IT in het MKB; Wat moet je er mee?

Transcriptie

1 Bruins, A.A.J., IT in het MKB: wat moet je er mee?, 2013 Erasmus Universiteit Rotterdam, Erasmus School of Accounting & Assurance (ESAA), Postinitiële opleiding IT-Auditing & Advisory IT in het MKB; Wat moet je er mee? Een studie naar de (on)mogelijkheden van IT-auditing in de MKB-jaarrekeningcontrole drs. A.A.J. (Anco) Bruins RA, studentnummer begeleider: dhr. J. (Jan) Pasmooij RE RA RO Zwijndrecht, 4 januari 2013 Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl 1

2 Bruins, A.A.J., IT in het MKB: wat moet je er mee?, 2013 Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl 2

3 Bruins, A.A.J., IT in het MKB: wat moet je er mee?, 2013 Erasmus Universiteit Rotterdam, Erasmus School of Accounting & Assurance (ESAA), Postinitiële opleiding IT-Auditing & Advisory Opsteller: drs. A.A.J. (Anco) Bruins RA, studentnummer Plaats & datum: Zwijndrecht, 4 januari 2013 Begeleider: dhr. J. (Jan) Pasmooij RE RA RO De inzet van IT-audit in de MKB-jaarrekeningcontrole In welke mate kan bij de MKB-jaarrekeningcontrole gebruik worden gemaakt Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl 3

5 Bruins, A.A.J., IT in het MKB: wat moet je er mee?, 2013 Voorwoord Met trots presenteer ik u hierbij het referaat dat ik heb geschreven ter afsluiting van de postinitiële opleiding IT-Auditing & Advisory aan Erasmus School of Accounting & Assurance. In dit referaat doe ik een onderzoek naar hoe IT-auditing ingezet kan worden in de MKB-controlepraktijk, en dan met name gericht op de jaarrekeningcontrole. Per augustus 2011 ben ik begonnen met de IT-Auditing & Advisory opleiding nadat ik in juli de opleiding tot registeraccountant met succes had afgerond. Gelijktijdig met het volgen van de opleiding ben ik controleleider bij ROZA Audit & Assurance B.V. zodat ik de opgedane theoretische kennis direct kan toepassen in de accountancypraktijk. Deze combinatie van werken en studeren bevalt mij erg goed. Allereerst wil ik mijn werkgever en collega s bedanken voor de geboden mogelijkheid tot het uitvoeren van het onderzoek in dit referaat, en de ondersteuning bij het schrijven van dit referaat. Doordat het onderzoek is uitgevoerd in mijn MKB-controlepraktijk en ik veel overleg heb gehad met de betrokkenen, om onder andere wensen en toepassingsmogelijkheden af te stemmen, is de relevantie van dit referaat voor de MKB-controlepraktijk erg groot. Verder wil ik ook de deskundigen bedanken die tijd en moeite hebben genomen voor een interview met mij, voor de gegeven feedback, tips en trucs en daarmee het benodigde duwtje in de goede richting gaven om tot een goed onderzoeksresultaat te komen. Last but not least wil ik mijn omgeving en met name mijn vrouw en kinderen bedanken voor de steun bij de combinatie van werken en studeren en het geduld dat zij hebben opgebracht toen ik mij ten behoeve van de studie en dit referaat menig uur heb moeten opsluiten in mijn studeerkamer. Anco Bruins, Zwijndrecht, 4 januari 2013 Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl 5

7 Bruins, A.A.J., IT in het MKB: wat moet je er mee?, 2013 Management samenvatting Het onderzoek is gericht op het verkrijgen van kennis en inzicht in de mate waarop tijdens de MKB-jaarrekeningcontrole van ROZA Audit & Assurance praktisch gebruik gemaakt kan worden van IT-audit. Op basis van bronnenonderzoek is in kaart gebracht welke verplichtingen en (on)mogelijkheden er vanuit de wetgeving respectievelijk theorie zijn om IT-audit te integreren in de jaarrekeningcontrole. Onderdeel van de jaarrekeningcontrole is het classificeren van de ICT-omgeving bij de gecontroleerde teneinde de controlestrategie te bepalen. Uit de controleklanten zijn zes klanten geselecteerd waarbij de ICT-omgeving is te classificeren als belangrijk en acht klanten die neigen naar belangrijk. Op basis van dossierstudie en interview met de verantwoordelijke controleleiders is in kaart gebracht wat de rol van de ICT-omgeving bij deze opdrachten is. De ICT-omgeving van de klanten blijkt volgens de casestudy in beperkte mate te worden betrokken in de controleaanpak. Het gevolg is dat de ICT-omgeving in hoofdlijnen wordt geïnventariseerd. Beschrijvingen met meer diepgang zijn op diverse manieren uitgewerkt door gebrek aan standaard sjablonen. De relaties tussen de jaarrekeningposten, processen en programma s zijn niet of deels beschreven. De risico-identificatie is hierdoor ook gering; van de 99 risico s hangt er één samen met de ICT-omgeving. Bevindingen uit de verplichte melding inzake de continuïteit en betrouwbaarheid van de geautomatiseerde gegevensverwerking zijn niet vertaald naar risico s. Bij alle klanten is een auditfile beschikbaar, maar bij de helft wordt hier geen gebruik van gemaakt. Bij opdrachten waar wel gebruik van bestandsanalyse wordt gemaakt blijkt dit gebruikt te zijn om risico s te mitigeren die bij andere opdrachten met een andere aanpak zijn gemitigeerd. Een eenduidige controleaanpak ontbreekt, maar door het delen van best-practices kan dit worden bereikt zodat controles efficiënter worden uitgevoerd. Vanuit de bevindingen uit het bronnenonderzoek en de casestudy kan de probleemstelling van het onderzoek in dit referaat, In welke mate kan bij de MKB-jaarrekeningcontrole gebruik worden gemaakt, als volgt worden beantwoord: deze mate is beperkt door het lage volwassenheidsniveau van deze ICT-omgeving. De mogelijkheden die er wel zijn worden in praktijk in geringe mate benut. Door meer gebruik te maken van bestandsanalyse en best practices / tips & trucs geregeld met elkaar te delen zijn in theorie efficiencyvoordelen bij het uitvoeren van de controleopdrachten te behalen. Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl 7

8 Bruins, A.A.J., IT in het MKB: wat moet je er mee?, 2013 Inhoudsopgave Voorwoord 5 Management samenvatting 7 1. Inleiding Aanleiding onderzoek Doelstelling onderzoek Probleemstelling onderzoek Deelvragen Oriënterend onderzoek Onderzoeksmethode Vakgebied Afbakening Opbouw referaat Definitie- en bronnenonderzoek IT-audit en MKB- jaarrekeningcontrole Inleiding Beantwoording deelvragen Wat is automatisering? Wat is IT-audit? Wat is het Midden- en KleinBedrijf (MKB)? Wat is jaarrekeningcontrole? Wat zijn de minimale wettelijk vereiste werkzaamheden met betrekking tot de automatiseringsomgeving van de gecontroleerde als onderdeel van de jaarrekeningcontrole? Beroepsorganisaties NBA (NIVRA & NOvAA) SRA NOREA TUACC AICPA ISACA Vakliteratuur De Accountant Accountancynieuws De IT-auditor (voorheen de EDP-auditor) Maandblad voor Accountancy en Bedrijfseconomie Compact ISACA Journal Oriënterende interviews met deskundigen Relationele-databases Boekenonderzoek NOvAA leidraad 12: De AA in een (kleinschalig) geautomatiseerde omgeving Starreveld: Bestuurlijke Informatieverzorging Van Praat en Suerink: Inleiding EDP-auditing Wettelijke eisen en theoretische (on)mogelijkheden Wettelijke verplichtingen Risicoanalyse Computer Assisted Audit Techniques Knelpunten in de praktijk en theoretische oplossingen Samenvatting en conclusie Casestudy IT-audit in de MKB-jaarrekeningcontrole Inleiding Gebruikte gegevens Klanten die worden geclassificeerd als Belangrijk Wettelijke verplichtingen 52 Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl 8

9 Bruins, A.A.J., IT in het MKB: wat moet je er mee?, Risicoanalyse Computer Assisted Audit Techniques Knelpunten in de praktijk en theoretische oplossingen Klanten die neigen naar de classificatie Belangrijk Wettelijke verplichtingen Risicoanalyse Computer Assisted Audit Techniques Knelpunten in de praktijk en theoretische oplossingen Samenvatting en conclusie Confrontatie casestudy met bronnenonderzoek IT-audit in de MKB-praktijk Inleiding Resultaten confrontatie Wettelijke verplichtingen Risicoanalyse Computer Assisted Audit Techniques Knelpunten in de praktijk en theoretische oplossingen Samenvatting en conclusie Conclusie Inleiding Doelstelling en onderzoeksvraag Uitkomsten casestudy Wettelijke verplichtingen Risicoanalyse Computer Assisted Audit Techniques Knelpunten in de praktijk en theoretische oplossingen Conclusie en aanbevelingen Bijdrage van het onderzoek Kanttekeningen en discussie Aanbevelingen voor vervolgonderzoek 68 Literatuurlijst 69 Bijlage 1 De vier controlestrategieën 71 Bijlage 2 Interviews met deskundigen 73 Bijlage 3 Overzicht klanten 79 Bijlage 4 Checklist automatisering 81 Bijlage 5 Klanten die worden geclassificeerd als Belangrijk 87 B B B B B B Bijlage 6 Klanten die neigen naar de classificatie Belangrijk 101 B B B B B B B B Bijlage 7 Verklaring van Authenticiteit 115 Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl 9

11 Bruins, A.A.J., IT in het MKB: wat moet je er mee?, Inleiding Dit eerste hoofdstuk van dit referaat betreft de inleiding tot het onderzoek. In paragraaf 1 wordt de aanleiding tot het doen van het onderzoek en het schrijven van dit referaat besproken, in deze paragraaf wordt tevens een voorzet gedaan naar de doelstelling van het onderzoek, in paragraaf 2, en de probleemstelling welke in paragraaf 3 wordt besproken. De deelvragen om tot een antwoord op de probleemstelling te komen staan in paragraaf 4. In paragraaf 5 van dit hoofdstuk wordt een oriënterend onderzoek uiteen gezet met als doel richting te geven aan het onderzoek en in paragraaf 6 wordt de onderzoeksmethode kort uiteengezet. Het vakgebied waarop het onderwerp van het onderzoek gestoeld is en de afbakening bij het onderzoek komen in paragraaf 7 respectievelijke 8 naar voren. Paragraaf 9 is een uiteenzetting van de hoofdstukken in dit referaat. 1.1 Aanleiding onderzoek De schrijver van dit referaat is werkzaam bij een accountantsorganisatie waarvan de klanten zijn in te delen in het Midden- en Kleinbedrijf (MKB). In de praktijk is gebleken dat bij met name bedrijven die net op de grens van controleplicht zitten of waarvan de bedrijfsvoering in beperkte mate afhankelijk is van de ICT-omgeving en het volwassenheidsniveau van deze ICT-omgeving laag is. Dit uit zich doordat het beheer van de automatiseringsomgeving (bijna) geheel is uitbesteed aan de computerboer op de hoek of doordat het IT-beleid ad-hoc wordt aangestuurd. Anderzijds wordt door de wetgever, toezichthouders, beroepsorganisaties en dergelijke steeds meer belang gehecht aan de geautomatiseerde gegevensverwerking bij bedrijven. Het SRA (Samenwerkende Registeraccountants en Accountants-Administratieconsulenten) schrijft bijvoorbeeld in haar praktijkhandleiding SRA controleaanpak en automatisering : In het algemeen leidt voortschrijdende automatisering tot een toename van de kwantiteit, kwaliteit en beschikbaarheid van informatie in een organisatie. Dit geldt ook voor mkb-ondernemingen. Voor een deel heeft deze informatie een relatie met de jaarrekening. In de mkb-praktijk wordt er nog vaak voor gekozen om om de computer heen te controleren, ervan uitgaande dat controlezekerheid vooral ontleend wordt aan tastbaar controlebewijsmateriaal (zoals bonnen, bevestigingen en facturen) en de fysieke registratie daarvan (uitdraaien, rapporten en verslagen). (SRA, 2012) In de accountancy wordt bij het vakgebied Externe Verslaggeving vaak gediscussieerd over Principle Based versus Rule Based weten regelgeving, wat wordt uitgelegd als landkaart & Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl 11

12 Bruins, A.A.J., IT in het MKB: wat moet je er mee?, 2013 kompas versus geschreven routebeschrijving waarbij je verdwaald wanneer je er vanaf wijkt. Maar voor de MKB-accountant die, in veel gevallen uit persoonlijke interesse, IT-audit wil inzetten bij de jaarrekeningcontrole voelt dit soms als kompas zonder landkaart: je weet waar je ongeveer wilt zijn maar je hebt de grootste moeite er te komen want je wordt voor je gevoel geconfronteerd met de grootste bergen en diepste dalen. De MKB-accountant die bij zijn jaarrekeningcontrole actief gebruik wil maken van de automatisering kan bijvoorbeeld zo n berg opgeworpen zien worden door collega s die geen zin of interesse hebben in deze werkwijze, (onbekend maakt onbemind), en op oude voet langs de computer willen controleren. Een dal in zo n situatie kan zijn dat de accountant in kwestie geen goed weerwoord heeft en wordt onderworpen aan de dictatuur van de meerderheid. Een mooi weerwoord kan worden ontleent aan het proefschrift van Fijneman uit 1999 over de rol van ITauditing in de accountantsopleiding: De accountant dient, evenals een huisarts, op tal van terreinen over deskundigheid te beschikken. Daarbij kan het onmogelijk zo zijn dat alle onderwerpen (fiscaal, milieu, ICT, etc.) integraal en diepgaand worden behandeld in het opleidingsprogramma Accountancy. Repliek gegeven door Fijneman in zijn proefschrift: Het onderwerp ICT kan niet zonder meer gelijk worden gesteld aan fiscale onderwerpen, milieuaspecten, etc. ICT blijkt op een fundamentele wijze zich te verankeren in de uitvoering en beheersing van de primaire en ondersteunende bedrijfsprocessen. Indien de accountant bij de strategiefase voor het vaststellen van zijn controleaanpak kiest voor een jaarrekeningcontroleaanpak, hoofdzakelijk gebaseerd op en gebruikmakend van het stelsel van administratieve organisatie en interne controle, is daarmee bij veel organisaties direct gekozen voor het geïntegreerd steunen op diverse vormen van geprogrammeerde controles. Dit vereist dan dat de accountant geëquipeerd is op het gebied van ICT, ook als hij als opdrachtgever optreedt voor gespecialiseerde EDP-auditors. Helaas moet worden geconstateerd dat IT-auditing tegenwoordig nog steeds onderbelicht wordt bij de accountancyopleiding (Schellevis, 2010). Dit zou één van de oorzaken kunnen zijn dat accountants onvoldoende in staat blijken om een gedegen (risico-)inschatting met betrekking tot de impact van de ICT-omgeving bij de klant op de jaarrekeningcontrole te kunnen maken (Vaassen, 2003). Resumerend kan worden gesteld dat er een groeiende behoefte is aan een landkaart aan de hand waarvan de accountant IT-audit kan inzetten bij de MKB-jaarrekeningcontrole. De auteur van dit referaat wil niet de hoop wekken dat het onderzoek tot deze landkaart leidt, maar er wordt wel een goede poging gedaan deze blanco landkaart een bescheiden stukje in te tekenen. Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl 12

13 Bruins, A.A.J., IT in het MKB: wat moet je er mee?, Doelstelling onderzoek Het doel van dit onderzoek is dat meer inzicht ontstaat in de mogelijkheden om IT-Audit technieken op een eenvoudige en praktische wijze in te zetten als instrument in de MKB-jaarrekeningcontrole, bijvoorbeeld door te steunen op General IT-Controls en Application- Controls of door het inzetten van bestandsanalyse of andere vormen van Computer Assisted Audit Technique s (CAAT s), teneinde de jaarrekeningcontrole efficiënter en/of effectiever uit te voeren. Kortom, uit dit onderzoek moet duidelijk worden of, en zo ja hoe, door de inzet van IT- Auditing de prijs/kwaliteitverhouding van MKB-jaarrekeningcontrole kan verbeteren. 1.3 Probleemstelling onderzoek Teneinde het onderzoeksdoel te verwezenlijken is een onderzoeksvraag geformuleerd. Aan de hand van de volgende probleemstelling wordt het onderzoek ingericht: In welke mate kan bij de MKB-jaarrekeningcontrole gebruik worden gemaakt De hypothese luidt dat voor de MKB-accountant slechts in geringe mate praktische handvatten aanwezig zijn om IT-auditing in te zetten bij MKB-jaarrekeningcontrole. Tijdens de accountancyopleiding wordt nog te weinig aandacht besteed aan IT-auditing (Schellevis, 2010), dit impliceert dat er ook in de wetenschap nog weinig aandacht voor is. Kennis die binnen accountantskantoren wordt opgedaan wordt naar indruk van de geïnterviewden, zie bijlage 2, niet gedeeld maar de eigenaars proberen deze kennis te vermarkten. MKB-accountants die dus wel met IT-audit in de MKB-jaarrekeningcontrole aan de slag willen zien zich dus gehinderd door een gebrek aan kennis, of moeten deze kennis inkopen, waardoor controle om de computer heen nog steeds een veel gebruikte controlestrategie blijft en dus geen bestpractices, tips en trucs worden verzameld en uitgewisseld, al dan niet binnen de eigen kantooromgeving. 1.4 Deelvragen Teneinde de in paragraaf 3 toegelichte probleemstelling te verduidelijken zijn de volgende deelvragen geformuleerd: Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl 13

