Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles

Transcriptie

1 1 Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles Afstudeerscriptie geschreven ter afronding van de IT audit opleiding aan de Vrije Universiteit Amsterdam Student: Andre Sanders Begeleider: Paul Harmzen Datum: 28 februari 2015 Scriptienummer: 2043 Contact:

2 2 Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles Voorwoord Inzicht in de achtergrond en motivatie van de student lijkt me, in deze toch wel bijzondere constellatie, voor u lezer nuttig. Ik leg dit hieronder nader uit. Ik ben in 1993 als RA afgestudeerd bij het toenmalige NIVRA. Dit mede dankzij mijn huidige scriptiebegeleider, die me destijds de leer der accountantscontrole doceerde, waarvoor nu dubbel chapeau en dank. Mijn loopbaan bestrijkt een periode van ruwweg 15 jaar in het openbaar accountantsberoep, van 1984 tot 1998, bij KPMG accountants, gevolgd door een iets langere tijd, tot 2014, binnen de financiële afdeling van General Electric. Daar heb ik diverse functies doorlopen met startpunt in financial accounting, evoluerend naar operationele bedrijfsondersteuning binnen het gebied van management accounting. IT als vakgebied en als raakvlak met financiële activiteiten is altijd relevant voor me geweest. Een loopbaan zoals de mijne levert dan ook op dat gebied waardevolle praktijkervaring op, maar expertise opbouwen gaat niet zonder de theoretische verdieping van een opleiding op universeel niveau. Dat haal ik nu (veel te laat) in, in de hoop er - ook gezien de maatschappelijke relevantie van IT - nog lang profijt van te hebben. Het onderwerp onvervangbare interne controles boeit me sinds ik het gedoceerd kreeg, vooral wat eventuele gebreken in deze controles dienen te betekenen voor de strekking van de controleverklaring bij de jaarrekening. Mijn afstudeerscriptie voor de RA opleiding behandelde het verband tussen de werking van deze onvervangbare interne controles en de volledigheid van de verantwoorde transacties in de jaarrekening. De aanbeveling uit deze scriptie aan het NIVRA was om een richtlijn uit te brengen die de accountant beter houvast biedt met betrekking tot de vraag, waar de accountscontrole op de volledige verantwoording van transacties ophoudt en waar het (kwalitatief) axiomatisch voorbehoud begint, om a) op deze wijze een bijdrage te leveren aan de bevordering van de kwaliteit van de beroepsuitoefening en b) de accountant een betere rechtspositie te bieden in geval van aansprakelijkstelling door gebruikers van de jaarrekening. De scriptie kreeg een mooie beoordeling maar die richtlijn is er zoals te verwachten viel - nooit gekomen. De hernieuwde keuze van het thema onvervangbare controle verbindt voor mij verleden (RA) met heden en toekomst (IT). Het cirkeltje is dus rond. En misschien wordt een nieuwe aanbeveling nu wel opgevolgd

3 3 Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles Waarom is dit van belang? Ik hecht eraan het verwachtingspatroon van de lezer vooraf scherper te krijgen: gezien mijn achtergrond zie ik de volgende beperkingen: 1) ik ben geruime tijd niet meer zelf als openbaar accountant actief, beschik derhalve niet over directe actuele kennis en ervaring uit het veld; 2) ik heb niet de praktijkervaring van het uitoefenen van IT functies. daarentegen mag de lezer van mij meerwaarde verwachten op grond van: 1) de ervaringen die ik aan beide kanten van de tafel heb opgedaan, als controleur en gecontroleerde, met aandacht voor hard en soft skills ; 2) de relatieve afstand die ik ten opzichte van het onderwerp en belanghebbenden heb, helpt om de contouren vanuit gebruikersperspectief duidelijk te krijgen en daarop gebaseerd keuzes te maken. Dit gebruikersperspectief dient het uitgangspunt te zijn van de invulling van het beroep van accountant of auditor; de verwachtingen van de gebruiker ( de verstandige leek ) mogen niet worden beschaamd. Dat doe je denk ik (simpel gezegd) door kwaliteit te leveren de deugdelijke grondslag door een onberispelijke cultuur is naleving van de VGC - en door externe focus en klantgerichtheid door bruggen te bouwen met belanghebbenden, op gelijke golflengte te blijven en deze elementen door de respectievelijke beroepsorganisaties op begrijpelijke, systematische wijze te laten communiceren. Me dunkt dat hier in de loop der jaren wat steken zijn gevallen. Waarom breng ik dit op? Aan een deugdelijke grondslag voor de controleverklaring ligt, ook voor wat betreft mijn scriptieonderwerp, een goede samenwerking tussen de accountant en de IT auditor ten grondslag. Helaas staat deze samenwerking al enige tijd onder druk, wordt er gekrakeeld over competenties en financiën, en worden deuren dichtgeslagen die open zouden moeten blijven 123. Dat is vanuit gebruikersperspectief gezien geen gezonde basis om aan maatschappelijke verwachtingen te kunnen voldoen. Aan gebalde vaktechnische expertise is er geen gebrek, zou ik zeggen, ook al is er nog te vaak een cultuur van beterweters die (wellicht onbedoeld) vooruitgang blokkeren. Voor deze scriptie heb ik me voorgenomen geen beterweter te zijn en zoveel mogelijk hapklare brokken uit de literatuur te gebruiken om de probleemstelling van deze afstudeeropdracht te tackelen. Dank u voor uw interesse. Dat dit leesvoer u (en mij ) goed mag bekomen! 1 Matto - "Wicked Problems: IT auditors en accountants: the fiction of Audit Integration", de VU Amsterdam, 27 september Van der Pijl - "Jammer", De IT-Auditor nummer Bakker - "Venus en Mars", De Accountant juli/augustus 2013

4 4 Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles Inhoudsopgave Samenvatting van de scriptie Inleiding IT audit en de jaarrekening audit Probleemstelling en onderzoeksvraag Afbakening en definities Methode van onderzoek Verantwoording van de opzet Wat zijn onvervangbare IT controles en hoe kritisch zijn gebreken in hun werking? Plaatsbepaling; Stelsel van IT controles Dynamiek; Toenemende afhankelijkheid van IT Gevolg; Onvervangbaarheid van IT controles Remedie; Mogelijkheden en beperkingen van data-analyse Tussenstand; Jaarrekening assurance in gevaar Welke IT controles dienen uit assurance oogpunt minimaal adequaat te werken? Maatwerk; Gezamenlijke professionele beoordeling accountant en IT auditor Organisatie; Basisvoorzieningen in IT en adequate respons op IT risico s General; Basisvoorzieningen in logische toegangsbeveiliging en in wijzigingsbeheer Applicaties; Werking van IT controles in kritische massa-processen Conclusie; Correlatie van onvervangbare IT controles en controleverklaring Hoe kan de IT Auditor de bijdrage aan het reduceren van het audit risico verbeteren? Deugdelijke grondslag; Noodzaak van IT audit competenties Teamwerk; Besef en begrijpen van wederzijds perspectief Jaarrekening audit proces; Naar een geïntegreerde aanpak IT audit Rapportage; Met een minimum volwassenniveau van IT controles Conclusie; Appel aan beroepsorganisaties... 38

5 5 Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles 5. Wat is de opinie in het veld; Bijdrage van geënquêteerde accountants en IT auditors Enquête; Aanpak van het praktijkonderzoek Stellingen; Analyse van feedback Interviews; Verificatie van de interpretatie Resultaten; Nieuwe inzichten, nieuwe voorstellen? Conclusie; Synthese van theorie en praktijk Deelvragen; Beantwoording en verbeteringsvoorstellen Probleemstelling; Oplossingsvoorstel in samenvatting Nawoord Literatuurlijst Bijlage 1: Referentiebedrijf Happy Care B.V Bijlage 2: Basisvoorzieningen in IT Bijlage 3: Controleprogramma Onvervangbare IT controles Bijlage 4: Enquête; Resultaten Bijlage 5: Aanvullende interviews; Samenvattingen... 66

6 6 Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles Samenvatting van de scriptie NIVRA geschrift 64 (uit 1995) verbindt de controleerbaarheid van de jaarrekening met de werking van onvervangbare EDI controles; aan materiële gebreken zijn dwingend conclusies te verbinden voor de accountantsverklaring (nu: controleverklaring). In de afgelopen 20 jaar zijn de toepassingen van IT binnen ondernemingen expansief gegroeid, en daarmee ook het relatieve belang van IT controles binnen het samenstel van controle maatregelen waarmee de accountant zekerheid verkrijgt over de getrouwheid van een jaarrekening. De beroepsorganisaties hebben aan de registeraccountant (RA) en IT auditor (RE) in de tussentijd geen verdere normen(kaders) of richtlijnen aangereikt die verduidelijken hoe een (minimale) ondergrens voor de werking van onvervangbare IT controles als basis voor een deugdelijke grondslag kan worden bepaald. => De probleemstelling van de afstudeeropdracht luidt daarom: Welke onvervangbare IT controles dienen minimaal adequaat te werken om een hieruit resulterende beperking in de verklaring bij de jaarrekening (van een willekeurige onderneming) te vermijden, en hoe kan de IT auditor in dit kader bijdragen aan reductie van het audit risico? Centraal in het onderzoek staat de IT auditor als de deskundige op het vakgebied en in die hoedanigheid wordt ingehuurd door de accountant. Recente kwaliteitsonderzoeken van AFM naar jaarrekeningcontroles wijzen op lacunes in de controle van de interne beheersing en daarin opgenomen IT controles. De jaarrekening assurance is vanwege ontoereikende respons van de accountant op gebreken in de werking van mogelijk onvervangbare IT controles in een gevaarzone beland. De identificatie van (mogelijk) onvervangbare IT controles krijgt gestalte aan de hand van een stelsel van IT controles verdeeld in Entity Level, General, Application en User controles - en het audit risk model dat aan de basis staat van de controle van de jaarrekening. COSO 2013, en in het verlengde daarvan COBIT (ITGI), worden daarbij als normenkaders gebruikt voor de selectie van voor de jaarrekening relevante basisvoorzieningen in IT. Het resultaat van dit onderzoek is een leidraad voor een controleprogramma van onvervangbare IT controles voor een IT-afhankelijk bedrijf, dat uit 10 geselecteerde IT controles bestaat die steeds als maatwerk gebaseerd op de specifieke inrichting en omgeving van de gecontroleerde en zijn financiële verantwoording zijn toe te passen. Tot slot volgt een appel aan de beroepsorganisaties om met een aantal rand voorwaardelijke beleidsmaatregelen - waaronder : 1) verduidelijken van de omgang met onvervangbare IT controles in de COS 2) verplichte consultatie van de IT auditor in IT relevante jaarrekening audits 3) formalisering van de IT audit rapportage - een kader te scheppen waarin de positie van de IT auditor wordt versterkt. => Deugdelijke omzetting van deze voorstellen voor probleemoplossing zal bijdragen aan noodzakelijke reductie van het audit risico in de controle van de jaarrekening.

7 7 Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles Inleiding 1.1 IT audit en de jaarrekening audit We schrijven het jaar De internet revolutie is nog niet uitgebroken. Financiële verantwoordingen zijn nog het product van mainframes met grootboekpakketten die in isolatie van de primaire processen van het bedrijf opereren en nog op grote schaal (semi-) handmatig gevoed worden. De IT audit heette nog EDP audit. De accountant controleert de mechaniek en de inhoud van het grootboeksysteem, als zelfstandig controle object. Parafenlijsten en facturen zijn nog belangrijke controlebronnen. In deze omgeving brengt het NIVRA (de voorloper van het NBA) dat jaar geschrift 64 uit: "Electronic Data Interchange, beheersing en controle" 4. Het volgende overzicht en de teksten in de kantlijn zijn hieraan ontleend: Indien de EDI-specifieke onvervangbare interne controle niet aanwezig is, dient een negatief oordeel te worden gegeven over de betrouwbaarheid van de met behulp van de EDI-toepassing verwerkte transacties. De EDI-specifieke onvervangbare interne controle bestaat uit het waarborgen van de herkomst en echtheidskenmerken van de transacties die met EDI zijn verwerkt. Hiertoe is het noodzakelijk dat alle transacties zijn terug te leiden tot de EDI-berichten waarin ze zijn opgenomen en dat deze EDI-berichten in een voor de accountant interpreteerbare vorm bewaard zijn gebleven: de audit trail. Het is de controleerbaarheid van de geautomatiseerde gegevensverwerking, de audit trail, die het NIVRA in dit geschrift aanspreekt, en waarbij de accountant wordt aangewezen bij een combinatie van: - ontoereikendheid van de onvervangbare interne EDI controles en - materieel belang voor de jaarrekening dwingende conclusies te verbinden aan de strekking van de controleverklaring. 4 NIVRA Geschrift 64 - "Electronic Data Interchange, beheersing en controle", figuur 8 blz.67, 1995

8 8 Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles Het toereikend zijn van de controleerbaarheid van de geautomatiseerde gegevensverwerking wordt verbonden met de werking van onvervangbare interne EDI controles. Deze onvervangbare EDI controles vormen klaarblijkelijk een ondergrens voor de controleerbaarheid van een jaarrekening. Duidelijk toch? De afgelopen 20 jaar sinds het verschijnen van NIVRA geschrift 64 is IT steeds meer een onvervangbaar element van de accountantscontrole geworden: de fysieke wereld van parafenlijsten en afgetekende facturen is nu onderdeel van een virtuele, papierarme wereld waarin naast werknemers ook externe stakeholders via openbaar toegankelijk internet inloggen op een gedistribueerde IT infrastructuur van het bedrijf, met in het systeem verankerde authenticatie en functiescheiding toegang krijgen tot de applicaties en data, van met elkaar geïntegreerde primaire bedrijfsprocessen, waar via geautomatiseerde IT controles (betaal)fiattering van kritische transactiestromen met hoge volumes gebeurt, en waarvan de financiële mutaties rechtstreeks het grootboek inlopen. Er is de afgelopen 20 jaar dus nogal wat veranderd. De kans op gebreken in de controleerbaarheid van een financiële verantwoording is zeker niet afgenomen De IT afhankelijkheid van bedrijven is enorm gestegen en daarmee is, ook voor de accountant, het belang van adequaat werkende IT controles sterk toegenomen; de jaarrekening audit krijgt een steeds grotere IT audit stempel. Daarbij zijn de elementen van onvervangbare interne controle in hoofdlijnen nog dezelfde zoals: audit trail van primaire vastleggingen van transacties naar de financiële verantwoording, handhaving van functiescheidingen in de meest materiële transactiestromen, randvoorwaarden voor de volledigheid van contractuele rechten en verplichtingen, bewaring van de kroonjuwelen, waarborgen voor de continuïteit het is de toepassing die nu in de IT wereld is verankerd en door IT controles gewaarborgd dient te worden. In termen van het jaarrekening audit risico 5 (AR) = f (BR, IBR, DR): mogelijke gebreken in onvervangbare IT controles behoren nog steeds tot het interne beheers-risico (IBR); deze IT controles zijn middels systeemgerichte IT audit op werking te verifiëren, voor zover de bedrijfsprocessen materieel zijn voor de jaarrekening controle. Wat in de tijd verandert is, is het toegenomen relatieve belang van deze IT controles, binnen het samenstel van controle maatregelen waarmee de accountant zekerheid verkrijgt over de getrouwheid van een jaarrekening. 5 Van Leeuwen & Wallage - "Moderne controle-benaderingen steunen op interne beheersing", MAB maart 2002

