kantoren, in de 15

16 Verenigde Staten om te begrijpen hoe de IT audit zal veranderen. Ze kwamen er achter dat er een groot verschil is in perceptie tussen de IT-auditors en de financiële auditors over de toekomstige rol van IT audit evenals de services die klanten in de toekomst wensen. Volgens Vendrzyk en Bagranoff [29] leverde het IT audit werk als ondersteuning bij de jaarrekeningcontrole in 2000 al minder dan de helft van de totale opbrengsten in de IT audit praktijken van de Big 5 op. Ze proberen op een viertal gebieden een bijdrage te leveren aan de literatuur: 1. Het documenteren van de perceptie van zowel de financiële als de IT-auditors over de impact van de IT audit op de jaarrekeningcontrole. 2. Het leveren van informatie over actuele ontwikkelingen en de vermeende shift van de financiële naar de IT-audit. 3. Het informeren van de onderwijspraktijk over accounting informatiesystemen zodat dit kan worden verwerkt in de lesprogramma s. 4. Het informeren van zowel de IT-auditors als de financiële auditors over de verschillen in perceptie die er bestaan tussen beide groepen. Om de verschillen in perceptie over de rol van IT audit te onderzoeken focussen de auteurs op twee rollen van de IT audit: de relatie tussen IT audit en de financiële audit en de verwachte groei van de IT audit praktijk zelf (los van de traditionele financiële audit support rol). Vendrzyk en Bagranoff [29] hebben een drietal onderzoeksvragen gedefinieerd om te onderzoeken hoe de rol van IT audit wordt gezien: 1. Is er een verschil in de beschrijving van de verhouding tussen de financiële en de IT audit door beide groepen? 2. Is er een verschil in perceptie over de focus van de IT audit op controls testing? 3. Is er een verschil in de perceptie van de impact van IT audit bevindingen op de financiële audit? Daarnaast hebben ze ook onderzocht of er een ander idee heerst bij beide groeperingen over de services die anno 2005 van de accountantskantoren wordt gevraagd. Uit de resultaten van het onderzoek [29] blijkt dat de financiële auditors anno 2000 de financiële audit nog steeds dominanter vinden bij de jaarrekeningcontrole dan de IT audit. Opvallend is dat alleen enkele financiële auditors ook denken dat dit in de toekomst zo zal blijven. Daarentegen denkt geen een van de IT-auditors dat de financiële audit dominanter zal blijven in de toekomst. Zij verwachten dat de financiële audit meer en meer een IT audit zal worden. Het lijkt er dus op dat de waarde van de IT audit door beide groepen anders wordt ervaren. Control testing wordt ook in de toekomst gezien als de belangrijkste bezigheid van de IT-auditors bij het ondersteunen van de jaarrekeningcontrole. Beide groepen noemen echter wel een verschuiving naar een risicogebaseerde aanpak en zien de scheiding tussen IT general controls en application controls vervagen door onder andere ERP-systemen. De impact van IT audit bevindingen op de scope van de financiële audit blijkt anno 2000 nog beperkt. Een aantal keren wordt aangegeven in het onderzoek [29] dat dit komt doordat beide groepen niet goed van elkaar weten wat ze doen en wat dus echt de impact van een bevinding is. Een aantal auditors geven echter ook aan dat de bevindingen van de IT audit wel degelijk de werkzaamheden van de financiële auditors kunnen verminderen en dat een geïntegreerde audit het beste werkt. 16

17 De financiële auditors denken dat de services die gevraagd worden door klanten in de toekomst zich nog steeds zullen focussen op de jaarrekeningcontrole. De IT-auditors verwachten meer vraag naar IT audit services en meer consultancy-achtige opdrachten zoals het beoordelen van een outsourcingstraject. Wanneer er een aantal directe stellingen worden voorgelegd aan zowel de financiële als de IT-auditors zien we wel dat er meer overeenstemming is. Zo is iedereen het erover eens dat de IT audit steeds belangrijker zal worden. Technologische ontwikkelingen bieden mogelijkheden om de IT audit beter in te zetten en zo de kwaliteit en de effectiviteit van de audit te verbeteren [29]. Wij proberen met ons onderzoek te concretiseren hoe dit bewerkstelligt kan worden en kijken hoe de situatie is anno Vendrzyk en Bagranoff hebben hun onderzoek zes jaar geleden in de Verenigde Staten uitgevoerd. We zijn benieuwd in hoeverre hun bevindingen ook gelden voor de huidige situatie bij een accountantskantoor in Nederland. 2.5 Samenvatting literatuuronderzoek De literatuurstudie heeft ons inzicht gegeven in de traditionele rol van de financiële auditor. Hieruit kwam naar voren dat tot het einde van de 20 e eeuw vaak nog om systemen heen werd geaudit en dat de IT audit een zeer beperkt onderdeel van de jaarrekeningcontrole was. Tevens hebben wij inzicht verkregen in een aantal relevante technologische ontwikkelingen. De technologische ontwikkelingen die aan de orde zijn geweest zijn ERP-systemen, Workflow Management systemen, Computer Aided Audit Techniques (CAATs), XBRL en Continuous Auditing. We hebben gezien dat de mogelijkheden die deze ontwikkelingen bieden nog geen standaard onderdeel zijn van de jaarrekeningcontrole. Om deze nieuwe mogelijkheden wel of geen onderdeel te laten zijn van de jaarrekeningcontrole is afhankelijk van een aantal factoren. Het verschil in perceptie van de financiële en de IT-auditor speelt hier onder andere een rol. Maar ook het IT-volwassenheidsniveau van klanten is van invloed op de mate waarin IT audit een toegevoegde waarde kan leveren bij de jaarrekeningcontrole en dus in hoeverre de verschillende mogelijkheden worden ingezet. Er is geen recent onderzoek in Nederland dat de knelpunten en mogelijkheden voor verbetering van de samenwerking tussen de financiële en de IT audit in kaart brengt en daarmee de toegevoegde waarde van de IT audit doet toenemen. Met ons praktijkonderzoek willen we voor de Nederlandse auditpraktijk binnen één van de accountantskantoren onderzoeken welke factoren een rol spelen bij de samenwerking tussen de financiële en IT audit en hoe de IT audit hierbij meer toegevoegde waarde kan bieden. Daarbij zullen we de huidige en recente technologische ontwikkelingen die we hebben besproken in de literatuurstudie in acht nemen. 17

18 3 Praktijkonderzoek 3.1 Onderzoeksmodel Op basis van de wetenschappelijke literatuur hebben wij een onderzoeksmodel ontwikkeld met daarin de hypothesen die zullen leiden tot testvariabelen in de enquête. Gezien de beperkte beschikbaarheid van wetenschappelijke literatuur op een aantal gebieden zullen wij deze onderdelen van het model invullen met aannames gebaseerd op onze eigen ervaringskennis. Uiteraard zullen deze aannames op eenzelfde wijze getoetst worden Hypothesen per onderzoeksvraag Door één of meerdere toetsbare hypothesen per onderzoeksvraag te definiëren hopen wij antwoord te kunnen geven op de deelvragen en hoofdvraag Waaruit bestaat de traditionele rol van de IT-auditor in relatie tot de financiële audit? Uit de bestudeerde literatuur blijkt dat de rol van de IT-auditor in relatie tot de jaarrekeningcontrole tweeledig is. Enerzijds beoordeelt de IT-auditor de werking van de beheersmaatregelen in de generieke IT omgeving, de zogenaamde general controls of IT general controls. Anderzijds beoordeelt hij de geautomatiseerde beheersmaatregelen in applicaties. H1 De traditionele rol van de IT-auditor bestaat uit het toetsen van opzet, bestaan en werking van generieke IT-beheersmaatregelen en geautomatiseerde beheersmaatregelen in applicaties Wanneer is er sprake van betere ondersteuning bij de financiële audit? Een betere ondersteuning bij de jaarrekeningcontrole is wat ons betreft tweeledig. Een accountant zal een betere ondersteuning waarschijnlijk ervaren wanneer er hoge kwaliteit wordt geleverd en wanneer de IT Audit ondersteuning efficiënt en dus goedkoop wordt uitgevoerd. Naar verwachting betekent betere ondersteuning voor een klant dat de IT Audit waarde toevoegt voor de bedrijfsvoering en de audit goedkoper maakt. Deze aannames leiden tot de volgende te toetsen hypothesen: H2 H3 Betere ondersteuning bij de financiële audit betekent voor de accountant een efficiënte en kwalitatief hoogwaardige audit. Betere ondersteuning bij de financiële audit betekent voor de klant het leveren van toegevoegde waarde en een goedkopere controle In welke mate voldoet de traditionele rol van de IT-auditor bij de huidige financiële audit nog? De wetenschappelijke literatuur biedt geen direct antwoord op bovenstaande vraag. Wel komt naar voren dat de rol van de IT-auditor in de loop der jaren veranderd is van een puur technische rol naar een rol die een geïntegreerde audit mogelijk maakt. Ook wordt er gesproken over de grote transactievolumes en de complexere IT-structuur, die het puur gegevensgericht controleren van de cijfers tot een tijdrovende en dure exercitie maken. Hieruit zou opgemaakt kunnen worden dat wanneer de IT-auditor zich puur richt op werkzaamheden rondom het toetsen van interne 18

19 beheersmaatregelen en geautomatiseerde beheersmaatregelen deze rol van de IT-auditor niet meer voldoende is. H4 Betrokkenheid van de IT-auditor bij de jaarrekeningcontrole voor alleen het toetsen van interne beheersmaatregelen en geautomatiseerde beheersmaatregelen is niet meer voldoende Welke relevante technologische veranderingen hebben er plaatsgevonden in het afgelopen decennium en welke technologische veranderingen vinden er in de nabije toekomst plaats? Uit de literatuurstudie komt naar voren dat o.a. de volgende relevante technologische ontwikkelingen hebben plaatsgevonden in het afgelopen decennium: de implementatie en het gebruik van systemen voor Enterprise Resource Planning (ERP); de implementatie en het gebruik van workflow management systemen; de omkomst van Computer Aided Audit Techniques (CAATs); de opkomst van de op XML gebaseerde uitwisselingstaal voor financiële data XBRL; het gebruik van methoden voor Continuous Auditing. Door middel van ons praktijkonderzoek willen wij de juistheid en volledigheid van deze lijst van relevante ontwikkelingen toetsen. H5 H6 De opkomst van ERP-systemen, workflow management systemen, CAATs, XBRL en Continuous Auditing zijn relevante technologische ontwikkelingen. De opkomst van ERP-systemen, workflow management systemen, CAATs, XBRL en Continuous Auditing zijn de enige relevante technologische ontwikkelingen Welke invloed hebben deze veranderingen op de financiële audit? Op basis van de bestudeerde literatuur hebben wij vastgesteld dat de bovengenoemde mogelijk relevante technologische ontwikkelingen waarschijnlijk van invloed zijn op de jaarrekeningcontrole en op de betrokkenheid van de IT-auditor bij de financiële audit. Om dit te toetsen hebben wij per relevante technologische ontwikkeling op basis van de bestudeerde literatuur een hypothese opgenomen. H7 H8 H9 De werkzaamheden van de IT-auditor bestaan bij ERP-systemen uit het toetsen van geautomatiseerde beheersmaatregelen. De werkzaamheden van de IT-auditor bestaan bij Workflow Management systemen uit het beoordelen van de juiste inrichting van het proces in het systeem en het toetsen van geautomatiseerde beheersmaatregelen. De IT-auditor richt zich bij CAATs op de volgende werkzaamheden: H9.1 De IT-auditor voert gespecialiseerde data-analyse uit; H9.2 De IT-auditor beoordeelt middels tools geautomatiseerd de netwerkbeveiliging; H9.3 De IT-auditor beoordeelt middels tools geautomatiseerd databasebeveiliging en databaseintegriteit; H9.4 De IT-auditor beoordeelt middels tools geautomatiseerd programmacode. H10 H11 De IT-auditor beoordeelt het proces van totstandkoming van de XBRL-jaarrekening. De IT-auditor richt zich bij Continuous Auditing op de volgende werkzaamheden: 19

