Voldoende audit evidence?



Vergelijkbare documenten
Algemene toelichting Intern controleplan 2012

Continuous auditing and continuous monitoring: continuous solutions? J. Jacobs en M. Hoetjes

Op naar een excellente controle

De toekomst van een IT-auditor in een integrated / financial audit. Robert Johan Tom Koning

Grip op fiscale risico s

NBC Audit Services BV NBC Van Roemburg & Partners BV Data analyse. Drs. Ing. Niels Bond RE 11 maart 2015

Proactief en voorspellend beheer Beheer kan effi ciënter en met hogere kwaliteit

Controleverklaring van de onafhankelijke accountant

Data-analyse en boekhoudsoftware voor de MKB-accountant in een breder perspectief

IT-audit in vogelvlucht. Jeanot de Boer 24 april 2012

DATA-ANALYSES IN PRAKTIJK

Data-analyse in de praktijk D E T O E PA S S I N G B I J V I S S E R & V I S S E R A C C O U N TA N T S - B E L A S T I N G A D V I S E U R S

Met veel belangstelling heeft SRA-Bureau Vaktechniek kennisgenomen van het consultatiedocument NBA Handreiking 1141 Data-analyse bij de controle.

De betekenis van IT-auditing. voor de jaarrekeningcontrole onvoldoende

Je kunt de presentatie na afloop van elke les downloaden. Ga naar : Kies voor de map Systeemontwikkeling

EDP-auditor en jaarrekeningcontrole geautomatiseerde organisaties

Waarom is Financial Fitness zo belangrijk? Een paar voorbeelden:

Afstudeerscriptie: Computer-assisted audit techniques (CAATs)

Governance, Risk and Compliance (GRC) tools

CONTROLEVERKLARING VAN DE ONAFHANKELIJKE ACCOUNTANT Aan: het bestuur van Stichting Steun Goois Natuurreservaat A. Verklaring over de jaarrekening 2017

Toezicht op Financiën. Wim Touw 17 april 2013

Microsoft Partner. 2-Control B.V.

Controleverklaring van de onafhankelijke accountant

In control? Walk Along!

De Auditresultaten Werkzaamheden

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard

1 Inleiding. 2 Doel protocol. 3 Rechtmatigheid

1 Inleiding 1. 3 Rechtmatigheidscontrole Reikwijdte en normenkader Aanpak Uit te voeren controles 9. 4 Foutenevaluatie 10

Overzicht van taken en competenties. Demandmanager-rol

Voorstel aan college van Burgemeester en Wethouders

Data-analyse: praktijkervaringen met SAP

JAN. Aan: het bestuur van het Nederlands Instituut voor Volksontwikkeling en Natuurvriendenwerk (Vereniging NIVON) te Amsterdam

Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA. Arjan Dekker

De spreadsheet van het strafbankje

CONTROLEPROTOCOL VOOR DE ACCOUNTANTSCONTROLE OP DE JAARREKENING 2016 VAN DE GEMEENTE TEN BOER.

Controleverklaring van de onafhankelijke accountant

Acceptatiemanagement meer dan gebruikerstesten. bridging it & users

INTERNATIONALE CONTROLESTANDAARD 330 DE DOOR DE AUDITOR UIT TE VOEREN WERKZAAMHEDEN IN FUNCTIE VAN ZIJN GEMAAKTE RISICO-INSCHATTING

Controleverklaring van de onafhankelijke accountant

Controleverklaring van de onafhankelijke accountant


Controleplan Bekostigings- gegevens. Bedrijfsvoering / Audit en Interne Controle

d o o r d i e.. Audit en Co Jan van Ginkel RA Jan Muit MSc 16 maart 2016

Jacques Herman 21 februari 2013

BISL Business Information Services Library. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V.

Werkinstructie verhoging btw laag tarief van 6% naar 9% per in SAP Business One

Ons oordeel Wij hebben de jaarrekening 2017 van Samenwerkingsstichting Kans & Kleur gecontroleerd.

Advies. Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie

Toezien op privacy naleving bij (IT) leveranciers; ISO of ISAE 3000?