9 9 Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles 1.2 Probleemstelling en onderzoeksvraag Gegeven de toegenomen relevantie van IT voor de controle van de jaarrekening mag verondersteld worden, dat de accountant en de IT auditor normen(kaders) of richtlijnen zijn aangereikt die verduidelijken hoe een (minimale) ondergrens voor de werking van onvervangbare IT controles als basis voor een deugdelijke grondslag kan worden bepaald. Dit is echter niet het geval: niet over consequenties van niet werkende onvervangbare controles niet over onvervangbare controles in het algemeen en ook niet voor de verbijzonderde vorm van onvervangbare IT controles. De NV COS 6 kent slechts een enkele hit op de zoekopdracht onvervangbare, onder COS 3810N Assurance-opdrachten inzake maatschappelijke verslagen, A 36 Systeemgerichte werkzaamheden : Controleopdrachten: De accountant richt zich bij controleopdrachten in eerste instantie op de opzet en het bestaan van de beleidsuitgangspunten en de beheersingsmaatregelen die de bestuur van de verslaggevende entiteit voor haar eigen functioneren hanteert ('key managerial controls') inclusief een beoordeling van de onvervangbare interne beheersingsmaatregelen. In aansluiting op het onderzoek van de 'key managerial controls' bepaalt hij in welke mate hij de opzet en het bestaan van andere interne beheersingsmaatregelen in het onderzoek betrekt. De NV COS kent wel meerdere hits op de zoekopdracht general IT, maar daarin wordt geen ondergrens behandeld, met COS 315 Risico s identificeren en inschatten, A103 Risico s die voortkomen uit IT als voorbeeld: Het gebruik van IT is van invloed op de wijze waarop interne beheersingsactiviteiten worden geïmplementeerd. Vanuit het gezichtspunt van de accountant zijn interne beheersingsmaatregelen met betrekking tot IT-systemen effectief als ze de integriteit van de informatie en de beveiliging van de door dergelijke systemen verwerkte gegevens handhaven en ze effectieve general IT controls en application controls omvatten. Ook het recente studierapport van NBA, NOREA en TUACC Jaarrekening controle in het MKB: IT audit geïntegreerd in de controle-aanpak 7, met waarin in bijlage 2 per relevante controlestandaard (NV COS) aangegeven of daar specifieke IT-aspecten aan de orde zijn, biedt op dit terrein geen handvat. Ook AFM 8, PCAOB 9 en ITGI 10 beschrijven uit te voeren IT controles maar geven geen ondergrens in de werking aan, laat staan mogelijke gevolgen voor de oordeelsvorming. 6 NBA "HRA - Nadere voorschriften controle- en overige standaarden (NV COS), januari Schellevis en Van Dijk - "Jaarrekening controle in het MKB: IT audit geïntegreerd in de controleaanpak", april AFM - Uitkomsten onderzoek kwaliteit wettelijke controles Big 4-accountantsorganisaties, sept PCAOB Staff Audit Practice Alert No. 11, October ITGI - IT Control Objectives for Sarbanes Oxley, 2nd Edition, 2006

10 10 Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles Formulering onderzoeksvraag Het kennelijk ontbreken van normen of richtlijnen voor het omgaan met jaarrekening assurance bij materiele gebreken in onvervangbare IT controles leidt tot de volgende probleemstelling: Centraal in het onderzoek staat de IT auditor als de deskundige op het vakgebied en in die hoedanigheid wordt ingehuurd door de accountant. Voor een adequate beantwoording van de onderzoeksvraag zijn de volgende deelvragen geformuleerd: 1. Wat zijn onvervangbare IT controles en hoe kritisch zijn gebreken in hun werking? 2. Welke IT controles dienen uit assurance oogpunt minimaal adequaat te werken? 3. Hoe kan de IT Auditor de bijdrage aan het reduceren van het audit risico verbeteren? De eerste deelvraag is inventariserend, de beide anderen zijn analyserend van aard. 1.3 Afbakening en definities Waar in deze afstudeeropdracht wordt gesproken over de accountant wordt bedoeld: een registeraccountant, in de functie van openbaar accountant. Waar in deze afstudeeropdracht wordt gesproken over de IT auditor wordt bedoeld: een register EDP-auditor ingeschreven bij de beroepsorganisatie NOREA. Hun gezamenlijk object van onderzoek is de controle van de jaarrekening van een willekeurige onderneming. Als referentiebedrijf is Happy Care B.V. gecreëerd, een bedrijf dat hoog scoort (niveau 3) op de benchmark level of IT sophistication" 11, en dat moet voldoen aan Nederlandse wetgeving. Happy Care B.V. is niet gebaseerd op een specifiek bedrijf dat in werkelijkheid zou bestaan. Het doel van de jaarrekening controle is bij te dragen aan de mate van vertrouwen dat de beoogde gebruikers stellen in de financiële overzichten. Hiertoe verstrekt de accountant een oordeel of de financiële overzichten in alle van materieel belang zijnde opzichten getrouw zijn weergegeven. De controlestandaarden 12 schrijven voor dat de accountant als basis voor zijn oordeel een redelijke mate van zekerheid moet verkrijgen over de vraag of de jaarrekening als 11 Singleton - "IT Audit Basics: The Minimum IT Controls to Assess in a Financial Audit", ISACA Journal Volume 1 (part 1) & 2 (part 2) NBA HRA - NV COS 200, januari 2014

11 11 Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles geheel vrij is van een afwijking van materieel belang die het gevolg is van fraude of van fouten. Alleen dan kan de accountant een goedkeurende verklaring afgeven. Wordt de accountant geconfronteerd met onoplosbare materiële onzekerheden in de controle of onoplosbare materiële gebreken in een financiële verantwoording, dan schrijven de controlestandaarden de navolgende, beperkende controleverklaringen voor: Subjectieve of objectieve verhindering van de controle? Naar mijn mening is de vraag of de verhindering door de niet-adequate AO/IC objectief of subjectief is, afhankelijk van een (combinatie van een) aantal factoren. De belangrijkste zijn: 1. Omvang van het personeelsbestand bepaalt in grote mate of een adequate functiescheiding binnen de organisatie mogelijk is 2. De houding van de leiding 3. De financiële positie van de onderneming. Het is mogelijk dat de verhindering blijft bestaan doordat de benodigde financiële middelen ontbreken 4. De factor tijd. Tussen het moment waarop de leiding toezegt te reorganiseren en het moment waarop de reorganisatie is voltooid, kan een lange periode liggen 13 Het jaarrekening audit risico of controlerisico is het risico dat een accountant een onjuist oordeel tot uitdrukking brengt wanneer de financiële overzichten een afwijking van het materieel belang bevatten. Controlerisico is een functie van de risico s op een afwijking van materieel belang en het ontdekkingsrisico 14. De accountant past risicoanalyse toe om dit audit of controlerisico te mitigeren, waarbij ik opteer voor een controleaanpak die maximaal gebruik maakt van effectieve maatregelen van interne beheersing: 13 Boots - "Objectieve en subjectieve verhinderingen", De Accountant juli/augustus NBA HRA - NV COS Begrippenlijst, januari 2014

12 12 Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles AR = f (RMM, DR) = f (BR, IBR, DR), waarbij AR = Audit of controlerisico, RMM = Risk of material misstatement, DR = detectierisico, BR = bedrijfsrisico en IBR = intern beheers-risico. Alleen door voldoende inzicht te verkrijgen in de strategie, omgeving (tactisch) en bedrijfsprocessen (operationeel), kan de accountant de bedrijfsrisico s en interne beheersingsmaatregelen doorgronden. Op basis van deze kennis kan de accountant een effectieve controle uitvoeren door risico s te onderkennen en te beoordelen op de mogelijke invloed op de jaarrekening. 15 Tot de maatregelen van interne beheersing behoort een stelsel van IT controles gericht op het inperken van de inherente IT risico s van de onderneming: IT Entity Level controles (IT SBR) = door het management geïnstitutionaliseerde vormen van aansturing en bijsturing van strategische IT doelen, vooral gericht op het optimaliseren van business alignment, veranderprojecten en GRC IT General controles & Application controles (IT PBR) = IT controles gericht op de beheersing van de reguliere procesuitvoering (tactisch/operationeel) op de kwaliteitsaspecten exclusiviteit, integriteit, controleerbaarheid en continuïteit IT User controles (IT DR) = Gedocumenteerde gebruikerscontroles op de IT output, veelal in de vorm van cijferanalyse op financiële informatie. Cijferanalyse omvat de controlemiddelen cijferbeoordeling, verbandscontrole en toetsing aan normatieve gegevens. De interne beheersing van een onderneming bestaat uit optiek van de accountant - uit maatregelen van vervangbare en onvervangbare interne controle. Onvervangbare interne controle betreft maatregelen van interne controle die de accountant niet door eigen actie kan controleren en niet door gegevensgerichte controle kan vervangen. De hiertoe behorende onvervangbare IT controles worden in deze afstudeeropdracht alleen op hun vermijdbare gebreken onderzocht. 15 Van Leeuwen & Wallage - "Moderne controle-benaderingen steunen op interne beheersing", MAB maart 2002

13 13 Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles 1.4 Methode van onderzoek De munitie voor het beantwoorden van de centrale onderzoeksvraag komt voort uit: 1. Literatuurstudie specifiek over het onderwerp zelf is weinig literatuur beschikbaar. De bijgevoegde literatuurlijst is juist daarom vrij lang, omdat de bouwstenen voor deze scriptie uit veel individuele bronnen komen de informele gesprekken tussendoor met ITACA docenten hebben richting gegeven aan het onderzoek en vormen als zodanig ook een belangrijke bron van informatie van hieruit heb ik een eerste versie van de scriptie geschreven met daarin een initiële beantwoording van de onderzoeksvraag met conclusies en aanbevelingen. 2. Toetsing Enquête & interviews: de conclusies en aanbevelingen uit de literatuurstudie zijn in de maand januari 2015 in de vorm van een enquête aan een 20-tal experts met evenwichtige representatie van RA s en RE s voorgelegd. de resultaten zijn vervolgens geanalyseerd en aan de groep teruggekoppeld op individuele basis zijn de conclusies via korte interviews geverifieerd. De vragenlijst met resultaten is als bijlage bijgevoegd en in hoofdstuk 5 beschreven. De methode en opbouw volgt de onderzoekaanpak van Robert K. Yin, beschreven in het boek Case study research, design and methods, 4th edition [YIN2009]:

14 14 Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles De Plan fase bevat de bepaling van de onderzoeksvragen binnen het beschreven kader, de scope, en de literatuurstudie die uitmondt in een aantal stellingen die op hun beurt aan de basis staan van voorlopige aanbevelingen. De Design fase levert het ontwerp van een enquête om deze stellingen onder experts in het veld te toetsen. Naast aandacht voor representativiteit en motivatie van de geënquêteerden, is hierbij de keuze van de vorm van de vraagstelling van belang, waarbij het vooropgestelde doel is om een goede balans te krijgen tussen inbreng van individuele experts en waar mogelijk - kanalisatie van antwoorden naar een overkoepelende groepsopinie over geponeerde stellingen. De Prepare fase bestaat voornamelijk uit: 1) de keuze en de opzet van een online enquête instrument die de anonimiteit van de geënquêteerden waarborgt, en 2) een toetsing vooraf - middels test runs - ter beoordeling van de technische werking en de inhoudelijke effectiviteit van de enquête methode. Waar nodig vinden correcties in de enquête en/of procedurele opzet plaats. De Collect fase beslaat in eerste instantie de periode van de uitvoering van de enquête, die op 2 á 3 weken geschat is. Tussentijdse response metingen in aantallen en van inhoudelijke aard zijn nodig voor eventuele bijsturingsacties om voorop gestelde doelen te kunnen bereiken. Hiertoe behoort onder meer het uitsturen van herinneringen om de enquête response te maximeren. De Analyze fase bevat een detailanalyse van het profiel van de geënquêteerden en van de verkregen input op elk van de geponeerde stellingen. Deze analyse gebeurt per stelling. Afhankelijk van de verkregen feedback en de overkoepelende mening van de groep experts, zijn stellingen en daarop gebaseerde voorlopige aanbevelingen aan te passen. Deze aanpassingen zijn op zijn beurt van belang voor de inhoud van het uiteindelijke oplossingsvoorstel. Als extra kwaliteitscontrole op de voorlopige uitkomsten van de Analyze fase vinden aanvullende (individuele) interviews met een aantal experts plaats. De omvang van de interview activiteit hangt vooral af van de uitkomsten van de analyse, met als belangrijkste graadmeter of de groep van experts de geponeerde stellingen steunen respectievelijk verwerpen. In deze terugkoppeling naar de Collect fase krijgen de experts inzicht in de enquête uitkomsten, gemaakte analyses en voorlopige conclusies. Gesprekverslagen van deze interviews bevatten de meningen en adviezen van de experts. Deze input is op zijn beurt van belang voor de inhoud van het uiteindelijke oplossingsvoorstel. De Share fase omvat het delen van de enquête resultaten met de geënquêteerden, het afstemmen van de correcte vastlegging van gevoerde interviews met individuele experts, het verspreiden van de scriptie aan diverse geïnteresseerden en nader te bepalen activiteiten gericht op de stimulering van wetenschappelijk onderzoek op het thema van deze afstudeeropdracht: Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles.

15 15 Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles 1.5 Verantwoording van de opzet Hieronder volgt een globale weergave van het vervolg van deze afstudeeropdracht. Inhoud hoofdstuk 2 In dit hoofdstuk behandel ik de eerste deelvraag van de probleemstelling: Wat zijn onvervangbare IT controles en hoe kritisch zijn gebreken in hun werking? : Met verwijzing naar de jaarrekening audit van Happy Care B.V., schets ik een beeld van toenemende afhankelijkheid van werkende IT controles om de betrouwbaarheid van relevante financiële data te kunnen waarborgen; ik geef aan dat de accountant met zijn controlemix van maatregelen door de computer heen moet, waarbij een adequate beoordeling van het interne beheersingsbeleid kritisch is en hiervoor IT audit expertise noodzakelijk is. Vervolgens behandel ik de dynamiek van de veranderingen in IT en verbindt deze met de bestaande verwachtingskloof tussen de gebruikersorganisatie en het IT service domein, ook om te beoordelen hoe deze dynamiek de werking van de interne beheersing, per saldo, beïnvloedt. Daarna behandel ik het controlemiddel data-analyse, dat met zijn nieuwe technieken eventuele gebreken in de IT controles zou kunnen compenseren, met al zijn mogelijkheden maar ook met de inhoudelijke beperkingen in de huidige toepassingsvormen, zowel binnen de context van een bedrijf als in de controle van de jaarrekening door de accountant en de IT auditor. Ik beëindig dit hoofdstuk met een tussenbalans waarin ik inschat wat tot op heden de respons van de accountant op gebreken in de werking van onvervangbare IT controles is, en verbindt dit met mogelijke tekortkomingen in de deugdelijke grondslag voor de controleverklaring bij de jaarrekening. Inhoud hoofdstuk 3 In dit hoofdstuk behandel ik de tweede deelvraag van de probleemstelling: Welke IT controles dienen uit assurance oogpunt minimaal adequaat te werken? : In dit hoofdstuk ga ik gedetailleerd in op specifieke IT controles in hun belang voor jaarrekening assurance. Ik verklaar een principle-based proces dat moet leiden tot deugdelijk maatwerk voor IT audit bij elke jaarrekening controle. Vervolgens behandel ik de kritische IT controles binnen de in hoofdstuk 2 beschreven structuur van het stelsel van IT controles : o In de organisatie van de interne beheersing van IT beschrijf ik rand voorwaardelijke basisvoorzieningen in het richten van de IT functie, met referentie naar Happy Care B.V., en behandel ik waaraan IT risico management minimaal inhoud moet geven om jaarrekening relevante, materiële gebreken in de interne beheersing te voorkomen

16 16 Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles o Bij de inrichting van de IT geef ik aan welke basisvoorzieningen, met nadruk op logische toegangsbeveiliging en wijzigingsbeheer, kritisch zijn voor de jaarrekening controle o In de procesbeheersing van voor de jaarrekening relevante transactiestromen, behandel ik wanneer IT controles zo kritisch zijn dat gebreken in de werking de controlezekerheid materieel reduceren. Ik besluit het hoofdstuk met een leidraad voor een controleprogramma van onvervangbare IT controles en een conclusie over de onvervangbaarheid van IT controles voor de controleverklaring bij de jaarrekening. Inhoud hoofdstuk 4 In dit hoofdstuk behandel ik de derde deelvraag van de probleemstelling: Hoe kan de IT Auditor de bijdrage aan het reduceren van het audit risico verbeteren? : (a) Ik begin dit hoofdstuk door voorwaarden voor een deugdelijke grondslag te verbinden met IT audit competenties (b) Daarna besteed ik aandacht aan soft skills : o door allereerst verschillen in besef en wederzijds perspectief op IT controles te beschrijven, als basisvoorwaarde voor effectief teamwerk o dit werk ik verder uit naar een audit aanpak waarin IT audit als kritisch onderdeel geïntegreerd is (c) Dan beschrijf ik een vorm van eindrapportage van de IT auditor aan de accountant die naar mijn mening beter moet voorkomen dat IT audit bevindingen niet effectief geadresseerd en opgevolgd worden Tot slot verklaar ik hoe de beroepsorganisaties (NBA, Norea) een bijdrage kunnen leveren aan de kwaliteit van IT audit binnen het bestaande raamwerk van de controlestandaarden. Hier houdt mijn literatuuronderzoek op en start de toetsing van mijn conclusies en aanbevelingen aan de experts in het veld. Inhoud hoofdstuk 5 In dit hoofdstuk toets ik mijn conclusies uit het literatuuronderzoek met experts in het veld, middels enquête en aangevuld met enkele interviews om mijn interpretatie van de uitkomsten te verifiëren, dit als basis voor mogelijk nieuwe inzichten en voorstellen. Inhoud hoofdstuk 6 In het afsluitende hoofdstuk kom ik tot mijn eindconclusies en aanbevelingen.