14 Bruins, A.A.J., IT in het MKB: wat moet je er mee?, Wat is automatisering? 2. Wat is IT-audit? 3. Wat is het Midden- en KleinBedrijf (MKB)? 4. Wat is jaarrekeningcontrole? 5. Wat zijn de minimale wettelijk vereiste werkzaamheden met betrekking tot de automatiseringsomgeving van de gecontroleerde als onderdeel van de jaarrekeningcontrole? In hoofdstuk 2, paragraaf 2 wordt een antwoord gegeven op de geformuleerde deelvragen. 1.5 Oriënterend onderzoek Ten behoeve van dit referaat heeft de schrijver een oriënteerde onderzoek uitgevoerd met als doel richting te geven aan het onderzoek in dit referaat. Dit oriënterende onderzoek behelsde onder andere kennis nemen van de referaten die zijn geschreven door de heren Hoeben en Van Dissel: IT Auditing voor de jaarrekeningcontrole, een gestructureerde aanpak (Hoeben, 2012), Lansbergen: IT-auditing tijdens de jaarrekeningcontrole 2009 (Lansbergen, 2009) en Verbiest: CAATs succesvol toepassen (Verbiest, 2010). Resumerend bleek uit deze onderzoeken dat er geen concrete theoretische handvatten voor de ondersteuning van IT audit in de MKB controlepraktijk beschikbaar zijn. Het inzetten van Computer Assisted Audit Techniques bijvoorbeeld vraagt volgens de uitkomsten van het onderzoek van Verbiest een behoorlijke investering in de communicatie tussen de accountant en de IT-auditor, iets dat door het onderzoek van Hoeben en Van Dissel ook wordt onderschreven, in training van accountants in CAAT s en in tijd om ervaring op te doen. Naast de reeds genoemde uitdagingen in de samenwerking tussen de accountant en de IT-auditor bleek uit het onderzoek van Lansbergen tevens dat vanuit de vakliteratuur en de beroepsorganisaties weinig handvatten beschikbaar waren, maar dat de geïnterviewde accountants wel degelijk voordelen in ITaudit zagen. In de hoop dat deze voordelen een trigger zouden zijn geweest voor beroepsorganisaties om materiaal te ontwikkelen is door de schrijver van dit referaat contact gezocht met de heer Lansbergen om een oriënterend interview te houden teneinde tips en trucs te verzamelen om tot een gedegen onderzoeksontwerp te komen. Hieruit kwamen toelichtingen en aanbevelingen naar voren die hieronder zijn opgesomd: Telefonisch overleg Niels Lansbergen (Astrium accountants), 21 augustus 2012 De heer Lansbergen geeft aan dat hij de indruk heeft dat - Ieder kantoor zijn eigen stramien heeft, maar dat deze niet echt openbaar zijn; - SRA speelt nauwelijks een rol in het IT-audit landschap; Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl 14

15 Bruins, A.A.J., IT in het MKB: wat moet je er mee?, De MKB moet het opnemen tegen de big 4 / big 10 kantoren. Verder heeft de heer Lansbergen de volgende aanbevelingen: - De checklist met CAAT s aan de hand waarvan de inzet van IT-audit binnen ROZA wordt getoetst tegen laten lezen; - Contact opnemen met Full Finance; - Vanuit praktijkcasussen tot een model komen. De aanbevelingen van de heer Lansbergen komen in hoofdstuk 4 terug. 1.6 Onderzoeksmethode Het onderzoek werd gestart met een oriënterend onderzoek, zie paragraaf 5 van dit hoofdstuk, op basis waarvan de onderzoeksrichting nader werd bepaald. Ten eerste werd op basis van dit oriënterend onderzoek gekozen voor een brehet bronnenonderzoek waarin de wettelijke verplichtingen én de mogelijkheden van IT-audit in de MKBjaarrekeningcontrole in kaart werden gebracht. Vervolgens werd een casestudy naar de (on)mogelijkheden om IT-audit in te zetten ter ondersteuning van de jaarrekeningcontrole uitgevoerd. De data voor dit is geselecteerd uit de ongeveer 40 grootste klanten van ROZA Audit & Assurance qua controlebudget, door een selectie te maken op de classificatie van de ICT-omgeving belangrijk of neigt naar belangrijk. Hiervan zijn 6, respectievelijk 8 bedrijven geselecteerd. In hoofdstuk 3 wordt de onderzochte populatie nader toegelicht. Door de dossiers van de gekozen bedrijven te bestuderen en interviews te houden met de verantwoordelijke controleleiders werd in kaart gebracht in welke mate de resultaten uit het bronnenonderzoek bij de MKB-jaarrekeningcontrole ingezet zouden kunnen worden en op welke problemen werd gestuit. 1.7 Vakgebied Het onderzoek is gericht op het verkrijgen van kennis en inzicht in de mate waarop het mogelijk is IT-audit te integreren in de MKB-jaarrekeningcontrole. Het onderwerp is gebaseerd op de vakgebieden Financial-Auditing, dat zich, onder andere, richt op de verschillende methoden van controle van, specifiek voor dit referaat, de jaarrekening, en IT-Audit, een vakgebied dat zich onder andere bezig houdt met het beoordelen van de automatisering van de organisatie en de organisatie van de automatisering. Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl 15

16 Bruins, A.A.J., IT in het MKB: wat moet je er mee?, 2013 Het onderzoek richt zich specifiek op de klanten van ROZA Audit & Assurance BV welke verplicht of vrijwillig hun jaarrekening laten controleren. ROZA Audit & Assurance BV is een accountantsorganisatie dat zich richt op het midden- en kleinbedrijf (MKB). 1.8 Afbakening Het in dit referaat behandelde onderzoek kent afbakeningen. In het onderzoek worden alleen bedrijven betrokken die hun jaarrekening over boekjaar 2011 lieten controleren door ROZA Audit & Assurance BV. Deze bedrijven zijn allen Nederlandse MKBondernemingen, maar kunnen dochter zijn van een (buitenlandse) moeder of deelnemingen in het buitenland hebben. Qua rechtsvorm betreffen de onderzochte ondernemingen Besloten Vennootschappen, Commanditaire Vennootschappen of Stichtingen. De onderzochte ondernemingen houden zich voornamelijk bezig met productie, handel en dienstverlening, maar zijn niet actief in de financiële sector, dat wil zeggen banken, verzekeraar, beleggers, kredietverstrekker et cetera of andere sectoren die zich kenmerken door massale gegevensverwerking, Er zijn geen grenzen gesteld voor wat betreft de omzet, het balanstotaal, het aantal medewerkers en dergelijke. 1.9 Opbouw referaat In hoofdstuk 2 wordt middels een definitie- en bronnenonderzoek antwoord verkregen op de geformuleerde deelvragen en wordt onderzoek gedaan naar IT-audit in combinatie met jaarrekeningcontrole. Op basis van de resultaten van het bronnenonderzoek wordt de casestudy ingericht, de opzet van de casestudy is te vinden in hoofdstuk 3. In hoofdstuk 4 worden de bevindingen en conclusies uit de casestudy besproken. Op basis van het theoretisch kader uit hoofdstuk 2 en de bevindingen uit de casestudy wordt in hoofdstuk 5 een conclusie bij de probleemstelling getrokken. Tevens worden in hoofdstuk 5 de toegevoegde waarde en de beperkingen van het onderzoek en aanbevelingen voor vervolgonderzoek besproken. Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl 16

17 Bruins, A.A.J., IT in het MKB: wat moet je er mee?, Definitie- en bronnenonderzoek ITaudit en MKB- jaarrekeningcontrole 2.1 Inleiding Dit hoofdstuk heeft tot doel het in kaart brengen welke verplichtingen en (on)mogelijkheden er vanuit de wetgeving respectievelijk theorie zijn om IT-audit te integreren in de jaarrekeningcontrole. Deze verplichtingen en onmogelijkheden worden inzichtelijk gemaakt aan de hand van een studie in de volgende paragrafen in dit hoofdstuk. De opbouw van deze studie is ingegeven door de bronnen van informatie die aan de accountant die met IT-audit aan de gang wil ter beschikking staan. Onder deze bronnen vallen de beroepsorganisaties, vakliteratuur en dergelijke. In paragraaf 2 wordt middels definitiestudie antwoorden op de deelvragen zoals opgesomd in hoofdstuk 1 paragraaf 6 geformuleerd, waarna in paragraaf 3 wordt ingegaan op de modellen die vanuit de beroepsorganisaties beschikbaar zijn. Paragraaf 4 behandelt de relevante vakliteratuur en de informatie die daarin is gepubliceerd. Paragraaf 5 gaat dieper in op de materie: hierin zijn interviews met deskundigen beknopt uitgewerkt en aanvullend wordt in paragraaf 6 kort iets verteld over SQL-databases. In paragraaf 7 wordt een boekenonderzoek gedaan op basis van de tips en trucs die door de geïnterviewde deskundigen, bijlage 2, zijn gegeven. In de 8e paragraaf worden kort de verplichtingen en (on)mogelijkheden zoals op te maken uit het bronnenonderzoek in paragrafen 2 tot en met 7 beschreven. Ter afsluiting wordt in paragraaf 9 het hoofdstuk samengevat en een conclusie getrokken. Een kort en bondig antwoord op de deelvragen wordt in hoofdstuk 5, paragraaf 3 gegeven. 2.2 Beantwoording deelvragen Centraal in het onderzoek in dit referaat staat de probleemstelling: In welke mate kan bij de MKB-jaarrekeningcontrole gebruik worden gemaakt Teneinde deze probleemstelling te verduidelijken zijn in hoofdstuk 1 paragraaf 6 een viertal deelvragen geformuleerd. In deze paragraaf wordt door het uitvoeren van een definitiestudie Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl 17

18 Bruins, A.A.J., IT in het MKB: wat moet je er mee?, 2013 een antwoord op de geformuleerde deelvragen gezocht. In hoofdstuk 5, het afsluitende hoofdstuk, wordt in de derde paragraaf een kort antwoord op de deelvragen gegeven Wat is automatisering? Automatisering blijkt een woord waarvan in de geraadpleegde relevante literatuur geen definitie meer wordt opgenomen. Dit duidt erop dat het woord inmiddels is ingeburgerd. Desondanks blijkt de definitie nog niet geheel eenduidig: het Van Dale woordenboek geeft aan dat de betekenis van automatisering luidt het overstappen op computers (Van Dale, 2012). Op Wikipedia is de definitie breder: Automatisering is het vervangen van menselijke arbeid door machines of computers en computerprogramma's. (Wikipedia automatisering, 2012). In beide definities wordt, onder andere, op de inzet van computers gedoeld. De wetenschap die samenhangt met deze inzet van computers wordt computerwetenschappen of informatica, de wetenschap die zich bezighoudt met de beheersing van complexiteit, genoemd. Het is hierbij belangrijk onderscheid te maken tussen het bouwen van de hardware; computer engineering, en het gebruik maken van deze hardware; information technology Wat is IT-audit? IT staat voor Information Technology of vrij vertaald Informatie Technologie. Binnen de IT- Auditing & Advisory opleiding wordt IT-Auditing gedefinieerd als het vakgebied dat zich bezighoudt met het beoordelen van c.q. het adviseren over het verantwoord toepassen van informatie (en communicatie) technologie door organisaties. Jan van Praat en Hans Suerink definiëren EDP-auditing, waarbij EDP staat voor Electronic Data Processing of vrij vertaald Elektronische Data Verwerking, in het boek Inleiding EDP-auditing als volgt: Het vakgebied dat zich bezighoudt met de beoordeling en advisering bij objecten van de informatievoorziening in een omgeving waar gebruik wordt gemaakt van automatisering. Het doel hiervan is kwalitatief en/of kwantitatief een bijdrage te leveren aan een adequate organisatie van de informatievoorziening, waarbij de doelstellingen van de opdrachtgever gerealiseerd worden. (Praat, 2008) Op wikipedia is de volgende beschrijving van IT-audit te vinden IT-auditing is het vakgebied dat zich bezighoudt met het beoordelen van de automatisering van de organisatie en de organisatie van de automatisering. IT-auditing is een specialisme binnen het auditing-vakgebied. Het specialisme wordt meer en meer gevraagd bij uitvoering van accountantscontroles. (Wikipedia IT-Audit, 2012). Opmerkelijk is dat Praat in de definitie aangeeft wat het doel van IT-audit is en dit doel beperkt zich tot de automatisering met betrekking tot de informatievoorziening. Op Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl 18

19 Bruins, A.A.J., IT in het MKB: wat moet je er mee?, 2013 wikipedia wordt de definitie breder getrokken en richt deze zich op de automatisering binnen een organisatie, wat uitgelegd kan worden als de technische kant, maar ook op de organisatie van de automatisering, wat uitgelegd kan worden als de bestuurlijke kant. In het kader van de ondersteuning van de jaarrekeningcontrole zal met name de automatisering van de organisatie belangrijk zijn. Bevindingen tijdens de jaarrekeningcontrole met betrekking tot deze automatisering kunnen leiden tot advies over de organisatie van de automatisering, maar dit is niet het primaire doel van de jaarrekeningcontrole Wat is het Midden- en KleinBedrijf (MKB)? De Nederlandse wetgever heeft in de artikelen 396 lid 1 BW2 en 397 lid 1 BW2 drempels gesteld om categorieën rechtspersonen te onderscheiden. De indeling naar deze categorieën is van belang voor de relevante weten regelgeving. Voor onder andere ter Nederlandse beurse genoteerde ondernemingen en bepaalde beleggingsinstellingen gelden deze artikelen niet. De raad van de Jaarverslaggeving definieert in navolging daarop het midden- en kleinbedrijf als ondernemingen met een balanstotaal lager dan 17,5 miljoen, minder dan 35 miljoen jaaromzet en/of minder dan 250 personeelsleden (Raad voor de Jaarverslaggeving, 2011). Wanneer twee van deze drempels twee jaar op rij worden overschreden wordt niet meer gesproken van het midden- en kleinbedrijf, maar wordt gesproken over het grootbedrijf. Deze drempels laten zich door de volgende tabel, tabel 2.2.3a drempels bij classificatie van een onderneming volgens de Nederlandse wetgever, verduidelijken: Tabel 2.2.3a, drempels bij classificatie van een onderneming volgens de Nederlandse wetgever Kleine rechtspersoon Middelgrote rechtspersoon Grote rechtspersoon de waarde van de activa volgens de balans met toelichting, bedraagt, op de grondslag van , ,- > ,- verkrijgings- en vervaardigingsprijs de netto-omzet over het boekjaar , ,- > ,- het gemiddeld aantal werknemers over het boekjaar > 250 fte Wetsartikel 396 lid 1 BW lid 1 BW lid 1 BW lid 1 BW2 397 lid 1 BW2 397 lid 1 BW2 De Europese Commissie definieert het midden- en kleinbedrijf als ondernemingen met minder dan 250 personeelsleden en minder dan 50 miljoen jaaromzet of een balanstotaal lager dan 43 miljoen (European Commission, 2003). De drempels die de Europese Commissie hanteert Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl 19

20 Bruins, A.A.J., IT in het MKB: wat moet je er mee?, 2013 zijn uiteengezet in Tabel 2.2.3b, drempels bij classificatie van een onderneming volgens de Europese Commissie. Tabel 2.2.3b, drempels bij classificatie van een onderneming volgens de Europese Commissie Micro onderneming Kleine onderneming Middelgrote onderneming Grote onderneming de waarde van de activa volgens de balans met , , ,- > ,- toelichting, bedraagt de netto-omzet over het boekjaar , , ,- > ,- het gemiddeld aantal werknemers over het boekjaar > 250 fte Een groot verschil bij het hanteren van de drempels die door de Raad van de Jaarverslaggeving zijn aangegeven en de drempels door de Europese Commissie worden gesteld betreft het aantal medewerkers. Daar waar bij de Raad van de Jaarverslaggeving de classificatie als klein, midden of groot wordt bepaald door het wel of niet overschrijden van twee van de drie drempels geldt de drempel van het aantal medewerkers bij de Europese Commissie als drempel waaraan voldaan moet worden, deze is dus niet uitwisselbaar met de drempel van de omzet of de drempel van het balanstotaal. Het Centraal Bureau voor de Statistiek lijkt de drempels inzake het balanstotaal en de nettoomzet niet mee te nemen om te bepalen of sprake is van MKB: Tot het MKB worden alle bedrijven gerekend met minder dan 250 werkzame personen. Tot het kleinbedrijf behoren de bedrijven met maximaal 49 werkzame personen. In dit artikel worden daartoe ook de zelfstandigen gerekend. Tot het middenbedrijf behoren de bedrijven met werkzame personen. Bedrijven met 250 of meer werkzame personen vormen het grootbedrijf. (CBS, 2011) In de nijverheid en de commerciële dienstverlening behoort ongeveer driekwart van de bedrijven in Nederland tot het MKB. Bij deze MKB-bedrijven zijn 3,4 miljoen werkzame personen, dit is de helft van de totale werkgelegenheid in Nederland. In 2008 bedroeg de export van goederen van MKB bedrijven 157 miljard, dit is 42% van de totale Nederlandse export, en de import bedroeg 151 miljard, wat 45% van de totale import is. (CBS, 2011) Het belang van het MKB voor Nederland is dus groot. Echter omdat de bedrijven zelf niet groot zijn blijkt vanuit de interviews met de deskundigen in bijlage 2 en uit de praktijkervaring van de auteur van dit referaat een aantal kenmerken voor de ICT-organisatie bij MKB-bedrijven: - Het IT-beheer is veelal niet in eigen huis, maar uitbesteed aan een consultant die bijvoorbeeld een dagdeel per week op het bedrijf aanwezig is.; Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl 20

21 Bruins, A.A.J., IT in het MKB: wat moet je er mee?, Het ontbreekt vaak aan ICT beleid wat zich uit doordat IT General Controls niet op orde zijn of doordat een (actuele) beschrijving van de ICT-omgeving ontbreekt; - De softwareapplicaties zijn veelal standaard pakketten ( van de plank ) en zijn niet goed ingeregeld en sluiten daardoor niet aan op de informatiebehoefte van de gebruikers, deze hebben bijvoorbeeld te veel rechten; - Van het middelgroot MKB maakt ongeveer 93% gebruik van een windowsomgeving met daaronder een Structured Query Language (SQL)-database; - De bedrijfsprocessen en de softwareapplicaties sluiten niet volledig op elkaar aan waardoor een deel van de processen handmatig plaatsvinden, maar door onbekendheid met het systeem vinden ook handmatige werkzaamheden plaats die door de softwareapplicatie gedaan kunnen worden zoals het invullen van de crediteuren-stamgegevens bij het klaarzetten van betalingsopdrachten; Resumerend is de ICT-omgeving bij het MKB minder complex dan bij het grootbedrijf, maar heeft ook een lager volwassenheidsniveau. Het onderzoek in dit referaat wordt daarom geplaatst in deze setting Wat is jaarrekeningcontrole? Op basis van artikel 393 lid 1 van het Burgerlijk Wetboek 2 dient een rechtspersoon een opdracht tot onderzoek van de jaarrekening aan een Registeraccountant of aan een Accountant-Administratieconsulent te verlenen. In paragraaf 2.4 van dit hoofdstuk zijn de drempels om ondernemingen te categoriseren van de Nederlandse wetgever besproken. Op basis van artikel 396 lid 7 van het Burgerlijk Wetboek 2 geldt een vrijstelling tot onderzoek voor rechtspersonen die worden geclassificeerd als klein. De accountant onderzoekt of de jaarrekening het inzicht geeft zoals vereist in artikel 362 en verder van het Burgerlijk Wetboek 2. De richtlijnen in deze artikelen worden als summier beschouwd, maar zijn door de Raad van de Jaarverslaggeving nader uitgewerkt in de Richtlijnen voor de Jaarverslaggeving, ook wel Dutch GAAP genoemd, waarbij GAAP staat voor Generally Accepted Accounting Principles ofwel Algemeen Geaccepteerde Grondslagen voor Financiële Verslaggeving. Naast de, op BW Titel 9 gebaseerde, Richtlijnen voor de Jaarverslaggeving is het ook toegestaan de jaarrekening volgens de door de Europese Commissie goedgekeurde standaarden van de International Accounting Standards Board, ofwel nagenoeg IFRS of International Financial Reporting Standards, op te stellen. De accountant voert een onderzoek cq controle uit op de jaarrekening om zich een oordeel te vormen of deze jaarrekening een getrouw beeld geeft van de werkelijkheid. De uitslag van dit onderzoek wordt weergegeven in een controleverklaring, de strekking van deze verklaring kan zijn goedkeurend, met beperking, afkeurend of oordeelonthouding. Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl 21