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC

MEMO AAN DE GEMEENTERAAD

De verborgen schatten van ERP Een onderzoek naar ERP-optimalisatie bij middelgrote bedrijven. succeed IT. better results together

1 Inhoudsopgave 2 REFL@CTION WIE ZIJN WIJ? WAT BIEDEN WE? WAAR VINDT U ONS? TRAININGSAANBOD... 4

INTERNATIONALE CONTROLESTANDAARD 402 IN OVERWEGING TE NEMEN FACTOREN BIJ DE CONTROLE VAN ENTITEITEN DIE GEBRUIKMAKEN VAN SERVICE-ORGANISATIES


A. Verklaring over de in het jaarverslag opgenomen jaarrekening 2017

2014 KPMG Advisory N.V

Werkplekbeveiliging in de praktijk

ERP Testing. HP Nijhof. Testmanager. Testnet November 2005

Plan van aanpak accountantscontrole 2015 gemeente Woudrichem. Woudrichem 22 september 2015 Rein-Aart van Vugt Dennis van Vollevelde


2014 KPMG Advisory N.V

CONTROLEVERKLARING VAN DE ONAFHANKELIJKE ACCOUNTANT Aan: het bestuur en raad van commissarissen van Stichting FC Eindhoven A. Verklaring over de in he

CONTROLEVERKLARING VAN DE ONAFHANKELIJKE ACCOUNTANT Aan: het bestuur van Stichting FCB Dienstverlenen in Arbeidsmarktvraagstukken A. Verklaring over d

Implementatie administratieve organisatie en interne controle.

2015; definitief Verslag van bevindingen

Controleprotocol gemeente Coevorden

Copro 18053B. Rijksdienst voor Ondernemend Nederland. Mededeling GMO Groenten en fruit : WAP 2016 bijlage III

1a Leidinggevende topfunctionarissen met dienstbetrekking bedragen x 1 T.Keulen M.C. Spies Functiegegevens Voorzitter CvB Lid CvB Aanvang en einde fun

CONTROLEVERKLARING VAN DE ONAFHANKELIJKE ACCOUNTANT Aan: het bestuur van Stichting Gooisch Natuurreservaat A. Verklaring over de in het jaarverslag op

CONTROLEVERKLARING VAN DE ONAFHANKELIJKE ACCOUNTANT Aan de Raad van Toezicht en het Bestuur van Stichting STBN A. Verklaring over de in het jaarversla

Controleprotocol verantwoording van subsidies vanaf ,- provincie Utrecht mei 2017

Whitepaper. Ligt u s nachts ook wakker van alle commotie rondom nieuwe regelgeving of normering? Compliance Management

Code voor Informatiekwaliteit

Samenwerking financial auditor en EDP-auditor

Accountants en IT I T A u d i t g e ï n t e g r e e r d i n d e c o n t r o l e a a n p a k

Praktijkinstructie Oriëntatie op de informatie-analyse 4 (CIN08.4/CREBO:50131)

Auditing van single client ERP

Deloitte. 6 NOV, OTL BAR-org-anisatie INGEKOMEN

Controleverklaring van de onafhankelijke accountant Aan de raad van toezicht van Vereniging voor Christelijk Voortgezet Onderwijs Paul Krugerweg 44 38

Assurancerapport importeurs ten behoeve van het aanleveren van CvO-gegevens

Het BiSL-model. Een whitepaper van The Lifecycle Company

De Btw-verhoging van 01 oktober 2012 in UNIT4 Multivers met de UNIT4 Multivers BTW Converter

UTAH MAAKT IT LEUK UTAH, IT-DIENSTVERLENER VOOR HET MKB EN DE ACCOUNTANT

Digitalisering in de zorg en de rol van de controller

SiSa cursus Gemeente en accountant. 21 november 2013

Inleiding 1. Opdrachtaanvaarding 2 t/m 7. Planning en uitvoering professionele dienst 8 t/m 12. Dossier 13 t/m 16. Rapportage 17 t/m 20

Behorend bij de Regeling Journalistieke Innovatie

AFO 142 Titel Aanwinsten Geschiedenis

Controleverklaring van de onafhankelijke accountant

Deloitte. Openbaar Lichaam Afvalstoffenverwijdering Zeeland. Rapport van bevindingen voor het boekjaar eindigend op 31 december 2014.