17 17 Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles Deelvraag 1: Wat zijn onvervangbare IT controles en hoe kritisch zijn gebreken in hun werking? 2.1 Plaatsbepaling; Stelsel van IT controles Ik start met een model dat het stelsel van IT controles verbindt met controle objecten van de jaarrekening audit. De IT controles zijn daarbij analoog de ruime interpretatie van ISACA/ITGI 16 onderverdeeld in Entity Level en Activity controls: De controleobjecten van de jaarrekening zijn opgedeeld naar bedrijfsdomeinen: De bedrijfsgebruikers (groene kolom) ontvangen vooraf overeengekomen procesinformatie uit de informatiehuishouding (gele kolom), waaruit voor interne doeleinden op periodieke en ad-hoc basis management informatie wordt samengesteld. Conform geldende regelgeving, verantwoordt het bedrijf periodiek externe financiële en overige bedrijfsinformatie, waaronder de jaarrekening In de informatiehuishouding (gele kolom) zijn de bedrijfsprocessen in ERP modules (in bruin) organisatie-breed gestandaardiseerd en in vergaande mate met de boekhouding (in blauw; Treasury, Accounting & Reporting ) geïntegreerd De technische infrastructuur (blauwe kolom) dient met technisch beheer de betrouwbaarheid van applicaties, data en workflows te waarborgen. 16 ITGI - IT Control Objectives for Sarbanes Oxley, blz 56, 2nd Edition, 2006

18 18 Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles De bedrijfsdomeinen staan -voor wat betreft het product jaarrekening- met elkaar in een klant-aanbieder relatie. De kwaliteit van hun dienstverlening is sterk afhankelijk van een goed werkende IT voorziening. Die hangt op zijn beurt af van de werking van IT controles die de betrouwbaarheid van financiële data moeten waarborgen. De -voor de jaarrekening relevante- IT controles vormen op hun beurt een stelsel van IT controles, met hieronder weergegeven onderlinge samenhang: Wat geldt voor het interne beheersingsproces dat de kwaliteit van een jaarrekening moet waarborgen, geldt evenzo voor de jaarrekening audit die op de werking van de interne beheersing steunt. Hiermee is het belang van de werking van IT controles voor de jaarrekening audit geïllustreerd. Waar de accountant in het verleden een keuze had een jaarrekening "om de computer heen" (gegevensgericht) en "door de computer" (systeemgericht) te controleren, was "om de computer" heen controleren op een zeker moment (door het gebrek aan fysiek bewijs, in de keten) geen optie meer 17. Voorheen werd de financiële informatie voor een jaarrekening uit afzonderlijke bronnen samengesteld, zoals hiernaast getoond. Tegenwoordig zijn een groot deel, zo niet alle bronnen, geïntegreerd in één informatiesysteem, één controleobject. De accountant moet daarom met zijn controlemix van maatregelen door de computer, waarbij een adequate beoordeling van het interne beheersingsbeleid gericht op de werking van IT controles kritisch is. 17 Gerritse - "IT-ontwikkelingen en de IT-auditfunctie" De IT-Auditor nummer

19 19 Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles 2.2 Dynamiek; Toenemende afhankelijkheid van IT Het model Stelsel van IT controles bevat aan de onderkant de volgende toevoeging die refereert naar de relatie naar het ingaande en uitgaande dataverkeer met stakeholders van het bedrijf, inclusief werknemers die via vaste of mobiele datalijnen toegang willen krijgen tot applicaties en data: Bedrijven evolueren om strategische/operationele en financiële redenen, en voor een belangrijk deel mogelijk gemaakt door internet technologie en andere IT innovaties, steeds meer van grotendeels gesloten naar gedeelde/gekoppelde informatiesystemen. Het inherent hogere risico van misbruik van applicaties en data door derden moet via IT controles worden voorkomen. Ook binnen de virtuele muren van het bedrijf is sprake van meer IT afhankelijkheid. Onder invloed van digitalisering, procesintegratie, ketensamenwerking en virtualisatie is de invloed van IT op de inhoud van primaire bedrijfsprocessen, en daarmee ook op de jaarrekening, veranderd van een ondersteunende naar een primaire, bepalende rol. Deze dynamiek van toegenomen IT afhankelijkheid is paradoxaal wanneer vergeleken met de bestaande verwachtingskloof tussen de vraag en aanbod van IT services. Aan de hand van de Happy Care case wordt dit kort toegelicht. Happy Care heeft behoorlijke stappen gemaakt in IT procesautomatisering en productinnovaties. Toch zijn problemen met de IT service delivery aan de orde van de dag; eigen ontwikkeling van applicaties zijn kostbaar en duren te lang, en dan nog zijn functionaliteiten gebrekkig. De CRM applicatie was aan het einde van de levenscyclus, ook vanwege kostendruk is een overstap gemaakt naar SaaS met Salesforce. Ondanks deze verwachtingskloof zijn wezenlijke IT veranderingen gerealiseerd, waardoor het relatieve belang van interne beheersing van IT processen sterk is toegenomen; een verder te definiëren fundament van interne controle verankerd in IT systemen en processen is tegenwoordig een onvervangbaar onderdeel van de interne beheersing, dat de accountant op werking dient te controleren.

20 20 Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles 2.3 Gevolg; Onvervangbaarheid van IT controles Wat is er onder invloed van toegenomen automatisering gebeurt met de IT controles zelf? En hoe verhoudt zich de effectiviteit van IT controles tot de dynamiek in de te controleren processen, wat is het -per saldo- resultaat gemeten in controlezekerheid? Ter illustratie toon ik een tweetal voorbeelden uit de controle van de omzet van Happy Care (zie bijlage 1), die vervolgens ook op mogelijke elementen van onvervangbare IT controles worden geanalyseerd. Happy Care levert per jaareinde 40% van haar jaaromzet uit, bijna scanners. Facturering gebeurt bij levering. Voor de omzet boeking is een schriftelijke leveringsacceptatie van de klant nodig. Customer operations is de verantwoordelijke afdeling. De controletolerantie van de accountant = de bruto marge van 500 scanners. Relevante controles voor interne beheersing van deze deelprocessen van de omzet zijn hieronder samengevat, en geconstateerde leemtes zijn rood gemarkeerd: Geautomatiseerde controles in robuuste ERP applicaties dragen sterk bij aan de interne beheersing van processen, voor zover de ondersteunende beheersorganisatie op orde is want een keten is zo sterk als zijn zwakste schakel. Indien processen opgeknipt worden, zoals bij Happy Care, daarbij verandertrajecten niet goed doorgevoerd worden, ontstaan situaties waarin -in dit geval- de omzetverantwoording tot een probleem wordt. 1.Happy Care: Boeking van de facturering op basis van levering af magazijn: sinds de invoering van SAP (met SD en FI modules) is de procesafloop vergaand geautomatiseerd. In de applicatie opgenomen geautomatiseerde controles tussen geleverde en gefactureerde artikelen, alsmede beter inzicht in de doorlooptijd van leveringen, hebben de proceskwaliteit, gemeten in interne klachten en reclameringen van klanten en on-time shipment, verbeterd. De accountant kon tot voor kort ook steunen op het IT beheer van de applicatie inclusief change management. 2.Happy Care: Boeking omzet op basis van acceptatie van levering sinds de overgang op SalesForce SaaS eerder in het jaar, is het aantal klantenreclamaties over onjuiste en/of onvolledige leveringen sterk toegenomen. De eerste tekenen van procesvariatie werden als kinderziektes gezien, daarna bleek IT beheer nicht bij machte of niet willens want IT gaat door een reorganisatie - om het probleem op te lossen, waarna een externe consultant werd ingeschakeld. Recente uitkomst is dat de interface van order data tussen SalesForce en SAP hapert, waardoor foutieve leveringen en facturaties gebeuren. Verder heeft de reorganisatie bij IT ertoe geleid dat belangrijke beheerstaken waaronder de logische toegangsbeveiliging rondom Customer operations niet meer op orde zijn. De omzetverantwoording is een probleem geworden.

21 21 Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles Onvervangbare IT controles reiken verder dan het "klassieke" werkterrein van IT General controles; ook de werking van IT Entity Level en IT Application controles bevat ook onder invloed van de volgende ontwikkelingen - steeds vaker elementen van onvervangbare IT controles die jaarrekening relevant zijn: de toenemende afhankelijkheid van externe providers, zoals bij outsourcing middels cloud computing. Uit het voorbeeld van Happy Care: zonder een goed werkende -IT Application controle op de- interface tussen SalesForce SaaS en SAP is de omzetverantwoording bij een bedrijf van deze complexiteit en kritische massa mogelijk niet meer door de interne beheersorganisatie, en ook niet door de accountant, vast te stellen het "open" stellen van het informatiesysteem voor communicatie van buitenaf, zoals aan partnerships in de keten, maar ook jegens werknemers bij BYOD => adequate beheersmaatregelen moeten applicaties en data tegen misbruik beschermen. De eigen organisatie moet de vingers aan de knop houden, en de accountant daarvan middels controlebewijs kunnen overtuigen de verschuiving van controle verantwoordelijkheid van de IT service naar de gebruikersorganisatie => onder budgettaire druk worden IT beheersfuncties verkleint en waar mogelijk verantwoordelijkheden naar andere delen van de organisatie overgeheveld. Een goede risico-afweging is noodzakelijk om belangrijke IT controles niet tussen wal en schip te laten vallen of in handen te geven van gebruikers die hiervoor de expertise missen. De vraag hoe de dynamiek in de te controleren processen, met inbegrip van de hierboven geschetste risico s, zich -per saldo, gemeten in controlezekerheid- verhoudt tot de gestegen effectiviteit van vooral IT Application controles, moet situationeel -van case tot case specifiek- worden beantwoord. 2.4 Remedie; Mogelijkheden en beperkingen van dataanalyse Met een data-analyse van de orderbestanden uit SalesForce en SAP kan de accountant de interface problematiek bij Happy Care kwantificeren en een totaal omzetverschil berekenen, waarna wellicht met aanvullend controlewerk een omzetcorrectie bepaald kan worden. Deze vorm van data-analyse op transacties bestaat al decennia en biedt nog steeds een zekere meerwaarde door verbeterde audit software. De inzet van data-analyse om kwalitatieve IT audit bevindingen, vooral op het gebied van functiescheidingen, met behulp van controle-overzichten van het ERP systeem te vertalen naar kwantitatieve/financiële verschillen, krijgt recentelijk meer aandacht 18. De meerwaarde komt voort uit robuustere ERP data, is zeker van belang voor de jaarrekening audit, maar slechts een aanvulling op traditioneel gedachtengoed. Niets nieuws onder de zon, dus? 18 Pols/Schoonen-"Data-analyse als een brug tussen twee werelden" De Accountant Dec 2012

22 22 Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles Vernieuwend is data-analyse met gebruik van meta-data die een ERP systeem vastlegt in event logs 19 -van bijvoorbeeld een proces of een transactiecode - waarmee de accountant zicht krijgt op de werking van de intern beheersing en ook de functiescheiding van een proces totaal-omspannend in kaart kan krijgen 20. Verder luiden op de leest van forensic accounting geschoeide e-discovery analyse tools innovaties in, waarbij wiskundige algoritmes op case-relevante data worden toegepast, zodat de accountant nog gerichter en efficiënter de controledoelen kan bereiken. Met deze big data tot de beschikking komt de volkomen controle weer binnen handbereik van de accountant Is deze vorm van data-analyse dan de remedie waarmee de accountant met een volledig gegevensgerichte controleaanpak de jaarrekening kan controleren? Het antwoord daarop is nee, gezien de navolgende belangrijke beperkingen: Voorlopig staan nieuwe data-analyse technieken nog in hun kinderschoenen, zijn in financieel opzicht te duur, en is de business case is (nog) niet goed genoeg Van groter en blijvend belang is: data-analyse is zo goed als de kwaliteit van de brondata: - bij de ontwikkeling van standaardprogrammatuur, en nog meer bij maatwerk, krijgt het aspect controleerbaarheid in vergelijking met de andere kwaliteitsaspecten minder prioriteit 21. Gevolg is dat event logs vaak nog van onvoldoende kwaliteit zijn: onvolledig, onjuist en in opzet niet gedocumenteerd - de integriteit van de brondata is alleen bij werkende onvervangbare IT controles gewaarborgd. "Of course, for this meta-information to be of value it has to be assumed that the typical user entering data into a company's IT systems lacks the super-user privileges that would enable them to subvert the controls that lead to the automatic recording of that meta-information and which safeguards it from manipulation. But that constraint is not particular to process mining, since no type of data analytics, including those in utilized in standard audit practice, can be undertaken in the absence of a basic guarantee of data integrity. 19 " Happy Care heeft niet alleen een probleem met de omzetverantwoording, maar er ontbreekt ook een fundament van interne beheersing in IT, waardoor de integriteit van de gebruikte applicaties en data in gevaar is; nader onderzoek van onvervangbare IT controles is nodig om gevolgen voor de jaarrekening te kunnen vaststellen. 19 Jans, Alles, Vasarhelyi - "The case for process mining in auditing: Sources of value added and areas of application", International Journal of Accounting Information Systems Caron & Vanthienen - "Applications of Business Process Analytics and Mining for Internal Control", ISACA Journal Volume Haasnoot-Bezverhaya - "Controleerbaarheid en kwaliteit van event logs", De IT-Auditor nummer