20 H11.1 De IT-auditor beoordeeld de general controls rondom de systemen die betrokken zijn bij de Continuous Auditing werkzaamheden; H11.2 De IT-auditor voert gespecialiseerde data-analyse uit; H11.3 De IT-auditor beoordeelt geautomatiseerde triggers en queries die gebruikt worden bij de Continuous Auditing werkzaamheden; In welke mate is het volwassenheidsniveau van de klant op het gebied van IT en beheersmaatregelen van invloed op de rol van de IT-auditor bij de financiële audit? Op basis van de literatuurstudie zijn er een aantal aspecten naar voren gekomen die een indicatie kunnen geven van de IT-volwassenheid van een bedrijf, te weten (1) het gebruik van een IT governance framework, (2) het al dan niet beursgenoteerd zijn, (3) het moeten voldoen aan stricte wet- en regelgeving, zoals SOx, (4) het hebben van geformaliseerde en gedocumenteerde procedures, (5) de grootte van de IT afdeling, (6) de mate van vertegenwoordiging van IT in het management (CIO) en (7) het gebruik van tools voor monitoring en ondersteuning. Om te toetsen of deze aspecten invloed hebben op de werkzaamheden van de IT-auditor hebben wij de volgende hypothesen opgenomen: H12 De werkzaamheden van de IT-auditor richten zich bij een klant met een laag ITvolwassenheidsniveau op geautomatiseerd uitvoeren van gegevensgerichte werkzaamheden. H13 De werkzaamheden van de IT-auditor richten zich bij een klant met een hoog ITvolwassenheidsniveau op toetsen van geautomatiseerde beheersmaatregelen. 3.2 Opzet enquête Op basis van de in hoofdstuk 3.1 gedefinieerde hypothesen en het resulterende onderzoeksmodel hebben wij een enquête opgesteld welke elektronisch zal worden verspreid onder een groep accountants en IT-auditors binnen een Nederlands accountantskantoor Opzet van enquêteonderdelen en -vragen De enquête is onderverdeeld in een aantal groepen met vragen Inzicht verkrijgen in het begrip betere ondersteuning. Door middel van een tweetal multiple choice vragen waarbij meerdere antwoorden mogelijk zijn en de mogelijkheid wordt geboden om twee eigen antwoorden toe te voegen hopen wij de hypothesen H2 en H3 te toetsen. Inzicht verkrijgen in de perceptie van (het nog afdoende zijn van) de traditionele rol van de IT-auditor bij de financiële audit. Wij zullen door middel van een multiple choice vraag waarbij meerdere antwoorden mogelijk zijn en de mogelijkheid wordt geboden twee eigen antwoorden toe te voegen de werkzaamheden inventariseren die volgens onze groep respondenten behoren tot de traditionele rol van de IT-auditor. Daarnaast zullen de respondenten via een Likertschaal (rating van 1-5) kunnen aangeven of deze werkzaamheden nog afdoende zijn. Via deze vragen hopen wij antwoord de hypothesen H1 en H4 te toetsen. Inzicht verkrijgen in de relevantie van technologische ontwikkelingen. Door de respondenten middels een multiple choice vraag met de mogelijkheid voor twee eigen antwoorden een aantal in onze ogen relevante en niet-relevante technologische ontwikkelingen voor te leggen hopen wij de hypothese H5 en H6 te toetsen. 20

21 Inzicht verkrijgen in de IT-audit werkzaamheden op de door ons geïdentificeerde relevante ontwikkelingen. Vanuit de literatuurstudie hebben wij zelf al een aantal ontwikkelingen gedefinieerd die ons relevant lijken. Deze aanname zal worden getoetst door middel van de hierboven genoemde vragen. Wij willen echter wel een beeld krijgen van de mogelijke IT-audit werkzaamheden wanneer blijkt dat deze ontwikkelingen inderdaad een impact op de financiële audit hebben. Om dit te toetsen hebben wij per door ons aangenomen relevante technologische ontwikkeling een multiple choice vraag opgenomen waarbij één of meerdere werkzaamheden kunnen worden geselecteerd en de mogelijkheid aanwezig is om werkzaamheden toe te voegen. Middels deze vragen hopen wij hypothesen H7, H8, H9, H10 en H11 inclusief subhypothesen te toetsen. Inzicht verkrijgen in IT-volwassenheid in relatie tot klantgrootte en IT-audit werkzaamheden. Wij zullen een aantal mogelijke klanten (scenario s) voorleggen aan de respondent. Deze klanten zullen van elkaar verschillen doordat ze al dan niet een IT governance framework gebruiken, al dan niet beursgenoteerd zijn, al dan niet moeten voldoen aan lokale wet- en regelgeving (SOx, Code Tabaksblat, JSOX), al dan niet processen geformaliseerd en gedocumenteerd hebben, in omvang van IT afdeling verschillen, een CIO hebben en al dan niet tools voor monitoring/ondersteuning van processen gebruiken. Op basis van een meerkeuzevraag met meerdere antwoordmogelijkheden zullen we per klantscenario vast stellen welke werkzaamheden door de IT-auditor uitgevoerd zouden kunnen worden en hopen hiermee de hypothesen H12 en H13 te toetsen. Inzicht verkrijgen in de achtergrond van de respondent. Door middel van een aantal vragen over beroep, functie, ervaring en business unit zullen wij proberen inzicht te verkrijgen in de achtergrond van de groep respondenten. De volledige enquête is opgenomen in Appendix A. We hebben de leesbaarheid en betrouwbaarheid van de enquête eerst getoetst op een aantal collega s alvorens deze te versturen. In de enquête zijn een aantal onlogische antwoorden opgenomen waarmee we kunnen toetsen of de respondent de enquête al dan niet serieus heeft ingevuld. De respondenten hebben bij de antwoorden de mogelijkheid om ook zelf nog maximaal twee andere antwoorden in te vullen Verspreiding van de enquête De enquête is verstuurd aan collega s werkzaam in de financiële auditpraktijk en aan collega s werkzaam in de IT-auditpraktijk. We hebben hierbij geen onderscheid gemaakt tussen de functieniveau s zodat onze groep respondenten uit auditors van alle functie- en ervaringsniveaus bestaat. Omdat de werkzaamheden van accountants en IT-auditors vaak een seizoenspatroon vertonen met piekdrukte in de periode september maart en de respondenten dus weinig tijd hebben en weinig op kantoor aanwezig zijn hebben wij besloten de enquête elektronisch uit te sturen. We zullen de enquête naar evenveel IT-auditors als financiële auditors toesturen zodat elke eenheid een gelijke kans heeft om tot de steekproef te behoren. We gaan hierbij uit van het maximale aantal IT-auditors omdat dit de kleinste groep is en zullen de enquête naar evenveel financiële auditors toesturen. Gezien de seizoensdrukte momenteel voor de financiële auditors en het feit dat wij beter bekend zijn binnen de IT audit groep verwachten we echter wel meer respons vanuit de IT-auditors. De enquête is verstuurd aan alle 135 IT-auditors binnen het accountantskantoor. De enquête hebben we naar 130 financiële auditors verstuurd waarvan we weten dat ze regelmatig met IT-auditors 21

22 samenwerken. Circa 15 personen van deze groepen zijn zowel als IT-auditor als financiële auditor werkzaam. Het totale aantal personen benaderd voor de enquête bestaat dus uit 265 personen. We verwachten een respons van circa 50% op de enquête. 3.3 Respons enquête Uiteindelijk hebben we 131 vragenlijsten terug ontvangen. Voor 18 van deze vragenlijsten hebben we een gedeeltelijk non-respons voor de pagina waarop persoonlijke gegevens moeten worden ingevuld. Omdat alleen deze pagina niet volledig is ingevuld, en de vragen die onze hypothesen onderbouwen wel, nemen we deze respons wel mee in onze analyse. Bij een aantal vragen hebben de respondenten geen antwoord ingevuld. Omdat de enquête zo is opgezet dat de vragen onafhankelijk van elkaar kunnen worden beantwoord nemen we de gedeeltelijke non-respons wel mee en zal per vraag worden aangeven hoeveel respondenten deze vraag hebben beantwoord. De enquêteresultaten hebben we gecodeerd en verwerkt met de statistische analysetool SPSS De dataset in SPSS is zo ingericht dat indien er geen antwoord is ingevuld dit ook niet wordt meegenomen in de analyse (grafieken) of wordt vermeldt als excluded in de tabellen. Om de betrouwbaarheid en de validiteit van de respons te controleren zijn een aantal onlogische antwoorden opgenomen in de meerkeuzevragen. Respondenten hebben deze onlogische antwoorden niet aangevinkt. De verdeling van de repondenten is gespecificeerd in onderstaande tabel. Zoals verwacht hebben we inderdaad meer respons gekregen vanuit de IT-auditors. Hiermee zullen we rekening houden in de analyse van de resultaten. Om te kijken of er significante verschillen zitten in de antwoorden gegeven door de IT-auditors en de financiële auditors, en er dus mogelijk een perceptie verschil bestaat, zullen we de antwoorden van beide groepen vergeleken door middel van een t-toets voor twee onafhankelijke steekproeven. Frequentie Percentage Onbekend 18 13,7 Financiële Auditor 34 26,0 IT-auditor 69 52,7 Beiden 10 7,6 Total ,0 Figuur 3: Verdeling respondenten De verdeling over de verschillende functieniveau s zien we in onderstaande grafiek. Gezien de piramidestructuur binnen een accountantskantoor is deze verdeling conform de verwachtingen. 22

23 Figuur 4: Verdeling respondenten naar functieniveau Gezien de bovenstaande functieverdeling en het verband tussen functieniveau en ervaringsjaren is ook de verdeling van respondenten naar aantal jaren werkervaring conform verwachting. Deze verdeling is weegegeven in Figuur 5. Figuur 5: Verdeling respondenten naar aantal jaren werkervaring 3.4 Analyse van de enquêteresultaten We zullen de resultaten van de enquête behandelen per hypothese die zijn beschreven in hoofdstuk 3.1 Onderzoeksmodel De traditionele rol van de IT-auditor bij de jaarrekeningcontrole Zoals gesteld in hypothese H1 bestaat de traditionele rol van de IT-auditor bij de jaarrekeningcontrole voornamelijk uit het toetsen van opzet, bestaan en werking van generieke IT-beheersmaatregelen en geautomatiseerde beheersmaatregelen in applicaties. Om deze hypothese te toetsen hebben we de doelgroep gevraagd wat zij verstaan onder de traditionele rol van de IT-auditor, via een vraag met meervoudige antwoordmogelijkheden. 23

24 Figuur 6: Traditionele rol IT-auditor Hierbij zien we duidelijk naar voren komen dat het toetsen van de IT general controls en het toetsen van geautomatiseerde beheersmaatregelen inderdaad worden gezien als de traditionele werkzaamheden van de IT-auditor. Specifiek het beoordelen van autorisaties komt hierbij ook sterk naar voren. Autorisatiebeoordelingen hangen echter nauw samen met het beoordelen van de IT general controls en het beoordelen van geautomatiseerde beheersmaatregelen. H1 kan op basis van deze resultaten worden aangenomen. Bij verdere analyse naar de significante verschillen tussen de financiële- en de IT-auditor blijkt dat de financiële auditor het adviseren bij het IT-beleid ook tot de traditionele taken van de IT-auditor vindt behoren. De IT-auditor vindt juist het toetsen van handmatige beheersmaatregelen vaker tot de traditionele taken behoren. Dit laatste verschil vinden we opvallend omdat deze werkzaamheden vaker door de financiële auditor worden gedaan. We zien hierbij wel dat 40% van de IT-auditors die dit hebben aangevinkt minder dan drie jaar werkervaring heeft wat dit verschil mogelijk zou kunnen verklaren. Auditor N Mean Std. Deviation Std. Error Mean advisering bij IT-beleid Financiële Auditor 34,47,507,087 IT-Auditor 71,14,350,042 autorisatiebeoordeling Financiële Auditor 34,76,431,074 IT-Auditor 71,90,300,036 cijferbeoordelingen Financiële Auditor 34,00,000,000 IT-Auditor 71,04,203,024 data-analyse Financiële Auditor 34,32,475,081 IT-Auditor 71,49,504,060 toetsen van geautomatiseerde Financiële Auditor 34,97,171,029 beheersmaatregelen IT-Auditor 71,93,258,031 toetsen van handmatige beheersmaatregelen Financiële Auditor 34,03,171,029 IT-Auditor 71,27,446,053 toetsen van IT general controls Financiële Auditor 34,97,171,029 IT-Auditor 71,97,167,020 inventarisatie van IT-apparatuur Financiële Auditor 34,32,475,081 IT-Auditor 71,32,471,056 project-assurance Financiële Auditor 34,06,239,041 24