Afdeling : Planning & Control Organisatie : Thuisvester Functie : Medewerker Planning & Control Datum : augustus 2014

De beoordeling van ICT in het kader van de jaarrekeningcontrole

Whitepaper. 5 vraagstukken bij het koppelen van uw webwinkel aan uw boekhoud- of ERP systeem.

ISA 330, INSPELEN DOOR DE AUDITOR OP INGESCHATTE RISICO S

Copro 16105C. Rijksdienst voor Ondernemend Nederland. Mededeling GMO Groenten en fruit : WAP 2014 bijlage III

Beleid Informatiebeveiliging InfinitCare

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Transcriptie:

51 Voldoende audit evidence? Drs. H.G.Th. van Gils RE RA In versterkte mate komt de laatste tijd weer de discussie opzetten over de diepgang van de controlewerkzaamheden van de accountant en IT-auditor. Daarmee wordt dan met name gedoeld op de controle op de werking van beheermaatregelen in processen (bij procesgerichte controleaanpak) en (gegevensgerichte) detailcontroles. Waar in het verre verleden het nog vanzelfsprekend was dat alles in detail gecontroleerd moest worden (de zogenaamde volledige controle), zijn we nu zover dat detailcontroles in beginsel alleen nog uitgevoerd worden als uit de procesanalyses blijkt dat de (rest)risico s op aanmerkelijke fouten in de jaarrekening nog te groot zijn. Maar hoe wordt vastgesteld of de controles in de processen wel werken? Inleiding In de jaren twintig van de vorige eeuw was het nog vanzelfsprekend dat de hele administratie in detail moest worden gecontroleerd (de zogenaamde volledige controle). Na de oorlog was het voor de accountant, na de introductie van statistische theorieën, even wennen dat deelwaarnemingen net zo effectief waren en natuurlijk veel efficiënter, ook al werd bewust het (kleine) risico geaccepteerd dat ten onrechte een jaarrekening goedgekeurd zou worden. Eind jaren zeventig ontdekte de accountant dat grotere organisaties hun gegevensverwerking op een behoorlijk niveau hadden geautomatiseerd en dat veel gegevens in bestanden waren opgeslagen. Dan ontstaat de behoefte om die gegevens te kunnen gebruiken in het auditproces. Echter, de gegevens in de bestanden waren toen niet zo gemakkelijk te benaderen. De bijbehorende programmatuur was niet voor de accountantscontrole geschreven en derhalve was de standaarduitvoer voor de accountant veelal niet erg bruikbaar. Vandaar dat naar mogelijkheden werd gezocht om toch de bestanden met eigen specifieke programmatuur te benaderen. Eerst was dat meestal met Cobol en later met hulpprogrammatuur die Cobol-programma s kon genereren, zoals het pakket Cars. Ook werden algemene retrievalpakketten geschikt gemaakt voor de accountantscontrole. Eén van de bekendste voorbeelden daarvan is Culprit/EDP-auditor, dat oorspronkelijk uit bepaalde typen databases data kon halen en waaraan vervolgens standaard controleroutines zijn toegevoegd. Voorbeelden zijn steekproefroutines, opbouwen (sub)totaaltellingen en bestandsvergelijkingen. In de jaren tachtig heeft dat een enorme vlucht genomen, ook al waren de toepassingen zo moeilijk dat accountants de uitvoering wel aan gespecialiseerde programmeurs moesten overlaten. Dit kreeg zelfs zo n grote omvang dat het accountantskantoor KPMG toen twintig fulltimeprogrammeurs in dienst had, die vrijwel niets anders deden dan het schrijven en uitvoeren van auditsoftware. Er zijn twee belangrijke redenen voor deze grote vlucht van auditsoftware. De eerste reden is de voor huidige begrippen matige kwaliteit van de toenmalige toepassingsprogrammatuur. Veelal was dat nog maatwerk en primair bedoeld voor transactieverwerking en zeker nog niet voor willekeurige analyses. Ook het management had toentertijd nog weinig managementinformatie die de accountant van nut was. Zie kader 1. Bij een grote auto-importeur onderzoekt de accountant eind jaren zeventig de uitgaven als gevolg van garantieclaims. Aangezien alle gegevens in de computer aanwezig zijn, wordt eerst de populatie in kaart gebracht (totalen en subtotalen per uitkeringsklasse) en vervolgens een statistische steekproef getrokken voor detailcontroles. De garantieafdeling zelf beschikte niet over een goed inzicht in de aantallen claims per klasse en vroeg de accountant, na het zien van de mogelijkheden van auditsoftware, de afdeling te ondersteunen bij het doorrekenen van diverse scenario s van claimbehandeling (bijvoorbeeld vanaf welk bedrag stuur je een schade-expert?). Kader 1. En de tweede reden is dat de accountantscontrole toen nog sterk gegevensgericht was en derhalve veel cijferanalyses en detailcontroles omvatte. Inmiddels is de situatie drastisch veranderd: pakketten als ERP, CRM en MIS hebben zelf al goede voorzieningen om managementinformatie op te leveren en bevatten querymogelijkheden om niet-standaardrapportages te produceren. Daarnaast is de accountantscontrole sterk veranderd. Gegevensgerichte controles zijn uit en procesgerichte controles, ondersteund door risicoanalyses, zijn in. Naar aanleiding van ingrijpende gebeurtenissen als de Enronaffaire en de parlementaire enquête naar de bouwfraude wordt steeds vaker de vraag gehoord of de accountant nog wel voldoende controles uitvoert om dergelijke fraudes te ontdekken. Daarbij wordt wel gesuggereerd dat de accountant onvoldoende harde audit evidence zou verzamelen. Dit artikel gaat in op de vraag waar in het controleproces dan detailcontroles moeten worden uitgevoerd en op welke wijze dat efficiënt kan plaatsvinden. Daarbij beperkt dit artikel zich tot de automatiseringsaspecten in de jaarrekeningcontrole.