22 Bruins, A.A.J., IT in het MKB: wat moet je er mee?, Wat zijn de minimale wettelijk vereiste werkzaamheden met betrekking tot de automatiseringsomgeving van de gecontroleerde als onderdeel van de jaarrekeningcontrole? Artikel 393 lid 4 van het Burgerlijk Wetboek 2 luidt: De accountant brengt omtrent zijn onderzoek verslag uit aan de raad van commissarissen en aan het bestuur. Hij maakt daarbij ten minste melding van zijn bevindingen met betrekking tot de betrouwbaarheid en continuïteit van de geautomatiseerde gegevensverwerking. De Nederlandse Beroepsorganisatie van Accountants maakt in de Audit Alerts 1 en 2 daarbij duidelijk dat het gaat om opmerkingen die de accountant heeft vanuit normale uitoefening van zijn taak in het kader van de controle van de jaarrekening, en in de situaties dat er geen bevindingen zijn, of dat de accountant de geautomatiseerde gegevensverwerking niet in de controle betrekt, dient de accountant hiervan ook melding te maken (NBA, 1993). Conform de Nadere Voorschriften Controle en Overige Standaarden / Standaard 315 dient de accountant kennis te verkrijgen over de interne beheersingsactiviteiten die van belang zijn voor de controle van de jaarrekening, ongeacht de omvang van de te controleren entiteit. Wat betreft de IT omgeving wordt in de standaard gesproken van kennis van het informatiesysteem, met inbegrip van de daarop betrekking hebbende bedrijfsprocessen, voor zover van belang voor de financiële verslaggeving en de communicatie. Dit is dus niet de gehele geautomatiseerde gegevensverwerking zoals uit artikel 393 lid 4 opgemaakt zou kunnen worden. In de Standaard 230 (Documentatie) is ten aanzien van dossiervastleggingen voor controles bij kleinere entiteiten aangegeven dat deze proportioneel mogen zijn. Concreet betekent dit dat in veel gevallen kan worden volstaan met korte, eenvoudige en betekenisvolle vastleggingen met betrekking tot de automatiseringsomgeving. De opbouw van de informatie in het dossier kan er volgens het SRA als volgt uitzien: Beschrijving op hoofdlijnen van de systemen; Beschrijving van de voor de controle van de jaarrekening relevante relatie tussen de jaarrekeningposten, processen en systemen; Beschrijving van de voor de controle van de jaarrekening relevante key controls (de key controls zijn veelal onderdeel van processen en kunnen in het kader van de procesbeschrijving worden geïdentificeerd en nader worden uitgewerkt); en Waar mogelijk en relevant voor de jaarrekeningcontrole de relatie tussen de key controls en de beweringen op het niveau van de jaarrekeningposten. Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl 22

23 Bruins, A.A.J., IT in het MKB: wat moet je er mee?, Beroepsorganisaties Met als doel praktische handvatten te verkrijgen die de accountant kan gebruiken bij de toepassing van IT-audit bij de jaarrekeningcontrole is door de auteur van dit referaat onderzoek gedaan bij verschillende nationale en internationale beroepsorganisaties. Hierna wordt per beroepsorganisatie behandeld wat voor de accountant op het gebied van IT-audit beschikbaar is NBA (NIVRA & NOvAA) De website van de Nederlandse Beroepsorganisatie van Accountants, heeft geen informatie opgeleverd. Ook op het besloten ledendeel was geen relevante informatie te vinden. Van de publicaties van het Koninklijk Nederlands Instituut voor Registeraccountants en de Nederlandse Orde van Accountants-Administratieconsulenten is leidraad 12 De AA in een (kleinschalige) geautomatiseerde omgeving relevant voor het onderzoek beschreven in dit referaat. Deze leidraad is in paragraaf 8.3 van dit hoofdstuk nader uitgewerkt SRA Het algemene deel van de website van de Samenwerkende Registeraccountants en Accountants-Administratieconsulenten, bevatte geen relevante informatie. Het besloten ledendeel gaf toegang tot relevante cursussen en dergelijke. Tevens is de SRA Praktijkhandreiking SRA controleaanpak en automatisering uit februari 2010 daar te vinden. Deze praktijkhandreiking is onder andere gebaseerd op NOvAA leidraad 12 en gaat in op de betekenis van de geautomatiseerde gegevensverwerking voor de accountantscontrole volgens de SRA Controleaanpak. Binnen de SRA Controleaanpak wordt onderscheid gemaakt tussen een viertal controlestrategieën: gegevensgericht, proceduregericht, informatiesysteemgericht en ondernemingsgericht. Het verschil tussen de controlestrategieën is de mate waarin de accountant kan steunen op de bij de gecontroleerde aanwezige interne beheersing, waarbij gegevensgericht impliceert dat minimaal gesteund kan worden op de interne beheersing dus veel gegevensgericht werkzaamheden uitgevoerd moeten worden om voldoende zekerheid bij de verantwoording te krijgen, en bij ondernemingsgericht zou in hoge mate gesteund kunnen worden op de aanwezige interne beheersing wat impliceert dat de accountant met minimale gegevensgerichte werkzaamheden kan volstaan. Voor een nadere toelichting op de verschillende controlestrategieën in de SRA controleaanpak zie bijlage 1. Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl 23

24 Bruins, A.A.J., IT in het MKB: wat moet je er mee?, 2013 Met behulp van een korte vragenlijst, zie bijlage 4, wordt de bij de gecontroleerde aanwezige ICT-omgeving geclassificeerd als zijnde beperkt, belangrijk of overheersend teneinde een initiële keuze voor een controlestrategie te maken. Hoe volwassener de ICT-omgeving, hoe hoger de classificatie en hoe hoger het niveau waarop de accountant de beheersingsprocessen in kaart dient te brengen. Deze niveau s betreffen bij beperkt de continuïteit en betrouwbaarheid en testen en acceptatie, bij belangrijk wordt dit aangevuld met service level beheer en leverancierskeuze en in de situatie dat de ICT-omgeving wordt geclassificeerd als overheersend wordt naast de genoemde niveau s ook strategie en beleid in kaart gebracht. Vervolgens gaat de praktijkhandreiking in op de situatie dat de ICT-omgeving voor de bedrijfsvoering van de entiteit belangrijk is: er worden voorbeelden van business risks en beheersingsmaatregelen genoemd. Deze beheersingsmaatregelen zijn te verdelen in de categorieën functiescheidingen in de vorm van autorisaties en competenties, ICT General Controls en ICT Application- of ProcessControls. De werkzaamheden die de accountant per categorie zou moeten verrichten worden aansluitend in de praktijkhandreiking behandeld. Wanneer de accountant heeft vastgesteld dat de beheersingsmaatregelen afdoende werken kan hij bij zijn verdere werkzaamheden steunen op deze beheersingsmaatregelen. Opgemerkt wordt dat in veel gevallen ICT-deskundigheid noodzakelijk zal zijn. De handreiking geeft handvatten voor een samenwerking met een ICT-auditor. Wanneer niet gesteund kan worden op de beheersingsmaatregelen in de ICT-omgeving kan de accountant kiezen voor controle langs de computer wanneer hij vast kan stellen dat de minimale interne beheersing aanwezig is. Bij controle langs de computer blijft bestandsanalyse een mogelijkheid. Voorbeelden van toepassingen voor bestandsanalyses die in de praktijkhandreiking worden gegeven zijn: 1. Analyse van loggings op bijzondere kenmerken; 2. Controle van dataconversies bij de implementatie van nieuwe systemen; 3. Controle op de volledigheid van gegevensbestanden door meerdere verzamelingen aan elkaar te koppelen en verschillen te analyseren; 4. Verbandscontroles; 5. Ouderdomsanalyses; 6. Steekproeven; 7. Stratificaties; 8. Selecties; 9. Statistische analyses; en 10. Sortering van gegevens. Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl 24

25 Bruins, A.A.J., IT in het MKB: wat moet je er mee?, NOREA Op de website van de Nederlandse Orde van Register EDP-Auditors zijn publicaties te vinden die in brede zin onderwerpen met betrekking tot IT-audit behandelen, dit zijn onder andere artikelen die zijn verschenen in het kwartaaltijdschrift de IT-Auditor (voorheen de EDP-auditor) welke zijn uitgewerkt in paragraaf 4.3 van dit hoofdstuk. De NOREA heeft tevens het boekje ITauditing aangeduid, NOREA geschrift No. 1 uitgebracht. Met dit boekje wil de Studiegroep Inhoud EDP-auditing onder andere de doelgroep accountants bereiken door beter inzicht te geven in de aard van de mogelijke ondersteuning van de Register EDP-auditor bij de accountantscontrole. In het boekje worden domeinen van IT-auditing behandeld, dit zijn onder andere informatiestrategie, informatiemanagement en informatietechnologiemanagement, informatiesystemen, technische systemen en dergelijke. Tevens worden kwaliteitsaspecten van informatie beschreven. De accountant kan het boekje goed gebruiken als theoretische bagage wanneer hij of zij kennis gaat opdoen van de ICT-omgeving bij de gecontroleerde. (NOREA, 1998) TUACC Blogs op de website van TUACC gaan in op continuous auditing. Daarnaast zijn vrijwilligers betrokken bij herschrijven/updaten van NOvAA leidraad 12 De AA in een (kleinschalig) geautomatiseerde omgeving uit Navraag leert dat per 19 november 2012 de status van deze update als volgt is: Inmiddels is de gehele aanpak in concept aangeboden aan de stuurgroep voor de 1 e review. Na verwerking van deze commentaren zal het stuk aan de vaktechnische commissies worden aangeboden van NBA en NOREA. De verwachting is dat deze leidraad het eerste kwartaal van 2013 beschikbaar is AICPA Het publieke deel van de website van de American Institue of Certified Public Accountants biedt geen handvatten om IT-Audit in te zetten ter ondersteuning van de jaarrekeningcontrole. Weliswaar wordt Computer Aided Audit Techniques in het lijstje met de top technologieinitiatieven van 2011 genoemd, maar ook dit wordt niet verder uitgewerkt. Dit is opmerkelijk: Fijneman schrijft in zijn proefschrift De betekenis en inhoud van jaarrekening ICT-auditing als onderdeel van de jaarrekeningcontrole Common body of knowledge Consequenties voor de accountantsopleiding uit 1999 het volgende In de Verenigde Staten wordt de accountancyopleiding verzorgd via de AICPA. Er is een CPA-opleidingsprogramma. Het CPA- Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl 25

26 Bruins, A.A.J., IT in het MKB: wat moet je er mee?, 2013 examenprogramma (ontleend aan de 1997 CPA Examination Summary) spreekt in eindtermen over de volgende onderdelen... Verder wordt nog gerelateerd aan de inzet van CAAT's en het op elektronische wijze vergaren van evidence; dit laatste heeft betrekking op de inzet van interne ICT-hulpmiddelen bij de financial auditor. (Fijneman, 1999). CAAT s maakte in 1997 kennelijk al deel uit van het examenprogramma, maar prijkt pas 14 jaar later in het lijstje van de top technologie-initiatieven van ISACA Het Information Systems Audit and Control Association is de tegenhanger van het Nederlandse NOREA. ISACA heeft vanaf 1992 COBIT (Control Objectives for Information en related Technology) ontwikkeld. COBIT is een model om een ICT-omgeving gestructureerd te beoordelen. COBIT richt zich sterk op de werking van beheersingssystemen en kent ruim 300 beheersdoelstellingen. Naast COBIT heeft ISACA ook standaarden en richtlijnen uitgegeven. Richtlijn 3 behandeld Computer Assisted Audit Techniques. Deze richtlijn bevat, naast de link met COBIT, tips en trucs over hoe om te gaan met CAAT s; bijvoorbeeld dat het doel duidelijk moet zijn en dat de data betrouwbaar moet zijn. Er zijn echter geen voorbeelden opgenomen in welke situatie welke CAAT toegepast zou kunnen worden. (ISACA, 2010) 2.4 Vakliteratuur In aanvulling op het onderzoek naar praktische handvatten die de accountant kan gebruiken bij de toepassing van IT-audit bij de jaarrekeningcontrole in paragraaf 3 is hierna een onderzoek onder de relevante vakliteratuur uiteengezet. Per titel wordt behandeld wat voor de accountant op het gebied van IT-audit beschikbaar is De Accountant Behoudens in columns is over concreet toepasbare CAAT s niets gepubliceerd in De Accountant. Het aantal artikelen dat IT-audit raakt is beperkt. In 2010 is een artikel verschenen over samenwerking tussen de RA en de RE. De werkzaamheden van de RE strekken zich tot application controls, waaronder functiescheiding, general controls, waaronder betrouwbaarheid van netwerken en applicaties, backup-mogelijkheden, algemene systeembeheer en toegangs- Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl 26

27 Bruins, A.A.J., IT in het MKB: wat moet je er mee?, 2013 beveiliging. Hoewel deze samenwerking belangrijker wordt loopt deze nog niet soepel. Een reden hiervoor is dat de IT-auditor en de accountants elkaars taal niet spreken: in praktijk lukt het niet goed de bevindingen van de IT-auditor om te zetten in gevolgen voor de jaarrekeningcontrole. Eén van de bronnen hiervoor is de educatie; in beide studierichtingen wordt weinig aandacht besteed aan elkaars vakgebied. Sommige kantoren ondervangen dit door interne opleidingen. Een andere bron is een goede afstemming: idealiter zou tijdens de planningsfase van de controle afstemming moeten zijn tussen de IT-auditor en de accountant over processen, risico s en werkzaamheden (Koopmans, 2010) Accountancynieuws Op is gepubliceerd over de noodzaak om binnen de accountancy voldoende aandacht te besteden aan de controle van informatietechnologie. Onder de titel Hoogleraar Mollema: Accountant kan IT niet langer negeren verscheen op 10 januari 2008 een artikel waarin door Mollema wordt gesteld dat de IT te zeer het kloppend hart van de onderneming is om haar nog langer te negeren. De accountant zal hier aandacht aan moeten besteden om tot een oordeel over de kwaliteit van de bedrijfsprestaties te komen. Een oplossing hiervoor kan worden gevonden in de academische en de interne opleiding. Onder de titel #Tuacc: Accountant mag automatisering niet langer negeren verscheen bijna drie jaar later, op 23 december 2010, nagenoeg dezelfde boodschap. De Tuacc zag ook een oplossing in een betere communicatie tussen de accountant en de IT-auditor. Ook de heren C. Rabe RA en de R. Johan RE onderkennen het belang van een goede communicatie tussen de accountant en de IT-auditor. In hun artikel getiteld IT-audit en MKBcontrole van 18 november 2010 gaan zij in op het samenspel tussen de accountant en de ITauditor. Het eerste onderdeel is een gezamenlijke risicoanalyse waardoor zowel de audit risks als de IT risks worden onderkend. Vervolgens inventariseert de IT-auditor welke risico s door geautomatiseerde interne beheersingssystemen worden gemitigeerd. Bij veel interne beheersingssystemen zijn weinig handmatige controles meer nodig, weinig interne beheersingssystemen leiden tot veel adviespunten. De IT-auditor kan de accountant dus helpen met de keuze welke werkzaamheden uitgevoerd moeten worden; de inzet van de IT-auditor leidt zo tot ITaudit werkzaamheden in plaats van financial audit werkzaamheden en niet tot IT-audit werkzaamheden aanvullend op financial audit werkzaamheden; een gevaar dat ontstaat door onkundig gebruik van praktijkhandreikingen zoals de SRA Praktijkhandreiking SRA Controleaanpak en Automatisering. Ook de heer F.K.D. Tsang RA schrijft in zijn bijdrage Application Controls van 24 december 2008 dat het tijd is dat de accountant de controleaanpak tegen het licht houdt en ICT daar eindelijk echt een rol in geeft. Hierbij wordt onder andere bedoeld een praktische toepassing Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl 27

28 Bruins, A.A.J., IT in het MKB: wat moet je er mee?, 2013 van de bij de klant aanwezige application controls. De heer Tsang onderkent dat het lastig is voor individuele accountants om op zoek te gaan naar de application controls in bepaalde softwarepakketten, maar binnen de SRA zijn ze bezig dit te onderzoeken voor een aantal softwarepakketten die binnen het MKB worden gebruikt. Navraag bij de SRA door de auteur van dit referaat leert dat de SRA heeft besloten dit onderzoek af te breken, nadat het een ambitie is geweest om dit op te pakken in het kader van het NBA/NOREA/Tuacc-project inzake het actualiseren van Leidraad 12, met name wegens de technische complicaties die samenhangen met de grote diversiteit aan toepassingen De IT-auditor (voorheen de EDP-auditor) De IT-auditor is een uitgave van de Nederlandse Orde van Register EDP-Auditors en bevat uiteenlopende artikelen die samenhangen met IT-audit. Ten behoeve van het onderzoek worden hier een aantal relevante artikelen behandeld. Van der Heijden en Benjaminse presenteren in hun artikel Profiteren van data-analyse binnen de jaarrekeningcontrole een model voor het efficiënter toepassen van data-analyse. Het model is ontstaan vanuit de praktijk; gebleken is dat de theorie van een efficiënter en effectiever controleproces door het toepassen van data-analyse als integraal onderdeel van de jaarrekeningcontrole in praktijk moeilijk realiseerbaar bleek. (Heijden, 2012) In het artikel worden de volgende soorten gegevensgerichte data-analyses / Computer Assisted Audit Techniques genoemd: 1. Cijferbeoordelingen (confrontatie verantwoording aan verwachting); 2. Verbandscontroles (controleren verwachte relaties tussen grootheden); 3. Detailcontroles (controle op patronen zoals boekingen in het weekend); 4. Controleren van functiescheiding en autorisatieprofielen (doorbreking functiescheiding); 5. Controleren van berekeningen (bijvoorbeeld rente, afschrijving en dergelijke); 6. Waarschijnlijkheidscontroles (bijvoorbeeld betaling voor factuurdatum); 7. Beoordelen van application controls (bijvoorbeeld three-way match) 8. Beoordelen van autorisatieprofielen (rollen/autorisaties per functie) De redenen dat in praktijk blijkt dat CAAT s niet de theoretische voordelen bieden waardoor ze niet opwegen tegen de kosten zijn divers: 1. Gebrekkige scoping in de planningsfase; 2. Ontbreken specialistische kennis van systemen en processen; 3. Onvoldoende beschikbaarheid van data; Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl 28