25 Auditor N Mean Std. Deviation Std. Error Mean IT-Auditor 71,14,350,042 pre- en postimplementatiereviews Financiële Auditor 34,32,475,081 IT-Auditor 71,27,446,053 beoordelen van conversies Financiële Auditor 34,65,485,083 IT-Auditor 71,52,503,060 Tabel 1: Significante verschillen tussen de financiële- en de IT-auditor, traditionele werkzaamheden IT-auditor Betere ondersteuning gezien vanuit de financiële auditor In hypothese H2 stellen we dat een betere ondersteuning door de IT-auditor bij de jaarrekeningcontrole voor de financiële auditor een efficiënte en kwalitatief hoogwaardige audit betekent. Deze hypothese hebben we getoetst door aan de doelgroep te vragen wat zij verstaan onder een betere ondersteuning, gezien vanuit het perspectief van de financiële auditor, via een vraag met meervoudige antwoordmogelijkheden. Figuur 7: Betere ondersteuning vanuit het perspectief van de financiële auditor Vanuit de enquêteresultaten zien we een afwijking ten opzichte van onze hypothese. Uit de antwoorden blijkt voornamelijk dat onder betere ondersteuning van de IT-auditor bij de jaarrekeningcontrole het toetsen van application controls, comfort verkrijgen over systemen en het in kaart brengen van IT-risico s wordt verstaan. H2 dient op basis van deze resultaten te worden verworpen. We zien als we de resultaten uitsplitsen wel dat de financiële auditor onze hypothese beter ondersteunt. De financiële auditor geeft wel aan dat een betere ondersteuning voor hem een efficiëntere en kwalitatief hoogwaardige audit inhoudt. Er lijkt een verwachtingskloof te zijn tussen wat de financiële auditor zoekt en wat de IT-auditor denkt te moeten leveren. 25

26 Auditor N Mean Std. Deviation Std. Error Mean toetsen van application controls Financiële Auditor 34,88,327,056 IT-Auditor 71,73,446,053 volledige dossiervorming Financiële Auditor 34,59,500,086 IT-Auditor 71,41,495,059 een effectieve audit Financiële Auditor 34,62,493,085 IT-Auditor 71,31,466,055 een efficiënte audit Financiële Auditor 34,79,410,070 IT-Auditor 71,44,499,059 levering van extra diensten Financiële Auditor 34,09,288,049 IT-Auditor 71,11,318,038 besparing op het audit budget Financiële Auditor 34,35,485,083 IT-Auditor 71,31,466,055 in kaart brengen van IT-risico's Financiële Auditor 34,88,327,056 IT-Auditor 71,75,438,052 specifieke kennis Financiële Auditor 34,62,493,085 IT-Auditor 71,56,499,059 kwalitatief hoogwaardige audit Financiële Auditor 34,68,475,081 IT-Auditor 71,25,438,052 minder detailwerkzaamheden Financiële Auditor 34,68,475,081 IT-Auditor 71,54,502,060 levering van toegevoegde waarde Financiële Auditor 34,74,448,077 IT-Auditor 71,45,501,059 gebruik van specialistische tooling Financiële Auditor 34,44,504,086 IT-Auditor 71,32,471,056 comfort verkrijgen over systemen Financiële Auditor 34,94,239,041 IT-Auditor 71,79,411,049 Tabel 2: Significante verschillen tussen de financiële- en de IT-auditor, betere ondersteuning vanuit het perspectief van de financiële auditor Betere ondersteuning gezien vanuit de klant Hypothese H3 stelt dat een betere ondersteuning door de IT-auditor bij de jaarrekeningcontrole voor de klant betekent dat er toegevoegde waarde wordt geleverd en de controle goedkoper kan worden uitgevoerd. Om deze hypothese te toetsen hebben we de doelgroep gevraagd wat zij verstaan onder een betere ondersteuning, gezien vanuit het perspectief van de klant, via een vraag met meervoudige antwoordmogelijkheden. 26

27 Figuur 8: Betere ondersteuning vanuit het perspectief van de klant Vanuit de antwoorden zien we dat er volgens de doelgroep voor de klant naast het in kaart brengen van de IT-risico s ook andere aspecten belangrijk zijn voor een betere ondersteuning van de ITauditor bij de jaarrekeningcontrole dan volgens het perspectief van de financiële auditor. Ook het bieden van toegevoegde waarde en het leveren van specifieke kennis komen hier duidelijk naar voren. Dit is een afwijking ten opzichte van de hypothese waarbij het goedkoper uitvoeren van de audit ook belangrijk werd geacht. H3 kan gedeeltelijk worden aangenomen omdat het leveren van toegevoegde waarde wel terugkomt in de resultaten. Opvallend is dat de IT-auditors vaker antwoorden dat volledige dossiervorming ook tot de betere ondersteuning voor de klant behoort. Auditors, die zowel IT als financiële auditor zijn, geven vaker aan dat er een efficiëntere audit kan worden uitgevoerd waardoor een besparing op het audit budget kan worden gerealiseerd. Omdat deze groep respondenten echter maar een klein deel van onze populatie uitmaakt kunnen we hier geen conclusies aan verbinden. Auditor N Mean Std. Deviation Std. Error Mean toetsen van application controls Financiële Auditor 34,21,410,070 IT-Auditor 71,32,471,056 volledige dossiervorming Financiële Auditor 34,00,000,000 IT-Auditor 71,11,318,038 een effectieve audit Financiële Auditor 34,38,493,085 IT-Auditor 71,35,481,057 een efficiënte audit Financiële Auditor 34,50,508,087 IT-Auditor 71,41,495,059 levering van extra diensten Financiële Auditor 34,38,493,085 IT-Auditor 71,35,481,057 besparing op het audit budget Financiële Auditor 34,32,475,081 IT-Auditor 71,30,460,055 in kaart brengen van IT-risico's Financiële Auditor 34,76,431,074 IT-Auditor 71,85,364,043 specifieke kennis Financiële Auditor 34,62,493,085 IT-Auditor 71,65,481,057 kwalitatief hoogwaardige audit Financiële Auditor 34,41,500,086 IT-Auditor 71,30,460,055 minder detailwerkzaamheden Financiële Auditor 34,09,288,049 IT-Auditor 71,15,364,043 levering van toegevoegde waarde Financiële Auditor 34,76,431,074 27

28 Auditor N Mean Std. Deviation Std. Error Mean IT-Auditor 71,58,497,059 gebruik van specialistische tooling Financiële Auditor 34,18,387,066 IT-Auditor 71,31,466,055 comfort verkrijgen over systemen Financiële Auditor 34,38,493,085 IT-Auditor 71,49,504,060 Tabel 3: Significante verschillen tussen de financiële- en de IT-auditor, betere ondersteuning vanuit het perspectief van de klant Betrokkenheid van de IT-auditor is niet meer voldoende Zoals gesteld in hypothese H4 is de betrokkenheid van de IT-auditor, op alleen het toetsen van interne beheersmaatregelen en geautomatiseerde beheersmaatregelen, niet meer voldoende. Om deze hypothese te toetsen hebben we de doelgroep gevraagd of zij vinden dat de traditionele werkzaamheden van de IT-auditor nog voldoen gezien de technologische ontwikkelingen van de afgelopen jaren, via een antwoordschaal (Likert scale). Hierbij stond optie 1 gelijk aan deze voldoen helemaal niet en optie 5 aan deze voldoen volledig. Auditor Mean N Std. Dev. Financiële Auditor 3,71 34,676 IT-Auditor 3,57 68,816 Beiden 3, ,080 Onbekend 3,25 16,856 Total 3,56 128,811 Figuur 9: Verdeling respons voldoet de rol van de IT-auditor nog In tegenstelling tot onze hypothese zien we hier naar voren komen dat de meeste respondenten vinden dat de rol van de IT-auditor nog voldoet. Men is van mening dat de IT-auditor mee gaat met de ontwikkelingen. Een groot gedeelte heeft ook neutraal geantwoord. Het verschil tussen de financiële en de IT-auditor is hierbij niet significant. H4 dient op basis van deze resultaten te worden verworpen Relevante technologische ontwikkelingen Hypothesen H5 en H6 stellen dat de opkomst van ERP-systemen, workflow management systemen, CAATs, XBRL en Continuous Auditing relevante technologische ontwikkelingen zijn met impact op de jaarrekeningcontrole. Deze hypothese hebben we getoetst door aan de doelgroep te vragen welke technologische ontwikkelingen zij relevant vinden, via een vraag met meervoudige antwoordmogelijkheden. Hiermee toetsen we tevens of de in de hypothesen genoemde technologische ontwikkelingen volgens de doelgroep ook de enige relevante technologische ontwikkelingen zijn. 28

29 Figuur 10: Relevante technologische ontwikkelingen met impact op de jaarrekeningcontrole We zien hier inderdaad de in de hypothese veronderstelde relevante technologische ontwikkelingen terugkomen in de antwoorden van de respondenten. Daarnaast wordt RFID en internet ook als relevante ontwikkeling gezien. Naast de keuzemogelijkheden hebben een aantal respondenten zelf ook nog relevante technologische ontwikkelingen aangedragen zoals GRC-tooling, digitaal balansdossier (Runbook), business intelligence, Software As A Service (SaaS), e-business, Service Oriented Architecture (SOA) en distibuted data centers / servers. Op basis van de resultaten kan H5 worden aangenomen en H6 dient te worden verworpen. Analyseren we de verschillen tussen de financiële en de IT-auditors via de onafhankelijke t-toets dan zien we dat er drie significante verschillen zijn. Dit betreft voor alle drie de gevallen de technologische ontwikkelingen die we relevant achten in de hypothese. Blackberries CAATS (Computer Aided Audit Techniques) Continuous Auditing technieken Draadloos Internet Draadloze netwerken ERP-systemen, zoals SAP, Oracle en JD Edwards HDTV (High Definition Television) Internet en de verdere ontwikkeling daarvan Microsoft Windows Vista Mobiele telefonie Pinpas en chipknip RFID (Radio Frequency Identification) Auditor N Mean Std. Deviation Std. Error Mean Financiële Auditor 34,06,239,041 IT-Auditor 71,14,350,042 Financiële Auditor 34,82,387,066 IT-Auditor 71,80,401,048 Financiële Auditor 34,50,508,087 IT-Auditor 71,70,460,055 Financiële Auditor 34,15,359,062 IT-Auditor 71,17,377,045 Financiële Auditor 34,35,485,083 IT-Auditor 71,32,471,056 Financiële Auditor 34,97,171,029 IT-Auditor 71,75,438,052 Financiële Auditor 34,00,000 a,000 IT-Auditor 71,00,000 a,000 Financiële Auditor 34,50,508,087 IT-Auditor 71,48,503,060 Financiële Auditor 34,12,327,056 IT-Auditor 71,06,232,028 Financiële Auditor 34,09,288,049 IT-Auditor 71,07,258,031 Financiële Auditor 34,15,359,062 IT-Auditor 71,07,258,031 Financiële Auditor 34,29,462,079 IT-Auditor 71,46,502,060 29

30 Auditor N Mean Std. Deviation Std. Error Mean Workflow Management systemen, zoals bijvoorbeeld Financiële Auditor 34,91,288,049 geautomatiseerde factuurverwerking IT-Auditor 71,82,390,046 XBRL (extensible Business Reporting Language): de Financiële Auditor 34,88,327,056 taal om financiële gegevens uit te wisselen IT-Auditor 71,68,471,056 4: Significante verschillen tussen de financiële- en de IT-auditor, relevante technologische ontwikkelingen Impact van ERP-systemen In hypothese H7 wordt gesteld dat de werkzaamheden van de IT-auditor bij ERP-systemen bestaan uit het toetsen van geautomatiseerde beheersmaatregelen. Om dit te toetsen hebben we respondenten gevraagd welke activiteiten zij zouden verwachten van een IT-auditor bij de jaarrekeningcontrole in het geval dat een klant over een ERP-systeem beschikt, via een vraag met meervoudige antwoordmogelijkheden. Figuur 11: Verwachte activiteiten van de IT-auditor bij aanwezigheid van een ERP-systeem Het toetsen van geautomatiseerde beheersmaatregelen wordt inderdaad vaak aangegeven door de respondenten. Het beoordelen van rapporten welke gebruikt worden voor de jaarrekeningcontrole en het toetsen van IT general controls en autorisaties wordt echter ook vaak genoemd. Dit is te verklaren doordat het toetsen van de IT general controls en ook het toetsen van de autorisaties als randvoorwaarden kunnen worden gezien om ook te steunen op de geautomatiseerde beheersmaatregelen. H7 wordt op basis van deze resultaten aangenomen. 30