52 Figuur 1. Overzicht van het controleproces bij procesgerichte controle. Leer de organisatie en de controleomgeving kennen Selecteer te onderzoeken bedrijfsprocessen Het controleproces In dit artikel wordt niet uitgebreid op het controleproces ingegaan, dat wordt bekend verondersteld. Alleen de relevante stappen worden toegelicht. In grote lijnen is het controleproces naar moderne maatstaven in figuur 1 weergegeven. Controleomgeving Eerst dient een beeld van de organisatie te worden verkregen ( understanding the business ). Voor dit artikel is daarin met name de evaluatie van de controleomgeving van belang. Daarbij kan gedacht worden aan normen en waarden inzake ethiek en integriteit, autoriteit en verantwoordelijkheid, deskundigheid en de stijl van het management ten aanzien van sturing en uitvoering. Daarbij moet qua IT-infrastructuur ook gedacht worden aan de afhankelijkheid in de processen van de geautomatiseerde gegevensverwerking, de mate van volwassenheid van de IT-organisatie en de stabiliteit van de gehele infrastructuur. Onderken de risico's per proces Stel vast welke beheermaatregelen zijn getroffen Toereikend? (opzet) Nee Een sterke controleomgeving heeft natuurlijk een belangrijke impact op de kwaliteit van de interne beheermaatregelen en is op zich een vorm van interne controle. Maar anderzijds kan zij geen garanties bieden voor een effectief internecontrolemechanisme. Vanuit deze fase worden de bedrijfsprocessen geselecteerd die voor de jaarrekeningcontrole van belang zijn, omdat er grote stromen financiële transacties in worden verwerkt of omdat fouten voor de jaarrekeningcontrole kritisch zullen zijn. Procesanalyse Tijdens de procesanalyse, die in hoofdlijnen volgens figuur 1 verloopt, komt een beeld naar voren van de opzet van de beheermaatregelen in het betreffende proces. Daarbij gaat het om maatregelen die een redelijke zekerheid bieden inzake de volledigheid, juistheid en tijdigheid van de transactieverwerking in de financiële administratie. Vanuit het perspectief van de betekenis van een geautomatiseerd proces kan daarbij gedacht worden aan beheermaatregelen als (zeker niet limitatief): functiescheiding, autorisaties; beheer van systeeminstellingen; foutrapportages; interfaceverslagen; * managementreview; toegangsbeveiliging. Dergelijke beheermaatregelen kunnen zowel handmatig als geautomatiseerd voorkomen. Daarbij is in het algemeen de regel dat preventieve maatregelen de voorkeur hebben boven detectieve maatregelen en geautomatiseerde controles de voorkeur hebben boven handmatige controles. Natuurlijk vereist dat laatste wel een redelijke kwaliteit van de IT-omgeving. Toets de effectiviteit van de beheermaatregelen Effectief? (bestaan) M/L Bepaal overige controlewerkzaamheden en voer ze uit L? Nee Ja H Toetsing werking beheermaatregelen in de processen De vraag is nu op welke wijze getoetst wordt of deze beheermaatregelen daadwerkelijk bestaan en of zij door de controleperiode heen ook daadwerkelijk zijn uitgevoerd. Deze vraag is in zijn algemeenheid niet eenduidig te beantwoorden, omdat het antwoord afhankelijk is van vele factoren, zoals de kwaliteit van de controleomgeving, ervaringen uit het verleden, deskundigheidsniveau van de auditor en natuurlijk de aard van de beheermaatregel. Daarbij komt nog dat beheermaatregelen elkaar vaak overlappen, waardoor eerst vastgesteld moet worden welke beheermaatregelen het meest efficiënt kunnen worden onderzocht. Zo zal het toetsen op de werking van een geprogrammeerde omspannende totaalcontrole veelal efficiënter zijn dan het toetsen van de werking van handmatige totaalcontroles. Gegevensgerichte detailcontroles Einde Om gevoel te krijgen voor tests die uitgevoerd kunnen worden bij de toetsing op de voortdurend goede werking van de beheermaatregelen in de processen zijn hierna enkele voorbeelden weergegeven.