23 23 Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles 2.5 Tussenstand; Jaarrekening assurance in gevaar De bestudeerde literatuur bevat slechts in beperkte mate specifiek onderzoek van en directe verwijzingen naar onvervangbare IT controles, en biedt dan in het algemeen weinig informatie over gevolgen voor de aanpak en de conclusie van de jaarrekening audit, enkele uitzonderingen daargelaten die dan ook de relevantie van het probleem bevestigen In het recente studierapport van NBA, NOREA en TUACC 25 worden compenserende maatregelen voor gebreken in IT controles benoemd, duidelijk wordt dat compensatie niet altijd mogelijk is = IT controles onvervangbaar zijn, maar de gevolgen voor de audit zijn niet verder uitgewerkt; alsof het een hete aardappel is? Een minimale set IT General controles is nodig om de toegangsbeheersing, het change management en het slechts met corporate applicaties aan de corporate database kunnen toevoegen van data, te realiseren de logische toegangsbeheersing is ingericht op het niveau van IT General controles en van IT Application controles De accountant moet toetsen op afwijking Onder negatieve gevolgen valt bij de jaarrekening-controle vooral te denken aan beperkingen van de controleerbaarheid. 22 Recente kwaliteitsonderzoeken van AFM naar jaarrekeningcontroles wijzen op lacunes in de controle van de interne beheersing en daarin opgenomen IT controles; er bestaan generieke gebreken in controles van functiescheidingen (autorisatie) en op door IT gegenereerde data, en specifieke cases 26 roepen een beeld op van een accountant die het relatieve belang van IT audit en van werkende IT controles onderschat. 27 Daarmee is de jaarrekening assurance in een gevaarzone beland, want: de accountant die materiële gebreken in onvervangbare IT controles niet ontdekt, geeft mogelijkerwijs een onjuiste verklaring af bij een niet controleerbare verantwoording. de accountant die materiële gebreken in onvervangbare IT controles onderkent maar -De accountant heeft onvoldoende kennis van IT om de organisatie goed te kunnen controleren, maar past het controleteam daar niet op aan -De AFM vindt dat het stelsel van kwaliteitsbeheersing meer moet afdwingen dat externe accountants, indien nodig, IT-deskundigen inzetten voor hun accountantscontrole; dit geldt zowel voor deskundigen die binnen de accountantsorganisatie aanwezig zijn als voor externe deskundigen. -De accountant heeft onvoldoende de beheersingsomgeving van organisatie in kaart gebracht, inclusief de relevante informatiesystemen, onderliggende infrastructuur en IT beheersprocessen -De accountant kiest daarom soms ten onrechte een sterk gegevensgerichte aanpak -In deze aanpak wordt wel impliciet gesteund op beheersingsmaatregelen in de informatiesystemen, zonder dat deze getest zijn 27 "compenseert" met aanvullende gegevensgerichte maatregelen, verleent met een goedkeurende verklaring mogelijkerwijs schijnzekerheid aan gebruikers van de jaarrekening. 22 Kloosterman en Snoeker - "Informatietechnologie en interne beheersing", De IT-Auditor nummer Van Bommel, Van Goor, Peek en Winterink - "De betekenis van IT-auditing voor de jaarrekeningcontrole ontrafeld!", MAB oktober Rabe en Johan - "IT-audit en MKB-controle", Accountancynieuws nr. 20, november Schellevis en Van Dijk - "Jaarrekening controle in het MKB: IT audit geïntegreerd in de controleaanpak", april 2014, tabellen 4 t/m 6 op pagina s 44 t/m AFM - Uitkomsten onderzoek kwaliteit wettelijke controles Big 4-accountantsorganisaties, september 2014: voorbeeld van controle cliënt H, pagina 73/74 27 Schellevis - Financial Audit Support: integrated auditaanpak - NOREA symposium mei 2014

24 24 Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles Deelvraag 2: Welke IT controles dienen uit assurance oogpunt minimaal adequaat te werken? 3.1 Maatwerk; Gezamenlijke professionele beoordeling accountant en IT auditor In het vervolg veronderstel ik dat een IT auditor de accountant ondersteunt bij de controle van de jaarrekening. De IT auditor verifieert opzet, bestaan en werking van het stelsel van IT controles voor zover jaarrekening audit relevant: RA RE Uitgangspunt voor de IT auditor is de specifieke inrichting en omgeving van de gecontroleerde en zijn financiële verantwoording; te allen tijde is - in samenspraak met de accountant - maatwerk nodig om een raamwerk van (onvervangbare) IT controles te bepalen dat adequaat de IT gerelateerde bedrijfsrisico 's afdekt die tot materiële fouten in de jaarrekening kunnen leiden. Aan het maatwerk het IT controleprogramma - gaat een proces van gezamenlijke beoordeling van de ondernemingssituatie vooraf, met volgende complicaties: 1. De accountant en de IT auditor analyseren het stelsel van IT controles vanuit een verschillend perspectief, waaruit een verschil in aanpak resulteert; o de accountant komt van links start met een risicoanalyse vanuit de jaarrekening, werkt dan terug (naar rechts) om met een controlemix van maatregelen, juist voldoende om zekerheid voor een oordeel te bereiken o de IT auditor komt van rechts - start bij de beoordeling van de overkoepelende architectuur, werkt dan de lagen van de infrastructuur af (naar links) vanuit het perspectief van een gebruiker die remote inlogt om na het doorlopen van een mix van IT controles toegang tot de applicatie te krijgen en de gekoppelde database te kunnen raadplegen of muteren

25 25 Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles 2. De accountant en de IT auditor hebben een andere interpretatie van de sterkte van IT controles, waarmee controlezekerheid te bereiken is; o de accountant hecht relatief grote waarde aan controlezekerheid uit gebruikerscontroles, uit raadpleging van documentatie en interviews met verantwoordelijke managers, en uit informatie van applicaties die één op één te vertalen zijn naar posten van de jaarrekening. Vanuit deze optiek zijn bevindingen uit IT General controles een ver van mijn bed show o de IT auditor legt meer nadruk op de rand voorwaardelijke beveiligings- en continuïteitaspecten van de infrastructuur, middels isolatie van domeinen, encryptie van netwerk communicatie, het voorkomen van inbreuk op toegangspaden tot applicaties en data, en ondersteunende maatregelen van IT beheer De accountant beschikt over een uitgebreidere gereedschapskist aan controlemiddelen, en de IT auditor heeft daar niet altijd zicht op. Het gaat hier om gegevensgerichte maatregelen zoals cijferbeoordeling en verbandscontroles. 4. De accountant controleert met een materialiteitsblik, die voor de IT auditor veelal moeilijk te doorgronden is, omdat 1) de bepaling van een fouttolerantie een subjectief element kent en 2) de fouttolerantie kan variëren naar gelang welke post van de jaarrekening, of welk transactieproces, beoordeeld wordt. Conclusie: de accountant en de IT auditor zijn in een jaarrekening audit gezien de bovenstaande verschillen - geen natuurlijke partners, maar dat laat onverlet dat de accountant IT controles dient af te dekken. De besluitvorming over het IT controleprogramma zal dan ook een trechtermodel moeten doorlopen, waarbij: - in de opstartfase (pre-audit) de wederzijds perspectieven en motieven voor geplande maatregelen open uitgewisseld worden - in alle fasen van de audit, zowel de instelling van de partners als de inhoudelijke uitvoering van de controle principle-based is - in een zo vroeg mogelijk stadium van de audit overeenstemming wordt bereikt over een minimale set van werkende IT maatregelen, binnen het stelsel van IT controles van de gecontroleerde, zonder welke de accountant geen goedkeurende verklaring bij de jaarrekening kan afgeven. 28 Paans - "IT-auditor, repressief of juist preventief optreden?", Presentatie op Vurore Seminar, 18 april 2008

26 26 Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles 3.2 Organisatie; Basisvoorzieningen in IT en adequate respons op IT risico s Op de zoektocht naar mogelijk onvervangbare IT controles is het van belang om aansluiting te houden tussen het stelsel van IT controles en het audit risk model dat aan de basis staat van de controle van de jaarrekening. Het verband tussen strategische inrichting van de interne beheersing en het controleobject, de jaarrekening, is indirect. Daarentegen hebben proces controles (de General en Application IT controles) een directe relatie met posten van de jaarrekening, hun werking is meer relevant voor het bereiken van de algemene en de IT audit doelstellingen. Zijn strategische controles volledig vervangbaar? Voldoen werkende proces controles voor het bereiken van voldoende controlezekerheid? Menig accountant zal indien gedwongen tot een keuze- hierop bevestigend antwoorden, en redeneren dat het merendeel van de controledoelstellingen in theorie kunnen worden bereikt in geval van slechte strategische controles en goede procescontroles 29, maar dan moeten wel eerst juiste strategische beslissingen zijn genomen over de richting en de inrichting van de interne beheersing en de specifiek daarin opgenomen procescontroles. Daarop zal de IT auditor terecht hameren. Uit onderstaand overzicht blijkt bovendien dat het antwoord mogelijk afwijkt voor IT controles, omdat strategische en procescontroles elkaar overlappen: Strategische en procescontroles zijn complementair voor het bereiken van algemene controle-doelstellingen. Voor IT audit doelstellingen zijn strategische maatregelen eerder rand voorwaardelijk. Bestaan er basisvoorzieningen in IT die de IT auditor mogelijk als onvervangbaar voor de controle van de jaarrekening bestempelt? 29 Van Leeuwen & Wallage - "Moderne controle-benaderingen steunen op interne beheersing", MAB maart 2002

27 27 Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles COSO , en in het verlengde daarvan COBIT 31, neem ik als normenkaders voor de selectie van voor de jaarrekening relevante basisvoorzieningen in IT, die op mogelijke onvervangbaarheid worden beoordeeld. Voor de details van deze beoordeling wordt verwezen naar bijlage 2A: Basisvoorzieningen in IT: Entity Level controles. Ik ga hier nu verder met een selectie van de resultaten van deze beoordeling. De IT basisvoorzieningen 2, 6 en 9 zijn naar mijn mening onvervangbaar voor de jaarrekening audit, de andere zijn vervangbaar, met volgende motivatie: Voorwaarde voor de controleerbaarheid van IT activiteiten is dat het management van de onderneming de IT organisatie richt (2) Voor de uitvoering van IT -naar binnen toe gericht- bestaan kwalitatief goede normenkaders die weinig betrokkenheid van de bedrijfsleiding verlangen; veel van de basisvoorzieningen zijn daarom weliswaar belangrijk, maar vervangbaar In de dynamische omgeving van een bedrijf is effectief risicomanagement onvervangbaar; de IT activiteiten en controles zijn tijdig aan te passen aan externe verandereisen en aan interne proceswijzigingen. Zonder deze functie loopt IT achter de feiten aan, is sprake van onvoldoende alignment (6) Omwille van de controleerbaarheid van de jaarrekening, dient de bedrijfsleiding IT kritische processen en functies te monitoren (9). Entity Level IT controles zijn onderdeel van de algemene beheersactiviteiten voor IT. Deze controles zijn de directe verantwoordelijkheid van het management van de onderneming. Het is cruciaal dat het management hieraan zélf adequaat invulling geeft, en niet naar de CIO of de leiding van de IT Beheer organisatie afschuift. 30 Grant Thornton LLP New COSO framework links IT and business process, summer ITGI - IT Control Objectives for Sarbanes Oxley, 2nd Edition, 2006

28 28 Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles In de jaarrekening audit van Happy Care dient de IT auditor de adequate werking van basisvoorzieningen voor de overgang naar SalesForce SaaS te verifiëren: 1) de effectiviteit van het risicomanagement van het project, in opzet en uitvoering 2) het monitoren van IT beheer vanwege inherent hoger risico door de reorganisatie 3) gevolgen voor de werking van General IT controles, zijn gebreken vervangbaar? Wanneer de IT auditor in dit traject materiële gebreken en/of onzekerheden vast stelt, is de controleerbaarheid van de jaarrekening in het geding. 3.3 General; Basisvoorzieningen in logische toegangsbeveiliging en wijzigingsbeheer De General IT controles zijn onderdeel van de procescontroles. Door IT ondersteunde procescontroles zijn van groot belang voor de jaarrekening audit. Daarbij zijn de General IT controles rand voorwaardelijk voor het bestaan, de opzet en de werking van Application IT controles. Dit geeft al een indicatie dat General IT controles onvervangbare elementen van interne beheersing kunnen bevatten. Op de zoektocht naar mogelijk onvervangbare IT controles voor de jaarrekening audit behandel ik eerst de objecten van de Technische infrastructuur van IT. Daarna ga ik in op de verschillende categorieën van beheersactiviteiten. De objecten van de Technische Infrastructuur en hun relevantie voor de jaarrekening audit worden hieronder behandeld: Het in-en uitgaande verkeer via internet raakt de buitenste schil van de infrastructuur. Bij werkende General IT controles (de binnenste schillen), zal de toegang via internet geen risico voor de jaarrekening inhouden Het operating system voert geen voor de jaarrekening relevante transactie/dataverwerking uit. Windows Active directory is (zoals bij Happy Care het geval) van belang voor de toegangscontrole (met SSO). Bij werkende General IT controles (de binnenste schillen) zal het operating system echter geen direct risico voor de jaarrekening vormen Hardware en netwerk staan relatief ver van de transacties af en vormen bij goedwerkende General IT controles geen direct risico voor de jaarrekening Het DBMS dekt centraal databasebeheer en datacommunicatie af, waarbij te onderzoeken is welke rol het DBMS heeft, welke databestanden voor welke applicaties worden gebruikt, en waar ze opgeslagen worden. De meest relevante objecten zitten in de binnenste schil, het zijn de toepassingsapplicaties en de data, omdat gebruikers hiermee de transacties genereren die in de jaarrekening uitmonden. Het risicoprofiel van applicaties is hoger bij: 1) maatwerk, versus standaard oplossingen, vanwege het aspect integriteit; 2) uitbesteed, versus in intern beheer, vanwege het aspect controleerbaarheid; 3) shared, versus intern, vanwege het aspect exclusiviteit (shared betekent -voor Happy Care- een cloud oplossing)

29 29 Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles Workflow tools zorgen voor interfaces tussen applicaties, wanneer van een ERP standaard wordt afgeweken. Het risicoprofiel van een workflow is inherent hoog, omdat het maatwerk betreft en vaak grote datahoeveelheden te verwerken zijn. Welke General IT controles -op het terrein van toepassingsapplicaties en data- zijn voor de IT auditor mogelijk onvervangbaar voor de controle van de jaarrekening? COBIT 32 neem ik als normenkader, ITGI heeft uit dit normenkader op grond van relevantie voor de jaarrekening een 25-tal IT controles geselecteerd, die ik op onvervangbaarheid beoordeel. Voor de details van deze beoordeling wordt verwezen naar bijlage 2B: Basisvoorzieningen in IT: General controles, op pagina xx. Ik ga hier nu verder met een selectie van de resultaten van deze beoordeling. 32 ITGI - IT Control Objectives for Sarbanes Oxley, 2nd Edition, 2006

30 30 Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles De IT basisvoorzieningen 1, 10, 11, 15, 16, 17 en 20 zijn naar mijn mening onvervangbaar voor de jaarrekening audit, de andere zijn vervangbaar, met volgende motivatie: Toepassingsprogramma s en databases (opslag en transport) moeten, individueel en in hun rol/samenspel binnen het informatiesysteem, aan minimumeisen voor IT controles op beveiliging en integriteit voldoen, zodat aan de kwaliteitsaspecten exclusiviteit, integriteit en controleerbaarheid invulling kán worden gegeven (1) De controleerbaarheid van de jaarrekening kan niet voldoen zonder adequaat wijzigingsbeheer op kritische applicaties. Voorbeeld is het behouden van de audit trail (was => wordt) bij de overgang naar een nieuwe programma versie (10, 11) De controleerbaarheid van de jaarrekening kan niet zonder afdoende logische toegangsbeveiliging middels identificatie en authenticatie. Voorbeeld: indien het password beleid binnen een onderneming niet op orde is, kan authenticatie van individuele gebruikers slechts beperkt plaats vinden. Hierdoor is (achteraf) veelal niet meer vast te stellen of functiescheiding heeft gewerkt. Als paswoorden "publiek" bekend zijn, is niet vast te stellen of doorgevoerde mutaties door bevoegde personen zijn gebeurd, en functievermenging tot materiele fouten (en/of waarde onttrekkingen) heeft geleid (15,16,17) In voor de jaarrekening kritische (massa)processen zijn goed werkende functiescheidingen onmisbaar om materiële fouten van/door -niet geregistreerde- waarde onttrekkingen te voorkomen (20). Onder Manage data (COBIT DS11) heeft ITGI enkel IT controles geselecteerd die het kwaliteitsaspect continuïteit afdekken, waarbij het belang van het aspect integriteit van databases mogelijk tekort schiet; de beveiliging van kritische data vereist: Data security controles die voorkomen dat databases via ongeautoriseerde paden, om de applicaties heen, benaderd en gemuteerd worden. Conclusie uit de beoordeling is dat General IT controles onvervangbare elementen van interne beheersing bevatten. Dit heeft tot gevolg dat: General IT controles niet enkel rand voorwaardelijk te testen zijn als op de onderliggende Application IT controles gesteund wordt, want de IT auditor dient in de jaarrekening audit onvervangbare General IT controles dwingend op hun werking te testen! In de jaarrekening audit van Happy Care verifieert de IT auditor het wijzigingsbeheer bij overgang naar SalesForce SaaS en basisvoorzieningen rondom de cloud applicatie, om te onderzoeken of de orderinformatie uit SalesForce voldoet voor bepaling van de SOLL positie van de omzetverantwoording. Wanneer de IT auditor ook in dit traject materiële gebreken en/of onzekerheden vast stelt, zijn de IT controles onvervangbaar en is de controleerbaarheid van de jaarrekening in het geding.