31 Door een analyse uit te voeren op de antwoorden van de financiële auditor in vergelijking met de antwoorden van de IT-auditor komt naar voren dat de financiële auditor ook werkzaamheden verwacht op het gebied van database-integriteit en het geautomatiseerd beoordelen van netwerkbeveiliging en programmacode. Dit wordt niet herkend door de IT-auditor en deze werkzaamheden worden meestal ook niet door de IT-auditor uitgevoerd. Auditor N Mean Std. Deviation Std. Error Mean beoordelen geautomatiseerde Financiële Auditor 34 1,00,000,000 beheersmaatregelen IT-Auditor 71,93,258,031 beoordeling queries en 'triggers' in het systeem Financiële Auditor 34,65,485,083 IT-Auditor 71,52,503,060 beoordeling van databaseintegriteit Financiële Auditor 34,85,359,062 IT-Auditor 71,58,497,059 geautomatiseerde beoordeling Financiële Auditor 34,74,448,077 databasebeveiliging IT-Auditor 71,61,492,058 geautomatiseerde beoordeling Financiële Auditor 34,68,475,081 netwerkbeveiliging IT-Auditor 71,38,489,058 geautomatiseerde beoordeling van Financiële Auditor 34,29,462,079 programmacode IT-Auditor 71,13,335,040 gespecialiseerde data-analyse Financiële Auditor 34,44,504,086 IT-Auditor 71,42,497,059 proces van totstandkoming van jaarrekening Financiële Auditor 34,21,410,070 IT-Auditor 71,17,377,045 in kaart brengen van bedrijfsprocessen Financiële Auditor 34,21,410,070 IT-Auditor 71,31,466,055 beoordeling van totstandkoming van rapportages Financiële Auditor 34,85,359,062 die gebruikt worden voor de IT-Auditor 71,72,453,054 jaarrekeningcontrole beoordeling van autorisaties Financiële Auditor 34,85,359,062 IT-Auditor 71,87,335,040 toetsen IT general controls Financiële Auditor 34,94,239,041 IT-Auditor 71,93,258,031 review succesvolle selectie en implementatie Financiële Auditor 34,32,475,081 IT-Auditor 71,31,466,055 Tabel 5: Significante verschillen tussen de financiële- en IT-auditor, werkzaamheden IT-auditor bij aanwezigheid van een ERP-systeem Impact van Workflow Management Systemen Zoals gesteld in hypothese H8 bestaan de werkzaamheden van de IT-auditor bij Workflow Management Systemen uit het beoordelen van de juiste inrichting van het proces en toetsen van geautomatiseerde beheersmaatregelen. Ter onderbouwing van deze hypothese hebben wij aan de respondenten gevraagd welke activiteiten zij zouden verwachten van een IT-auditor bij de jaarrekeningcontrole in het geval dat een klant over een Workflow Management Systeem beschikt. De respondenten konden de werkzaamheden door middel van een multiple choice vraag met meerdere antwoorden aangeven. 31

32 Figuur 12: Verwachte activiteiten van de IT-auditor bij aanwezigheid van een Workflow Management Systeem We zien hier dat het beoordelen van geautomatiseerde beheersmaatregelen duidelijk terugkomt in de antwoorden van de respondenten, evenals het toetsen van IT general controls en autorisaties. H8 kan gedeeltelijk worden aangenomen. Bij de vergelijking van de twee groepen komt naar voren dat de IT-auditor significant meer aangeeft dat een beoordeling van bedrijfsprocessen ook onder de werkzaamheden van de IT-auditor vallen. De financiële auditor zou juist vaker verwachten dat de databaseintegriteit en programmacode ook tot de activiteiten van de IT-auditor behoort. beoordelen geautomatiseerde beheersmaatregelen, zoals een goedkeuringshiërarchie beoordeling queries en 'triggers' in het Auditor N Mean Std. Deviation Std. Error Mean Financiële Auditor 34,91,288,049 IT-Auditor 71,89,318,038 Financiële Auditor 34,38,493,085 systeem IT-Auditor 71,42,497,059 beoordeling van databaseintegriteit Financiële Auditor 34,65,485,083 IT-Auditor 71,35,481,057 geautomatiseerde beoordeling Financiële Auditor 34,50,508,087 databasebeveiliging IT-Auditor 71,32,471,056 geautomatiseerde beoordeling Financiële Auditor 34,38,493,085 netwerkbeveiliging IT-Auditor 71,23,421,050 geautomatiseerde beoordeling van Financiële Auditor 34,24,431,074 programmacode IT-Auditor 71,07,258,031 gespecialiseerde data-analyse Financiële Auditor 34,12,327,056 IT-Auditor 71,10,300,036 proces van totstandkoming van jaarrekening Financiële Auditor 34,06,239,041 IT-Auditor 71,08,280,033 in kaart brengen van bedrijfsprocessen Financiële Auditor 34,24,431,074 IT-Auditor 71,52,503,060 beoordeling van totstandkoming van Financiële Auditor 34,38,493,085 rapportages die gebruikt worden voor de IT-Auditor 71,45,501,059 jaarrekeningcontrole 32

33 Auditor N Mean Std. Deviation Std. Error Mean beoordeling van autorisaties Financiële Auditor 34,74,448,077 IT-Auditor 71,82,390,046 toetsen IT general controls Financiële Auditor 34,68,475,081 IT-Auditor 71,76,430,051 review succesvolle selectie en implementatie Financiële Auditor 34,18,387,066 IT-Auditor 71,23,421,050 Tabel 6: Significante verschillen tussen de financiële- en de IT-auditor, werkzaamheden IT-auditor bij aanwezigheid van Workflow Management Systeem Impact van CAATs In hypothese H9 stellen wij dat de werkzaamheden van de IT-auditor bij CAATs uit het uitvoeren van gespecialiseerde data-analyse, het geautomatiseerd beoordelen van netwerkbeveiliging, het geautomatiseerd beoordelen van databasebeveiliging en integriteit en het geautomatiseerd beoordelen van programmacode bestaan. Onze respondenten hebben aangegeven welke activiteiten zij zouden verwachten van een IT-auditor wanneer CAATs kunnen worden toegepast bij de jaarrekeningcontrole. Wederom konden zij de vraag beantwoorden via een multiple choice vraag. Figuur 13: Verwachte activiteiten van de IT-auditor bij mogelijkheden voor CAATs Zowel door de IT-auditors als de financiële auditors komt alleen het uitvoeren van gespecialiseerde data-analyse sterk naar voren in de antwoorden. Het is opvallend dat het lijkt alsof het niet bekend is dat CAATs meer omvat dan alleen data-analyse en het beoordelen van autorisaties. Voor H9 kan dus alleen hypothese H9.1 worden aangenomen waarin het uitvoeren van data-analyse wordt genoemd. Onze hypothese wordt niet volledig onderbouwd. Tussen de verschillende groepen bestaan verder geen significante verschillen blijkt uit de onafhankelijke t-toets. 33

34 3.4.9 Impact van XBRL Zoals gesteld in hypothese H10 bestaan de werkzaamheden van de IT-auditor bij XBRL uit het beoordelen van het proces van de totstandkoming van de XBRL-jaarrekening. Om deze hypothese te toetsen hebben we de doelgroep gevraagd, via een multiple choice vraag, welke activiteiten zij zouden verwachten van een IT-auditor wanneer er een XBRL-jaarrekening wordt opgesteld. Figuur 14: Verwachte activiteiten van de IT-auditor bij een XBRL-jaarrekening Uit de antwoorden komt inderdaad het beoordelen van het proces van de totstandkoming van de jaarrekening als belangrijkste activiteit terug. H10 kan dus worden aangenomen. Voor een aantal van de overige activiteiten zien we wel een aantal significante verschillen tussen de financiële- en de ITauditors. De financiële auditors zouden hier wederom verwachten dat de IT-auditor bij XBRL ook vaker de databaseintegriteit- en beveiliging beoordeeld en de programmacode. Het lijkt erop dat de financiële auditor de IT-auditor nog steeds als hardcore IT specialist ziet terwijl de IT-auditors zichzelf meer als proces specialist beoordelen. Auditor N Mean Std. Deviation Std. Error Mean beoordelen geautomatiseerde Financiële Auditor 34,53,507,087 beheersmaatregelen IT-Auditor 71,49,504,060 beoordeling queries en 'triggers' in het Financiële Auditor 34,24,431,074 systeem IT-Auditor 71,17,377,045 beoordeling van databaseintegriteit Financiële Auditor 34,53,507,087 IT-Auditor 71,30,460,055 geautomatiseerde beoordeling Financiële Auditor 34,47,507,087 databasebeveiliging IT-Auditor 71,24,430,051 geautomatiseerde beoordeling Financiële Auditor 34,26,448,077 netwerkbeveiliging IT-Auditor 71,17,377,045 geautomatiseerde beoordeling van Financiële Auditor 34,35,485,083 programmacode IT-Auditor 71,15,364,043 gespecialiseerde data-analyse Financiële Auditor 34,21,410,070 IT-Auditor 71,27,446,053 34

35 Auditor N Mean Std. Deviation Std. Error Mean proces van totstandkoming van Financiële Auditor 34,71,462,079 jaarrekening IT-Auditor 71,44,499,059 in kaart brengen van bedrijfsprocessen Financiële Auditor 34,09,288,049 IT-Auditor 71,11,318,038 beoordeling van totstandkoming van Financiële Auditor 34,50,508,087 rapportages die gebruikt worden voor de IT-Auditor 71,49,504,060 jaarrekeningcontrole beoordeling van autorisaties Financiële Auditor 34,29,462,079 IT-Auditor 71,28,453,054 toetsen IT general controls Financiële Auditor 34,41,500,086 IT-Auditor 71,44,499,059 review succesvolle selectie en Financiële Auditor 34,15,359,062 implementatie IT-Auditor 71,17,377,045 Tabel 7: Significante verschillen tussen de financiële- en de IT-auditor, werkzaamheden IT-auditor bij XBRL-jaarrekening Impact van Continuous Auditing Zoals gesteld in hypothese H11 bestaan de werkzaamheden van de IT-auditor bij continuous auditing mogelijkheden uit het beoordelen van de IT general controls, het uitvoeren van gespecialiseerde data analyse en het beoordelen van triggers en queries die gebruikt worden bij continuous auditing werkzaamheden. Figuur 15: Verwachte activiteiten van de IT-auditor bij continuous auditing Om deze hypothese te toetsen hebben we de doelgroep gevraagd welke activiteiten zij zouden verwachten van een IT-auditor wanneer er continuous auditing wordt toegepast, via een vraag met meervoudige antwoordmogelijkheden. Uit de antwoorden van de respondenten blijkt dat ze voornamelijk het beoordelen van de IT general controls en het toetsen van geautomatiseerde beheersmaatregelen zouden verwachten. Data-analyse en het beoordelen van queries en triggers komt niet specifiek terug. Onze hypothese H11 kan dus maar gedeeltelijk worden aangenomen, alleen H11.1 kan op basis van deze resultaten worden 35