Voldoende audit evidence? 53 Voorbeeld: Beheer systeeminstellingen Bij vrijwel alle moderne informatiesystemen kan met behulp van systeeminstellingen (parameters) de werking van de programmatuur worden beïnvloed, bijvoorbeeld limieten, toleranties, validatiecontroles, standaardwaarden in velden ( defaults ), waarden van tegenrekeningen, etc. Ook beveiligingsparameters (toegangsbeveiliging) kunnen hiertoe worden gerekend. Beheermaatregel: Toetsen kredietwaardigheid voordat een verkooporder wordt geaccepteerd. Opzet: In het interview geeft de verkoopmanager aan dat de parameter voor het aan- of uitzetten van een geprogrammeerde controle op de kredietlimiet natuurlijk altijd aan staat (uniforme parameter voor alle klanten). Bestaan: Tijdens het interview vraagt de auditor aan de verkoopmanager een transactie in te toetsen waarvan hij zeker weet dat deze door het systeem in verband met overschrijding van de kredietlimiet zal worden afgewezen. De auditor volgt ter plaatse het invoeren van de transactie en constateert dat het systeem direct een relevante foutboodschap geeft. Hiermee wordt niet alleen vastgesteld dat de parameter goed staat, maar ook dat het mechanisme als zodanig bestaat. Werking: Optie 1: Voor de werking is het relevant te weten of dit de enige parameter is die getoetst moet worden en of er functionaliteit in het systeem aanwezig is die mutaties in dergelijke parameters registreert (logging van mutaties in parameters). In dat laatste geval kan het efficiënt zijn vast te stellen dat de logging voortdurend wordt nagezien en niet te muteren is. Hier wordt dan gesteund op een andere beheermaatregel ( afscherming van de logging ), waarvoor weer geldt dat de opzet, het bestaan en de werking moeten worden onderzocht. Toch kan dat efficiënt zijn, omdat wellicht meerdere parameters op dezelfde wijze tegelijkertijd kunnen worden beoordeeld. Optie 2: Er is geen registratie van wijzigingen in parameters. In dat geval dient meer dan één keer vastgesteld te worden dat de parameter goed staat. Het aantal keren is mede afhankelijk van de gehele controleomgeving, ervaringen uit het verleden en overige controlewerkzaamheden; hier bijvoorbeeld een analyse van dubieuze debiteuren. Los van deze aspecten is een vuistregel opgenomen in tabel 1. Voor de duidelijkheid wordt nogmaals vermeld dat deze tests vereist zijn om vast te stellen dat de in het proces aanwezige beheermaatregelen in de praktijk effectief zijn. Overigens wordt aangetekend dat bij een sterk geautomatiseerde gegevensverwerking met weinig handmatige interacties het waarschijnlijk nodig zal zijn te steunen op de algemene IT-beheermaatregelen, ook wel aangeduid als de general IT controls. Maar ook hier geldt dan weer dat er voldoende controle moet zijn op de voortdurend goede werking van die beheermaatregelen. Een kort interview met de systeembeheerder volstaat dan dus niet! Periodiciteit van handmatige controle Aantal tests per jaar (over het jaar verspreid) Hetgeen hierboven in een eenvoudig voorbeeld is weergegeven, geldt feitelijk ook voor de meer