29 Bruins, A.A.J., IT in het MKB: wat moet je er mee?, Ontoereikende datakwaliteit; 5. Buitensporig tijdsbeslag; 6. Onbruikbaarheid resultaten als auditdocumentatie; 7. Veel uitzoekwerk door uitzonderingsrapportages. In het artikel zijn oplossingsrichtingen voor bovenstaande knelpunten samengebracht in een model dat is weergegeven in figuur 2: Werkwijze voor het toepassen van data-analyse in de jaarrekeningcontrole. Figuur 2: Werkwijze voor het toepassen van data-analyse in de jaarrekeningcontrole In het model in figuur 2 wordt gebruik gemaakt van een specialistenteam die alle feitelijke dataanalyses uitvoert. De IT-auditor vormt hier de schakel tussen enerzijds de klant en de accountant en anderzijds dit specialistenteam. Het model bestaat uit zes stappen die beknopt als volgt uitgelegd kunnen worden: 1. Scope bepalen: de accountant en de IT-auditor bepalen op basis van de risicoanalyse, de beschikbare data en de beschikbare CAAT s de gewenste rapportages; 2. Data extractie: de IT-auditor en de IT-afdeling van de gecontroleerde zorgen voor een data extractie, waarbij het specialistenteam aangeeft welke data zij nodig hebben; 3. Inlezen data in analyse omgeving: het specialistenteam leest de data in een generieke analyseomgeving in. Het eerste jaar zal hier een en ander goed gezet moeten worden; 4. Data analyse en eerste beoordeling van resultaten: het specialistenteam draait de eerste analyse en beoordeeld de uitkomsten. Desgewenst worden queries gewijzigd. 5. Opleveren uitzonderingenlijst en rapportage: nadat de queries goed staan wordt een definitieve analyse gedraaid en de resultaten worden gerapporteerd aan de IT-auditor. Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl 29

30 Bruins, A.A.J., IT in het MKB: wat moet je er mee?, Bespreken resultaten: de IT-auditor bespreekt de resultaten met de accountant en helpt deze conclusies te trekken voor de gevolgen van de rapportage voor de controle. Ook Boerkamp en Soerjoesing merken op dat de mix van werkzaamheden waaruit de auditor kan kiezen om voldoende zekerheid te krijgen bij de beweringen bestaat uit (procesgerichte) data-analyse, beoordelen functiescheiding, testen IT General Controls, maar ook manual controls (Boerkamp, 2010). Het is aan de accountant ondersteund door de IT-auditor en het specialistenteam hier een goede mix in te vinden. Romme heeft in zijn artikel Het nut van best practices onderzoek gedaan naar de toegevoegde waarde van best practices. De conclusie van dit onderzoek is dat noodzaak bestaat voor meer uitwisseling van best practices. Ze helpen bij het uitvoeren van eigen werkzaamheden en kunnen ook opdrachtgever en klanten helpen bij het verbeteren van de IT praktijk (Romme, 2011). Naar mening van de auteur van dit referaat pleit dit enerzijds voor het vormen van een specialistenteam zoals Van der Heijden en Benjaminse in hun artikel beogen, anderzijds zal het de integratie van IT-audit in de jaarrekeningcontrole stimuleren wanneer deze specialistenteams hun best practices, ofwel tips en trucs, met elkaar delen Maandblad voor Accountancy en Bedrijfseconomie Van de hand van Van Bommel en Van Goor zijn twee artikelen verschenen die zich specifiek richten op de combinatie IT-audit en jaarrekeningcontrole (Bommel en Goor, 2005; Bommel et al., 2006). Van Bommel en Van Goor stellen in hun artikel uit 2005 op basis van ervaring uit de praktijk dat de samenwerking tussen de accountant en de IT-auditor vaak verre van optimaal is. De samenwerking tussen de accountant en IT-auditor voor het onderzoeken van de general ITcontrols wordt bemoeilijkt door onduidelijkheden over definities, begrippen en methoden. Hierop hebben Van Bommel en Van Goor op gestructureerde wijze een methodiek uitgewerkt; zie ook Figuur 1. Van posten in financiële verantwoordingen naar general IT-controls. Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl 30

31 Bruins, A.A.J., IT in het MKB: wat moet je er mee?, 2013 Het startpunt van de methodiek is de jaarrekening van de gecontroleerde. De accountant start de jaarrekeningcontrole met in de planningsfase een risicoanalyse. Hiervoor heeft de accountant een relatie gelegd tussen de balansposten en resultatenrekening in de jaarrekening van de gecontroleerde en de onderliggende bedrijfsprocessen en ondersteunende applicaties. In het artikel van Van Beurden en Hartjes is te lezen dat deze relatie een uitdaging kan zijn omdat de jaarrekeningposten gevoed kunnen worden uit meerdere processen, zoals omzet uit verkoop op rekening en contante verkoop, en dat tussen dezelfde processen inconsistenties op vestigingniveau kunnen zitten. (Beurden en Hartjes, 2006) Uit onderzoek van Vaassen is gebleken dat accountants onderkennen dat ERP-systemen tot een grotere onderlinge afhankelijkheid van bedrijfsprocessen leiden, maar dat dit onvoldoende wordt vertaald naar een hogere risico-inschatting en het onderkennen van specifieke ERPproblematiek die tot meer controlewerkzaamheden zouden moeten leiden en aanleiding zouden moeten zijn IT-auditors in te schakelen bij de controle. Onduidelijk is hoe het kan dat accountants in onvoldoende mate de specifieke ERP-problematiek onderkennen, maar het pleit ervoor dat zij voldoende deskundigheid op dat gebied ontwikkelen of dat zij een IT-auditor inschakelen. (Vaassen, 2003) Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl 31

32 Bruins, A.A.J., IT in het MKB: wat moet je er mee?, 2013 Op basis van het verkregen overzicht uit figuur 1 kan de IT-auditor vervolgens een relatie maken naar de bijbehorende onderliggende IT-infrastructuur en general IT-controls. Vervolgens kan de accountant in samenwerking met de IT-auditor vaststellen welke relevante general ITcontrols minimaal moeten functioneren bij de gecontroleerde teneinde op de aanwezige automatiseringsomgeving te kunnen steunen. De lijst met general IT-controls die onderzocht moeten worden zal vrij lang zijn, maar de praktijk wijst uit dat hier veel overlap in zit doordat meerdere jaarrekeningposten uiteindelijk gebruik maken van dezelfde ICT en dat roulatie mogelijk is waardoor niet ieder jaar de werking van iedere general IT control vastgesteld moet worden. Van Bommel en Van Goor gebruiken voor dit onderzoek het CobIT framework. Het artikel uit 2006 dat Van Bommel en Van Goor samen met Peek en Winterink hebben geschreven bouwt verder op de resultaten van het onderzoek op de werking van de relevante general IT-controls door de IT-auditor: hoe kunnen deze resultaten effectief worden vertaald naar de impact op de jaarrekeningcontrole en wat moet de accountant rapporteren in zijn managementletter en accountantsverslag? Hiervoor wordt het model in figuur 3 De betekenis van IT-controlebevindingen op de jaarrekeningcontrole gebruikt. (Let op dat in figuur 1 de jaarrekeningpost bovenaan in het model staat, tegenover onderaan in het model in figuur 3.) Uit het onderzoek door de IT-auditor naar de werking van de relevante general IT-controls zijn vier verschillende oordelen mogelijk, deze oordelen, aangevuld met de gevolgen voor de accountantscontrole, zijn als volgt: Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl 32

33 Bruins, A.A.J., IT in het MKB: wat moet je er mee?, Goed: uit de test blijken alleen positieve bevindingen. Kenmerken van een goed proces zijn een proactieve beheersing en een continue bewaking. De accountant kan steunen op het proces en de controle het meest efficiënt uitvoeren. - Voldoende: uit de test blijken ook aanbevelingen die leiden tot wenselijke opvolging. Kenmerken van een voldoende proces zijn dat het proces formeel dan wel versnipperd wordt uitgevoerd. Proceswerkzaamheden kunnen ad hoc plaatsvinden. De accountant zal extra zekerheid willen hebben bij de gesignaleerde tekortkomingen en stemt zijn werkzaamheden daarop af. - Onvoldoende: uit de test blijkt minimaal één aanbeveling die leiden tot een noodzakelijke opvolging. Kenmerken van een onvoldoende proces zijn het ontbreken van inzicht in risico s en managementinformatie. De accountant zal extra zekerheid werkzaamheden aan de gebruikerskant (user controls) uitvoeren omdat onvoldoende op de IT kan worden gesteund. - Onaanvaardbaar: uit de test blijken alleen negatieve bevindingen. Kenmerken van een onaanvaardbaar proces is dat van procesinrichting nauwelijks sprake is. De accountant kan geen voldoende zekerheid verkrijgen door het uitvoeren van extra werkzaamheden. Uit de praktijk blijkt dat de impact van IT-controlebevindingen wordt gedeeld met het management en de organen belast met governance, maar dat de invloed van deze bevindingen op de strekking van de accountantsverklaring zeer beperkt is. De conclusie die hieruit getrokken wordt is dat de motivatie om IT-audit in te zetten tijdens de jaarrekeningcontrole enerzijds is om een volledig risicobeeld te krijgen en anderzijds is om de jaarrekeningcontrole efficiënt uit te kunnen voeren. (Bommel et al., 2006) Roos Lindgreen, Overbeek en De Wolf gunnen de lezer een blik in de kruipruimte van onze informatiesystemen. De situatie die daar wordt aangetroffen, kan het daglicht niet altijd verdragen. (Roos Lindgreen et al., 2004). Zij koppelen ook relevantie voor de jaarrekening aan projecten en systemen en concluderen dat de beveiliging van de informatie voor de accountant van materieel belang is. Zij concluderen tevens dat de beveiliging van het fundament van de informatiesystemen nogal eens materiële gebreken vertoont en stellen de vraag wat de gevolgen zijn voor de accountantscontrole wanneer de functiescheidingen op bijvoorbeeld het niveau van de technische infrastructuur makkelijk doorbroken kunnen worden. De modellen in de figureren 1 en 3 kunnen goed van dienst zijn om het antwoord op deze vraag te vinden. Van de hand van Schouten is in 2003 een artikel verschenen onder de titel De toegevoegde waarde van audit software dat ingaat op de vragen wat audit-software is en hoe audit software het beste toegepast kan worden. (Schouten, 2003) Als audit-software worden ACL en IDEA genoemd waarmee zowel systeemgerichte als gegevensgerichte controles kunnen worden Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl 33

34 Bruins, A.A.J., IT in het MKB: wat moet je er mee?, 2013 ondersteund. Met deze software kunnen databestanden gekoppeld, geconfronteerd en geanalyseerd worden. Als voorbeelden hiervan worden genoemd: natellen van getallen, analyseren van ontbrekende vermeldingen, analyseren van dubbele vermeldingen, analyseren van uitzonderingen, samenvoegen van bedragen en cijferanalyses. Audit-software kan worden toegepast bij onderzoeken zoals jaarrekeningcontrole, maar ook bij controle werking interface, controle data-integriteit na een conversie, fraudeonderzoeken, controleberekeningen op betwiste (belasting)claims, et cetera. Voor de toepassing van audit software beschrijft Schouten qua werkwijze een model dat sterkt lijkt op het model van Van der Heijden en Benjaminse in paragraaf 4.3 van dit hoofdstuk. Schouten beschrijft alleen de werkzaamheden, geen taakverdeling tussen de accountant, de ITauditor en het specialistenteam. Schouten geeft wel aan dat, hoewel audit software door verschillende professionals kan worden gebruikt, de aanname wordt gemaakt dat de opdracht wordt uitgevoerd door een IT-auditor, waarbij de opdrachtgever de controlerend accountant op een opdracht is. Schouten legt in zijn model in de voorbereidingsfase meer nadruk op het begrijpen van de bedrijfsprocessen waaruit de data in de systemen afkomstig zijn en het begrijpen hoe deze data in de systemen wordt opgenomen (handmatige invoer, geautomatiseerde invoer of een combinatie van beide). Een ander verschil met Van der Heijden en Benjaminse is dat de afronding van Schouten formeler lijkt door het gebruik van (concept)memorandum en een rapport van feitelijke bevindingen zonder dat wordt gesproken over de vertaling van deze bevindingen naar gevolgen voor de jaarrekeningcontrole. Deze vertaling is echter een belangrijk onderdeel in de samenwerking tussen de IT-auditor en de accountant (Koopmans, 2010) Compact Compact is een uitgave van KPMG IT Advisory. De artikelen in Compact die relevant zijn voor het onderzoek zijn grofweg te verdelen in de onderwerpen samenwerking tussen de IT-auditor en de accountant en CAAT s Jonker en Van Langen stellen dat de reikwijdte van de uit te voeren IT-auditwerkzaamheden bij de jaarrekeningcontrole afhankelijk is van de analyses en inschattingen van de accountant in de planningsfase van de jaarrekeningcontrole (Jonker en Van Langen, 2000). Hierbij gaan Jonker en Van Langen niet in op de vraag of de accountant voldoende deskundig is om deze inschattingen te maken. Jonker en Van Langen geven vervolgens aan dat het van belang is dat er duidelijke, schriftelijk, afspraken tussen de accountant en de IT-auditor worden vastgelegd teneinde de effectiviteit en de efficiëntie van de werkzaamheden van de IT-auditor in het kader van de jaarrekeningcontrole te waarborgen. Meuldijk, Broskij en Neeteson zien in het kader van Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl 34

35 Bruins, A.A.J., IT in het MKB: wat moet je er mee?, 2013 deze samenwerking verschillende categorieën rollen voor de IT-auditor in de verschillende controleopdrachten. Relevant voor het onderzoek is categorie III: controleopdrachten met een beperkt aantal controle-uren en een beperkte mate van IT-afhankelijkheid. De IT-auditor wordt hier getypeerd als een coach op afstand met een passieve rol: de IT-auditor denkt mee met de accountant indien deze hierom vraagt en de IT-auditor verzorgt trainingen voor accountants die willen leren hoe zij IT General Controls en (beperkt) applicatiecontroles kunnen testen. (Meuldijk et al, 2007) De deskundigheid van de accountant lijkt hier afhankelijk van zijn interesse voor IT General Controls en Application Controls. Kornelisse stelt in zijn artikel Jaarrekeningcontrole en technische IT-beveiliging de deskundigheid van de IT-auditor ter discussie. De omvang van ICT-omgevingen van organisaties is dusdanig gegroeid dat een integrale controle van alle relevante IT-componenten en relevante systeemconfiguratieparameters een zo n grote inspanning vraagt dat de verwachting van nietontdekte fouten toeneemt. De kennis van al deze IT-componenten, bijvoorbeeld Windows, SAP, Navision en dergelijke, is veelal niet bij één persoon te vinden. Kornelisse suggereert hierop een taakverdeling tussen een IT-auditor die zich bezighoudt met IT-governace en IT-applicaties en een meer technische IT-auditor die zich richt op de IT General Controls en IT security. (Kornelisse, 2007) CAAT s in de vorm van data-analysetools kennen de nodige voordelen en kunnen in theorie in het overgrote deel van de situaties de interne beheersings- controlekosten laten dalen. De praktijk is echter weerbarstig aldus Brouwers, Beugelaar en Berhuijs. Er zijn de nodige aandachtspunten en vereisten bij het hanteren van data-analysesoftware: kennis van zowel de processen, data, en branche is noodzakelijk. Ook de probleemstelling moet goed zijn afgebakend en de focus dient te liggen op de key-controls. Wanneer aan deze vereisten wordt voldaan leert de praktijk dat data-analyse tot interessante resultaten kan leiden (Brouwers et al., 2007). Toledo, Lamberiks en Rijnders sluiten zich aan bij de eisen zoals aangegeven door Brouwers, Beugelaar en Berhuijs en voegen daaraan toe dat ook de presentatie van de resultaten van de data-analyse een sleutel tot succes is. Observaties zijn dat de analyse een uitgebreide uitzonderingsrapportage oplevert waarvan het afwerken tijdsintensief is en dat de relatie tussen de analyse en de auditevidence vaak onduidelijk is of dat de relatie met de controleaanpak ontbreekt. In de praktijk is ook enkele malen gebleken dat analyses waren uitgevoerd op onvolledige data. Validatie van de data is bij data-analyse dus ook van belang. (Toledo et al, 2010) Toledo, Lamberiks en Rijnders gaan in hun artikel ook in op het maken van een SQL-statement, SQL is nader toegelicht in paragraaf 6, als onderdeel van data-extractie ten behoeve van de data-analyse: een SQL-statement kan heel goed werken bij een eenmalige analyse, werkt vaak snel, maar vergt ook gedetailleerde kennis van SQL-taal en de databaseomgeving. Dataextractie via de applicatie kan ook, maar hierbij gelden beperkingen zoals performance. Een Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl 35

36 Bruins, A.A.J., IT in het MKB: wat moet je er mee?, 2013 alternatief is het installeren van speciale software om standaard queries op de achtergrond uit te voeren. De (XML-)auditfile is een min of meer gestandaardiseerde verzameling van data. Deze standaard is door de Belastingdienst gepubliceerd, maar wijkt in praktijk soms significant af. Desondanks is de (XML-)auditfile bij met name kleinere entiteiten een belangrijke bron van input die kan worden gebruikt om inzicht in de financiële transacties van een entiteit te krijgen. Door gebruik te maken van standaardoverzichten, de accountant kan deze met zelf ontwikkelde tools op basis van ervaring maken, kan efficiënt inzicht worden verkregen in de aard en omvang van transactiestromen. Van Langen, Serberie, Tinholt en Sandifort noemen als voorbeelden van standaardoverzichten een totaaloverzicht van transacties per dagboek per jaarrekeningpost, een overzicht van transacties van een jaarrekeningpost per jaarrekeningtegenpost, een overzicht van transacties van een jaarrekeningpost per periode en een overzicht stratificatie van de transacties van een jaarrekeningpost (Van Langen et al., 2010) ISACA Journal De Information Systems Audit and Control Association geeft een gelijknamig Journal uit. In dit Journal wordt gepubliceerd over allerlei onderwerpen die samenhangen met IT-audit. Iemand die veel over de rol en mogelijkheden van IT-audit in de Financial Audit, jaarrekeningcontrole, publiceert is Singleton. Singleton is universitair hoofddocent aan de University of Alabama. De heer Singleton bespreekt vijf gebieden van IT General Controls die minimaal overwogen zouden moeten worden om te betrekken in de Financial Audit, te weten IT-beleid, change management, informatiebeveiliging, back-up en herstel, en externe ICT-leveranciers, waarbij geldt hoe volwassener de ICT-omgeving, hoe omvangrijker en sterker deze IT General Controls zullen zijn. De volgende stap is dat de IT-auditor deze gebieden met IT General Controls evalueert om, samen met de accountant, een standpunt in te nemen over de mogelijkheid van een materiële onjuistheid in de financiële verantwoording. Hierbij is het belangrijk te onderkennen dat de ICT-omgeving bij de gecontroleerde steeds verandert en dat de IT-auditor goed moet blijven nadenken over de werkzaamheden die hij uitvoert; dus niet een blik controlewerkzaamheden opentrekken of het controleplan van vorig jaar kopiëren, en dat de accountant niet in te grote mate mag vertrouwen op de aanwezige IT General Controls. (Singleton, 2010) Naast de IT General Controls ziet Singleton ook toegevoegde waarde voor de IT-auditor bij de jaarrekening op het gebied van risicoanalyse, Test of Controls, CAAT s, IT gerelateerde procedures en adviespunten voor het management. Deze toegevoegde waarde uit zich dus door arbeidsbesparing, verhoogde controlekwaliteit en meer toegevoegde waarde voor het management van de onderneming. Voorwaarde voor succes is wel dat IT-auditors meer vertrouwd raken op deze gebieden zodat de werkzaamheden passend zijn voor het beoogde Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl 36