36 aangenomen. De financiële auditors zouden juist wel weer het beoordelen van de databaseintegriteit en programmacode verwachten. Auditor N Mean Std. Deviation Std. Error Mean beoordelen geautomatiseerde Financiële Auditor 34,79,410,070 beheersmaatregelen IT-Auditor 71,72,453,054 beoordeling queries en 'triggers' in het Financiële Auditor 34,47,507,087 systeem IT-Auditor 71,34,476,057 beoordeling van databaseintegriteit Financiële Auditor 34,59,500,086 IT-Auditor 71,30,460,055 geautomatiseerde beoordeling Financiële Auditor 34,50,508,087 databasebeveiliging IT-Auditor 71,34,476,057 geautomatiseerde beoordeling Financiële Auditor 34,50,508,087 netwerkbeveiliging IT-Auditor 71,31,466,055 geautomatiseerde beoordeling van Financiële Auditor 34,32,475,081 programmacode IT-Auditor 71,11,318,038 gespecialiseerde data-analyse Financiële Auditor 34,21,410,070 IT-Auditor 71,32,471,056 proces van totstandkoming van Financiële Auditor 34,29,462,079 jaarrekening IT-Auditor 71,24,430,051 in kaart brengen van bedrijfsprocessen Financiële Auditor 34,26,448,077 IT-Auditor 71,28,453,054 beoordeling van totstandkoming van Financiële Auditor 34,38,493,085 rapportages die gebruikt worden voor de IT-Auditor 71,37,485,058 jaarrekeningcontrole beoordeling van autorisaties Financiële Auditor 34,50,508,087 IT-Auditor 71,48,503,060 toetsen IT general controls Financiële Auditor 34,65,485,083 IT-Auditor 71,52,503,060 review succesvolle selectie en Financiële Auditor 34,21,410,070 implementatie IT-Auditor 71,13,335,040 Tabel 8: Significante verschillen tussen de financiële- en de IT-auditor, werkzaamheden IT-auditor bij continuous auditing Volwassenheidsniveau IT klant Zoals gesteld in hypothesen H12 en H13 is de aard van de werkzaamheden van de IT-auditor afhankelijk van het volwassenheidsniveau van de klant op het gebied van IT. Om deze hypothesen te toetsen hebben we de doelgroep gevraagd welke klanteigenschappen volgens hen van invloed zijn bij het bepalen van de inzet van de IT-auditor bij de jaarrekeningcontrole. Daarnaast hebben wij hen drie verschillende klantscenario s voorgelegd waarbij we hebben gevraagd welke activiteiten zij zouden verwachten van de IT-auditor bij de jaarrekeningcontrole. De vier vragen hebben allen meervoudige antwoordmogelijkheden. Als eerste worden de resultaten van de vraag met betrekking tot een klant met een laag IT-volwassenheidsniveau getoond. Daarna volgt een klant met een gemiddeld en een hoog IT-volwassenheidsniveau. Als laatste bespreken we de resultaten van de vraag met betrekking tot de klanteigenschappen. 36

37 Klantscenario s Figuur 16: Verwachte activiteiten van de IT-auditor bij een klant met een laag ITvolwassenheidsniveau Auditor N Mean Std. Deviation Std. Error Mean advisering bij IT-beleid Financiële Auditor 34,53,507,087 IT-Auditor 71,31,466,055 autorisatiebeoordeling Financiële Auditor 34,44,504,086 IT-Auditor 71,58,497,059 cijferbeoordelingen Financiële Auditor 34,00,000,000 IT-Auditor 71,03,167,020 data-analyse Financiële Auditor 34,38,493,085 IT-Auditor 71,41,495,059 toetsen van geautomatiseerde Financiële Auditor 34,50,508,087 beheersmaatregelen IT-Auditor 71,44,499,059 toetsen van handmatige Financiële Auditor 34,09,288,049 beheersmaatregelen IT-Auditor 71,39,492,058 toetsen van IT general controls Financiële Auditor 34,76,431,074 IT-Auditor 71,68,471,056 inventarisatie van IT-apparatuur Financiële Auditor 34,21,410,070 IT-Auditor 71,31,466,055 project-assurance Financiële Auditor 34,00,000,000 IT-Auditor 71,06,232,028 pre- en postimplementatiereviews Financiële Auditor 34,18,387,066 IT-Auditor 71,08,280,033 Tabel 9: Significante verschillen tussen de financiële- en de IT-auditor, verwachte activiteiten ITauditor bij een klant met een laag volwassenheidsniveau 37

38 Figuur 17: Verwachte activiteiten van de IT-auditor bij een klant met een gemiddeld ITvolwassenheidsniveau Auditor N Mean Std. Deviation Std. Error Mean advisering bij IT-beleid Financiële Auditor 34,32,475,081 IT-Auditor 71,25,438,052 autorisatiebeoordeling Financiële Auditor 34,74,448,077 IT-Auditor 71,86,350,042 cijferbeoordelingen Financiële Auditor 34,03,171,029 IT-Auditor 71,06,232,028 data-analyse Financiële Auditor 34,50,508,087 IT-Auditor 71,35,481,057 toetsen van geautomatiseerde Financiële Auditor 34,97,171,029 beheersmaatregelen IT-Auditor 71,83,377,045 toetsen van handmatige beheersmaatregelen Financiële Auditor 34,12,327,056 IT-Auditor 71,34,476,057 toetsen van IT general controls Financiële Auditor 34,94,239,041 IT-Auditor 71,92,280,033 inventarisatie van IT-apparatuur Financiële Auditor 34,35,485,083 IT-Auditor 71,27,446,053 project-assurance Financiële Auditor 34,09,288,049 IT-Auditor 71,11,318,038 pre- en postimplementatiereviews Financiële Auditor 34,32,475,081 IT-Auditor 71,21,411,049 Tabel 10: Significante verschillen tussen de financiële- en de IT-auditor, verwachte activiteiten ITauditor bij een klant met een gemiddeld volwassenheidsniveau 38

39 Figuur 18: Verwachte activiteiten van de IT-auditor bij een klant met een hoog ITvolwassenheidsniveau Auditor N Mean Std. Deviation Std. Error Mean advisering bij IT-beleid Financiële Auditor 34,35,485,083 IT-Auditor 71,15,364,043 autorisatiebeoordeling Financiële Auditor 34,79,410,070 IT-Auditor 71,86,350,042 cijferbeoordelingen Financiële Auditor 34,03,171,029 IT-Auditor 71,01,119,014 data-analyse Financiële Auditor 34,62,493,085 IT-Auditor 71,46,502,060 toetsen van geautomatiseerde Financiële Auditor 34,97,171,029 beheersmaatregelen IT-Auditor 71,85,364,043 toetsen van handmatige Financiële Auditor 34,09,288,049 beheersmaatregelen IT-Auditor 71,30,460,055 toetsen van IT general controls Financiële Auditor 34,97,171,029 IT-Auditor 71,90,300,036 inventarisatie van IT-apparatuur Financiële Auditor 34,41,500,086 IT-Auditor 71,27,446,053 project-assurance Financiële Auditor 34,09,288,049 IT-Auditor 71,13,335,040 pre- en postimplementatiereviews Financiële Auditor 34,35,485,083 IT-Auditor 71,20,401,048 Tabel 11: Significante verschillen tussen de financiële- en de IT-auditor, verwachte activiteiten ITauditor bij een klant met een hoog volwassenheidsniveau We zouden verwachten dat er bij klanten met een laag IT-volwassenheidsniveau veel gegevensgerichte werkzaamheden worden verricht en bij klanten met een hoog volwassenheidsniveau juist meer geautomatiseerde beheersmaatregelen worden getoetst. Bij een laag volwassenheidsniveau zien we inderdaad het toetsen van geautomatiseerde beheersmaatregelen minder sterk terugkomen dan bij een hoog volwassenheidsniveau. Ook wordt bij een hoog niveau vaker het toetsen van de IT general controls en autorisatiebeoordeling genoemd. H12 en H13 kunnen dus worden aangenomen. Bij een laag niveau wordt door de financiële auditor significant vaker genoemd dat het adviseren bij het IT-beleid ook tot de werkzaamheden behoort. Opvallend is dat de financiële auditor dit echter ook nog vaker zegt dan de IT-auditor bij een hoog volwassenheidsniveau. Tussen de twee groepen lijkt ook een perceptieverschil te bestaan over wie de handmatige beheersmaatregelen zou moeten toetsen. 39

40 Klanteigenschappen van invloed op de inzet IT-auditor Om een beter beeld te krijgen welke klanteigenschappen nu eigenlijk van invloed zijn op de inzet van de IT-auditor hebben we aan de respondenten voorgelegd welke eigenschappen zij belangrijk achten. Figuur 19: Klanteigenschappen die van invloed zijn op de inzet van de IT-auditor bij de jaarrekeningcontrole Auditor N Mean Std. Deviation Std. Error Mean Notatie aandelenbeurs Financiële Auditor 34,24,431,074 IT-Auditor 71,34,476,057 Bedrijfscultuur Financiële Auditor 34,21,410,070 IT-Auditor 71,31,466,055 Complexiteit van de organisatie Financiële Auditor 34,71,462,079 IT-Auditor 71,62,489,058 Complexiteit van de processen Financiële Auditor 34,88,327,056 IT-Auditor 71,85,364,043 Lokale wet- en regelgeving (Sarbanex-Oxley, Financiële Auditor 34,47,507,087 JSOx, etc) IT-Auditor 71,70,460,055 Gebruik van een IT Governance framework Financiële Auditor 34,47,507,087 (bijvoorbeeld COBIT) IT-Auditor 71,52,503,060 Gemiddelde leeftijd van de medewerkers Financiële Auditor 34,09,288,049 IT-Auditor 71,03,167,020 Grootte van de IT afdeling Financiële Auditor 34,35,485,083 IT-Auditor 71,56,499,059 Grootte van de klant Financiële Auditor 34,62,493,085 IT-Auditor 71,45,501,059 Hoeveelheid transacties in de systemen Financiële Auditor 34,68,475,081 IT-Auditor 71,55,501,059 Mate van automatisering van bedrijfsprocessen Financiële Auditor 34 1,00,000,000 IT-Auditor 71,86,350,042 Mate van automatisering van IT-beheers Financiële Auditor 34,71,462,079 processen (backups, incidentregistratie, etc) IT-Auditor 71,73,446,053 Mate van geformaliseerde procedures/processen Financiële Auditor 34,35,485,083 IT-Auditor 71,41,495,059 Vertegenwoordiging van IT in de directie Financiële Auditor 34,24,431,074 IT-Auditor 71,30,460,055 Tabel 12: Significante verschillen tussen de financiële- en de IT-auditor, klanteigenschappen die van invloed zijn op de inzet van de IT-auditor bij de jaarrekeningcontrole 40

41 Vanuit de resultaten zien we dat met name de complexiteit van de bedrijfsprocessen en de mate van automatisering als belangrijke factoren worden gezien die de inzet beïnvloeden. Opvallend is dat de IT-auditor significant vaker dan de financiële auditor de lokale wet- en regelgeving ook als factor benoemt Andere factoren van invloed op inzet IT-auditor Figuur 20: Andere factoren van invloed op de inzet van de IT-auditor Om ook andere factoren met invloed op het al dan niet inzetten van de IT-auditor te kunnen identificeren hebben we een extra vraag opgenomen in de enquête waarbij de respondenten via een multiple choice vraag konden aangeven welke andere factoren zij van belang achten. We zien hierbij dat communicatie tussen de financiële- en IT-auditor en de kennis van de toegevoegde waarde van de IT audit het meest als beïnvloedende factor worden benoemd. Ook het budget, ervaringen en bewezen controleaanpak uit het verleden blijken volgens de respondenten hierbij een grote rol te spelen. De financiële auditor noemt daarbij de ervaringen van de leidinggevenden significant vaker dan de ITauditor. Auditor N Mean Std. Deviation Std. Error Mean Bedrijfscultuur accountantskantoor Financiële Auditor 34,29,462,079 IT-Auditor 71,39,492,058 Ervaringen leidinggevende auditteam uit het Financiële Auditor 34,76,431,074 verleden IT-Auditor 71,51,504,060 Prestatiedruk / evaluatiemethodiek Financiële Auditor 34,21,410,070 accountantskantoor IT-Auditor 71,17,377,045 Roulatie van het auditteam Financiële Auditor 34,12,327,056 41

Op naar een excellente controle

Op naar een excellente controle Op naar een excellente controle Welke controlewerkzaamheden kunnen verder geoptimaliseerd worden om kosten te besparen of om meer toegevoegde waarde te kunnen bieden aan cliënten? Hoe kunnen deze werkzaamheden

Nadere informatie

Afstudeerscriptie: Computer-assisted audit techniques (CAATs)

Afstudeerscriptie: Computer-assisted audit techniques (CAATs) Afstudeerscriptie: Computer-assisted audit techniques (CAATs) Afstudeerscriptie Definitieve versie 5 juni 2008 Hugo de Vries, hugo@hugodevries.eu; Studentnummer: 9981236 Teamnummer: 831 Vrije Universiteit

Nadere informatie

CobiT. Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1

CobiT. Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1 CobiT Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1 Control objectives for information and related Technology Lezenswaardig: 1. CobiT, Opkomst, ondergang en opleving

Nadere informatie

NS in beweging, Security als business enabler september 2008

NS in beweging, Security als business enabler september 2008 NS in beweging, Security als business enabler september 2008 Rien Dijkstra Enterprise IT Architect Informatiemangement & Technologie .. de noodzaak en uitdagingen van een topvervoerder, onder eigen regie,

Nadere informatie

Data-analyse in de praktijk D E T O E PA S S I N G B I J V I S S E R & V I S S E R A C C O U N TA N T S - B E L A S T I N G A D V I S E U R S