technische beheermaatregelen. Veelal zal een IT-auditor worden ingeschakeld om de meer technische beheermaatregelen te beoordelen. Denk daarbij aan logische toegangsbeveiliging en de maatregelen binnen een rekencentrum, samengevat als de ITIL-procedures. De discussie is reeds eerder gevoerd of het nodig is de general IT controls ook op werking te controleren ofwel vast te stellen dat zij in de praktijk effectief zijn. Zie onder andere het artikel van J.C. Boer in Compact 1998/5. Vanuit het eerder gegeven voorbeeld kan worden geconcludeerd dat de effectiviteit van technische beheermaatregelen van essentieel belang kan zijn om als auditor te kunnen steunen op beheermaatregelen in processen. Zoals eerder is aangegeven, hebben zelfs geautomatiseerde beheermaatregelen in het algemeen de voorkeur boven de handmatige controles. Door nu vanuit de processen na te gaan welke essentiële beheermaatregelen geautomatiseerd zijn, kan ook worden vastgesteld welke geautomatiseerde beheermaatregelen moeten worden getoetst om vast te stellen of ze effectief zijn. Dat wil dus zeggen dat het relatief weinig zinvol is om zomaar de general IT controls te beoordelen als niet duidelijk is op welke wijze zij ondersteuning bieden aan het beheren van bedrijfsprocessen en dus ook waarop zij getoetst moeten worden. Helaas gebeurt het toch nog relatief vaak dat ongeacht de procesanalyse de general IT controls worden onderzocht, waarbij de financieel auditor er mogelijk van uitgaat dat als de general IT controls toereikend zijn, de effectiviteit van de geautomatiseerde beheermaatregelen binnen de processen daarmee ook is aangetoond. Echter, de IT-auditor kent de processen niet en beoordeelt de processen dus niet in het licht van de processen. Daardoor kan het voorkomen dat voor de jaarrekeningcontrole essentiële geautomatiseerde beheermaatregelen niet worden getoetst. Een voorbeeld: Voor de accountant is het van groot belang dat een geautomatiseerde verbandscontrole goed werkt; daardoor zou een groot aantal te verrichten detailcontroles kunnen vervallen. Daarom vraagt hij de IT-auditor te kijken naar de kwaliteit van de betreffende programmatuur met de verwachting dat de IT-auditor de programmatuur induikt en op programmastatementniveau vaststelt dat de verbandscontrole deugdelijk is geprogrammeerd. Echter, voor de IT-auditor betreft dit een algemeen vraagstuk van softwareontwikkeling, inclusief tests en overdracht, en hij zal zijn onderzoek dus tamelijk procedureel inrichten. Hierdoor kunnen door de IT-auditor bevindingen naar voren worden gebracht die voor de accountant onvoldoende diepgang bieden om concreet te concluderen of die ene essentiële geprogrammeerde verbandscontrole wel of niet afdoende op werking is getest. Hier volstaat dus niet de bevinding van de IT-auditor dat de beheermaatregelen rond ontwikkelen of aanschaf van applicatieprogrammatuur en de implementatie daarvan aan redelijkerwijs te stellen eisen voldoen! maandelijks 2 wekelijks 5 dagelijks 15 Tabel 1. Vuistregel: Aantal tests op handmatige controlewerkzaamheden.