37 Bruins, A.A.J., IT in het MKB: wat moet je er mee?, 2013 doel en dat er een goede communicatie over de mogelijkheden tussen de IT-auditor en de accountant plaatsvindt. (Singleton, ) 2.5 Oriënterende interviews met deskundigen In de paragrafen 3 en 4 van dit hoofdstuk is een literatuurstudie uitgevoerd. Resumerend bleek uit deze literatuurstudie slechts een beperkt aantal praktische handvatten voor de implementatie van IT audit in de MKB controlepraktijk beschikbaar te zijn. Hierop is door de schrijver contact gezocht met diverse deskundigen om interviews te houden teneinde tips en trucs te verzamelen om tot een gedegen praktische toepassing van IT-audit in de MKBjaarrekeningcontrole te komen. Hieruit kwamen uiteenlopende meningen naar voren die zijn opgesomd in bijlage 2 Interviews met deskundigen. Resumerend blijkt uit de oriënterende gesprekken met deskundigen dat er verschillende stramienen bestaan, maar dat iedere partij deze kennis onder zich houdt. De rol van IT-audit in het MKB en bij het SRA is zeer gering. Voor de gangbare pakketten is specifieke kennis benodigd, maar de specifieke pakketten en het maatwerk vormen een uitdaging omdat hier specifieke kennis niet of beperkt beschikbaar is. Advies is kennisnemen van procesbeschrijvingen van Starreveld, Cobit Quickstart en dergelijke en op basis van deze kennis voor de klanten de relatie tussen de posten, de processen (per cycle), de programma s en de platformen goed in kaart brengen en vervolgens kijken welke (automated, manual, IT dependent) controls aanwezig zijn helpt om op klantniveau kennis van de automatiseringsomgeving te krijgen. Het kan ondersteuning bieden hierbij een soort praatplaat te gebruiken. Vanuit dit soort praktijkcasussen is het wellicht mogelijk om tot een model komen. Het advies luidt verder de pakketten te inventariseren om applicationcontrols in kaart te brengen. Waarschijnlijk is bij de klanten van ROZA Audit & Assurance net bij als andere MKB-bedrijven sprake van een laag volwassenheidsniveau van de ICT-omgeving waardoor niet gesteund kan worden op IT general controls en alleen bestandsanalyse als IT-audit gebruikt kan worden. Hier bestaat een adviesmogelijkheid om de volwassenheid op een hoger niveau te krijgen. Meer dan 90% van de bedrijven in het MKB maakt gebruik van een SQL database. Door deze SQL database te kopiëren en te exporteren, een medewerker van de eigen afdeling automatisering kan hierbij helpen, wordt data-analyse makkelijk mogelijk gemaakt. Bovenstaande oriënterende gesprekken over de mogelijkheid om IT-audit in te zetten ter ondersteuning van de jaarrekeningcontrole hebben als doel mede verder richting te geven aan Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl 37

38 Bruins, A.A.J., IT in het MKB: wat moet je er mee?, 2013 het bronnenonderzoek en de casestudy. Niet alle uitkomsten uit de gesprekken zullen in dit referaat verder onderzocht worden. 2.6 Relationele-databases Uit de gesprekken met de heren Kreuze en Koning kwam naar voren dat veel bedrijven gebruik maken van een SQL database, waarbij SQL staat voor Structured Query Language, en hun advies luidt om deze SQL-database ook te gebruiken bij bestandsanalyses. In deze paragraaf wordt de SQL-database, op een vereenvoudigde wijze, nader toegelicht. Bij veel softwareprogramma s worden gegevens weggeschreven naar een digitale database, soms ook wel databank genoemd. Het voordeel van zo n database is dat gegevens gestructureerd worden bewaard waardoor ze goed doorzoekbaar zijn, in praktijk meestal op een centrale plaats in de organisatie waardoor gegevens door meerdere gebruikers benaderd kunnen worden. Het beheer van de gegevens in een database kan worden gedaan door middel van een databasemanagementsysteem (DBMS). Het wegschrijven van gegevens naar de database, het inzien van deze gegevens en dergelijke door een computerprogramma/gebruiker gaat via zo n databasemanagementsysteem. Het databasemanagementsysteem vormt als het ware een schil om de database heen om deze betrouwbaar te houden. Een techniek hiervoor is bijvoorbeeld het werken met transacties, een aantal samenhangende wijzigingen in een database, bijvoorbeeld de boeking van een betaling door een debiteur via de bank ( bank aan debiteuren ): indien alleen hele transacties verwerkt kunnen worden in plaats van dat zo n boeking regel voor regel in de database wordt verwerkt, wordt voorkomen dat een onvolledige boeking in de database komt te staan, bijvoorbeeld doordat de stroom uitvalt na het verwerken van de regel bank maar voor de regel aan debiteuren. Er worden heel veel gegevens verzameld, waardoor het risico bestaat dat bepaalde gegevens dubbel worden opgeslagen. Ter illustratie: Tijdens een college informatiebeveiliging in het kader van de accountancy opleiding aan Universiteit Nyenrode vertelde de docent, die werkzaam was bij een grote Nederlandse bank, dat hij in praktijk tegen kwam dat NAW-gegevens van medewerkers die ook producten, zoals hypotheken en verzekeringen, afnamen, op meer dan 15 verschillende plaatsen in de verschillende databases stonden. De gevolgen hiervan zijn tweeledig. Enerzijds neemt dit heel veel ruimte in wat het doorzoeken bemoeilijkt. Anderzijds ontstaat het risico op verouderde gegevens. Dezelfde docent vertelde bijvoorbeeld dat naar Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl 38

39 Bruins, A.A.J., IT in het MKB: wat moet je er mee?, 2013 reeds overleden klanten, waaraan ook al een overlijdensuitkering was uitbetaald, soms twee jaar na dato aanbiedingen voor producten worden gestuurd. Een oplossing voor deze twee gevolgen wordt gevonden in de relationele database. In deze techniek wordt duplicatie van gegevens zo veel mogelijk voorkomen. In het eerder genoemde voorbeeld van de debiteurenbetaling zouden alle gegevens van deze debiteur bij deze betaling vastgelegd kunnen worden, maar deze gegevens zijn ook al vastgelegd op het moment dat de debiteurenvordering werd opgeboekt ( debiteuren aan omzet ). Bij een relationele database worden de debiteurengegevens eenmaal geregistreerd, en door een unieke waarde (primary key), bijvoorbeeld het debiteurennummer, wordt bij de boekingen van de vordering en de betaling naar deze gegevens verwezen. Om computerprogramma s met een database te laten communiceren zijn standaard talen ontwikkeld. SQL is een voorbeeld van zo n taal. Wanneer de gebruiker gegevens uit de database wil opvragen, of bijvoorbeeld analyses wil maken, zal het computerprogramma waarmee de gebruiker werkt in SQL query s (opdrachten) naar de database versturen. Zo n query kan zijn geef een lijst van alle betalingen door debiteur X, maar ook geef een lijst van alle betalingen door debiteur X boven bedrag Y in het afgelopen boekjaar. Wanneer bepaalde query s vaker worden uitgevoerd kan de gebruiker er voor kiezen een virtueel tabel (view) aan te maken. Ook wanneer er behoefte is om bepaalde gegevens aanvullend te registreren, bijvoorbeeld de postcode van bezoekers door een bioscoop gedurende een bepaalde periode om bezoekgedrag te analyseren teneinde gericht reclame te kunnen maken, kan hiervoor een extra tabel aangemaakt worden (Gillenson, 2005) (Romney en Steinbart, 2012). Recentelijke wordt in de eerder genoemde vakliteratuur veel geschreven over het analyseren van dit soort gegevens, vaak Big Data genoemd, om hier economische voordelen uit te halen. 2.7 Boekenonderzoek Vanuit de interviews met deskundigen zijn een aantal titels van boeken en publicaties naar voren gekomen die informatie zouden bevatten die bruikbaar zijn voor het onderzoek in dit referaat. Verder in deze paragraaf wordt per bron de bruikbare informatie behandeld. Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl 39

40 Bruins, A.A.J., IT in het MKB: wat moet je er mee?, NOvAA leidraad 12: De AA in een (kleinschalig) geautomatiseerde omgeving De Nederlandse Orde van Accountants-Administratieconsulenten heeft in 2002 leidraad 12 De AA in een (kleinschalige) geautomatiseerde omgeving uitgegeven. Deze leidraad behandelt de hard- en software die voor het MKB beschikbaar is ten tijde van het uitkomen van de leidraad. Vervolgens gaat de leidraad in op de beheersing van de geautomatiseerde gegevensverwerking, waarbij één en ander kan worden verduidelijkt met figuur 3 Stelsel van interne controlemaatregelen uit deze leidraad: In het derde hoofdstuk van deze leidraad wordt behandeld wat van de accountant wordt verwacht die belast is met de controle van de jaarrekening. Een fasegewijze uiteenzetting hiervan komt duidelijk naar voren in figuur 7 Stappenplan voor overview methode : Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl 40

41 Bruins, A.A.J., IT in het MKB: wat moet je er mee?, 2013 De werkzaamheden in dit stappenplan sluiten goed aan bij hetgeen dat is beschreven in paragraaf van dit referaat dat ingaat op de minimale wettelijk vereiste werkzaamheden. In de leidraad worden de werkzaamheden nader uitgewerkt en worden, in dit hoofdstuk en in de bijlage van dit referaat, praktische tabellen en vragenlijsten beschikbaar gesteld. De laatste paar alinea s van hoofdstuk 3 gaan over audit software. Hierin wordt besproken dat audit software een bijdrage kan leveren aan de uitvoering van de accountantscontrole door gegevensbestanden te beoordelen om complexe administratieve processen te doorgronden. Als voorbeelden van toepassingen worden genoemd: - Uitzoeken van tussenrekeningen waarop de aantallen buiten proporties zijn geraakt; - Analyses van gegevensstromen; - Gedetailleerde cijferbeoordeling; - Beoordeling van instellingen inzake de toegangsbeveiliging en change management. In het vierde en laatste hoofdstuk van de leidraad wordt ingegaan op een aantal bijzondere onderwerpen, te weten: internet, elektronische betalingsverkeer, e-commerce en outsourcing door per onderwerp een beschrijving te geven en aandachtspunten en risico s te noemen. (NOVAA, 2002) Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl 41

42 Bruins, A.A.J., IT in het MKB: wat moet je er mee?, Starreveld: Bestuurlijke Informatieverzorging In 1959 hield R.W. Starreveld zijn inaugurele rede waar hij inging op de automatisering van de informatieverwerking en de ondersteuning van de elektronische apparatuur of computers bij de besluitvorming binnen bedrijven. In zijn werk Bestuurlijke informatieverzorging wordt een beschouwing gegeven over het informatievoorzieningsproces per fase van de waardekringloop. Zie figuur 1.2 De waardekringloop in een handelsbedrijf voor een voorbeeld van zo n waardekringloop. Op basis van de waardekringloop in figuur 1.2 is het volgende netwerk van controletotalen, ook bij een handelsbedrijf, op te stellen: Beginvoorraad Beginvoorraad goederen Geldmiddelen + -/- Beginsaldo Crediteuren + Inkopen van goederen -/- Betalingen aan crediteuren = Eindsaldo crediteuren -/- + Beginsaldo debiteuren + Verkopen van goederen -/- Ontvangsten van Debiteuren = Eindsaldo debiteuren = = Eindvoorraad Eindvoorraad goederen geldmiddelen Onderdeel van de informatiebehoefte is betrouwbaarheid van de informatie. Het vaststellen van verbanden binnen de waardekringloop is daarbij van grote betekenis. Door het toepassen van Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl 42

43 Bruins, A.A.J., IT in het MKB: wat moet je er mee?, 2013 processcontrols kan de computer controleren of tijdens de registraties van transacties alle in het netwerk opgenomen verbanden nog bewaard zijn gebleven. Een eenvoudig voorbeeld van zo n verband is dat bij een crediteurenbetaling de daling van de schuld gelijk is aan de afname van het banksaldo. Dit verband wordt echter verstoord door bijvoorbeeld een betalingskorting. De Nederlandse waardekringloop is verwant aan de in Amerika gehanteerde cyclebenadering. (Starreveld et al, 2004). In hun boek Accounting Information Systems behandelen Romney en Steinbart per cycle, bijvoorbeeld het inkoopproces, de informatiestromen, wie informatie gebruikt, waar informatie wordt vastgelegd en dergelijke. Deze stromen worden visueel inzichtelijk gemaakt door het gebruik van een Data Flow Diagram. Zie voor een voorbeeld figure 3-2 Basic Data Flow Diagram Elements Het gebruik van de waardekringloop en een Data Flow Diagram kan de accountant gebruiken om de verkregen kennis over de relatie tussen jaarrekeningposten, processen en systemen, de interne beheersingsmaatregelen en de voor de jaarrekeningcontrole relevante key controls vast te leggen Van Praat en Suerink: Inleiding EDP-auditing In het boek Inleiding EDP-auditing wordt IT-audit in brede zin behandeld en het kan gezien worden als een naslagwerk. Het eerste deel behandelt audit in het algemeen met onder andere de beroepsorganisatie, de fundamentele beginselen, het auditproces en dergelijke. In het tweede deel wordt nader ingegaan op de informatievoorziening, de technische infrastructuur en de informatiebeveiliging. Gezien de breedte van de opzet van het boek is de diepgang beperkt, een inleiding, waardoor het boek met name een naslagwerk is voor de IT-auditor die een Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl 43

44 Bruins, A.A.J., IT in het MKB: wat moet je er mee?, 2013 schakel vormt tussen de accountant en de specialisten zoals beschreven in het artikel van Van der Heijden en Benjaminse in paragraaf 4.3 van dit hoofdstuk en de accountant die zich in de materie wil verdiepen om een betere gesprekspartner van de IT-auditor te zijn. Bij specifieke gedetailleerde onderwerpen zullen mogelijk aanvullende bronnen geraadpleegd moeten worden. 2.8 Wettelijke eisen en theoretische (on)mogelijkheden In deze paragraaf wordt kort de resultaten uit het voorstaande bronnenonderzoek besproken. Deze samenvatting is vanuit de volgende aandachtsgebieden opgebouwd: 1) Wettelijke verplichtingen 2) Risicoanalyse 3) Computer Assisted Audit Techniques 4) Knelpunten in de praktijk en theoretische oplossingen Wettelijke verplichtingen De accountant dient kennis te verkrijgen over de geautomatiseerde gegevensverwerking voor zover van belang voor de financiële verslaggeving en de communicatie. De dossiervastleggingen hieromtrent mogen proportioneel zijn. Hierbij kan worden gedacht aan de relatie tussen de jaarrekeningposten, processen en systemen en de key controls (NV-COS 230 en 315). Het waardekringloopmodel van Starreveld of de cycles van Romney & Steinbart kunnen als ondersteuning dienen om de informatiestromen te volgen en de ICT-omgeving in kaart te brengen. COBIT is een model om de ICT-omgeving gestructureerd te beoordelen (ISACA, 2010) maar is voor gebruik bij een MKB-bedrijf waarschijnlijk buiten proportie. Van Beurden en Hartjes geven aan dat het vastleggen van de relatie tussen jaarrekeningposten, processen en systemen een uitdaging kan zijn omdat de jaarrekeningposten gevoed kunnen worden uit meerdere processen (Beurden en Hartjes, 2006). Tevens is het belangrijk te onderkennen dat de ICT-omgeving bij de gecontroleerde steeds verandert (Singleton, 2010). Leidraad 12 De AA in een (kleinschalige) geautomatiseerde omgeving bevat hieromtrent een stappenplan met een fasegewijze uiteenzetting over wat precies van de accountant wordt verwacht (NOVAA, 2002). Indien de accountant bevindingen heeft met betrekking tot, op zijn minst de betrouwbaarheid en continuïteit van, de geautomatiseerde gegevensverwerking, vanuit de normale uitoefening van Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl 44

45 Bruins, A.A.J., IT in het MKB: wat moet je er mee?, 2013 zijn taak in het kader van de controle van de jaarrekening, heeft de accountant een verplichting om melding te maken van deze bevindingen. In de situaties dat er geen bevindingen zijn of dat de accountant de geautomatiseerde gegevensverwerking niet in de controle betrekt dient hij hiervan melding te maken om misverstanden te voorkomen (393 lid 4 BW, NBA 1993) Risicoanalyse Uit onderzoek van Vaassen is gebleken dat de steeds verdere implementatie van ERPsystemen door accountants onvoldoende wordt vertaald naar een hogere risico-inschatting en bijbehorende werkzaamheden. Dit pleit ervoor dat accountants deskundigheid op dit gebied ontwikkelen. (Vaassen, 2003) De beveiliging van informatie vertoont bijvoorbeeld nogal eens materiële gebreken (Roos Lindgreen et al., 2004), hetgeen direct gevolgen heeft voor de betrouwbaarheid ervan. Rabe en Johan geven als antwoord hierop een gezamenlijke risicoanalyse door de IT-auditor en de accountant waardoor zowel de audit risks als de IT risks worden onderkend. Vervolgens inventariseert de IT-auditor welke risico s door geautomatiseerde interne beheersingssystemen worden gemitigeerd. De IT-auditor kan de accountant dus helpen bij de keuze welke werkzaamheden uitgevoerd moeten worden. Het SRA biedt voorbeelden van business risks en beheersingsmaatregelen met betrekking tot de ICT-omgeving. Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl 45

46 Bruins, A.A.J., IT in het MKB: wat moet je er mee?, Computer Assisted Audit Techniques In de verschillende artikelen uit de vakliteratuur worden voorbeelden van CAAT s genoemd: - Analyses van gegevensstromen; - Selecties / detailcontroles (controle op patronen zoals boekingen - Gedetailleerde cijferbeoordeling (confrontatie verantwoording aan in het weekend) verwachting); - Statistische analyses; - Verbandscontroles (controleren verwachte relaties tussen - Sortering van gegevens. grootheden); - Uitzoeken van tussenrekeningen waarop de aantallen buiten - Beoordeling van instellingen inzake de toegangsbeveiliging en proporties zijn geraakt; change management. - Controleren van berekeningen (bijvoorbeeld rente, afschrijving en - Controleren van functiescheiding en autorisatieprofielen dergelijke); (rollen/autorisaties per functie, doorbreking functiescheiding); - Analyseren van ontbrekende vermeldingen, - Beoordelen van application controls (bijvoorbeeld three-way - Analyseren van dubbele vermeldingen, analyseren van match) uitzonderingen, - Waarschijnlijkheidscontroles (bijvoorbeeld betaling voor - Samenvoegen van bedragen factuurdatum); - Werking interface - Analyse van loggings op bijzondere kenmerken; - Controle data-integriteit na een conversie - Controle van dataconversies bij de implementatie van nieuwe - Fraudeonderzoeken systemen; - Cijferanalyses: - Controle op de volledigheid van gegevensbestanden door Totaaloverzicht van transacties per dagboek per jaarrekeningpost meerdere verzamelingen aan elkaar te koppelen en verschillen Overzicht van transacties van een jaarrekeningpost per te analyseren; jaarrekeningtegenpost - Ouderdomsanalyses; Overzicht transacties van een jaarrekeningpost per periode - Steekproeven; Overzicht stratificatie van de transacties van een jaarrekeningpost - Stratificaties; Als audit-software worden ACL en IDEA genoemd waarmee zowel systeemgerichte als gegevensgerichte controles kunnen worden ondersteund. (Schouten, 2003) Tom Koning noemt in het interview Datacollector van Unit4 om data te extraheren en die vervolgens in te lezen in AccountAnalyser. Verbiest komt in zijn onderzoek uit op drie typen CAATs (Verbiest, 2010), waarvan de toegevoegde waarde voor de MKB-jaarrekeningcontrole in deze paragraaf wordt behandeld; Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl 46

47 1. Data-analyse Wanneer niet gesteund kan worden op de beheersingsmaatregelen in de ICT-omgeving kan de accountant kiezen voor controle langs de computer wanneer hij vast kan stellen dat de minimale interne beheersing aanwezig is. Bij controle langs de computer blijft bestands- of data-analyse een mogelijkheid. (SRA, 2010) ISACA geeft tips & trucs hoe om te gaan met CAAT s; bijvoorbeeld dat het doel van de CAAT s duidelijk moet zijn en dat de data betrouwbaar moet zijn. (ISACA, 2010) Wanneer aan bepaalde eisen wordt voldaan kan data-analyse tot interessante resultaten leiden (Brouwers et al., 2007) (Toledo et al, 2010). Data-analyse heeft ook valkuilen: de analyse kan bijvoorbeeld een uitgebreide uitzonderingsrapportage opleveren waarvan het afwerken tijdsintensief is, de relatie tussen de analyse en de auditevidence is onduidelijk, of de relatie met de controleaanpak ontbreekt. In de praktijk is ook enkele malen gebleken dat analyses waren uitgevoerd op onvolledige data. (Toledo et al, 2010) 2. Process-mining Audit-software kan ook worden ingezet om de werking van processen, interfaces en dergelijke te onderzoeken. (Schouten, 2003) Dit soort onderzoeken vinden plaats in een ICT-omgeving met een hoger volwassenheidsniveau dan bij het MKB gebruikelijk is, zie paragraaf 2.3 van dit hoofdstuk. Daarom valt deze techniek buiten de scope van dit referaat. 3. Automated monitoring/testing De techniek van Automated monitoring/testing kan bijvoorbeeld worden gecombineerd met SQL om realtime de verbanden in de waardekringloop van Starreveld te waarborgen. Ook bij Automated monitoring/testing is meestal sprake van een hoger volwassenheidsniveau dan bij het MKB gebruikelijk is. VERTROUWELIJK 47 / 115

48 2.8.4 Knelpunten in de praktijk en theoretische oplossingen Bij veel IT-audit werkzaamheden zal de inzet van een deskundige nodig zijn. De accountant zal deze deskundigheid op moeten doen. Hierbij kunnen publicaties van NOREA en SRA van dienst zijn (NOREA 1998, SRA 2010). Het SRA geeft tevens handvatten voor de samenwerking met een IT-auditor. Koopmans geeft aan dat deze samenwerking in praktijk niet soepel loopt, wat zich uit doordat bevindingen van de IT-auditor niet goed worden omgezet in gevolgen voor de jaarrekeningcontrole, en geeft aanbevelingen voor verbetering zoals afstemming tussen de IT-auditor en de accountant tijdens de planningsfase van de controle (Koopmans, 2010). Ook Van Bommel en Van Goor hebben hiervoor een methodiek uitgewerkt (Bommel et al., 2006). De IT-auditor zou een soort coachende rol kunnen aannemen waarbij hij, desgewenst, met de accountant trainingen verzorgt waarin hij accountants leert met de impact van IT op de jaarrekeningcontrole om te gaan (Meuldijk et al., 2007). Van der Heijden en Benjaminse ontwikkelden een model om data-analyse als onderdeel van de jaarrekeningcontrole efficiënter en effectiever in te kunnen zetten omdat vanuit de praktijk bleek dat door diverse redenen de kosten van CAAT s niet opwogen tegen de baten. (Heijden, 2012) In het model wordt de data-analyse uitgevoerd door een specialistenteam en vormt de ITauditor de schakel tussen het specialistenteam en de accountant. Kornelisse ziet niet alleen een rol voor specialisten bij data-analyse, maar ook bij de controle van systeemconfiguraties (Kornelisse, 2007). Het is aan de accountant, ondersteund door de IT-auditor en het specialistenteam, een goede mix te vinden tussen (procesgerichte) data-analyse, beoordelen functiescheiding, testen IT General Controls, maar ook manual controls om voldoende zekerheid te krijgen bij de beweringen (Boerkamp, 2010). Het toepassen en uitwisselen van best practices en tips & trucs kunnen hierbij van dienst zijn (Romme, 2011) Een project van de SRA om van een aantal veel gebruikte softwarepakketten in kaart te brengen hoe de accountant de werking van de relevante application controls kan vaststellen is afgebroken. 2.9 Samenvatting en conclusie Dit hoofdstuk heeft tot doel om in kaart te brengen welke verplichtingen en (on)mogelijkheden er vanuit de wetgeving respectievelijk theorie zijn om IT-audit te integreren in de jaarrekeningcontrole. Hiervoor is in paragraaf 2 een antwoord gegeven op de deelvragen uit hoofdstuk 1 paragraaf 6 en is in de paragrafen 3 tot en met 7 relevante bronnen bestudeerd. Dit VERTROUWELIJK 48 / 115

49 bronnenonderzoek is in paragraaf 8 samengevat per aandachtsgebied Wettelijke verplichten, Risicoanalyse, Computer Assisted Audit Techniques en Knelpunten in de praktijk en theoretische oplossingen. Uit dit bronnenonderzoek zijn een aantal bevindingen te formuleren: 1. Wat de auteur van dit referaat opvalt is dat, ondanks dat het bronnenonderzoek breed is ingezet, de beschikbare informatie uit de literatuur qua diepgang beperkt is. 2. Voor het verkrijgen en vastleggen van kennis over de geautomatiseerde gegevensverwerking zijn een aantal theoretische modellen beschikbaar, maar geen eenduidige voorbeelden. Dit zal in praktijk leiden tot een variëteit aan vastleggingen. 3. Deze variëteit wordt verstrekt doordat op de accountancyopleidingen weinig aandacht aan ICT wordt geschonken. Het kennisniveau van accountants is in beginsel derhalve onvoldoende om goed de impact van de ICT-omgeving van de klant op de controleaanpak te bepalen. Uit onderzoek van Vaassen is gebleken dat hierdoor de accountant te weinig controlerelevante risico s in de ICT-omgeving onderkent. 4. De IT-auditor kan de accountant ondersteunen bij deze risicoanalyse, maar ook bij het vertalen van risico s naar controlewerkzaamheden en het gebruikt van CAAT s zoals data-analyse ter ondersteuning van de jaarrekeningcontrole. 5. De praktijk leert dat samenwerking tussen de IT-auditor en de accountant niet soepel verloopt. Tips ter verbetering zijn goede communicatie en de IT-auditor vanaf het begin van de jaarrekeningcontrole bij de opdracht betrekken. Bijvoorbeeld bij BDO Audit & Assurance wordt dit toegepast. In hoofdstuk 3 worden wordt informatie van de klanten van ROZA Audit & Assurance BV met een relatief hoog volwassenheidsniveau van de ICT-omgeving verzameld en deze informatie wordt in hoofdstuk 4 geconfronteerd aan het bronnenonderzoek in dit hoofdstuk teneinde de theoretische oplossingen om te kunnen zetten in praktische oplossingen. Deze praktische oplossingen zijn vervolgens op hoofdlijnen besproken met de verantwoordelijke controleleiders op de opdrachten bij de geselecteerde klanten. VERTROUWELIJK 49 / 115

50 VERTROUWELIJK 50 / 115

51 3. Casestudy IT-audit in de MKBjaarrekeningcontrole 3.1 Inleiding In dit referaat wordt onderzoek gedaan naar de mogelijkheden om IT-audit in te zetten als ondersteuning van de MKB-jaarrekeningcontrole. Een onderdeel daarvan is een casestudy om in kaart te brengen wat de impact van de ICT-omgeving bij de klant op de jaarrekeningcontrole is. In dit hoofdstuk wordt de opzet van een onderzoek voor het deel van de casestudy beschreven. De voor de casestudy geselecteerde klanten worden beschreven in paragraaf 2. De paragrafen 3 en 4 bevatten informatie over de klanten waarbij de ICT-omgeving zich typeert als zijnde belangrijk, of waarvan de classificatie neigt naar belangrijk waarna in paragraaf 5 wordt samengevat en conclusies worden getrokken. 3.2 Gebruikte gegevens Ten behoeve van de casestudy zijn opdrachten aan ROZA Audit & Assurance tot controle van de jaarrekening over boekjaar 2011 met een opdrachtwaarde, exclusief meerwerk, van ,- of meer geselecteerd. Deze grens is gesteld om bedrijven met specifieke activiteiten zoals holdingactiviteiten of deputaatschappen buiten de selectie houden omdat deze bedrijven geen of een lage mate van automatisering kennen en zich daarom beter lenen voor een gegevens gerichte controle om de computer heen. Deze scheiding op opdrachtomvang heeft geleid tot een selectie van bijna 40 verschillende controleopdrachten. U treft deze selectie in bijlage 3. De bedrijven in de selectie betreffen BV s, CV s en stichtingen waarvan de activiteiten in hoofdlijnen zijn te typeren als handel, productie/bouw en dienstverlening en die bij wet verplicht of vrijwillig hun jaarrekening door ROZA Audit & Assurance laten controleren. Voor de klanten in de selectie is door het controleteam op de opdracht een standaard SRAchecklist ingevuld met als doel de automatiseringsomgeving te classificeren. U treft deze checklist in bijlage 4. Deze classificatie heeft als doel een indicatie te geven van het volwassenheidsniveau van de ICT-omgeving van desbetreffende klant. Dit volwassenheidsniveau wordt gebruikt om te bepalen in welke mate, tijdens de jaarrekeningcontrole, in beginsel op de automatiseringsomgeving gesteund kan worden bij de jaarrekeningcontrole. VERTROUWELIJK 51 / 115

52 Wat de auteur van dit referaat opvalt in de selectie is dat ondanks de relatief kleine populatie in totaal 22 verschillende antwoorden zijn gegeven bij 'pakket financiële administratie'. Exact (6, globe 2) en accountview (6) worden veel gebruikt, daarna volgt Navision (3). De antwoorden op de vraag pakket logistieke administratie is zelfs meer divers: 28 verschillende pakketten waarvan alleen Navision (3), Intraoffice/Transpas (3), Accountview (2) en Syntess (2) meerdere keren voorkomen. 3.3 Klanten die worden geclassificeerd als Belangrijk In totaal is bij zes bedrijven de automatiseringsomgeving te classificeren als belangrijk. Deze classificatie is gedaan op basis van de checklist automatisering zoals opgenomen in bijlage 4. In alle gevallen was degene die de checklist invulde een andere dan degene die deze ingevulde checklist reviewde. De activiteiten van deze bedrijven betreffen handel, productie en dienstverlening in de vorm van advies of het beschikbaar stellen van specifiek gereserveerde ruimte. Het gemiddelde balanstotaal van deze zes bedrijven is , de gemiddelde omzet en het gemiddeld aantal werknemers bij deze bedrijven bedraagt 177 op fulltime basis. Bij deze bedrijven is vijf keer een goedkeurende verklaring afgegeven, en één keer, bij de kleinste, een oordeelonthouding. In bijlage 5 is een beschrijving van deze bedrijven opgenomen, de informatie in de beschrijving is ontleend aan het controledossier en interviews met de controleleider. Hierna worden de bedrijven per aandachtsgebied behandeld Wettelijke verplichtingen Bij alle zes de bedrijven is door het controleteam een beschrijving van de automatisering opgenomen. De diepgang van deze beschrijving varieert van alleen een eenvoudige tabel met de gebruikte programma s tot een uitgebreide beschrijving per programma. Deze uitgebreide beschrijving wordt pluriform uitgewerkt omdat er geen standaard voor beschikbaar is. De relatie tussen de jaarrekeningposten, de processen en de programma s is niet (twee keer) of beperkt (vier keer) vastgelegd. Voor deze vastlegging is ook geen standaard beschikbaar, maar wordt bijvoorbeeld de AO/IB beschrijving gebruikt. De SRA praktijkhandreiking inzake automatisering instrueert dat bij onderneming waarvan de ICT-omgeving wordt geclassificeerd als Belangrijk de accountant ook aandacht moet besteden VERTROUWELIJK 52 / 115

53 aan service level beheer en leverancierskeuze. Dit blijkt in de dossiers waar het IT-auditteam niet is ingeschakeld niet gedaan te zijn. Bij alle controles wordt gebruik gemaakt van de automatiseringsomgeving en melding gedaan over de continuïteit en betrouwbaarheid van de geautomatiseerde gegevensverwerking. Deze continuïteit en betrouwbaarheid is door het invullen van de checklist automatisering bepaald en is voldoende tot goed, verbeterpunten betreffen het achteraf kunnen wijzigen van gegevens of te ruime rechten. In beide situaties betekent dit een bedreiging voor de betrouwbaarheid van de geautomatiseerde gegevensverwerking, maar deze dreiging is niet zo groot dat aanvullende werkzaamheden zijn geformuleerd Risicoanalyse In totaal zijn bij de zes bedrijven 49 risico s geïdentificeerd. Uit een inventarisatie blijken deze verdeeld te zijn zoals opgenomen in tabel geïdentificeerde risico s. Tabel geïdentificeerde risico s Beschrijving risico Aantal 1. Onjuiste waardering balanspost Onjuiste berekening en afdracht belasting 8 3. Fraude bij betaling of inkoop 4 4. Onjuiste berekeningen (bijvoorbeeld omzet) 4 5. Flatteren cijfers 3 6. Doorbreking AO/IB door de directeur 3 7. Niet voldoen aan contractuele eisen 2 8. De ICT werkt niet naar behoren 1 Totaal 49 Uit de risico-inventarisatie blijkt dat bijna de helft van de risico s die worden onderkend samenhangen met waarderingsvraagstukken in jaarrekeningposten zoals voorraad, debiteuren, voorzieningen en dergelijke. Met betrekking tot de ICT-omgeving is één risico onderkend. VERTROUWELIJK 53 / 115

54 3.3.3 Computer Assisted Audit Techniques Bij alle klanten kan een auditfile of gelijksoortig bestand worden geëxporteerd, maar slechts bij de helft van de opdrachten wordt bestandsanalyse daadwerkelijk gebruikt om één of meerdere risico s te mitigeren. Er is geen uniformiteit voor wat betreft de bestandsanalyses in relatie tot de risico s: waar bij de ene klant bestandsanalyse wordt ingezet om bijvoorbeeld mogelijke fraude door de controller aan het licht te brengen, wordt dit risico bij een andere klant door andere werkzaamheden gemitigeerd Knelpunten in de praktijk en theoretische oplossingen Medio 2011 is binnen ROZA Audit & Assurance een IT-audit team gevormd die de controleteams kan bijstaan bij vraagstukken inzake de ICT-omgeving bij de controleopdracht. Bij één opdracht is contact gezocht met het IT-auditteam, met dien verstande dat een lid van het ITauditteam sowieso bij deze opdracht was betrokken. Bij de overige opdrachten was er vanuit het controleteam geen aanleiding om de deskundigheid van het IT-auditteam in te schakelen. In vijf gevallen is dus de instructie Bepaal de werkzaamheden hieromtrent in overleg met het IT- Audit team genegeerd. Reden hiervoor kan zijn dat deze instructie niet duidelijk uit de Checklist Automatisering (bijlage 4) blijkt. Verder blijkt dat bij één opdracht de SRA Praktijkhandreiking SRA Controleaanpak en Automatisering is geraadpleegd. Voor wat betreft de controle over het boekjaar 2012 is het IT-auditteam bij meer opdrachten ingeschakeld, maar deze opdrachten vallen buiten de scope van dit referaat. 3.4 Klanten die neigen naar de classificatie Belangrijk Bij acht bedrijven neigt de classificatie van de automatiseringsomgeving naar belangrijk (waarde = 3), dat wil zeggen dat deze is geclassificeerd als beperkt (waarde = 1) maar het gemiddelde uit de antwoorden bij de vijf factoren Integratie, Complexiteit van de systemen, Afhankelijkheid van de bedrijfsvoering, Gevoeligheid voor de beheersingsrisico s en Belang voor de Managementinformatie 2 of hoger is. Deze classificatie is gedaan op basis van de checklist automatisering zoals opgenomen in bijlage 4. Bij twee opdrachten was degene die de ingevulde checklist reviewde een ander dan degene die deze checklist invulde, maar bij de andere zes opdrachten had de invuller zijn eigen werk gereviewd of had geen review plaatsgevonden. Hierdoor zijn de gegeven antwoorden minder betrouwbaar. VERTROUWELIJK 54 / 115

55 De acht bedrijven in deze selectie houden zich bezig met handel, bouw, productie en dienstverlening. Het gemiddelde balanstotaal van deze bedrijven is , de gemiddelde omzet en het gemiddeld aantal werknemers bij deze bedrijven bedraagt 59 op full-time basis. Bij deze bedrijven is vijf keer een goedkeurende verklaring afgegeven, twee keer een oordeelonthouding, en één opdracht is nog niet afgerond. In bijlage 6 is een beschrijving van deze bedrijven opgenomen, de informatie in de beschrijving is ontleent aan het controledossier en interviews met de controleleider. Hierna worden de bedrijven per aandachtsgebied behandeld Wettelijke verplichtingen Bij de acht bedrijven is een beschrijving van de automatisering opgenomen door het controleteam. Deze beschrijving loopt uiteen qua diepgang van alleen de eenvoudige tabel die standaard in het dossier zit met daarin de gebruikte programma s, tot een meer uitgebreide beschrijving waarin ook de programma s uiteen worden gezet. Omdat er geen standaard beschikbaar is, werd deze beschrijving op verschillende manieren uitgewerkt. Drie keer is in de AO/IB beschrijving min of meer de koppeling tussen de jaarrekeningposten - processen - programma s vastgelegd. In vijf dossier ontbreekt deze koppeling. Deze koppeling zit niet automatisch in het standaard dossiersjabloon. Bij alle controles wordt gebruik gemaakt van de automatiseringsomgeving en melding gedaan over de continuïteit en betrouwbaarheid van de geautomatiseerde gegevensverwerking. Deze continuïteit en betrouwbaarheid is bij zes opdrachten bepaald door het invullen van de checklist automatisering. In twee dossiers is wel melding gedaan dat er geen bijzonderheden zijn, maar is de checklist niet gebruikt. Verbeterpunt met betrekking tot de betrouwbaarheid betreft te ruime rechten voor gebruikers. De dreiging uit dit verbeterpunt is niet ingeschat als zo groot dat aanvullende werkzaamheden werden geformuleerd Risicoanalyse Bij de acht bedrijven zijn in totaal 50 risico s geïdentificeerd. Uit tabel geïdentificeerde risico s blijkt welke risico s het betreft. VERTROUWELIJK 55 / 115

56 Tabel geïdentificeerde risico s Beschrijving risico Aantal 1. Onjuiste waardering balanspost Onjuiste berekening en afdracht belasting Flatteren cijfers 8 4. Fraude bij betaling of inkoop 3 5. Onjuiste berekeningen (bijvoorbeeld omzet) 2 6. Doorbreking AO/IB door de directeur 2 7. Niet voldoen aan contractuele eisen 1 8. De ICT werkt niet naar behoren 0 Totaal 50 Bijna de helft van de risico s die worden onderkend hangen samen met waarderingsvraagstukken in jaarrekeningposten zoals voorraad, debiteuren, voorzieningen en dergelijke, zoals blijkt uit de risico-inventarisatie in tabel geïdentificeerde risico s Computer Assisted Audit Techniques Bij alle controleopdrachten is het mogelijk een audit-file of een dergelijke export van de financiële administratie te maken. Bij het raadplegen van de controledossiers bleek niet direct dat van bestandsanalyse gebruik was gemaakt, maar overleg met de controleleiders leerde dat bij vier van de acht opdrachten bestandsanalyse is ingezet, met name om specifieke risico s af te dekken en in mindere mate voor het uitvoeren van cijferbeoordelingen. De wens is uitgesproken hier bij de controle over 2012 meer gebruik van te maken Knelpunten in de praktijk en theoretische oplossingen Bij geen van de opdrachten over boekjaar 2011 is door het controleteam het, medio 2011 binnen ROZA Audit & Assurance gevormde, IT-auditteam geraadpleegd. Bij een aantal opdrachten met betrekking tot boekjaar 2012 is dit wel gebeurd. VERTROUWELIJK 56 / 115

57 3.5 Samenvatting en conclusie In totaal zijn 14 bedrijven uit de praktijk van ROZA Audit & Assurance onderzocht, waarvan bij zes bedrijven de ICT-omgeving kan worden geclassificeerd als Belangrijk en bij acht bedrijven kan deze worden geclassificeerd als Neigt naar belangrijk. Het onderzoek heeft plaats gevonden op basis van de vier aandachtsgebieden zoals uit het bronnenonderzoek in hoofdstuk 2, met name paragraaf 8, naar voren zijn gekomen. Uit het onderzoek is gebleken dat bij de 14 opdrachten melding is gemaakt naar het bestuur van de ondernemingen over de continuïteit en betrouwbaarheid van de geautomatiseerde gegevensverwerking, en dat hierin verbeterpunten zijn onderkent, maar deze verbeterpunten hebben niet tot risico s geleid. Van de 99 risico s hing er 1 samen met ICT, en voor de overig 98 is in zeer beperkte mate gebruik gemaakt van CAAT s. In hoofdstuk 4 van dit referaat wordt de praktijksituatie zoals uit het onderzoek in dit derde hoofdstuk is gebleken geconfronteerd met de theorie uit het bronnenonderzoek in hoofdstuk 2. VERTROUWELIJK 57 / 115

58 VERTROUWELIJK 58 / 115

59 4. Confrontatie casestudy met bronnenonderzoek IT-audit in de MKB-praktijk 4.1 Inleiding In dit hoofdstuk wordt de casestudy uit hoofdstuk 3 geconfronteerd met het bronnenonderzoek in hoofdstuk 4. Het doel van deze confrontatie is inzicht te krijgen in welke theorie uit het bronnenonderzoek al in praktijk gebracht is, en welke theorie nog in praktijk gebracht zou kunnen worden. De bevindingen uit dit onderzoek worden in paragraaf 3 samengevat. De samenvatting is de aanzet tot de conclusie van het onderzoek in dit referaat. Deze conclusie wordt getrokken in hoofdstuk 5 paragraaf 5 en geeft antwoord op de onderzoeksvraag die in dit referaat centraal staat: In welke mate kan bij de MKBjaarrekeningcontrole gebruik worden gemaakt van IT-auditing, rekening houdend met de ICTomgeving van de klant? 4.2 Resultaten confrontatie In deze paragraaf worden de bevindingen uit de casestudy behandeld per aandachtsgebied zoals in hoofdstuk 2 paragraaf 8 uiteengezet. Per aandachtgebied wordt tevens besproken wat de verschillen en overeenkomsten zijn tussen de zes bedrijven waarvan de ICT-omgeving is geclassificeerd als Belangrijk en de acht bedrijven waarvan de ICT-omgeving is geclassificeerd als Neigt naar belangrijk. Ook de meningen van de verantwoordelijk controleleiders zijn in deze paragraaf opgenomen Wettelijke verplichtingen Bij alle controleopdrachten is een beschrijving van de ICT-omgeving van de gecontroleerde opgenomen. Er wordt verschillend invulling gegeven aan de diepgang van deze beschrijving, en ook de uitwerking van een diepgaande beschrijving is divers door het gebrek aan praktische handvatten binnen het standaardsjabloon van het een controledossier. De relatie tussen de jaarrekeningposten, processen en programma s zoals min of meer vereist volgens Standaard 230 Controle-informatie en 315 Het onderkennen en inschatten van de risico's van een afwijking van materieel belang door middel van het verwerven van inzicht in de entiteit en haar VERTROUWELIJK 59 / 115

60 omgeving is niet of in enkele dossiers alleen beperkt vastgelegd. De accountant kan voor het vastleggen van deze relatie modellen gebruiken zoals aangereikt in Leidraad 12 van de NOVAA en de SRA Praktijkhandreiking SRA controleaanpak en automatisering. De SRA praktijkhandreiking inzake automatisering instrueert dat bij onderneming waarvan de ICT-omgeving wordt geclassificeerd als Belangrijk de accountant ook aandacht moet besteden aan service level beheer en leverancierskeuze. Dit blijkt in de dossiers waar het IT-auditteam niet is ingeschakeld niet gedaan te zijn terwijl hiervoor wel modellen beschikbaar zijn. Bij alle opdrachten is melding gemaakt over de betrouwbaarheid en continuïteit van de geautomatiseerde gegevensverwerking. Overleg met verschillende controleleiders leerde dat niet bekend was dat deze verplichting niet van toepassing is indien geen gebruik wordt gemaakt van de geautomatiseerde gegevensverwerking, maar dat volstaan kan worden met de melding dat geen gebruik is gemaakt van de geautomatiseerde gegevensverwerking Risicoanalyse Van de 99 geïdentificeerde risico s is bijna de helft geïdentificeerd bij schattingsposten, en is er één gerelateerd aan de ICT-omgeving; bij een klant waarvan de ICT-omgeving kan worden geclassificeerd als Belangrijk. Dit lijkt een bevestiging van het onderzoek van Vaassen waarin hij concludeert dat de steeds verdere implementatie van ERP-systemen door accountants onvoldoende wordt vertaald naar een hogere risico-inschatting en bijbehorende werkzaamheden (Vaassen, 2003). Op dit gebied zouden accountants meer deskundigheid moeten verkrijgen. Tijdens een overleg met de controleleiders van ROZA Audit & Assurance bleken zij zich hierin te kunnen vinden. Wat hierbij opvalt is dat risico s met eenzelfde karakter, bijvoorbeeld de te ruime betalingsbevoegdheid van de administrateur, op verschillende manieren wordt aangepakt. Door gelijksoortige risico s, en de controleaanpak daarbij, in een overleg tussen controleleiders te bespreken kunnen tips & trucs / best practices worden uitgewisseld om de controleaanpak meer uniform en mogelijk efficiënter aan te pakken. De controleleiders hebben de wens uitgesproken bij de jaarrekeningcontroles 2012 meer gebruik te maken van een uniforme aanpak en van CAAT s VERTROUWELIJK 60 / 115

61 4.2.3 Computer Assisted Audit Techniques Bij de helft van de bedrijven is bestandsanalyse ingezet als controletechniek, terwijl bij alle opdrachten een auditfile of iets dergelijks beschikbaar was. De reden dat bij deze bedrijven bestandsanalyse is ingezet is vanwege het kunnen mitigeren van specifieke risico s, en in mindere mate om een oriënterende cijferbeoordeling uit te voeren. Binnen de ROZA-groep bestaat een taakverdeling tussen ROZA Accountants & Adviseurs die jaarrekeningen opstelt en ROZA Audit & Assurance die deze jaarrekeningen controleert. ROZA Accountants & Adviseurs maakt hierbij gebruik van software van Unit4, waaronder DataCollector en AccountAnalyser. Tom Koning gaf in het interview met hem aan dat deze programma s goed gebruikt kunnen worden om data-analyse uit te voeren. In praktijk wordt hier geen gebruik van gemaakt door ROZA Audit & Assurance. Dit is een verbeterpunt dat bij de jaarrekeningcontroles 2012 opgepakt gaat worden door de controleleiders Knelpunten in de praktijk en theoretische oplossingen Op de veertien opdrachten is één keer contract gezocht met het IT-auditteam dat medio 2011 is gevormd. Dit is een opdracht waarbij een lid van het IT-auditteam was betrokken. Bij de overige opdrachten was er vanuit het controleteam geen aanleiding om de deskundigheid van het ITauditteam in te schakelen. In vijf gevallen is dus de instructie Bepaal de werkzaamheden hieromtrent in overleg met het IT-Audit team genegeerd. Reden hiervoor kan zijn dat deze instructie niet duidelijk uit de Checklist Automatisering (bijlage 4) blijkt. Maar deze instructie kan ook een reden zijn dat ICT-omgevingen bewust lager zijn geclassificeerd om onder extra werkzaamheden uit te komen. Een andere mogelijkheid is de deskundigheid van het controleteam met betrekking tot het invullen van de Checklist Automatisering; uit onderzoek van Vaassen (Vaassen, 2003) is gebleken dat accountants niet goed in staat blijken te zijn risico s te identificeren die samenhangen met de steeds verdere implementatie van ERP-systemen. Vorenstaande geeft aanleiding om het kennisniveau van de accountant met betrekking tot IT te verhogen. De accountancyopleiding lijkt hierin tekort te schieten, maar het is bijvoorbeeld mogelijk cursussen hierin te volgen. Meuldijk geeft aan dat de IT-auditor een soort coach rol aan zou kunnen nemen waarbij hij, desgewenst met de accountant, trainingen verzorgt waarin hij accountants leert met de impact van IT op de jaarrekeningcontrole om te gaan (Meuldijk et al., 2007). Deze IT-auditor zou een brug kunnen slaan tussen de accountant en de ITspecialisten, bijvoorbeeld inzake systeemconfiguratie of data-analyse. In deze laatste situatie VERTROUWELIJK 61 / 115

62 kan het model van Van der Heijden en Benjaminse ondersteuning bieden de jaarrekeningcontrole efficiënter en effectiever uit te kunnen voeren (Heijden, 2012) De controle van de werking van General IT-controls en Application-controls blijft specialistisch werk omdat in praktijk blijkt dat de programma s die door de klanten van ROZA Audit & Assurance worden gebruikt zeer divers zijn. Het gebruik van SQL zoals geopperd door Kreuze en Koning en ook Toledo, Lamberiks en Rijnders blijkt voor ROZA Audit & Assurance nog een brug te ver omdat het ontbreekt aan algemene en specifieke SQL-kennis en door de verscheidenheid aan programma s loont het niet de moeite hierin te investeren. Door de auteur van dit referaat is bij een paar klanten nagegaan of een beschrijving van de SQL-database beschikbaar was. Dit bleek niet het geval, maar (dure) consultants waren wel bereid de gevraagde informatie te leveren. Dit kan worden gezien als bedreiging voor de analyse van Big Data ; wanneer bedrijven eerst moeten investeren om in kaart te brengen welke data zij registreren leidt de analyse van Big Data minder snel tot economische voordelen. 4.3 Samenvatting en conclusie In dit hoofdstuk is door de casestudy te confronteren aan het bronnenonderzoek inzicht verkregen in welke mate theorie uit het bronnenonderzoek reeds door ROZA Audit & Assurance in praktijk wordt gebracht, en welke mogelijkheden er nog liggen. Uit het onderzoek is gebleken dat de ICT-omgeving van de klanten in beperkte mate wordt betrokken in de controleaanpak. Het gevolg hiervan is dat de ICT-omgeving in hoofdlijnen wordt geïnventariseerd en beschrijvingen met meer diepgang zijn op diverse manieren uitgewerkt door gebrek aan standaard sjablonen. De relaties tussen de jaarrekeningposten, processen en programma s zijn niet beschreven, of is in de AO/IB-beschrijving beperkt uiteengezet. De risicoidentificatie is hierdoor ook gering; van de 99 risico s hangt er één samen met de ICTomgeving. Ook bevindingen uit de verplichte melding inzake de continuïteit en betrouwbaarheid van de geautomatiseerde gegevensverwerking zijn niet vertaald naar risico s. Ook kansen worden niet benut: bij alle klanten is een auditfile of iets dergelijks beschikbaar, maar bij de helft van de klanten wordt hier geen gebruik van gemaakt. Bij opdrachten waar wel gebruik van bestandsanalyse wordt gemaakt blijkt dit gebruikt te zijn om risico s te mitigeren die bij andere opdrachten met een andere aanpak zijn gemitigeerd. Een eenduidige controleaanpak ontbreekt, maar door het delen van best-practices kan dit worden bereikt zodat controles efficiënter worden uitgevoerd. Dit ligt in lijn met de aanbevelingen uit het gesprek met Lansbergen. VERTROUWELIJK 62 / 115

63 5. Conclusie 5.1 Inleiding In dit hoofdstuk wordt in paragraaf 2 het doel van het onderzoek en de probleemstelling gegeven. De uitkomsten van het bronnenonderzoek en de casestudy worden in paragraaf 3 besproken door per aandachtsgebied uiteen te zetten welke theorie vanuit het bronnenonderzoek bij ROZA & Audit & Assurance wordt gebruikt, en met betrekking tot welke literatuur er nog kansen liggen. Op basis van deze bespreking wordt in het vierde paragraaf een conclusie getrokken en worden aanbevelingen gedaan om de rol van IT-audit bij de jaarrekeningcontrole te vergroten. In paragraaf 5 wordt de bijdrage van het onderzoek behandeld. In het zevende paragraaf worden een aantal kanttekeningen en discussiepunten bij het onderzoek uiteen gezet om in paragraaf 7 tot aanbevelingen voor vervolgstudie te komen. 5.2 Doelstelling en onderzoeksvraag Het doel van het onderzoek is dat meer inzicht ontstaat in de mogelijkheden om IT-Audit technieken op een eenvoudige en praktische wijze in te zetten als instrument in de MKB-jaarrekeningcontrole teneinde de jaarrekeningcontrole efficiënter en/of effectiever uit te voeren. Teneinde dit doel te verwezenlijken is de volgende probleemstelling gedefinieerd: In welke mate kan bij de MKB-jaarrekeningcontrole gebruik worden gemaakt Teneinde tot een oplossing voor de hierboven toegelichte probleemstelling te komen is een bronnenonderzoek uitgevoerd en is middels een casestudy de praktijksituatie met de theorie uit het bronnenonderzoek geconfronteerd. De uitkomsten van deze casestudy is behandeld in paragraaf 3. VERTROUWELIJK 63 / 115

64 5.3 Uitkomsten casestudy In deze paragraaf wordt per aandachtsgebied, zoals uiteengezet in paragraaf 8 van het bronnenonderzoek in hoofdstuk 2, besproken of desbetreffende theorie wel of niet in de controlepraktijk van ROZA Audit & Assurance wordt toegepast Wettelijke verplichtingen De accountant dient kennis te verkrijgen over de geautomatiseerde gegevensverwerking voor zover van belang voor de financiële verslaggeving en de communicatie. De dossiervastleggingen hieromtrent mogen proportioneel zijn. Hierbij kan worden gedacht aan de relatie tussen de jaarrekeningposten, processen en systemen en de key controls. (NV-COS 230 en 315) De verkregen kennis is gemiddeld genomen summier te noemen. De relatie tussen jaarrekeningposten, processen en programma s wordt bij een beperkt aantal klanten ten dele vastgelegd. Indien de accountant bevindingen heeft met betrekking tot, op zijn minst de betrouwbaarheid en continuïteit van, de geautomatiseerde gegevensverwerking, vanuit de normale uitoefening van zijn taak in het kader van de controle van de jaarrekening, heeft de accountant een verplichting om melding te maken van deze bevindingen. In de situaties dat er geen bevindingen zijn of dat de accountant de geautomatiseerde gegevensverwerking niet in de controle betrekt dient hij hiervan melding te maken om misverstanden te voorkomen. (393 lid 4 BW, NBA 1993) Bij de 14 klanten is hiervan melding gemaakt. Bij 12 opdrachten is de checklist automatisering gebruikt om kennis hieromtrent te verkrijgen. Verbeterpunten met betrekking tot de betrouwbaarheid hebben niet geleid tot risico s Risicoanalyse Gebleken is dat de steeds verdere implementatie van ERP-systemen door accountants onvoldoende wordt vertaald naar een hogere risico-inschatting en bijbehorende werkzaamheden. Dit pleit ervoor dat accountants deskundigheid op dit gebied ontwikkelen. (Vaassen, 2003) Rabe en Johan geven als antwoord hierop een gezamenlijke risicoanalyse door de IT-auditor en de accountant waardoor zowel de audit risks als de IT risks worden onderkend. Bij de controleteams is deskundigheid ingewonnen door het raadplegen van het IT-auditteam (één opdracht) of kennis nemen van de SRA Praktijkhandreiking SRA controleaanpak en VERTROUWELIJK 64 / 115