Data-analyse in de praktijk D E T O E PA S S I N G B I J V I S S E R & V I S S E R A C C O U N TA N T S - B E L A S T I N G A D V I S E U R S Data-analyse in de praktijk D E T O E PA S S I N G B I J V I S S E R & V I S S E R A C C O U N TA N T S - B E L A S T I N G A D V I S E U R S Agenda Plaats in de praktijk Toepassing in audit De werkvloer

Nadere informatie

3-daagse praktijktraining. IT Audit Essentials

3-daagse praktijktraining. IT Audit Essentials 3-daagse praktijktraining IT Audit Essentials Programma IT-Audit Essentials Door de steeds verdergaande automatisering van de bedrijfsprocessen wordt de beveiliging en betrouwbaarheid van de IT systemen

Nadere informatie

MEER AMBACHT DAN FABRIEK Data-Analyse en Process Mining Support www.coney.nl

MEER AMBACHT DAN FABRIEK Data-Analyse en Process Mining Support www.coney.nl MEER AMBACHT DAN FABRIEK Data-Analyse en Process Mining Support www.coney.nl DE TOOLS DIE WIJ GEBRUIKEN DATA- ANALYSE TOOLS DATA- ANALYSE SUPPORT PROCESS MINING TOOLS PROCESS MINING SUPPORT DATA- ANALYSE

Nadere informatie

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag André Salomons Smart SharePoint Solutions BV Cloud security en de rol van de accountant ICT Accountancy praktijkdag Cloud security moet uniformer en transparanter, waarom deze stelling? Links naar de artikelen

Nadere informatie

Post-hbo-opleiding IT-based-auditing 2015-2016

Post-hbo-opleiding IT-based-auditing 2015-2016 Post-hbo-opleiding IT-based-auditing 2015-2016 Instituut Werken en Leren Postbus 5171, 6802 ED Arnhem Ruitenberglaan 31, 6826 CC Arnhem T (026) 369 13 09, F (026) 369 13 69 I www.han.nl/finance E info.finance@han.nl

Nadere informatie

Continuous auditing and continuous monitoring: continuous solutions? J. Jacobs en M. Hoetjes

Continuous auditing and continuous monitoring: continuous solutions? J. Jacobs en M. Hoetjes Continuous auditing and continuous monitoring: continuous solutions? J. Jacobs en M. Hoetjes Introductie Jacco Jacobs E-mail: jacco.jacobs@nl.ey.com Internet: www.ey.com Meta Hoetjes E-mail: meta.hoetjes@csi4grc.com

Nadere informatie

Bedrijfsarchitectuur sterker door opleiding

Bedrijfsarchitectuur sterker door opleiding Onderzoek naar het effect van de Novius Architectuur Academy Bedrijfsarchitectuur sterker door opleiding Door met meerdere collega s deel te nemen aan een opleiding voor bedrijfsarchitecten, werden mooie

Nadere informatie

ICT Accountancy. Praktijkdag Webwinkels en Boekhouden

ICT Accountancy. Praktijkdag Webwinkels en Boekhouden ICT Accountancy Praktijkdag Webwinkels en Boekhouden Thema Betrouwbaar Administreren Misbruik Afrekensystemen Misbruik Afrekensystemen Internationaal probleem Veel oplossingsrichtingen Overleg Belastingdienst

Nadere informatie

Governance, Risk and Compliance (GRC) tools

Governance, Risk and Compliance (GRC) tools Governance, Risk and Compliance (GRC) tools Auteurs: Peter Paul Brouwers en Maurice op het Veld Samenvatting Het voldoen aan de wet- en regelgeving met betrekking tot bijvoorbeeld de Sarbanes Oxley Act

Nadere informatie

NBC Audit Services BV NBC Van Roemburg & Partners BV Data analyse. Drs. Ing. Niels Bond RE 11 maart 2015

NBC Audit Services BV NBC Van Roemburg & Partners BV Data analyse. Drs. Ing. Niels Bond RE 11 maart 2015 NBC Audit Services BV NBC Van Roemburg & Partners BV Data analyse Drs. Ing. Niels Bond RE 11 maart 2015 Agenda NBC Voordelen en gebruik data analyse Gebruik auditfile Data analyse tool (ACL) vs Excel Stappenplan

Nadere informatie

IT-based auditing. Post-hbo opleiding

IT-based auditing. Post-hbo opleiding Post-hbo opleiding IT-based auditing Als (theoretisch) afgestudeerd accountant kunt u zich met de post-hbo-opleiding IT-based auditing bekwamen in het toepassen van IT-audit technieken gericht op de financial

Nadere informatie

De spreadsheet van het strafbankje

De spreadsheet van het strafbankje Artikel De spreadsheet van het strafbankje Een pragmatische aanpak voor End User Computing Trudy Onland Sinds de introductie van Sarbanes Oxley wet (SOx) ontbreken duidelijke en eenduidige richtlijnen

Nadere informatie

DOORSTAAT UW RISICOMANAGEMENT DE APK?

DOORSTAAT UW RISICOMANAGEMENT DE APK? WHITEPAPER DOORSTAAT UW RISICOMANAGEMENT DE APK? DOOR M. HOOGERWERF, SENIOR BUSINESS CONS ULTANT Risicomanagement is tegenwoordig een belangrijk onderdeel van uw bedrijfsvoering. Dagelijks wordt er aandacht

Nadere informatie

Artikel. Naar een verbeterde audit van de interne controle: Continuous auditing

Artikel. Naar een verbeterde audit van de interne controle: Continuous auditing Artikel Naar een verbeterde audit van de interne controle: Continuous auditing Willem Scheeres Een belangrijk deel van de accountantscontrole is gericht op het beoordelen van de opzet, het bestaan en de

Nadere informatie

KPMG s Identity and Access Management Survey 2008

KPMG s Identity and Access Management Survey 2008 42 KPMG s Identity and Access Survey 2008 Ing. John Hermans RE, Emanuël van der Hulst, Pieter Ceelen MSc en Geo van Gestel MSc Ing. J.A.M. Hermans RE is director bij KPMG IT Advisory te Amstelveen. Binnen

Nadere informatie

Controleverklaring van de onafhankelijke accountant

Controleverklaring van de onafhankelijke accountant Controleverklaring van de onafhankelijke accountant Aan: de algemene vergadering van Nederlandse Waterschapsbank N.V. Verklaring over de jaarrekening 2014 Ons oordeel Wij hebben de jaarrekening 2014 van

Nadere informatie

Berry Kok. Navara Risk Advisory

Berry Kok. Navara Risk Advisory Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging

Nadere informatie

info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013

info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 2 Boekhouden in de cloud!! 3 Aanbod te over: 4 5 Hoe betrouwbaar en veilig is online administratieve

Nadere informatie

Factsheet CONTINUOUS VALUE DELIVERY Mirabeau

Factsheet CONTINUOUS VALUE DELIVERY Mirabeau Factsheet CONTINUOUS VALUE DELIVERY Mirabeau CONTINUOUS VALUE DELIVERY We zorgen ervoor dat u in elke volwassenheidsfase van uw digitale platform snel en continu waarde kunt toevoegen voor eindgebruikers.

Nadere informatie

Leones. Business Case Service Management Tool

Leones. Business Case Service Management Tool Leones Business Case Service Management Tool Inhoudsopgave 1. AFBAKENING... 3 1.1 DOEL... 3 1.2 AANNAMES... 3 1.3 HUIDIGE SITUATIE... 3 1.4 PROBLEEMSTELLING... 3 1.5 WAT ALS ER NIETS GEBEURT?... 3 2. OPTIES...

Nadere informatie

Exact Synergy Enterprise. Krachtiger Financieel Management

Exact Synergy Enterprise. Krachtiger Financieel Management Exact Synergy Enterprise Krachtiger Financieel Management 1 Inleiding Waar gaat het om? Makkelijke vragen zijn vaak het moeilijkst te beantwoorden. Als het hectische tijden zijn, moet u soms veel beslissingen

Nadere informatie

Executive Academy. Permanente Educatie voor Professionals. Permanente Educatie voor Professionals

Executive Academy. Permanente Educatie voor Professionals. Permanente Educatie voor Professionals Executive Academy Permanente Educatie voor Professionals Permanente Educatie voor Professionals Wat is de Executive Academy? De Executive Academy is een samenwerking tussen de Amsterdam Business School

Nadere informatie

MKB Cloudpartner Informatie TPM & ISAE 3402 2016

MKB Cloudpartner Informatie TPM & ISAE 3402 2016 Third Party Memorandum (TPM) Een Derde verklaring of Third Party Mededeling (TPM) is een verklaring die afgegeven wordt door een onafhankelijk audit partij over de kwaliteit van een ICT-dienstverlening

Nadere informatie

Slide 1. Slide 2 Introduktie. Slide 3 Deze les: 2 onderwerpen. Les 1 Definities en belang Informatie Technologie. Intro docent Opzet/tentamenstof

Slide 1. Slide 2 Introduktie. Slide 3 Deze les: 2 onderwerpen. Les 1 Definities en belang Informatie Technologie. Intro docent Opzet/tentamenstof Slide 1 Les 1 Definities en belang Informatie Technologie IT A Basics en toepassing Informatie Technologie Versie 4.1 Sept 2014 Slide 2 Introduktie Intro docent Opzet/tentamenstof Stof/vraagstukken behandeld

Nadere informatie

2014 KPMG Advisory N.V

2014 KPMG Advisory N.V 01 Uitbesteding & assurance 11 Nut en noodzaak van assurance reporting Auteurs: Rosemarie van Alst en Fons Basten Wie activiteiten uitbesteedt, wil graag zekerheid over de kwaliteit en integriteit van

Nadere informatie

1 Inhoudsopgave 2 REFL@CTION... 3 2.1 WIE ZIJN WIJ?... 3 2.2 WAT BIEDEN WE?... 3 2.3 WAAR VINDT U ONS?... 3 3 TRAININGSAANBOD... 4

1 Inhoudsopgave 2 REFL@CTION... 3 2.1 WIE ZIJN WIJ?... 3 2.2 WAT BIEDEN WE?... 3 2.3 WAAR VINDT U ONS?... 3 3 TRAININGSAANBOD... 4 1 Inhoudsopgave 2 REFL@CTION... 3 2.1 WIE ZIJN WIJ?... 3 2.2 WAT BIEDEN WE?... 3 2.3 WAAR VINDT U ONS?... 3 3 TRAININGSAANBOD... 4 3.1 MASTERCLASS IT-B@SED AUDIT... 4 3.2 QUICK START IT-AUDIT IN HET MKB...