31 31 Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles 3.4 Applicaties; Werking van IT controles in kritische massa-processen De Application IT controles zijn onderdeel van de procescontroles. Door IT ondersteunde procescontroles zijn van groot belang voor de jaarrekening audit. Daarbij zijn de Application IT controles (steunend op werkende IT General controles) rand voorwaardelijk voor User IT dependant manual controles. Dit geeft al een indicatie dat Application IT controles onvervangbare elementen van interne beheersing kunnen bevatten. Application IT controles bestaan in vele verschijningsvormen, en dekken, elk voor de specifieke applicatie, details van individuele kwaliteitsaspecten van de informatieverwerking af die -op zich staand- grotendeels vervangbaar zijn. Voorbeeld is een Limit check op een debiteurenkrediet, dat de gebruiker ook handmatig kan vaststellen met het huidige debiteurensaldo en het orderbedrag in kwestie. Een opdeling van Application IT controles naar de fase van informatieverwerking 33 is: Input controles: gericht op juiste en volledige invoer in de applicatie; zoals checks op een veld, geldigheid, redelijkheid en teken Verwerkingscontroles: gericht op juiste en volledige verwerking van de input; zoals totaalcontroles (# in = # verwerkt), volledigheidscontrole Output controles: gericht op de juistheid en volledigheid van de output; zoals controle van verbanden, volledigheidscontrole, totaalcontrole Integriteitscontroles: gericht op de blijvende integriteit van een applicatie zoals preventieve controle op code changes- en/of op applicatie data -monitoring in de verwerking, transport en opslag Audit trail controles: gericht op de controleerbaarheid van verwerkte transacties; zoals logging van transacties, events/verstoringen, toegangsgegevens gebruikers, veranderingen in parameterinstellingen & overkoepelend voor alle fasen: controles op de Logische toegangsbeveiliging, indien deze specifiek op applicatie niveau is bepaald. Application IT controles worden belangrijker voor de controle van de jaarrekening naarmate: de omvang en de complexiteit van de processen groter wordt, want handmatige controle is dan geen optie meer; te tijdrovend/kostbaar en te grote foutenkans de controles kritische controleverbanden afdekken, of totaal omspannend zijn, waarmee een totaal proces op efficiënte en effectieve wijze gecontroleerd of beoordeeld kan worden alternatieve controlemiddelen -zoals data analyse- niet beschikbaar of vanwege proces complexiteit niet mogelijk zijn, of niet efficiënt te realiseren zijn. 33 GTAG 8 Auditing Application Controls, January 2009

32 32 Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles Op de zoektocht naar mogelijk onvervangbare Application IT controles start ik weer bij het normenkader van COBIT 34, waarin de volgende IT controle is opgenomen: Deze IT basisvoorziening kan naar mijn mening onvervangbaar zijn: In de procesbeheersing van dynamische massa transactiestromen vooral in de noodzakelijke verbanden van de geld- en goederenbeweging- kunnen Application IT controles zo kritisch zijn dat gebreken de controleerbaarheid van de jaarrekening kunnen beperken. Voorbeeld: een niet juist werkende 3-way match controle in het inkoopproces van een discount webwinkel in combinatie met complexe leveringsvoorwaarden, zoals variabele prijsafspraken - kan leiden tot materiele afwijkingen in de hoeveelheden en de inkoopprijzen waartegen de voorraden in de balans gewaardeerd staan. In navolging van het geconstateerde bij General IT controles, geldt ook voor Application IT controles indien op applicatie niveau geregeld- dat: De jaarrekening niet zonder afdoende logische toegangsbeveiliging van de applicatie middels identificatie en authenticatie kan. Voor kritische applicaties zijn werkende audit trail controles en de integriteitscontroles van de betreffende applicatie in aanvulling op de informatie uit het wijzigingsbeheeronvervangbaar, inclusief hun logging: De controleerbaarheid van de jaarrekening kan niet voldoen zonder bewijs van blijvende werking gedurende de controle periode- van de kritische applicatie. Conclusie uit de beoordeling is dat Application IT controles onvervangbare elementen van interne beheersing bevatten, met daarbij de kanttekening dat de inrichting van de controle sterk afhankelijk is van de specifieke inrichting en omgeving van de gecontroleerde en zijn financiële verantwoording. In de controle van de omzetverantwoording bij jaarrekening audit van Happy Care verifieert de IT auditor in hoeverre wijzigingen in de logische toegangsbeveiliging tot applicaties mogelijk bestaande functiescheidingen hebben doorbroken. Bij werkende General IT controles zijn gebreken in de toegangscontrole waarschijnlijk vervangbaar. 34 ITGI - IT Control Objectives for Sarbanes Oxley, 2nd Edition, 2006

33 33 Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles 3.5 Conclusie; Correlatie van onvervangbare IT controles en de controleverklaring Ik concludeerde aan het einde van het vorige hoofdstuk dat de jaarrekening assurance in een gevaarzone is beland; een verder te definiëren fundament van interne controle verankerd in IT systemen en processen is tegenwoordig een onvervangbaar onderdeel van de interne beheersing, dat de accountant op werking dient te controleren ( 2.2) de accountant die materiële gebreken in onvervangbare IT controles niet ontdekt, geeft mogelijkerwijs een onjuiste verklaring af bij een niet controleerbare verantwoording óf de accountant die materiële gebreken in onvervangbare IT controles onderkent maar "compenseert" met aanvullende gegevensgerichte maatregelen, verleent met een goedkeurende verklaring mogelijkerwijs schijnzekerheid aan gebruikers van de jaarrekening ( 2.5). Het fundament van IT controles die uit assurance oogpunt minimaal adequaat dienen te werken de onvervangbare IT controles is in dit hoofdstuk onderzocht. COSO 2013, en in het verlengde daarvan COBIT, zijn daarbij als normenkaders gebruikt voor de selectie van voor de jaarrekening relevante basisvoorzieningen in IT. Resultaat van dit onderzoek is een leidraad voor een controleprogramma van onvervangbare IT controles -verdeeld naar Entity Level IT controles, General IT controles en Application IT controles- opgenomen in bijlage 3. Ik spreek hier over een leidraad, omdat het controleprogramma van onvervangbare IT controles evenals de overige maatregelen van de controle van een jaarrekening- steeds maatwerk is gebaseerd op de specifieke inrichting en omgeving van de gecontroleerde en zijn financiële verantwoording. Het opstellen van het controleprogramma is dus een "principle-based job" die niet zonder de expertise en het professional judgement van de IT auditor kan. Indien bij uitvoering van het controleprogramma materiële gebreken in de onvervangbare IT controles worden vastgesteld, is de controleerbaarheid van -delen van- de financiële verantwoording in geding, en schrijven de controlestandaarden voor dat de accountant geen goedkeurende controleverklaring kan en mag afgeven ( 1.3).

34 34 Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles Deelvraag 3: Hoe kan de IT Auditor de bijdrage aan het reduceren van het audit risico verbeteren? 4.1 Deugdelijke grondslag; Noodzaak van IT audit competenties Nu dat de materie van onvervangbare IT controles inhoudelijk behandeld is, wordt het tijd voor een opkikkertje 35 : "Ondertussen staat de IT-wereld in brand (a), stappen onze cliënten massaal in IAAS, PAAS, SAAS-webtoepasingen en worden ERP-pakketten verdrongen door Apps. Webtoepassingen blijken helaas vaak uiterst kwetsbaar te zijn. Banken worden stilgelegd en hun imago wordt geschaad door DDOS-attacks. De klap van Diginotar dreunt nog steeds na en de overheid maakt zich terecht grote zorgen over de veiligheid van systemen. Bedrijven en instellingen zijn massaal gehackt en regelmatig komt in het nieuws dat gevoelige bestanden op straat liggen. Systemen zijn zo lek als een mandje en de basisfunctiescheidingen blijken in de ICT-realiteit helemaal niet te bestaan (b) Stel dat ICT binnen organisaties de laatste twintig jaar twintig keer relevanter is geworden. Hoeveel meer ruimte is er binnen de accountantscontrole gekomen om serieus aandacht te geven aan IT door een deskundige? (c) Ondertussen zijn de bevindingen van IT-auditors nog steeds niet goed te vertalen naar de impact op de jaarrekeningcontrole (d) " Met dit citaat wil ik een brug maken naar de noodzaak van IT audit competenties om tot een deugdelijke grondslag voor de controleverklaring bij de jaarrekening te komen: (a) Niet alleen is de invloed van IT op de inhoud van primaire bedrijfsprocessen, en daarmee ook op de jaarrekening, veranderd van een ondersteunende naar een primaire, bepalende rol, maar zoals hierboven geschetst is IT zelf een risico factor van belang geworden 36, een reden temeer om expertise -van de IT auditor- in te schakelen om het inherent risico van IT voor de jaarrekening te beoordelen (b) De IT realiteit is object van de jaarrekening audit geworden, waarbij verificatie van onvervangbare IT controles -onder meer- zekerheid geven over de werking van kritische functiescheidingen (c) In haar meest recente audit heeft de AFM 37 met enige regelmaat geconstateerd dat de accountant steken liet vallen in het verkrijgen van een deugdelijke grondslag voor IT audit bewijs. Deze vaststelling is geen verrassing voor de doorsnee IT auditor, en tegelijk ernstig gezien de groeiende relevantie van IT. => Naar mijn mening dient de inschakeling van een IT auditor bij de controle van de jaarrekening van een IT-afhankelijk bedrijf (zie voetnoot 11) niet aan de individuele accountant overgelaten worden, maar dient door het NBA vanwege reductie/beheersing van het audit risico verplicht te worden. (d) Op basis van dit voorstel behandel ik in de volgende paragrafen vooral het hoe in de samenwerking tussen accountant en IT auditor bij de controle van de jaarrekening, met als overkoepelend doel een reductie van audit risico. 35 Matto - "IT-auditors en accountants, een 'wicked problem'", De Accountant april Singleton - "The Core of IT Auditing", ISACA Journal Volume AFM - Uitkomsten onderzoek kwaliteit wettelijke controles Big 4-accountantsorganisaties, sept 2014

35 35 Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles 4.2 Teamwerk; Besef en begrijpen van wederzijds perspectief De bijdrage van de IT auditor heeft naast het aspect van IT expertise en kennisoverdracht ("wat") een belangrijke tactische component ("hoe") die moet voorkomen dat zijn controle bevindingen onvoldoende gelag (met g) vinden. De samenwerking tussen IT auditor en accountant dient in beide opzichten (dus "wat" en "hoe") te verbeteren en dat in combinatie draagt bij aan reductie van het audit risico. Eerder beschreef ik de verschillende perspectieven die de accountant en de IT auditor hebben op het stelsel van IT controles ( 3.1), kort samengevat: 1. De accountant heeft een andere kijk op het stelsel van IT controles, komt van links, start met een risicoanalyse vanuit de jaarrekening, de IT auditor komt van rechts, start met de overkoepelende structuur van het informatiesysteem 2. De accountant beoordeelt de sterkte van IT controles anders, hecht relatief grote waarde aan gebruikerscontroles en uit informatie van applicaties die één op één te vertalen zijn naar posten van de jaarrekening, neigt naar een meer gegevensgerichte aanpak ( zelf checken ) 3. De accountant beschikt over een uitgebreidere gereedschapskist aan gegevensgerichte controlemiddelen, en de IT auditor heeft daar niet altijd zicht op 4. De accountant controleert met een materialiteitsblik, die voor de IT auditor moeilijk te doorgronden is, want 1) deels subjectief karakter 2) varieert per post van de jaarrekening. Andere factoren die een hypotheek op de samenwerking leggen zijn: 5. De accountant is de wettelijke bevoegde om een controleverklaring af te geven = leading 6. De accountant is de budgethouder van de jaarrekening audit; inhuur van deskundigen -zoals de IT auditor- gaat waarschijnlijk ten koste van eigen verdiensten 7. De IT auditor behoort binnen de grotere accountantskantoren tot een minderheid die zich moet confirmeren aan het gedachtengoed van de belangrijkste stakeholder, de accountant 8. De accountant en de IT auditor zijn onder druk van de markt(specialisatie) uit elkaar gegroeid; er bestaat een wederzijdse expertise gap 9. De accountant heeft op jaarrekening audit gebied niet meer de innovatie voorsprong van weleer; de audit is door gebrek aan investeringen in vernieuwingen een commodity product geworden 10. De accountant staat onder maatschappelijke druk, heeft andere bouwplaatsen. Op zoek naar opties voor verbetering van de samenwerking bestaan twee sporen: Focus op hard skills -zoals expertise, procedures, tools- als succesfactoren voor IT audits 38. Deze benadering sluit aan op de wederzijdse expertise gap. Nadruk op soft controls waarbij gedragsverbeteringen van management en medewerkers de belangrijkste succesfactor zijn 39, aansluitend op de vaststelling dat taal - en cultuurverschillen aan de basis liggen van soms moeizame samenwerking 40. Deze benadering sluit aan op het verschil in perspectief. Een combinatie van deze twee sporen -voor de jaarrekening audit- is het doel. 38 Havelka, Merhout - "Internal information technology audit process quality: Theory development using structured group processes", International Journal of Accounting Information Systems 14, Baarslag Soft controls: harde dobber voor IT-managers?, Tijdschrift Informatie, aug Bakker - "Venus en Mars", De Accountant juli/augustus 2013

36 36 Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles 4.3 Jaarrekening audit proces; Naar een geïntegreerde aanpak Van belang is te onderkennen dat de samenwerking tussen de accountant en de IT auditor op verschillende niveaus tot stand moet komen, tussen: de partners in de jaarrekening audit ( de leiding ): hun samenwerking is rand voorwaardelijk voor de uitvoering. Helaas bestaan op dit niveau ook de meeste blokkades, van politieke, financiële en andere aard. Faciliterende maatregelen vanuit de kwaliteitsbeheersing en-bewaking kunnen hier uitkomst bieden hun uitvoerende controleteams ( de uitvoering ): mijn ervaring is dat op dit niveau veel minder blokkades bestaan, en succesvolle samenwerking veel meer afhangt van de kwaliteit van de audit aanpak, lees een goede integratie van IT audit in de jaarrekening audit, en planmatige uitvoering met de juiste processturing. Een handboek schrijven over het hoe van een geoptimaliseerde samenwerking is niet meer nodig; het eerder aangehaalde studierapport van NBA, NOREA en TUACC 41 beschrijft in de vorm van een ThinkChart een proces dat per fase van het audit proces een afstemming tussen de accountant en de IT auditor kent, waarbij mijn stelling is: de kwaliteit van de jaarrekening controle en - als essentieel onderdeel daarvan - de kwaliteit van de samenwerking tussen de IT auditor en de accountant is gebaat bij een geïntegreerd audit proces, waarbij de interactie in de driehoek IT auditor-accountant-klant betere controleinformatie, en daarmee betere controlezekerheid oplevert gedurende en verspreid over het boekjaar. In deze aanpak is IT Audit een geïntegreerd onderdeel van een controle-aanpak, waarbij de IT auditor minimaal de werking van onvervangbare IT controles verifieert. Een geïntegreerde aanpak van de jaarrekening audit biedt naast kwaliteitsverbetering ook mogelijkheden voor: Vernieuwing van de traditionele jaarrekening audit; door middel van het volledig benutten van het potentieel van IT audit, met gebruik van data-analysetechnieken, audit scripts, en het inspelen op continue audit en monitoring technieken; Onderzoek naar mogelijke nieuwe vormen van assurance bij de jaarrekening en andere financiële verantwoordingen, die in een maatschappelijke behoefte voorzien. Naar het motto: Innovatie is voorsprong. 41 Schellevis en Van Dijk - "Jaarrekening controle in het MKB: IT audit geïntegreerd in de controleaanpak", april 2014

37 37 Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles 4.4 IT audit Rapportage; Met een minimum volwassenniveau van IT controles In een geïntegreerde audit vinden rapportages over IT audit werkzaamheden gedurende iedere fase van de jaarrekening audit plaats. Bij effectieve tussentijdse samenwerking bevat de eindrapportage van de IT auditor geen verrassingen. Die eindrapportage dient dan vooral de documentatie van de deugdelijke grondslag. Het slotstuk is een schriftelijke rapportage over de IT audit bevindingen ook in hun onderlinge samenhang- uitmondend in conclusies voor (onderdelen van) de jaarrekening audit. Om effectief te kunnen zijn, moet deze eindrapportage aan voorwaarden voordoen: Maatwerk; de rapportering moet aansluiten op de overeengekomen scope en specifieke aandachtspunten zoals vooraf en gedurende de audit overeengekomen Structuur; de rapportering moet uit voor de accountant herkenbare elementen bestaan, die aansluiten op de overeengekomen risicoanalyse en controle aanpak Vertaling; de bevindingen moeten op basis van overeengekomen criteria - vertaald kunnen worden naar mogelijke gevolgen voor de jaarrekeningaudit Eenduidigheid; de conclusie van de IT auditor moet eenduidig en voldoende dwingend zijn, om opvolging door de accountant zeker te stellen. Hoe kan aan deze rapportagevoorwaarden vorm worden gegeven? Het gaat denk ik om het vinden van een goede balans tussen: professional judgement als leidraad voor audit beslissingen en gedetailleerde IST-SOLL metingen ( niet meten = niet weten ) als beslissingsbasis. Het meten en rapporteren van volwassenheidsniveaus van IT controles -op basis van een op COBIT geschoolde tool, aangepast aan aspecten van de jaarrekening auditbiedt hier mogelijk uitkomst, van waaruit ik met het volgende voorstel kom: De rapportage van de IT auditor aan de accountant bevat een volwassenheidsmeting gebaseerd op de werking van de voor de financiële verantwoording relevante IT controles, met per primair (sub)proces een weergave van de relevante Entity Level, General en Application controles, in hun onderlinge opzet en samenhang (SOLL) en werking (IST) gemeten. De volwassenheidsmeting bevat bovendien per primair (sub)proces een ondergrens die de onvervangbare IT controles vertegenwoordigt. Een score beneden deze ondergrens impliceert dat de IT auditor vanuit zijn oogpunt de controleerbaarheid van - een aspect van - de jaarrekening in twijfel trekt. Een op deze leest geschoeide, robuuste rapportage met een duidelijk oordeel van de IT auditor - vanuit zijn optiek - legt de bal en de noodzaak van adequate opvolging bij de accountant. Dit kan het duwtje in de rug zijn dat beter waarborgt dat de accountant waar nodig nog aanpassingen in de uitvoering van of de rapportage over de jaarrekening controle doorvoert.

38 38 Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles 4.5 Conclusie; Appel aan beroepsorganisaties De beroepsorganisaties NBA, NOREA, en de leidinggevende representanten van de leden vervullen een voorbeeldfunctie en moeten het boegbeeld zijn van vooruitgang. Daarbij hoort dat belangrijke interne afstemmingsproblemen tijdig geadresseerd en opgelost worden, zodat beide beroepsgroepen zich in nauwe samenwerking volledig op de dienstverlening aan het maatschappelijk verkeer kunnen richten. Gezamenlijke studierapporten 42 leveren daaraan een belangrijke bijdrage! Maar er is nog veel werk aan de winkel: De beroepsorganisaties moeten gezamenlijk inhoud geven aan een twee sporenbeleid gericht op verbetering van de samenwerking tussen de accountant en de IT auditor, dit beleid is rand voorwaardelijk voor verbetering van de uitvoering. Dit beleid adresseert zowel harde als zachte elementen van de samenwerking, waarbij onder meer aan de orde komen: (d) Voortgezette educatie die elke accountant op een basisniveau van IT expertise brengt en ieder van de samenwerkende partijen helpt hun culturele verschillen beter te begrijpen en daarmee te kunnen overbruggen (e) Maatregelen binnen het bestaande raamwerk van de controlestandaarden die een bijdrage leveren aan de kwaliteit van de jaarrekening audit: A. Verduidelijken van de toepassing van controlestandaarden bij vaststelling van materiële gebreken in de onvervangbare IT controles, inclusief de gevolgen daarvan voor de strekking van de controleverklaring bij de jaarrekening (actie NBA en NOREA) (zie 3.6) B. Verplichten van de inschakeling van een IT auditor bij de controle van de jaarrekening van een IT-afhankelijk bedrijf (actie NBA), vanwege beheersing en reductie van het audit risico (zie 4.1) C. Sturend en ondersteund beleid maken middels richtlijnen, handreikingen, publicaties, bijeenkomsten - gericht op het wegnemen van belemmeringen in de onderlinge samenwerking (actie NBA en NOREA) (zie 4.2) D. Idem als C, maar dan vaktechnische ondersteuning aan de vernieuwing van de jaarrekening audit met een sterke, geïntegreerde IT Audit component (zie 4.3) E. Nadere regels stellen aan de rapportage door de IT auditor aan de accountant voor wat betreft de inhoud en vorm van een dergelijke IT audit rapportage, en voor adequate opvolging door de accountant (actie NOREA en NBA) (zie 4.4). Deze rand voorwaardelijke beleidsmaatregelen scheppen een kader waarin de positie van de IT Auditor wordt versterkt, waarbij met rechten ook verplichtingen komen, die bij deugdelijke omzetting zullen bijdragen tot reductie van het audit risico in de controle van de jaarrekening. 42 Schellevis en Van Dijk - "Jaarrekening controle in het MKB: IT audit geïntegreerd in de controleaanpak", april 2014

39 39 Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles 5.1 Enquête; Aanpak van het praktijkonderzoek In dit hoofdstuk toets ik mijn conclusies uit het literatuuronderzoek met experts in het veld, middels enquête en aangevuld met enkele interviews om mijn interpretatie van de uitkomsten te verifiëren, dit als basis voor mogelijk nieuwe inzichten en voorstellen. De enquête is begin 2015 gehouden onder 20 docenten van de IT Audit opleiding aan de Vrije Universiteit Amsterdam, met volgende insteek: 25 open vragen in de vorm van stellingen met keuzeantwoorden en toevoeging van een open antwoordoptie, om een goede balans te krijgen tussen inbreng van individuele expertise het primaire doel van de enquête - en kanalisatie van antwoorden naar een groepsopinie over geponeerde stellingen gebruik van een online tool (Socrative), onder waarborging van de anonimiteit van de geënquêteerde; startdatum 21 januari, na 3 weken op 10 februari afgesloten van de aangeschreven docenten zijn er 2 RA, 7 RE, 9 RA RE en 2 met andere titel. Nagenoeg de helft van de aangeschreven experts heeft de enquête ingevuld. De enquête details met vragen en antwoorden - zijn in bijlage 4 opgenomen. Uit de antwoorden op de inleidende vragen (1 t/m 8) is in hoofdlijnen het profiel van de geënquêteerden te herleiden: Perspectief: de spreiding (zie tabel) voldoet aan het profiel van de aangeschreven groep, het is een evenwichtige mix van accountants en IT auditors Expertise en betrokkenheid: de geënquêteerden geven aan over voldoende expertise over het onderwerp te beschikken, een groot deel van de aangeschreven groep is zeer ervaren en daarom niet meer beroepshalve betrokken bij jaarrekening audits Motivatie en noodzaak van verandering: het onderwerp scoort hoog op belang en urgentie (zie tabel), de groep bevestigd het dwingend verband tussen controleerbaarheid van de jaarrekening en de strekking van de controleverklaring, en verder valt de beoordeling van de huidige kwaliteit van de samenwerking tussen NBA en NOREA - als het gaat om de deugdelijke grondslag van de jaarrekening audit - laag uit; al deze scores zijn een indicatie dat de geënquêteerden gemotiveerd zijn om inbreng te leveren 10% 40% Definitie van onvervangbare interne controle: een meerderheid van de geënquêteerden onderschrijft mijn definitie, en beoordeelt het onderwerp daarmee vanuit dezelfde uitgangsbasis, terwijl een minderheid andere invalshoeken heeft die van belang zijn om het onderwerp gedifferentieerd te blijven beoordelen. laag - urgent - hoog Perspectief van geënquêteerden 50% RA RE ander Belang/urgentie van het onderwerp 63% 37% laag - belangrijk - hoog Het op deze basis verkregen profiel van de geënquêteerden voldoet in grote lijnen aan randvoorwaarden om een goede inbreng over het onderwerp te mogen verwachten.

40 40 Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles 5.2 Stellingen; Analyse van feedback De inbreng van experts op geponeerde stellingen uit het literatuuronderzoek is hieronder weergegeven, waarbij voor elke stelling een referentie is opgenomen naar de pagina die naar de uitgebreide context van het behandelde onderwerp verwijst. Stelling 1. De IT afhankelijkheid van bedrijven is het afgelopen decennium enorm gestegen en daarmee is, ook voor de accountant, het belang van adequaat werkende IT controles sterk toegenomen; de jaarrekening audit krijgt een steeds grotere IT audit stempel. (zie pagina 8) Afgezien van één expert die IT audit als een vervangbaar deel van de controle van de jaarrekening ziet, zijn alle geënquêteerden het met deze stelling eens. Stelling 2. De accountant moet in de jaarrekening audit van een "IT-afhankelijk bedrijf" met zijn controlemix van maatregelen dóór de computer, waarbij een adequate beoordeling van het interne beheersingsbeleid gericht op de werking van IT controles kritisch is. (zie pagina 17) Een meerderheid beaamt deze stelling, en daarbij geeft géén van de experts aan dat een gegevensgerichte controle aanpak altijd mogelijk is. De kritiek van enkele experts richt zich op het gebruik van de ouderwetse terminologie dóór de computer ( hoe gaat dat in de cloud? ) en het ouderwetse onderscheid in controle-aanpak tussen systeemgerichte en gegevensgerichte controle ( grenzen vervagen ) => naar mijn mening raakt deze kritiek niet de kern van de stelling. Stelling 3. Algemene maatregelen van IT beheersing zijn te splitsen in: 1) Entity Level IT controles waarvoor het management (team) verantwoordelijk is en 2) General IT controles waarvoor de operationele leiding van IT Beheer verantwoordelijk is. (zie pagina 12, pagina 16) Een meerderheid beaamt deze stelling. Eén van de experts geeft terecht aan dat een deel van de verantwoordelijkheid van General IT controles - bijvoorbeeld de monitoring van specifieke transacties - bij Business IT gelegd kan zijn. Stelling 4. In een dynamische omgeving met sterke "IT afhankelijkheid" is effectief IT risicomanagement onvervangbaar om materiele fouten in de jaarrekening -door het niet tijdig aanpassen van IT activiteiten en procescontroles- te voorkomen. (zie pagina 26) Een meerderheid beaamt deze stelling, en daarbij geeft géén van de experts aan dat IT risicomanagement vervangbaar is. Eén van de experts geeft aan dat IT risico management breder gaat dan wat de accountant nodig heeft => mijn repliek is dat de accountant alleen jaarrekening relevante facetten beoordeelt. Een andere expert geeft aan dat materiële fouten in de jaarrekening ook met waarderingsvraagstukken (lees: schattingsposten) samenhangen => daar ben ik het mee eens maar deze bron van fouten is geen onderdeel van de scope van deze afstudeeropdracht.

41 41 Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles Stelling 5. Gegeven de toegenomen relevantie van IT voor de controle van de jaarrekening zijn normen (kaders) of richtlijnen nodig die verduidelijken hoe een (minimale) ondergrens voor de werking van onvervangbare IT controles als basis voor een deugdelijke grondslag kan worden bepaald. (zie pagina 9, pagina 23) Een meerderheid beaamt deze stelling. Eén van de experts redeneert vanuit de optiek dat gegevensgerichte controle lacunes in de IT controles kan vervangen. Een andere expert is van mening dat de huidige COS voldoen => mijn mening: zie paragraaf 1.2. Stelling 6. De inschakeling van een IT auditor bij de controle van de jaarrekening van een ITafhankelijk bedrijf dient niet aan de individuele accountant overgelaten worden, maar dient door het NBA vanwege reductie/beheersing van het audit risico verplicht te worden. (zie pagina 33) Slechts één expert is het met deze stelling eens, 4 experts vinden dat de huidige COS voldoet, en 3 andere experts hebben de volgende mening: Inschakeling van een CISA kan voldoen in plaats van een IT auditor => dat begrijp ik, maar ik vind het gevaarlijk om deze inschatting aan de accountant over te laten, want mogelijk ontbreekt daarvoor de IT expertise. Het kan zo zijn dat jaarrekening relevante risico s op andere manieren beheerst worden dan middels IT, dit is in samenspraak tussen klant, accountant en IT auditor af te stemmen => dat geldt niet voor onvervangbare IT controles Gezien ook de bevindingen van AFM lijkt het noodzakelijk dat bij een jaarrekeningcontrole verplichte consultatie van de IT audit deskundigheid dient plaats te hebben en bovendien moet worden toegezien op de adequate naleving van dergelijke afspraken => mee eens, dit voorstel neem ik over. Stelling 7. Omwille van de controleerbaarheid van de jaarrekening dient de bedrijfsleiding IT kritische processen en beheersfuncties (zoals systeembeheerders, superusers) te (laten) monitoren. (zie pagina 26) In hun beantwoording geven 2 experts aan dat de bedrijfsleiding dit uit bedrijfsbelang moet doen, en niet voor de accountant => mee eens, daarom vindt ik het een onvervangbare interne controle. Met deze aanvulling beaamt een meerderheid deze stelling. Eén expert geeft aan dat de inrichting van de controle situationeel is en zekerheid vaak door combinaties van controlemaatregelen wordt verkregen => mee eens, maar deze vorm van monitoring hoort daar dan wat mij betreft altijd bij. Een andere expert geeft aan dat de audit trail een monitoring mechanisme is => wat mij betreft is de audit trail slechts een SOLL positie, niet een garantie voor de IST situatie, waarschijnlijk doelt de expert hier op software die tot doel heeft de audit trail te waarborgen. In dat geval is de software een controlemiddel voor de accountant.

42 42 Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles Stelling 8. De controleerbaarheid van de jaarrekening kan niet zonder adequaat wijzigingsbeheer op kritische applicaties, bijvoorbeeld bij de overgang naar een nieuwe toepassing. (zie pagina 29) In de beantwoording geeft één expert aan dat de bedrijfsleiding dit uit bedrijfsbelang moet doen, en niet voor de accountant => mee eens, daarom vindt ik het een onvervangbare interne controle. Met deze aanvulling beaamt een meerderheid deze stelling. Een andere expert benadrukt het belang van adequaat wijzigingsbeheer door te stellen dat ook niet-materiële wijzigingen tot manipulatie van data en systeemfunctionaliteit kunnen leiden, en deze derhalve tot de scope moeten behoren => dit vind ik moeilijk te beoordelen, voor beoordeling van de onvervangbaarheid van IT controles lijkt me de controleerbaarheid van materiële wijzigingen voldoende. Stelling 9. Data-analyse is zo goed als de kwaliteit van de brondata. De integriteit van de brondata is alleen bij werkende onvervangbare IT controles gewaarborgd. (zie pagina 21) 3 experts zijn het met deze stelling eens, één expert meent dat IT controles vervangbaar zijn, en 4 andere experts sluiten zich met aanvullende argumentatie hierbij aan, die erop neer komt dat data-analyse - ook bij gebreken in onvervangbare IT controles minstens een indicatie kan geven over de kwaliteit van de brondata => dat komt bij mij over als het paard achter de wagen spannen ; de noodzaak van basis hygiëne in de bron waaruit de data afkomstig zijn, lijkt mij onvermijdelijk. Ik meen in de antwoorden te lezen dat dit besef ook aanwezig is, en dat de stelling te stellig is geformuleerd. Daarom zal ik de stelling nuanceren. Stelling 10. In de procesbeheersing van dynamische massa transactiestromen vooral in de noodzakelijke verbanden van de geld- en goederenbeweging- kunnen Application IT controles zo kritisch zijn dat gebreken de controleerbaarheid van de jaarrekening kunnen beperken. (zie pagina 31) Een meerderheid beaamt deze stelling. Uit de antwoorden interpreteer ik dat 2 experts aangeven dat deze IT controles veelal door data-analyse vervangen kunnen worden. Stelling 11. De kwaliteit van de jaarrekening controle en - als essentieel onderdeel daarvan de kwaliteit van de samenwerking tussen de IT auditor en de accountant is gebaat bij een geïntegreerd audit proces. (zie pagina 35) Een meerderheid beaamt deze stelling. Eén expert voegt toe dat subspecialisaties van het beroep van IT auditor (zoals een CISA) ook deze rol kunnen vervullen.

43 43 Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles Stelling 12. De rapportage van de IT auditor aan de accountant dient een volwassenheidsmeting te bevatten gebaseerd op de werking van de voor de financiële verantwoording relevante IT controles, met per primair (sub)proces een weergave van de relevante Entity Level, General en Application controles, in hun onderlinge opzet en samenhang (SOLL) en werking (IST) gemeten. De volwassenheidsmeting bevat bovendien per primair (sub)proces een ondergrens die de onvervangbare IT controles vertegenwoordigt. Een score beneden deze ondergrens impliceert dat de IT auditor vanuit zijn oogpunt de controleerbaarheid van - een aspect van de jaarrekening in twijfel trekt. (zie pagina 36) Alle experts geven impliciet aan dat de vertaling van resultaten van de IT audit naar de jaarrekening audit een probleem is. 2 experts zijn het geheel met de stelling eens, 3 experts menen dat volwassenheidsmetingen van IT controles het probleem niet oplossen, en 3 andere experts vermelden het volgende: één expert geeft aan dat IT controles vervangbaar zijn => niet mee eens een andere expert onderschrijft de noodzaak van meer effectieve rapportage, maar is niet overtuigd dat volwassenmetingen voldoende zijn en de laatste expert trekt de effectiviteit van de beschreven metingen in twijfel, omdat alleen een afwijking tussen bestaan en opzet van beheersmaatregelen beschreven zou zijn => ik denk dat de afwijzing van de stelling mede voortkomt uit twijfels over de effectiviteit van volwassenheidsmetingen (zie ook de COBIT 5 discussie). Ik zal dit element uit de stelling halen en vervangen door een bestaande (sub)procesmeting. Stelling 13. De beroepsorganisaties NBA en NOREA moeten gezamenlijk inhoud geven aan een beleid gericht op verbetering van de samenwerking tussen de accountant en de IT auditor, dit beleid is rand voorwaardelijk voor verbetering van de uitvoering. (zie pagina 37) Een meerderheid beaamt deze stelling. Eén van de experts geeft aan dat verbetering vooral uit de cultuur moet komen => mee eens. Een andere expert vindt dat het beleid ook op zijn uitvoering gecontroleerd moet worden, bijvoorbeeld door de AFM => dat kan, maar moet je het zover laten komen? Stelling 14. Een leidraad voor een controleprogramma van onvervangbare IT controles - telkens in overleg met de accountant aan te passen op de specifieke inrichting en omgeving van de gecontroleerde en zijn financiële verantwoording- is van meerwaarde. (zie pagina 32) Een meerderheid beaamt deze stelling. Eén expert geeft hier aan dat IT controles vervangbaar zijn => niet mee eens. Een andere expert vindt dat risicoanalyse bepaalt wat de ondergrens is van IT controles => niet mee eens, voor de inrichting van de jaarrekening audit is het onderscheid onvervangbare-vervangbare IT controles maatgevend voor de controleerbaarheid, en daarmee voor de strekking van de controleverklaring.

44 44 Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles Stelling 15. De 10 gekozen IT controles zijn als ondergrens een goede leidraad voor een controleprogramma van onvervangbare IT controles. (zie pagina 55) Een meerderheid beaamt deze stelling. Eén expert benadrukt dat de controle situationeel in te richten is => mee eens, daarom is dit enkel een leidraad. Een andere expert vindt dat een leidraad door een breder gremium beoordeeld moet worden, met het beschermen van data los van de gekozen technologie (IT inrichting) als basis => mee eens. 5.3 Interviews; Verificatie van de interpretatie Met een aantal experts heb ik individueel - aanvullende interviews gevoerd, waarvan de samenvattingen in bijlage 5 staan. Telkens ging het in deze interviews om: 1) feedback op het literatuuronderzoek om nieuwe ideeën/meningen te verzamelen en 2) interpretatie van de enquêteresultaten om uitkomsten/conclusies te verifiëren. Uit deze interviews komen in hoofdzaak de volgende door experts ingebrachte aanvullende punten: A. Over onvervangbaarheid van IT controles: De feitelijke onvervangbaarheid van IT controles is situationeel te beoordelen en complex, en het inzicht in en de mening van de gecontroleerde over de kwaliteit van de beheersing van een bedrijfsproces doet er vaak toe Gebreken in onvervangbare IT controles leiden in de praktijk niet zo snel tot een bevestigende conclusie, omdat compensatie in de specifieke situatie naar mening van de accountant - nog vaak mogelijk is. Ontbreekt echter een basis hygiëne in de werking van IT controles, dan moet dit consequenties moeten hebben voor de strekking van de controleverklaring In de praktijk is de kwaliteit van brondata voor data-analyse veelal bij benadering afdoende vast te stellen ( gaten in de kaasschijven mogen elkaar niet overlappen ), maar een basis hygiëne niveau in onvervangbare IT controles blijft voorwaarde. B. Over de samenwerking tussen de accountant en de IT auditor: Verplichte inschakeling van een IT auditor bij de jaarrekening audit van een ITafhankelijk bedrijf gaat te ver; verplichte IT audit consultatie is afdoende, en wordt binnen de big 4 ook in werkprocessen afgedwongen, waarbij meer aandacht nodig is voor de kwalitatieve invulling van de consultatie omdat de feitelijke samenwerking nog kwalitatief onvoldoende is De toegevoegde waarde van extra lijstjes/richtlijnen/rapporten mag niet worden overschat, de uitvoering van procedures/processen en de culturele aspecten zijn zeker van even groot belang. Deze punten worden meegewogen in de probleemoplossing.

45 45 Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles 5.4 Resultaten; Nieuwe inzichten, nieuwe voorstellen? De nieuwe inzichten uit de enquête en aanvullende interviews zijn hieronder vertaald in aanpassingen op enkele stellingen: Stelling 6 - aangepast. De inschakeling van een IT auditor bij de controle van de jaarrekening van een ITafhankelijk bedrijf dient niet aan de individuele accountant overgelaten worden, maar verplichte consultatie van een IT auditor en adequate naleving van gemaakte afspraken binnen het stelsel van kwaliteitscontrole dienen door het NBA vanwege reductie/beheersing van het audit risico verplicht te worden. Deze aanpassing sluit aan op al bestaande werkpraktijk, met die aanvulling dat de effectiviteit door een (interne) kwaliteitsinstantie te controleren is. Stelling 9 - aangepast. Data-analyse is zo goed als de kwaliteit van de brondata. De integriteit van de brondata is veelal alleen bij werkende onvervangbare IT controles gewaarborgd, uitzonderingssituaties daargelaten waarin de accountant/it auditor het restrisico moet meewegen in de bewijskracht die aan de data-analyse wordt ontleend. Met deze nuancering wordt denk ik recht gedaan aan de waarde die data-analyse toe kan voegen aan de jaarrekening audit. Stelling 12 - herschreven. De rapportage van de IT auditor aan de accountant dient per primair (sub)proces een kwantitatieve meting van de werking van IT controles te bevatten, waarbij onderscheiden wordt tussen de verwachting uit de planning fase = de basis voor de overeengekomen controle aanpak (de SOLL positie) en de feitelijke werking uit de uitvoering van de audit (de IST positie) - van: 1. Als onvervangbaar aangemerkte IT controles (de ondergrens) 2. Als vervangbaar aangemerkte IT controles Een score beneden de ondergrens impliceert dat de IT auditor vanuit zijn oogpunt de controleerbaarheid van - een aspect van - de jaarrekening in twijfel trekt. Hiernaast is ter illustratie een voorbeeldrapportage weergegeven: Het betreft de audit van Happy Care op de boeking van de omzet op basis van acceptatie van de levering door de klant. Hierbij is vastgesteld dat de interface van order data tussen SalesForce en SAP hapert, met foutieve leveringen, facturaties en omzetverantwoording tot gevolg. Voor de IT audit controles 1 en 8 rapporteert de IT auditor dat de controleerbaarheid van de omzet gevaar loopt. Voor controlemaatregel 5 is aanvullend (gegevensgericht) werk nodig, want de ITC zijn onverwacht gebrekkig. IB maatregel IB doel ITC ITC ITC Boeking omzet op basis van acceptatie van Juistheid Onvervangbare elementen # Categorie levering 1 Entity Risico-mitigatie van SaaS omgeving X Entity SOC Audit van SaaS vaststellingen X General Autorisatie van SaaS orders General Toegang tot SaaS orderbestand General Beveiliging van SAP klantenbestand General Integriteit van SaaS orderbestand X General Integriteit van SAP leveringsbestand Application Interface van SaaS naar SAP SD X Application Omzetboeking bij leveringen User Analyse van foutmeldingen klanten 2 2 ITC = Rating ITC planning: Rating ITC werking: IT Controles 1) Niet op steunen 1) Niet/beperkt 2) Op steunen & vervangbaar 2) Deels, met gebreken 3) Op steunen & onvervangbaar 3) Goed Rating Planning Rating Werking Samen met de reeds geformuleerde stellingen vormen deze aanpassingen het raamwerk voor het oplossingsvoorstel.

46 46 Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles 6.1. Deelvragen; Beantwoording en verbeteringsvoorstellen De deelvragen zijn per hoofdstuk van het literatuuronderzoek beantwoord en daar in verbeteringsvoorstellen uitgewerkt. Deze verbeteringsvoorstellen zijn in hoofdstuk 5 aan de meningen van experts getoetst en waar nodig aangepast. Deelvraag 1: Wat zijn onvervangbare IT controles en hoe kritisch zijn gebreken in hun werking? behandeld in hoofdstuk 2 (pagina 16-22) (a) Voor de jaarrekening relevante IT controles vormen een stelsel van Entity Level, General, Application en User IT controles, die in een onderlinge samenhangende werking de betrouwbaarheid van financiële data waarborgen (2.1) (b) Door toegenomen IT afhankelijkheid van bedrijven is het relatieve belang van interne beheersing van IT processen sterk toegenomen; tegenwoordig is een fundament van interne controle verankerd in IT systemen en processen een onvervangbaar onderdeel van de interne beheersing. Bij materiële gebreken in de werking van deze onvervangbare IT controles is de jaarrekening niet of beperkt controleerbaar (2.2) (c) Onvervangbare IT controles reiken verder dan het "klassieke" werkterrein van General IT controles; ook de werking van Entity Level IT en Application IT controles bevat steeds vaker elementen van onvervangbare IT controles die jaarrekening relevant zijn (2.3) (d) Voortschrijdende IT in data-analyse biedt de accountant mogelijkheden om gerichter en efficiënter de controledoelen te bereiken. Als belangrijke beperking geldt dat data-analyse maar zo goed is als de kwaliteit van de brondata. De integriteit van deze brondata is veelal alleen bij werkende onvervangbare IT controles gewaarborgd (2.4 en aanpassing in 5.4) (e) De accountant die materiële gebreken in onvervangbare IT controles niet ontdekt, geeft mogelijkerwijs een onjuiste verklaring af bij een niet controleerbare verantwoording. De accountant die materiële gebreken in onvervangbare IT controles onderkent maar "compenseert" met aanvullende gegevensgerichte maatregelen, verleent met een goedkeurende verklaring mogelijkerwijs schijnzekerheid aan gebruikers van de jaarrekening (2.5). Deelvraag 2: Welke IT controles dienen uit assurance oogpunt minimaal adequaat te werken? behandeld in hoofdstuk 3 (pagina 23-32) (a) De IT auditor ondersteunt de accountant bij de controle van de jaarrekening. De IT auditor verifieert opzet, bestaan en werking van het stelsel van IT controles voor zover jaarrekening audit relevant (3.1) (b) Uitgangspunt voor de IT auditor is de specifieke inrichting en omgeving van de gecontroleerde en zijn financiële verantwoording; te allen tijde is - in samenspraak met de accountant - maatwerk nodig om een raamwerk van (onvervangbare) IT controles te bepalen dat adequaat de IT gerelateerde bedrijfsrisico 's afdekt die tot materiële fouten in de jaarrekening kunnen leiden (3.1)

47 47 Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles (c) Door inherente verschillen in perspectief tussen de accountant en de IT auditor, zal de besluitvorming over het IT controleprogramma een trechtermodel doorlopen, waarbij in een zo vroeg mogelijk stadium van de audit overeenstemming moet worden bereikt over een minimale set van werkende IT maatregelen, binnen het stelsel van IT controles van de gecontroleerde, zonder welke de accountant geen goedkeurende verklaring bij de jaarrekening kan afgeven (3.1) (d) Het fundament van IT controles die uit assurance oogpunt minimaal adequaat dienen te werken de onvervangbare IT controles is onderzocht. COSO 2013, en in het verlengde daarvan COBIT, zijn daarbij als normenkaders gebruikt voor de selectie van voor de jaarrekening relevante basisvoorzieningen in IT. Resultaat van dit onderzoek is een leidraad voor een controleprogramma van onvervangbare IT controles -verdeeld naar Entity Level IT controles, General IT controles en Application IT controles - opgenomen in bijlage 3 (dit is het resultaat van ) (e) Indien bij uitvoering van het controleprogramma materiële gebreken in de onvervangbare IT controles worden vastgesteld, is de controleerbaarheid van - delen van- de financiële verantwoording in geding, en schrijven de controlestandaarden voor dat de accountant geen goedkeurende controleverklaring kan en mag afgeven (3.5). Deelvraag 3: Hoe kan de IT Auditor de bijdrage aan het reduceren van het audit risico verbeteren? behandeld in hoofdstuk 4 (pagina 33-37) (a) IT audit competenties zijn van toenemend belang voor een deugdelijke grondslag voor de controleverklaring bij de jaarrekening, en hier laat de accountant steken vallen. De IT auditor is opgeleid om deze lacune in expertise op te vangen. Waar mogelijk dient de IT auditor zich actief in te schakelen bij de controle van de jaarrekening van een IT-afhankelijk bedrijf (4.1) (b) De samenwerking tussen IT auditor en accountant dient te verbeteren, met een "wat" en een "hoe" component, dat in combinatie draagt bij aan reductie van het audit risico. De IT auditor dient zich bewust te zijn van verschillen in perspectief en via gerichte voortgezette educatie te werken aan overbrugging van vakinhoudelijke en culture verschillen (4.2) (c) De kwaliteit van de jaarrekening controle en - als essentieel onderdeel daarvan - de kwaliteit van de samenwerking tussen de IT auditor en de accountant is gebaat bij een geïntegreerd audit proces. In deze aanpak is IT Audit een geïntegreerd onderdeel van een controle-aanpak, waarbij de IT auditor erop toeziet dat minimaal de werking van onvervangbare IT controles wordt geverifieert (4.3) (d) Een robuuste rapportage met een duidelijk oordeel van de IT auditor - vanuit zijn optiek - legt de bal en de noodzaak van adequate opvolging bij de accountant. Dit kan het duwtje in de rug zijn dat beter waarborgt dat de accountant waar nodig nog aanpassingen in de uitvoering van of de rapportage over de jaarrekening controle doorvoert (4.4).