65 automatisering (één opdracht). In totaal is één risico geïdentificeerd die samenhangt met de ICT-omgeving op een totaal van 99 bij de 14 verschillende opdrachten. De SRA biedt voorbeelden van business risks en beheersingsmaatregelen met betrekking tot de ICT-omgeving. Deze voorbeelden zijn niet geraadpleegd Computer Assisted Audit Techniques Wanneer niet gesteund kan worden op de beheersingsmaatregelen in de ICT-omgeving kan de accountant kiezen voor de mogelijkheid bestands- of data-analyse. (SRA, 2010) Bij de helft van de opdracht is gebruik gemaakt van bestands- of data-analyse om specifieke risico s te mitigeren. Bij de andere helft stonden bestanden wel tot de beschikking van het controleteam maar is van de controletechniek bestands- of data-analyse geen gebruik gemaakt. Als audit-software worden ACL en IDEA genoemd. (Schouten, 2003) Tom Koning noemt Datacollector van Unit4 om data te extraheren om vervolgens in te lezen in AccountAnalyser. Bij een aantal opdrachten is IDEA of excel gebruikt voor data-analyse. De afdeling die de jaarrekeningen opstelt hanteert Unit4 maar van de meer dan 100 verschillende standaardrapportages waarop cijferbeoordeling en dergelijk kan worden uitgevoerd is geen gebruik gemaakt Knelpunten in de praktijk en theoretische oplossingen Het is aan de accountant ondersteund door de IT-auditor en het specialistenteam een goede mix in te vinden uit (procesgerichte) data-analyse, beoordelen functiescheiding, testen IT General Controls, maar ook manual controls om voldoende zekerheid te krijgen bij de beweringen. (Boerkamp, 2010). Bij geen van de opdrachten is een IT-auditor ingezet of is gebruik gemaakt van een specialistenteam. Eventuele bestands- en data-analyses zijn door het controleteam zelf verricht. Het toepassen en uitwisselen van best practices en tips & trucs kunnen hierbij van dienst zijn (Romme, 2011) Bij de jaarrekeningcontroles zijn geen best practices en tips & trucs uitgewisseld. Dit uit zich bijvoorbeeld doordat dezelfde soort risico s met verschillende controletechnieken worden gemitigeerd. VERTROUWELIJK 65 / 115

66 5.4 Conclusie en aanbevelingen Op basis van de casestudy blijkt dat binnen ROZA Audit & Assurance BV in zeer beperkte mate gebruikt wordt gemaakt van de ICT-omgeving bij de gecontroleerde ter ondersteuning van de jaarrekeningcontrole. Deze omgeving wordt slechts in beperkte mate in kaart gebracht en bij de helft van de opdrachten wordt gebruik gemaakt van bestandsanalyse. Vanuit het bronnenonderzoek blijkt dat ook de mogelijkheden om bij de MKB-jaarrekeningcontrole middels IT-auditing de ICT-omgeving bij de controleaanpak te betrekken beperkt zijn. Vanuit deze bevindingen kan worden geconcludeerd dat de probleemstelling van het onderzoek in dit referaat, In welke mate kan bij de MKB-jaarrekeningcontrole gebruik worden gemaakt van IT-auditing, rekening houdend met de ICT-omgeving van de klant?, kan worden beantwoord met de stelling dat deze mate beperkt is door het lage volwassenheidsniveau van deze ICTomgeving. De mogelijkheden die er wel zijn worden in geringe mate benut. Een reden hiervoor is dat de accountant te weinig in staat blijkt de ICT-omgeving bij de klant naar impact op de controleomgeving te vertalen. Door meer gebruik te maken van bestandsanalyse en best practices / tips & trucs geregeld met elkaar te delen zijn in theorie efficiencyvoordelen bij het uitvoeren van de controleopdrachten te behalen. Concreet leidt het onderzoek tot de volgende aanbevelingen: 1. Zorg voor een deskundige, dit kan een IT-auditor zijn of een gespecialiseerde accountant, die accountants kan helpen de ICT-omgeving bij de klant naar impact op de controleomgeving te vertalen en die de brug vormt tussen de accountant en de IT-specialisten / IT-auditor; 2. Vereis dat deze deskundige bij opdrachten met een bepaald volwassenheidsniveau standaard of een bepaalde omvang bij de opdracht wordt betrokken. Neem deze eis ook op bij (interne) dossierreviews; 3. Zorg voor heldere en eenduidige sjablonen en vragenlijsten om de ICT-omgeving van de klant in kaart te brengen. Hier kunnen beroepsorganisaties ook een rol in spelen; 4. Zet op bredere schaal bestands- of data-analyse in om efficiënter te controleren, maar ook om af te dwingen dat accountants hiermee vertrouwd raken. 5. Laat de deskundige op vaktechnische bijeenkomsten en / of overleggen tussen controleleiders iets vertellen over IT-audit en wat zijn bevindingen zijn bij lopende opdrachten zodat tips & trucs / best practices worden gedeeld en accountants meer kennis krijgen over ICT en de mogelijkheden van IT-audit; VERTROUWELIJK 66 / 115

67 6. Communiceer de verbeterpunten in de ICT-omgeving van de klant zodat deze passende actie kan ondernemen met als gevolg dat het volwassenheidsniveau van deze ICT-omgeving mogelijk hoger wordt; 5.5 Bijdrage van het onderzoek Het bronnenonderzoek in hoofdstuk 2 van dit referaat is breed aangevlogen. De reden hiertoe is dat vanuit het oriënterend onderzoek in hoofdstuk 1 bleek dat weinig informatie beschikbaar was. In de (internationale) wetenschap is door verschillende onderzoekers studie gedaan naar de rol van IT-audit bij de jaarrekeningcontrole. Het aantal van deze studies is echter beperkt en veelal zijn deze onderzoeken uitgevoerd onder beursgenoteerde bedrijven of andersoortige grote bedrijven. Het onderzoek onderscheidt zich hiervan doordat het zich specifiek richt op de rol van IT-audit binnen de MKB-jaarrekeningcontrole. De toegevoegde waarde van dit referaat voor accountants is tweeledig. Enerzijds bestaat inzicht in de wettelijke vereiste minimale werkzaamheden met betrekking tot de automatiseringsomgeving van de gecontroleerde als onderdeel van de jaarrekeningcontrole. Ten tweede biedt het onderzoek de accountant inzicht in de impact die de ICT-omgeving bij de gecontroleerde kan hebben op de jaarrekeningcontrole voor het onderdeel risicoanalyse, maar ook inzicht in de mogelijkheden om Computer Assisted Audit Techniques in te zetten bij de controle van de jaarrekening. 5.6 Kanttekeningen en discussie De selectie van de bedrijven ten behoeve van de casestudy is gebeurd op basis van de classificatie van de ICT-omgeving. Deze classificatie is door verschillende personen, in een aantal gevallen zonder review, gedaan. Onduidelijk is of deze personen voldoende kennis hadden de classificatie, op een uniforme wijze, te doen. Een ander punt van discussie is de kwaliteit van de gehanteerde literatuur. Het bronnenonderzoek is breed opgezet omdat weinig informatie beschikbaar was. Veel van de gebruikte bronnen betreffen een vorm van praktijkervaring, maar er is bijna geen gebruik gemaakt van wetenschappelijk onderzoek omdat dit er weinig is. VERTROUWELIJK 67 / 115

68 5.7 Aanbevelingen voor vervolgonderzoek Op basis van de resultaten uit het onderzoek zijn een aantal punten benoemd die kunnen leiden tot een efficiëntere en effectievere uitvoering van de jaarrekeningcontrole. Het verdient aanbeveling om nader onderzoek te doen of deze punten daadwerkelijk tot een betere prijs/kwaliteitverhouding leiden. Dit onderzoek kan gedaan worden onder de controles over het boekjaar 2013 omdat de jaarrekeningcontroles over boekjaar 2012 een soort overgangsperiode is waarin bij specifieke klanten kennis over de ICT-omgeving, en onder de controleleiders best practices / tips & trucs worden verzameld die bij de controles over boekjaar 2013 ingezet kunnen worden. VERTROUWELIJK 68 / 115

69 Literatuurlijst - Beurden, B.C.J.M. van en S.J. Hartjes, (2006), Integrated audit Efficiënte combinatie controleren jaarrekening en testen interne beheersingsmaatregelen, Maandblad voor Accountancy en Bedrijfseconomie, 1, p55-63; - Boerkamp, F. en S. Soerjoesing, (2010), Data-analyse als proces gericht controlemiddel, de IT- Auditor, 2010, 2, p 29 34; - Bommel, C.F. van en H.M. van Goor, (2005), IT-audiiting afbakenen in het kader van de jaarrekeningcontrole, Maandblad voor Accountancy en Bedrijfseconomie, 6, p ; - Bommel, C.F. van, H.M. van Goor, L.C. Peek en J.A.W. Winterink (2006), De betekenis van ITauditing voor de jaarrekeningcontrole ontrafeld!, Maandblad voor Accountancy en Bedrijfseconomie, 10, p ; - Brouwers, P.P.M.G.G. en B. Beugelaar, (2007), Fact-finding en data-analyse, toepassingen in de praktijk, Compact, 3, p39-44; - Centraal Bureau voor de Statistiek, 2011, het midden- en kleinbedrijf naar regio ; - European Commission, (2003), The new SME definition, User guide and model declaration ; - Fijneman, R.G.A., (1999), proefschrift De betekenis en inhoud van jaarrekening ICTauditing als onderdeel van de jaarrekeningcontrole Common body of knowledge Consequenties voor de accountantsopleiding, Tilburg, TilburgUniversityPress; - Gillensen, M.L., (2005), Fundamentals of Database Management Systems, Hoboken (New Jersey), John Wiley & Sons; - Heijden, B. van der en L. Benjaminse, (2012), Profiteren van data-analyse binnen de jaarrekeningcontrole Model voor het efficiënter toepassen van data-analyse, de IT-Auditor, 1, p 14 20; - Information Systems Audit and Control Association, (2010), IT Standards, Guidelines, and Tools and Techniques for Audit and Assurance and Control Professionals ; - Jonker, R.A. en R.J.M. van Langen, (2000), Samenwerking Financial auditor en EDP-auditor, Compact2, p8-13; - Koning, T, (2008), De nieuwe kleren van de accountant, Volendam, Cygnus Atratus; - Koopmans, L., (2010), RA en RE: samenwerking gaat niet vanzelf, de Accountant, p ; - Kornelisse, P., (2007), Jaarrekeningcontrole en technische IT-beveiliging, Compact, 3, p45-50; - Langen, R. van, D. Serberie, H.W. Tinholt en M. Sandifort, (2010), XML Auditfile als start voor de controle van de jaarrekening, Compact, 3, p8-14; - Meuldijk, A.M., M.A. Broskij en D.P. Neeteson, (2007), Accountant en IT-auditor - Samenwerking in de praktijk, Compact, 3, p7-14; - Nederlandse Beroepsorganisatie van Accountants, (1993) Audit Alert 1 De Wet Computercriminaliteit en Audit Alert 2 - De Wet Computercriminaliteit (vervolg) ; - Nederlandse Orde van Accountants-Administratieconsulenten, (2002), Leidraad 12 - De AA in een (kleinschalige) geautomatiseerde omgeving ; VERTROUWELIJK 69 / 115

70 - Nederlandse Orde van Register EDP-Auditors, (1998), IT-auditing aangeduid, NOREA geschrift No. 1; - Praat, J. van en H. Suerink, (2008), Inleiding EDP-auditing, Den Haag, Sdu Uitgevers; - Raad voor de Jaarverslaggeving, (2011), Richtlijnen voor de jaarverslaggeving, Deventer, Kluwer; - Romme, J., (2011), Het nut van best practices, de IT-Auditor, 3, p 40 45; - Romney M.B. en P.J. Steinbart, (2012), Accounting Information Systems, Toronto, Pearson Prentice Hall; - Roos Lindgreen, E.E.O., P.L. Overbeek en R. de Wolf, (2004), De accountant en de kruipruimte Hoe relevant is informatiebeveiliging voor de accountantscontrole, Maandblad voor Accountancy en Bedrijfseconomie, 1, p16-21; - Samenwerkende Registeraccountants en Accountants-Administratieconsulenten, (2010), SRA Praktijkhandreiking SRA controleaanpak en automatisering ; - Schellevis, W., (2010), Toepassing actueel common body of knowledge inzake jaarrekening ICT-auditing op de accountancyopleiding van Nyenrode, scriptie Universiteit Nyenrode; - Schouten, R.P., (2007), De toegevoegde waarde van audit software, Maandblad voor Accountancy en Bedrijfseconomie, 11, p ; - Singleton, T.W., (2009), What Every IT Auditor Should Know About Scoping an IT Audit, ISACA Journal, volume 4; - Singleton, T.W., (2010), The Minimum IT Controls to Assess in a Financial Audit (Part I), ISACA Journal, volume 1; - Singleton, T.W., (2010), The Minimum IT Controls to Assess in a Financial Audit (Part II), ISACA Journal, volume 2; - Singleton, T.W., (2011), How the IT Auditor Can Make Substantive Contributions to a Financial Audit, ISACA Journal, volume 1; - Starreveld, R.W, O.C. van Leeuwen, H. van Nimwegen, H.B. de Mare en E.J. Joëls, (2004), Bestuurlijke informatieverzorging, Groningen/Houten; - Toledo, P. van, G. Lamberiks en Q. Rijnders, (2010), Facts to Value Data omzetten in toegevoegde waarde, Compact, 1, p43-51; - Vaassen E.H.J., (2003), Risico-inschattingen door accountants in het kader van Interprise Resource Planning-systemen, Maandblad voor Accountancy en Bedrijfseconomie, 11, p ; - Verschuren, P. en Doorewaard, H., (2007), Het ontwerpen van een onderzoek, Den Haag, Lemma; - Wikipedia - automatisering: (1 december 2012, 15:30u); - Wikipedia IT-audit: (1 december 2012, 15:28u). VERTROUWELIJK 70 / 115

71 Bijlage 1 De vier controlestrategieën Het SRA-Handboek Controle onderscheidt vier verschillende controlestrategieën: 1. Ondernemingsgericht, waarbij zoveel mogelijk wordt gesteund op alle procedures rond de (interne beheersing van) de basisgegevens, op de gebruikerscontroles rond de geautomatiseerde gegevensverwerking, op de verwerkingscontroles en tevens op de beoordeling van de resultaten en de managementrapportages door de ondernemingsleiding. 2. Informatiesysteemgericht, waarbij met name op de procedures rond de (interne beheersing van de) basisgegevens en de geprogrammeerde controles wordt gesteund, maar niet op de interne beoordeling van de resultaten en de managementrapportages. Voor deze aanpak wordt gekozen als het management te weinig met de uitkomsten doet of omdat er geen harde ex ante normen zoals de begroting en dergelijke, aanwezig zijn. De accountant betrekt in dat geval mogelijk nog wel de managementrapportages in zijn verdiepende cijferbeoordelingen, analyseert eventuele afwijkingen en verifieert deze zelfstandig met basisgegevens. 3. Proceduregericht, waarbij alleen op de procedures rond de (interne beheersing van de) basisgegevens wordt gesteund. In deze situatie heeft de accountant besloten om niet op de verwerkings- en managementcontroles te steunen. De accountant zal deze werkzaamheden aanvullen met eigen cijferanalyses en waar nodig met aanvullende gegevensgerichte detailcontroles. 4. Gegevensgericht, waarbij de organisatiegerichte werkzaamheden zich beperken tot het vaststellen van opzet en bestaan van de onvervangbare interne beheersingsmaatregelen. VERTROUWELIJK 71 / 115

72 De vier controlestrategieën worden toegepast op het niveau van beweringen, rekeningsaldi, transactiestromen en/of de financiële overzichten als geheel en zijn uitgewerkt in de volgende tabel. Controlestrategie Ondernemingsgericht Informatiesysteemgericht Proceduregericht Gegevensgericht Accountant plant om te steunen op: management controls geprogrammeerde controles controleprocedures onvervangbare controles Accountant verricht daartoe: lijncontroles proceduretests management controls proceduretests geprogrammeerde controles proceduretests controleprocedures Accountant plant om te steunen op: geprogrammeerde controles controleprocedures onvervangbare controles Accountant verricht daartoe: lijncontroles proceduretests geprogrammeerde controles proceduretests controleprocedures Accountant plant om te steunen op: controleprocedures onvervangbare controles Accountant verricht daartoe: lijncontroles proceduretests controleprocedures Accountant plant om te steunen op: onvervangbare controles Accountant verricht daartoe: lijncontroles Structuur van het controleproces Voorwaarden daarvoor zijn: kritische houding management voldoende general controls adequate vastleggingen goede organisatiestructuur toereikend ontwerp en implementatie van de controls effectiviteit van de controls Aangevuld met: algemene cijferanalyses verificatie afwijkingen Voorwaarden daarvoor zijn: voldoende general controls adequate vastleggingen goede organisatiestructuur toereikend ontwerp en implementatie van de controls effectiviteit van de controls Aangevuld met: algemene cijferanalyses beoordeling managementinformatie verificatie afwijkingen Voorwaarden daarvoor zijn: adequate vastleggingen goede organisatiestructuur toereikend ontwerp en implementatie van de controls effectiviteit van de controls Aangevuld met: algemene cijferanalyses beoordeling managementinformatie data-analyse verificatie afwijkingen Voorwaarden daarvoor zijn: goede organisatiestructuur toereikend ontwerp en implementatie van de controls Aangevuld met: algemene cijferanalyses beoordeling managementinformatie data-analyse verificatie afwijkingen overige verificaties VERTROUWELIJK 72 / 115

73 Bijlage 2 Interviews met deskundigen Telefonisch overleg Jack van Crooij (Full Finance), 22 augustus 2012 De heer Van Crooij heeft overlegd met de TUACC in verband met de update van NOVAA leidraad 12. Hij raadt aan om NOvAA leidraad 12 te raadplegen en te overleggen met collega s. wat de mogelijkheden zijn in de controle, rekening houdend met de opdracht in het voorgaande jaar. De heer Van Crooij ziet een rol voor accountants om klanten te helpen bij hun kwetsbaarheid inzake de ICT-omgeving. Tevens raad hij het 9-vlaks model van Rik Maes aan (figuur 2.5). Figuur 2.5: 9-vlaks model van Rik Maes: Verder is een afspraak gemaakt elkaar te ontmoeten. VERTROUWELIJK 73 / 115

Nog meer weergeven