Nadere informatie

Self Service BI. de business

Self Service BI. de business BI in de praktijk Self Service BI Breng de kracht van BI naar de business Luc Alix Sogeti Nederland B.V. Redenen voor Business Intelligence Sneller kunnen beslissen 42 % Beter kunnen beslissen 42 % Concurrentieel

Nadere informatie

Nationale Controllersdag 2016 9 juni 2016. Financial Control Framework Van data naar rapportage

Nationale Controllersdag 2016 9 juni 2016. Financial Control Framework Van data naar rapportage Nationale Controllersdag 2016 9 juni 2016 Financial Control Framework Van data naar rapportage Inhoudsopgave Even voorstellen Doel van de workshop Positie van Finance & Control Inrichting van management

Nadere informatie

Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol

Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol Mike de Bruijn roduct Owner Agenda Inleiding Over CompLions GRCcontrol management software Risicomanagement Uitdagingen Dynamisch risicomanagement

Nadere informatie

Het effect van GRC-software op de jaarrekening controle

Het effect van GRC-software op de jaarrekening controle Compact_ 2008_3 3 Het effect van GRC-software op de jaarrekening controle Faried Ibrahim MSc en drs. Dennis Hallemeesch F. Ibrahim MSc is afgestudeerd bij KPMG IT Advisory voor de Master Economics & ICT

Nadere informatie

BEVEILIGINGSARCHITECTUUR

BEVEILIGINGSARCHITECTUUR BEVEILIGINGSARCHITECTUUR Risico s onder controle Versie 1.0 Door: drs. Ir. Maikel J. Mardjan MBM - Architect 2011 cc Organisatieontwerp.nl AGENDA Is een beveiligingsarchitectuur wel nodig? Oorzaken beveiligingsincidenten

Nadere informatie

Data Governance van visie naar implementatie

Data Governance van visie naar implementatie make connections share ideas be inspired Data Governance van visie naar implementatie Frank Dietvorst (PW Consulting) deelprogrammamanager Caesar - Vernieuwing Applicatie Landschap Leendert Paape (SAS

Nadere informatie

Whitepaper implementatie workflow in een organisatie

Whitepaper implementatie workflow in een organisatie Whitepaper implementatie workflow in een organisatie Auteur: Remy Stibbe Website: http://www.stibbe.org Datum: 01 mei 2010 Versie: 1.0 Whitepaper implementatie workflow in een organisatie 1 Inhoudsopgave

Nadere informatie

Ad Hoc rapportage of constante sturing. Presentatie door: Paul Brands Regional Account Executive

Ad Hoc rapportage of constante sturing. Presentatie door: Paul Brands Regional Account Executive 1 Ad Hoc rapportage of constante sturing Presentatie door: Paul Brands Regional Account Executive Agenda 2 Wie zijn wij? Duurzaam ondernemen / Informatie voorziening. Veranderende inzichten. Knelpunten

Nadere informatie

Informatiebeveiliging voor gemeenten: een helder stappenplan

Informatiebeveiliging voor gemeenten: een helder stappenplan Informatiebeveiliging voor gemeenten: een helder stappenplan Bewustwording (Klik hier) Structureren en borgen (Klik hier) Aanscherping en maatwerk (Klik hier) Continu verbeteren (Klik hier) Solviteers

Nadere informatie

Data-analyse en boekhoudsoftware voor de MKB-accountant in een breder perspectief

Data-analyse en boekhoudsoftware voor de MKB-accountant in een breder perspectief Data-analyse en boekhoudsoftware voor de MKB-accountant in een breder perspectief Wie ben ik Wat is data-analyse Plaats in de controle Schema Een netwerkmodel van de controle; Focus op en inkleuren van

Nadere informatie

From business transactions to process insights. BPM Round Table, TU/e 26 mei 2014

From business transactions to process insights. BPM Round Table, TU/e 26 mei 2014 From business transactions to process insights BPM Round Table, TU/e 26 mei 2014 Agenda 1 2 3 4 Korte introductie Process mining in de audit Enkele voorbeelden Uitdagingen & de toekomst 1 Korte introductie

Nadere informatie

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Zekerheid in de Cloud ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Agenda - Wat speelt zich af in de Cloud - Cases - Keurmerk Zeker-OnLine - Wat is het belang van de accountant en het administratiekantoor

Nadere informatie

Accountants en IT I T A u d i t g e ï n t e g r e e r d i n d e c o n t r o l e a a n p a k

Accountants en IT I T A u d i t g e ï n t e g r e e r d i n d e c o n t r o l e a a n p a k Accountants en IT I T A u d i t g e ï n t e g r e e r d i n d e c o n t r o l e a a n p a k Agenda Problemen Discussie Nieuwe aanpak Lessons learned 2-6-2014 2 Directeur van Refine-IT B.V. Partner/aandeelhouder

Nadere informatie

HET GAAT OM INFORMATIE

HET GAAT OM INFORMATIE Aan leiding C OB IT HET GAAT OM INFORMATIE Informatie is belangrijk voor het functioneren van een organisatie Informatie wordt gegenereerd, gebruikt, bewaard, ontsloten, verwijderd Informatietechnologie

Nadere informatie

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce. Cloud Computing, een inleiding ICT Accountancy & Financials congres 2013: Cloud computing en efactureren 10 december 2013 Jan Pasmooij RA RE RO: jan@pasmooijce.com 10 december 2013 1 Kenmerken van Cloud

Nadere informatie

De toekomst van een IT-auditor in een integrated / financial audit. Robert Johan Tom Koning

De toekomst van een IT-auditor in een integrated / financial audit. Robert Johan Tom Koning De toekomst van een IT-auditor in een integrated / financial audit Robert Johan Tom Koning Probleemanalyse Gebrek aan kennis accountant Niet doorvragen bij termen smijten Moeite toegevoegde waarde te tonen

Nadere informatie

Assurance rapport van de onafhankelijke accountant

Assurance rapport van de onafhankelijke accountant Assurance rapport van de onafhankelijke accountant Rapportage aan: Achmea Divisie Pensioen & Leven De heer A. Aalbers 1 Achmea Divisie Pensioen & Leven De heer A. Aalbers Postbus 700 APELDOORN Opdracht

Nadere informatie

Doel. Context VSNU UFO/INDELINGSINSTRUMENT FUNCTIEFAMILIE ICT FUNCTIONEEL (INFORMATIE) BEHEERDER VERSIE 1 MEI 2012

Doel. Context VSNU UFO/INDELINGSINSTRUMENT FUNCTIEFAMILIE ICT FUNCTIONEEL (INFORMATIE) BEHEERDER VERSIE 1 MEI 2012 Functioneel (informatie) beheerder Doel Zorgdragen voor het inrichten, aanpassen, vernieuwen en onderhouden van de informatievoorziening (processen, procedures en/of systemen), passend binnen het informatiebeleid

Nadere informatie

Risk & Compliance Charter Clavis Family Office B.V.

Risk & Compliance Charter Clavis Family Office B.V. Risk & Compliance Charter Clavis Family Office B.V. Datum: 15 april 2013 Versie 1.0 1. Inleiding Het Risk & Compliance Charter (charter) bevat de uitgeschreven principes, doelstellingen en bevoegdheden

Nadere informatie

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging

Nadere informatie

SAP Risk-Control Model. Inzicht in financiële risico s vanuit uw SAP processen

SAP Risk-Control Model. Inzicht in financiële risico s vanuit uw SAP processen SAP Risk-Control Model Inzicht in financiële risico s vanuit uw SAP processen Agenda 1.Introductie in Risicomanagement 2.SAP Risk-Control Model Introductie in Risicomanagement Van risico s naar intern

Nadere informatie

Delo itte. 1183 AS Amstelveen Postbus 175 1180 AD Amstelveen Nederland

Delo itte. 1183 AS Amstelveen Postbus 175 1180 AD Amstelveen Nederland Delo itte. 1183 AS Amstelveen Postbus 175 1180 AD Amstelveen Nederland Tel: 088 288 2888 Fax: 088288 9711 www.deloitte.nl Assurance rapport van de onafhankelijke accountant Rapportage aan: Achmea Divisie

Nadere informatie

Readiness Assessment ISMS

Readiness Assessment ISMS Readiness Assessment van ISMS ISO/IEC27001:2005 1 Senior Internal/IT auditor Luyke Tjebbes EMIA RO CISA Lead Auditor ISO/IEC27001:2005 Projectleider ISO assessment 2 Wat is ISO 27001 eigenlijk? ISO/IEC

Nadere informatie

5-daagse bootcamp IT Risk Management & Assurance

5-daagse bootcamp IT Risk Management & Assurance 5-daagse bootcamp IT Risk Management & Assurance Verhoog het niveau van uw risicomanagement processen vóór 1 juni naar volwassenheidsniveau 4! ISO31000 DAG 1 DAG 2 DAG 3 OCHTEND NIEUW ISO27005 DAG 3 MIDDAG

Nadere informatie

Data Warehouse. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V.

Data Warehouse. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V. Data Warehouse Een introductie Algemene informatie voor medewerkers van SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 9 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2 VERSIEBEHEER... 3 2 DOEL VAN

Nadere informatie

Dia 1. Dia 2. Dia 3 SBR/XBRL. Uit de website van de Belastingdienst. Aan wie verstrekt een bedrijf gegevens?

Dia 1. Dia 2. Dia 3 SBR/XBRL. Uit de website van de Belastingdienst. Aan wie verstrekt een bedrijf gegevens? Dia 1 SBR/XBRL Of: innovatie van het verslaggevingsproces -- scholar -- IT A Basics en toepassing Informatie Technologie Versie 4.1 Sept 2014 Dia 2 Uit de website van de Bron: http://www.belastingdienst.nl/wps/wcm/connect/bldcontentnl/belastingdien

Nadere informatie

XBRL voor ondernemers. Wat betekent dat voor u?

XBRL voor ondernemers. Wat betekent dat voor u? XBRL voor ondernemers. Wat betekent dat voor u? Makkelijker, sneller, betrouwbaarder en dus goedkoper aan administratieve verplichtingen voldoen! www.xbrlvoorondernemers.nl BESPAREN OP UW ADMINISTRATIEVE

Nadere informatie

De onmisbare actuaris. VSAE congres 20 september 2011 Sabijn Timmers

De onmisbare actuaris. VSAE congres 20 september 2011 Sabijn Timmers De onmisbare actuaris VSAE congres 20 september 2011 Sabijn Timmers Eigenaar van de Black Box Inhoud Introductie Ontwikkelingen in S2 Waar we vandaan komen Waar we heen gaan Waarom we onmisbaar zijn En

Nadere informatie

Ronald van der Wal Enterprise Risk Services

Ronald van der Wal Enterprise Risk Services Beoordeling van een service auditor s rapport in het kader van de jaarrekeningcontrole en de rol van de IT auditor Auteurs: Niels Smit Enterprise Risk Services Deloitte Accountants B.V. Mobile: +31 (0)

Nadere informatie

Acceptatiemanagement meer dan gebruikerstesten. bridging it & users

Acceptatiemanagement meer dan gebruikerstesten. bridging it & users Acceptatiemanagement meer dan gebruikerstesten bridging it & users Consultancy Software Training & onderzoek Consultancy CEPO helpt al meer dan 15 jaar organisaties om integraal de kwaliteit van hun informatiesystemen

Nadere informatie

INVENTARISATIE EN CLASSIFICATIE VAN STANDAARDEN VOOR CYBERSECURITY

INVENTARISATIE EN CLASSIFICATIE VAN STANDAARDEN VOOR CYBERSECURITY INVENTARISATIE EN CLASSIFICATIE VAN STANDAARDEN VOOR CYBERSECURITY Leesvervangende samenvatting bij het eindrapport Auteurs: Dr. B. Hulsebosch, CISSP A. van Velzen, M.Sc. 20 mei 2015 In opdracht van: Het

Nadere informatie

Identify and mitigate your IT risk

Identify and mitigate your IT risk Identify and mitigate your IT risk ICT risico = bedrijfsrisico In de ontwikkeling die organisaties doormaken, speelt ICT een belangrijke rol. ICT heeft bedrijfsprocessen efficiënter en effectiever gemaakt.

Nadere informatie

De weg naar. Data Governance Maturity

De weg naar. Data Governance Maturity De weg naar Data Governance Maturity Bedrijf : Nováccent ICT Solutions BV Auteur : J. Struik Datum : 14 december 2012 Versie : 2.0 Data Governance Maturity Nováccent ICT Solutions BV 2012 1 Inhoudsopgave

Nadere informatie

Jacques Herman 21 februari 2013

Jacques Herman 21 februari 2013 KING bijeenkomst Audit- en Pentestpartijen Toelichting op de DigiD Rapportage template en de NOREA Handreiking DigiD ICT-beveiligingsassessments Jacques Herman 21 februari 2013 Samenvatting van de regeling

Nadere informatie

Grip op diversiteit aan beveiligingseisen: Compliant zijn en blijven, maar hoe? VIAG themadag Drs. D.J. van der Poel RE RA 21 maart 2014

Grip op diversiteit aan beveiligingseisen: Compliant zijn en blijven, maar hoe? VIAG themadag Drs. D.J. van der Poel RE RA 21 maart 2014 1 Grip op diversiteit aan beveiligingseisen: Compliant zijn en blijven, maar hoe? VIAG themadag Drs. D.J. van der Poel RE RA 21 maart 2014 Inhoud 2 Inleiding: enige trends in de markt In het speelveld

Nadere informatie

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Pagina 1 van 6 Inhoudsopgave 1. Aanleiding 3 2. Structureel / incidenteel 3 3. Opdrachtgever 3 4. Opdrachtnemer 3 5. Relevante wet- en regelgeving 3 6.

Nadere informatie

WWW.CAGROUP.NL COMPLIANCE RADAR HET MEEST COMPLETE BESTURINGSSYSTEEM VOOR GEMEENTEN.

WWW.CAGROUP.NL COMPLIANCE RADAR HET MEEST COMPLETE BESTURINGSSYSTEEM VOOR GEMEENTEN. WWW.CAGROUP.NL COMPLIANCE RADAR HET MEEST COMPLETE BESTURINGSSYSTEEM VOOR GEMEENTEN. COMPLIANCE RADAR De Compliance Radar helpt gemeenten een brug te slaan tussen beleidsdoelstellingen en uitvoering. Door

Nadere informatie

HOE EEN BEDRIJF 180 GRADEN DRAAIT

HOE EEN BEDRIJF 180 GRADEN DRAAIT Exact Online CASE STUDY HOE EEN BEDRIJF 180 GRADEN DRAAIT www.exactonline.nl 2 EXACT ONLINE CASE STUDY ACCOUNTANCY HOE TENSING BINNEN 1 JAAR 180 GRADEN DRAAIDE Tensing, een mobility en Geo- ICT software

Nadere informatie

Invloed van IT uitbesteding op bedrijfsvoering & IT aansluiting

Invloed van IT uitbesteding op bedrijfsvoering & IT aansluiting xvii Invloed van IT uitbesteding op bedrijfsvoering & IT aansluiting Samenvatting IT uitbesteding doet er niet toe vanuit het perspectief aansluiting tussen bedrijfsvoering en IT Dit proefschrift is het

Nadere informatie

Functieprofiel: Ondersteuner ICT Functiecode: 0405

Functieprofiel: Ondersteuner ICT Functiecode: 0405 Functieprofiel: Ondersteuner ICT Functiecode: 0405 Doel Registreren en (laten) oplossen van vragen en storingen van ICT-gebruikers binnen de richtlijnen van de afdeling, teneinde bij te dragen aan efficiënt

Nadere informatie

PQR Lifecycle Services. Het begint pas als het project klaar is

PQR Lifecycle Services. Het begint pas als het project klaar is PQR Lifecycle Services Het begint pas als het project klaar is IT wordt een steeds crucialer onderdeel van de dagelijkse bedrijfsvoering. Waar u ook bent, het moet altijd beschikbaar en binnen bereik zijn.

Nadere informatie

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services Digital Independence Grip op uw continuïteit! Plan Today to be ready for Tomorrow Information Security and Continuity Services Digital Independence Grip op uw continuïteit! Weet u welke risico s uw bedrijf

Nadere informatie

Wat is Cyber Security Management? 3 oktober 2014. ISA / Hudson Cybertec Arjan Meijer Security Consultant

Wat is Cyber Security Management? 3 oktober 2014. ISA / Hudson Cybertec Arjan Meijer Security Consultant Wat is Cyber Security Management? 3 oktober 2014 ISA / Hudson Cybertec Arjan Meijer Security Consultant 1 Agenda Introductie spreker / ISA 3 pijlers van security IT versus OT Cyber Security Management

Nadere informatie

Trends in IT internal audit

Trends in IT internal audit 18 Trends in IT internal audit Kim van Houwelingen RE, drs. Micha Sjoerts en Brigitte Beugelaar RE RA Mw. C.M. van Houwelingen RE is als adviseur werkzaam bij KPMG IT Advisory voor de service line Financial

Nadere informatie

It s CMMI Jim, but not as we know it! CMMI toegepast op een Compliance organisatie Door Jasper Doornbos Improvement Focus

It s CMMI Jim, but not as we know it! CMMI toegepast op een Compliance organisatie Door Jasper Doornbos Improvement Focus It s CMMI Jim, but not as we know it! CMMI toegepast op een Compliance organisatie Door Jasper Doornbos Improvement Focus Inhoud Compliance vakgebied en organisatie CMMI software en systems engineering

Nadere informatie

DATA-ANALYSES IN PRAKTIJK

DATA-ANALYSES IN PRAKTIJK DATA-ANALYSES IN PRAKTIJK 11 mrt 15 Anco Bruins Mazars Management Consultants 1 EVEN VOORSTELLEN Drs. Anco Bruins RA EMITA Manager IT Audit Mazars Management Consultants 14 jaar ervaring in de MKBaccountantscontrole

Nadere informatie

Factsheet Penetratietest Informatievoorziening

Factsheet Penetratietest Informatievoorziening Factsheet Penetratietest Informatievoorziening Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

BARRIER DENKEN, BARRIER DOEN! PRAGMATISCH EN PROAC TIEVE RISICOANALYSE DOOR MARTIN HOOGERWERF, SENIOR BUSINESS CONSULTANT

BARRIER DENKEN, BARRIER DOEN! PRAGMATISCH EN PROAC TIEVE RISICOANALYSE DOOR MARTIN HOOGERWERF, SENIOR BUSINESS CONSULTANT WHITEPAPER BARRIER DENKEN, BARRIER DOEN! PRAGMATISCH EN PROAC TIEVE RISICOANALYSE DOOR MARTIN HOOGERWERF, SENIOR BUSINESS CONSULTANT RISICOMANAGEMENT IN BALANS Ondernemen betekent risico s nemen om de

Nadere informatie

8-12-2015. Hoe test je een pen? Je kunt de presentatie na afloop van elke les downloaden. Ga naar : www.gelsing.info Kies voor de map Acceptatietesten

8-12-2015. Hoe test je een pen? Je kunt de presentatie na afloop van elke les downloaden. Ga naar : www.gelsing.info Kies voor de map Acceptatietesten Les 1 Docent: Marcel Gelsing Je kunt de presentatie na afloop van elke les downloaden. Ga naar : www.gelsing.info Kies voor de map Acceptatietesten Hoe test je een pen? 1 Bekijk eerst het filmpje over

Nadere informatie

Adding value to test tooling Hoe en waarom DevOps de wereld van performance testen verandert

Adding value to test tooling Hoe en waarom DevOps de wereld van performance testen verandert Hoe en waarom DevOps de wereld van performance testen verandert Najaarsevenement 14 oktober 2015 Inleiding Wie zijn we Marc Koper: Specialist in performancetesten / testautomatisering HenkJaap van den

Nadere informatie

Testen en BASEL II. Dennis Janssen. Agenda. Wat is BASEL II? Testen van BASEL II op hoofdlijnen

Testen en BASEL II. Dennis Janssen. Agenda. Wat is BASEL II? Testen van BASEL II op hoofdlijnen Testen en BASEL II Dennis Janssen Test Research Centre LogicaCMG 1 Agenda Wat is BASEL II? Testen van BASEL II op hoofdlijnen BASEL II als hulpmiddel om positie testen te versterken Samenvatting 2 1 Basel

Nadere informatie

ICT Management. Leerprocessen en hun invloed op de kwaliteit van IT-servicemanagement. Kortere terugverdientijd door het versnellen van het leerproces

ICT Management. Leerprocessen en hun invloed op de kwaliteit van IT-servicemanagement. Kortere terugverdientijd door het versnellen van het leerproces ICT Management Kortere terugverdientijd door het versnellen van het leerproces Leerprocessen en hun invloed op de kwaliteit van IT-servicemanagement SOLUTIONS THAT MATTER 1 Kortere terugverdientijd door

Nadere informatie

Operationeelrisicomodeleren

Operationeelrisicomodeleren Operationeelrisicomodeleren Eencombinatievanrisicomanagmenten procesmodelereninhetfinanciëledomein RolandSwinkels Juli2009 Plan van Aanpak Master Thesis Operationeel risico modelleren afstudeernummer:

Nadere informatie

We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren.

We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Managed Services Managed Services We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Met onze Security Management diensten bewaken we de continuïteit

Nadere informatie

Klachten en Meldingen. Managementdashboard

Klachten en Meldingen. Managementdashboard Welkom bij de demonstratie van het Welkom bij de systeem demonstratie van Welkom bij de systeem demonstratie van het Management Klachten en Meldingen System Managementdashboard Systemen van Inception Borgen

Nadere informatie

Ondersteuner ICT. Context. Doel

Ondersteuner ICT. Context. Doel Ondersteuner ICT Doel Registreren en (laten) oplossen van vragen en storingen van ICT-gebruikers binnen de richtlijnen van de afdeling, teneinde bij te dragen aan efficiënt en effectief functionerende

Nadere informatie

Beheersing van risico s en controls in ICT-ketens

Beheersing van risico s en controls in ICT-ketens Beheersing van risico s en controls in ICT-ketens Samenvatting Modellen voor beheersbaarheid en assurance zijn tot dusver intraorganisatorisch van aard. Doordat ICT zich niet beperkt tot de grenzen van

Nadere informatie

Magnutude 2012 Efficient BI. 18 september Joost de Ruyter van Steveninck

Magnutude 2012 Efficient BI. 18 september Joost de Ruyter van Steveninck Magnutude 2012 Efficient BI 18 september Joost de Ruyter van Steveninck 2 Inhoud Is BI nog niet efficiënt? Trends in BI Efficient BI: de trends in praktijk 3 Feedback van de gebruiker Informatie behoefte

Nadere informatie

Strong Controllership

Strong Controllership Strong Controllership Als ik gemekker wil, koop ik wel een geit Hoe verandert onze functie? Welke competenties zijn er nodig op ons vakgebied gezien de veranderende context? Wat betekent dit voor de inrichting

Nadere informatie

Gemeente Doetinchem. Clientserviceplan voor het boekjaar 2013

Gemeente Doetinchem. Clientserviceplan voor het boekjaar 2013 Clientserviceplan voor het boekjaar 2013 oktober 2013 Inhoud 1. Inleiding 4 2. Controleopdracht 4 2.1 Opdracht 4 2.2 Materialiteit en tolerantie 5 2.3 Fraude 6 3. Planning 6 3.1 Inleiding 6 3.2 Algemene

Nadere informatie

white paper 2 Selectie ehrm oplossing: Hoe kom ik tot de juiste keuze?

white paper 2 Selectie ehrm oplossing: Hoe kom ik tot de juiste keuze? white paper 2 Selectie ehrm oplossing: Hoe kom ik tot de juiste keuze? 1 Voorwoord 1. ehrm oplossing: impact van de keuze 2. Overzicht oplossingen 3. Project organisatie voor ehrm 4. Van ambitie tot keuze

Nadere informatie

Factsheet SECURITY SCANNING Managed Services

Factsheet SECURITY SCANNING Managed Services Factsheet SECURITY SCANNING Managed Services SECURITY SCANNING Managed Services We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Met onze Security

Nadere informatie

CASE STUDY JOANKNECHT & VAN ZELST DENKT VOORUIT

CASE STUDY JOANKNECHT & VAN ZELST DENKT VOORUIT Exact Online CASE STUDY JOANKNECHT & VAN ZELST DENKT VOORUIT www.exactonline.nl 2 EXACT ONLINE CASE STUDY ACCOUNTANCY GROEI DOOR PROACTIEF ADVIES Het gaat goed bij Joanknecht & Van Zelst: dit Eindhovens

Nadere informatie

De impact van XBRL op assurance

De impact van XBRL op assurance De impact van XBRL op assurance Het interne beheersingsproces voor de financiële rapportage drs. Jeroen Nekeman Frank Hakkennes MSc 28 maart, 2009 Vrije Universiteit Amsterdam Postdoctoraal EDP audit Begeleider

Nadere informatie

Medewerker administratieve processen en systemen

Medewerker administratieve processen en systemen processen en systemen Doel Voorbereiden, analyseren, ontwerpen, ontwikkelen, beheren en evalueren van procedures en inrichting van het administratieve proces en interne controles, rekening houdend met

Nadere informatie

Rapport over het werkprofiel van Software engineer (sr)

Rapport over het werkprofiel van Software engineer (sr) Rapport over het werkprofiel van Software engineer (sr) Identificatienummer: Publicatiedatum: 19 november 2015 Leeswijzer Dit rapport omschrijft het werkprofiel van 'Software engineer (sr)' zoals die door

Nadere informatie

ACS meerdaagse opleidingen i.s.m. Auditing.nl

ACS meerdaagse opleidingen i.s.m. Auditing.nl ACS meerdaagse opleidingen i.s.m. Auditing.nl ACS biedt in 2014 weer enkele actuele, interessante opleidingen aan op het eigen kantoor in de rustieke omgeving van Driebergen. Kernwoorden zijn kleinschaligheid,

Nadere informatie

BISL Business Information Services Library. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V.

BISL Business Information Services Library. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V. BISL Business Information Services Library Een introductie Algemene informatie voor medewerkers van SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 9 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2

Nadere informatie

In 3 stappen naar de juiste keuze voor marketing software

In 3 stappen naar de juiste keuze voor marketing software In 3 stappen naar de juiste keuze voor marketing software 4orange, 2014 Hogehilweg 24 1101 CD Amsterdam Zuidoost www.4orange.nl 2 Hoe kunnen de juiste keuzes voor marketing software gemaakt worden? In

Nadere informatie