48 48 Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles 6.2. Probleemstelling; Oplossingsvoorstel in samenvatting Het kennelijk ontbreken van normen of richtlijnen voor het omgaan met jaarrekening assurance bij materiele gebreken in onvervangbare IT controles leidde tot de volgende probleemstelling (1.2): Kern van de probleemoplossing is een leidraad voor een controleprogramma van onvervangbare IT controles, verdeeld naar Entity Level, General en Application IT controles (opgenomen in bijlage 3). Deze leidraad is door de IT auditor -in overleg met de accountant- te vertalen naar de specifieke inrichting en omgeving van de gecontroleerde en zijn financiële verantwoording. Naast de vakinhoudelijke component is verbetering van de samenwerking tussen de accountant en de IT auditor een belangrijk verbeterpunt, met een "wat" en een "hoe" component. De IT auditor dient hier zélf aan bij te dragen, meer invloed uit te oefenen, maar kan niet zonder actieve ondersteuning van de beroepsorganisaties. De beroepsorganisaties NBA en NOREA moeten gezamenlijk inhoud geven aan een twee sporenbeleid gericht op verbetering van de samenwerking tussen de accountant en de IT auditor, dit beleid is rand voorwaardelijk voor verbetering van de uitvoering. Dit beleid adresseert zowel harde als zachte elementen van de samenwerking, waarbij onder meer de volgende oplossingselementen aan de orde komen: 1. Verduidelijking van de toepassing van controlestandaarden bij vaststelling van materiële gebreken in de onvervangbare IT controles, inclusief de gevolgen daarvan voor de strekking van de controleverklaring bij de jaarrekening. 2. Invoering van verplichte consultatie van de IT auditor bij de jaarrekening controle van een IT-afhankelijk bedrijf en adequate naleving van gemaakte afspraken binnen een stelsel van kwaliteitscontrole 3. Regels te stellen aan inhoud en vorm van de jaarrekening audit rapportage door de IT auditor aan de accountant, en voor adequate opvolging door de accountant. 4. Voortgezette educatie te organiseren die elke accountant op een basisniveau van IT expertise brengt en die ieder van de samenwerkende partijen helpt hun culturele verschillen beter te begrijpen en daarmee te kunnen overbruggen 5. Sturend en ondersteund beleid te maken gericht op het wegnemen van belemmeringen in de onderlinge samenwerking 6. Vaktechnische vernieuwing van de jaarrekening audit op weg te brengen met een sterke, geïntegreerde IT audit component. Deze rand voorwaardelijke beleidsmaatregelen scheppen een kader waarin de positie van de IT Auditor wordt versterkt en omzetting zal bijdragen tot reductie van het audit risico in de controle van de jaarrekening.

49 49 Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles Nawoord De accountants en IT auditors die deze scriptie gelezen hebben, moeten vastgesteld hebben dat dit geen opfriscursus onvervangbare interne controle naar het motto oude wijn in nieuwe zakken is geweest. Nieuw is bijvoorbeeld mijn stelling dat General IT controles dwingend te toetsen zijn in de controle van de jaarrekening van een IT-afhankelijk bedrijf. Dit is één van de directe gevolgen van een dynamiek van rap veranderende omgevingsrisico s, veelal onder invloed van IT ontwikkelingen, waarop de gecontroleerde adequaat moet reageren. We zien die trend ook terug in recente publicaties 43. Ik ben nieuwsgierig naar de toegevoegde waarde van de scriptie. Wat zullen de meningen van accountants en IT auditors over de scriptie zijn? En wat is dan mijn repliek (=>)? Hier alvast een voorproefje Aan accountants en IT auditors die: vertrouwen op het nut van de voortschrijdende techniek in data-analyse zeg ik: controleer de basis hygiëne in IT controles, bouw geen kastelen op drijfzand menen dat het concept van onvervangbare IT controles ouderwets is en niet relevant voor de cloud-omgeving zeg ik: kijk naar de casus Happy Care, de invulling van onvervangbare IT controles verandert maar de noodzaak ervan niet geen energie willen steken in betere onderlinge samenwerking zeg ik: dat doe je niet voor je zelf, dat ben je verschuldigd aan het maatschappelijke verkeer. Ik zal echter niet op elke vraag een passend antwoord hebben, en zie mezelf ook niet als expert. Die rol ligt bij de experts in het veld. Ik hoop dat de beroepsgroepen dit vergeten thema weer oppakken en dat verder onderzoek zal gaan plaatsvinden naar bijvoorbeeld het grensvlak tussen vervangbare en onvervangbare IT controles of de rapportage van IT auditor aan de accountant, met het doel de deugdelijke grondslag van de controleverklaring te verbeteren. Ik hoop dat bij verder onderzoek en in probleemoplossingen gebouwd wordt op het leger van opgeleide IT auditors, want effectieve inzet van hun IT expertise lijkt me een low hanging fruit. Hartelijk dank voor uw aandacht. 43 Voorbeelden van Security.nl: Aanval op Sony is ongeëvenaard misdrijf 7 december 2014, Netwerkinbraak kost Home Depot al 43 miljoen dollar 27 november 2014

50 50 Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles Literatuurlijst Onvervangbare interne controle: 1.Blokdijk - "De effectiviteit van de systeemgerichte aanpak in de accountantscontrole", MAB maart Blokdijk - "De toetsing van de werking van de interne controle", MAB december naschrift De Koning 3.Kloosterman en Snoeker - "Informatietechnologie en interne beheersing", IT-Auditor nummer Presentatie Elsas - "Continuous Auditing", 29 mei 2013 Symposium Statistical Auditing 5.Presentatie De Swart - "Hans Blokdijk: (pro)motor Statistical Auditing", 29 mei 2013 Symposium Statistical Auditing 6.Presentatie Van Zuijlen - "Gebruik /misbruik van wiskundige modellen in auditing, waaronder de Stringer-bound", 29 mei 2013 Symposium Statistical Auditing 7.NIVRA Geschrift 64 - "Electronic Data Interchange, beheersing en controle", Frielink, Van Kollenburg, Van Dijk - "Leerboek Accountantscontrole", Boots - "Objectieve en subjectieve verhinderingen", De Accountant juli/augustus Van Leeuwen & Wallage - "Moderne controle-benaderingen steunen op interne beheersing", MAB maart Van Leeuwen, Wallage & Emanuels - " Internal control volgens Sarbanes-Oxley, Overzicht en praktische betekenis", MAB juli/augustus Mollema - "Auditrisico, meer dan ooit een issue!", MAB december 2003 & januari/februari Eimers - "Het Audit Risico Model is springlevend!", MAB maart De Koning - "Beoordeling van de interne controle in het kader van de accountantscontrole", MAB juni Van Leeuwen - "Onvoldoende aandacht voor de interne controle op ICT", MAB juni 2012 Financial Audit Quality 16.AFM - Rapport algemene bevindingen kwaliteit accountantscontrole en kwaliteitsbewaking, 1 september AFM - Prikkels voor kwaliteit accountantscontrole, een verkenning, 6 oktober AFM - Rapport naar aanleiding van AFM-onderzoek naar kwaliteit accountantscontrole en stelsel van kwaliteitsbeheersing en -bewaking bij negen OOB-vergunninghouders, 21 maart AFM - Uitkomsten onderzoek kwaliteit wettelijke controles Big 4-accountantsorganisaties, 25 september PCAOB Staff Audit Practice Alert No. 11, October Hoogendoorn - "Materialiteit", MAB juni 2011 IT Controls framework 22.ITGI - IT Control Objectives for Sarbanes Oxley, 2nd Edition, ITGI - IT Control Objectives, ITGI - IT Assurance Guide, Grant Thornton LLP - "New COSO framework links IT and business process", summer KPMG brochure - The Road to Transition: COSO s Internal Control 2013 Integrated Framework 27.NOREA Studierapport 3 - "Raamwerk voor ontwikkeling normenstelsels en standaarden, een facilitair instrument bij de beroepsuitoefening", December Singleton - "IT Audit Basics: The Minimum IT Controls to Assess in a Financial Audit", ISACA Journal Volume 1 & Singleton - "The Core of IT Auditing", ISACA Journal Volume 6, Jacobs - "IRMA - Attributen in plaats van identiteiten", De IT-Auditor nummer IT-Audit Proces 31.Schellevis en Van Dijk - "Jaarrekening controle in het MKB: IT audit geïntegreerd in de controle-aanpak", april Schellevis - "Financial Audit Support: integrated auditaanpak" - NOREA symposium mei Van Bommel, Van Goor, Peek en Winterink - "De betekenis van IT-auditing voor de jaarrekeningcontrole ontrafeld!", MAB oktober Rabe en Johan - "IT-audit en MKB-controle", Accountancynieuws nr. 20, november Paans - "IT-auditor, repressief of juist preventief optreden?", Presentatie op Vurore Seminar, 18 april Verkuijlen/Folkers - "Geautomatiseerde informatiesystemen en informatiebeveiliging in het MKB, Goed huisvaderschap volgens de IT-auditor", ITACA Scriptie 31 oktober Bootsma/Knuiman - "Embedded testing binnen IT General Controls", ITACA Scriptie 15 april Olislagers - "Auditscripts in de praktijk", De IT-Auditor nummer

51 51 Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles Literatuurlijst (vervolg) 39.NOREA - "De IT-Auditor in 2020", IT-Auditor nummer Gerritse - "IT-ontwikkelingen en de IT-auditfunctie", Deel I - IT-Auditor nummer Van der Pijl & Nuijten - "Over dilemma s en complexiteit", IT-Auditor nummer Havelka, Merhout - "Internal information technology audit process quality: Theory development using structured group processes", International Journal of Accounting Information Systems 14 (2013) 43.GTAG 8 - Auditing Application Controls, January 2009 Data-Analyse & Process Mining 44.Caron & Vanthienen - "Applications of Business Process Analytics and Mining for Internal Control", ISACA Journal Volume Pols/Schoonen - "Data-analyse als een brug tussen twee werelden", De Accountant Dec Haasnoot-Bezverhaya - "Controleerbaarheid en kwaliteit van event logs", De IT-Auditor nummer Jans, Alles, Vasarhelyi - "The case for process mining in auditing: Sources of value added and areas of application", International Journal of Accounting Information Systems Big Data 48.Bakker - "Hoe groot wordt big data?", De Accountant Maart Setty & Bakhshi - "What Is Big Data and What Does It Have to Do With IT Audit?", ISACA Journal Volume Continuous Auditing/Monitoring 50.Chan, Vasarhelyi - "Innovation and practice of continuous auditing", International Journal of Accounting Information Systems 12 (2011) 51.Vasarhelyi, Alles, Kuenkaikaew, Littley - "The acceptance and adoption of continuous auditing by internal auditors: A micro analysis", International Journal of Accounting Information Systems Cangemi - "From Continuous Auditing to Continuous Monitoring You Should Be the Champion", ISACA Journal Volume Vasarhelyi/Romero/Kuenkaikaew/Littley - "Adopting Continuous Auditing/Continuous Monitoring in Internal Audit", ISACA Journal Volume Audit Integratie en Samenwerking 54.Matto - "Wicked Problems: IT auditors en accountants: the fiction of Audit Integration", de VU Amsterdam, 27 september Van der Pijl - "Jammer", De IT-Auditor nummer Bakker - "Venus en Mars", De Accountant juli/augustus Koopmans - "RA en RE: samenwerking gaat niet vanzelf", De Accountant juli/augustus Baarslag - "Soft controls: harde dobber voor IT-managers?", tijdschrift Informatie, augustus 2013 Onderzoek methodologie 59. Yin Case Study Research Design and Methods, 2009

52 52 Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles Bijlage 1 Referentiebedrijf Happy Care B.V. Activiteiten: Happy Care B.V. verkoopt scanners voor medisch gebruik aan haar Nederlandse clientèle in de private en publieke sector (verhouding 50/50). Het aanbod van scanners is groot; van hand-held tot stand-alone, met diverse kwaliteiten sondes, met klantspecifieke features inclusief software tools. De bruto verkoopprijs van een scanner bedraagt tussen de en Kortingen op bruto prijzen hangen af van: ordergrootte gestaffeld in, klantengroep, klantenbranche en specifieke verkoopacties in samenhang met de levenscyclus van het product. De totale verkoop in 2014 wordt op scanners geschat, met een gemiddelde prijs van per scanner. De publieke sector koopt traditioneel laat in, waardoor de omzet van het 4 e kwartaal hoog is; ongeveer 40% van de jaaromzet. De scanners en sondes worden bij een beperkt aantal preferred suppliers in Oekraïne en India in US dollars ingekocht, op een centraal depot in Nederland geassembleerd, daar op kwaliteit gecontroleerd en als complete pakketten door externe distributeurs aan klanten afgeleverd. Voor productontwikkeling werkt Happy Care met de preferred suppliers en geselecteerde klanten in een open innovatie-model samen. Het management team bestaat uit de algemeen directeur en de verantwoordelijke managers van de hoofd -en ondersteunde functies (zie hieronder), in totaal een team van tien. Het totaal aantal werknemers ligt rond de 300. Kernprocessen: Primaire functies: - Verkoop - Marketing & Product - Inkoop & Magazijn - Assemblage & Controle - Customer Operations Secundaire functies: - IT - Finance - Juridische zaken - Personeelszaken Belangrijkste bedrijfsrisico s: Invloed op inrichting IT: Verlies van klanten(gegevens) aan concurrentie -Isolatie klanten database Lekken van productspecificaties naar concurrentie -Isolatie productspecificaties Reputatieschade in omgang met publieke klanten -Verificatie van compliance

53 53 Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles Financiële performance: De resultaten van Happy Care staan door teruglopende publieke investeringen onder druk. De prognose voor 2014 is licht positief met een stabiel winstniveau. Dit ondanks reorganisatiekosten van 0.5M voor de IT afdeling, door uitbesteding van de ondersteuning van CRM, dat sinds het 4 e kwartaal op SalesForce SaaS draait. Materialiteit: de accountant heeft de controletolerantie voor de jaarrekening 2014 op 7 ½ % van het resultaat vastgesteld, dat is 1.4M. Dat is het equivalent van de gemiddelde bruto marge uit de verkoop van ongeveer 500 scanners dat de accountant wil gebruiken voor de controle van de omzet (afgerond op 5M ). Opzet IT infrastructuur: De cloud-applicatie SalesForce dekt het gehele CRM proces af tot en met order creatie. Met de cloud provider zijn afspraken gemaakt omtrent beveiliging van klantendata tegen misbruik van derden (met firewall), die echter nog niet op werking zijn getest. SAP Workflow (WF) is de interface tussen SalesForce en SAP, hierover master- en transactiedata gesynchroniseerd. De WF is onvoldoende getest, waardoor order data niet volledig overkomen naar SAP. De cloud-applicatie InnoCentive dekt productontwikkeling af, waarbij in een open innovatie model met derden wordt samengewerkt. Met de cloud provider en de gezamenlijke partners zijn afspraken gemaakt over de beveiliging van product specificaties. Specificaties van bestaande producten blijven bij Happy Care. De logische toegang tot de programma s gebeurt gestaffeld, via Active Directory in Windows en aanvullend voor kritische applicaties en data in SAP/Oracle.