54 Een soortgelijk voorbeeld geldt voor de toegangsbeveiliging. Bij het onderzoek naar de kwaliteit van de general IT controls wordt veelal gekeken naar toegang tot de computer of het netwerk en de instellingen van het beveiligingspakket. Voor de accountant is het van belang of medewerker x van de verkoopafdeling een transactie kan uitvoeren die uitsluitend door medewerker y van de financiële administratie mag worden uitgevoerd. Hoewel het van belang is dat de kwaliteit van de general IT controls dan van goed niveau is, is het natuurlijk van wezenlijk belang dat de autorisaties in de toepassingsprogrammatuur goed zijn opgenomen en goed blijven. Als uit de risicoanalyse blijkt dat functiescheidingen kritisch zijn en dat de effectuering daarvan in de autorisatietabellen in de applicatieprogrammatuur is gerealiseerd, vereist dat dus dat vastgesteld wordt of er een interne beheermaatregel is die periodiek (meerdere keren per jaar) vaststelt dat de autorisatietabellen nog aansluiten op de gewenste actualiteit. Deze interne beheermaatregel dient inhoudelijk getoetst te worden, boven op de general IT control die moet garanderen dat de onderliggende autorisatieprogrammatuur deugdelijk is geïmplementeerd en wordt onderhouden. Nog auditsoftware nodig? In de vorige paragraaf is ingegaan op de behoefte aan controles op de werking van de beheermaatregelen. De vraag is nu aan de orde of ter ondersteuning van deze controles of van uitgebreidere detailcontroles bij een meer gegevensgerichte controleaanpak auditsoftware nog efficiënte ondersteuning kan bieden. Regelmatig wordt beweerd dat indien het voor het controlebudget niet zou uitmaken of een gegevensgerichte of een procesgerichte controleaanpak wordt gekozen, de procesgerichte aanpak de voorkeur heeft. Met als motivatie dat de bevindingen over het proces ook voor de klant toegevoegde waarde hebben in de vorm van aanbevelingen voor het verbeteren van beheermaatregelen. Echter, daarbij wordt vaak niet stilgestaan bij de kracht van moderne auditsoftware. Het is veelal mogelijk in detail een geheel bestand te screenen op fouten, onvolledigheden, etc. Naast de verkregen audit evidence voor de accountantscontrole biedt dit de klant de mogelijkheid concrete correcties te maken in zijn bestanden en daardoor mogelijk voor de toekomst problemen te voorkomen. Een klassiek voorbeeld (toch uit 2002) van het gebruik van auditsoftware is in kader 2 weergegeven. In Nederland zijn op dit moment met name de pakketten ACL en IDEA gangbaar. Tabel 2. Twee voorbeelden van ongewenste functiecombinaties. Bij de jaarrekeningcontrole van pensioenfondsen en verzekeringsmaatschappijen is de accountant verplicht een verklaring af te geven bij de basisgegevens op grond waarvan de actuaris de voorzieningen berekent. Met behulp van auditsoftware is een aansluiting gemaakt tussen de stamgegevens uit de personeelsadministratie en de stamgegevens uit de pensioenadministratie. Resultaat van de aansluiting is geweest dat een aantal deelnemers is gevonden dat nog geen rechten had opgebouwd en dat een aantal deelnemers is gevonden dat geen recht (meer) had. Daar waar verschillen zijn gevonden, is door de klant nader onderzoek verricht naar de achterliggende oorzaken en zijn waar nodig aanpassingen in de beheermaatregelen doorgevoerd (naast natuurlijk de inhoudelijke correcties in de gegevens zelf). Kader 2. Dit praktijkvoorbeeld illustreert hoe een zeer efficiënt uitgevoerde detailcontrole ook toegevoegde waarde voor de klant heeft, zowel inhoudelijk voor correcties van detailposten, als voor verbetering van het beheerproces. Het begrip auditsoftware kan ook opgevat worden als specifieke software die de accountant of IT-auditor ondersteunt bij het doen van detailwaarnemingen. Het volgende voorbeeld illustreert hoe een controle op de werking van toegangsbeveiliging, specifiek gericht op de accountantscontrole, vrijwel geheel door een softwareprogramma is uitgevoerd. Voorbeeld: Onderzoek logische toegangsbeveiliging SAP Bij de jaarrekeningcontrole wordt gesteund op de functiescheidingen zoals deze bij de klant zijn gerealiseerd. Om vast te stellen in hoeverre deze functiescheidingen zoals zij in de gebruikersorganisatie bestaan, zijn doorgevoerd in het informatiesysteem SAP R/3, is door de accountant/it-auditor een onderzoek naar de kwaliteit van de logische toegangsbeveiliging in en rondom SAP R/3 uitgevoerd. Naast bevindingen inzake bevoegdheden op overkoepelend beheerniveau (zoals In totaal zijn 11 user-id s gekoppeld aan het SAP_ALL-profiel; dit houdt in dat gebruikers die met deze user-id s inloggen onbeperkte toegang hebben in SAP. ) worden ook gedetailleerde bevindingen gedaan op het terrein van ongewenste functiecombinaties, zoals weergegeven in tabel 2. Transactiecodes Omschrijving Aantal gebruikers* XK01, F110 * Aanleggen credi- 11 + 15 * teuren stamgegevens * Automatische * betalingsrun ME21, MB01 en * Bestelling toevoegen 11 + 8 MRHR * Goederenontvangst * op bestelling boeken * Factuur toevoegen * Inclusief 11 SAP_ALL-users.

Voldoende audit evidence? 55 Heel concreet met naam en toenaam kan vervolgens worden onderzocht waarom deze ongewenste functiecombinaties bestaan. Door inzet van dergelijke auditsoftware kan op efficiënte wijze gedetailleerde audit evidence worden verkregen, die goed toepasbaar is zowel bij de (periodieke) controle op de werking van beheermaatregelen (voorbeeld SAP hierboven) als bij gegevensgerichte (detail)controles (voorbeeld pensioenfonds in kader 2). Conclusie In dit artikel is met name ingegaan op de noodzaak om bij een procesgerichte controle toch voldoende controlebewijs te verzamelen om met voldoende zekerheid te kunnen vaststellen dat beheermaatregelen in de praktijk gedurende het jaar ook daadwerkelijk effectief functioneren. Aan de hand van enkele praktijkvoorbeelden is aangetoond dat door de auditor uitgevoerde controles met behulp van moderne auditsoftware zeer effectief kunnen bijdragen aan de beoordeling van de werking van beheermaatregelen door met behulp van deze software detailafwijkingen te signaleren. Door gebruik te maken van auditsoftware is de uitvoering van een volledige controle nauwelijks kostbaarder dan het doen van deelwaarnemingen, aangezien de kosten voornamelijk betrekking hebben op de opzet van het onderzoek en in veel mindere mate op de uitvoering. Een dergelijke controle levert enerzijds deugdelijke audit evidence op en biedt anderzijds de klant concrete correctieaanwijzingen. Drs. H.G.Th. van Gils RE RA is als senior manager in de service line Financial Services werkzaam bij KPMG Information Risk Management. Hij is bij veel financiële instellingen betrokken geweest op het gebied van kwaliteitsbeheersing en beoordeling van financiële applicaties en technische infrastructuur.

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback