Auditors' Training and Proficiency in
Information Systems: A Research Synthesis
Mary B. Curtis, J. Gregory Jenkins, Jean C. Bedard, Donald R. Deis
In dit artikel wordt een overzicht gegeven van bestaande literatuur waarin kwesties worden onderzocht
die verband houden met de kennis van en de opleiding van auditors op het gebied van
informatiesystemen. Deze beoordeling is belangrijk vanwege het snel toenemende gebruik van
technologie in het bedrijfsleven, recente wijzigingen in de Amerikaanse auditnormen voor
informatietechnologie en interne controle, en signalen van belangstelling van regelgevers voor mogelijke
toekomstige normen voor de kennis van auditorsinformatiesystemen (IS). We beoordelen eerder
onderzoek zowel om informatie te geven over de huidige status van onze literatuur als om specifieke
vragen te identificeren waarover onvoldoende onderzoek is gedaan. Onze beoordeling omvat drie brede
gebieden:
1. Eerst bekijken we de huidige omgeving van IS op het gebied van financiële rapportage en assurance,
en vatten we de gerelateerde controlestandaarden samen.
2. Ten tweede beschouwen we eerder onderzoek naar hoe accountants van financiële overzichten
("generalistische") IS-kennis verwerven en gebruiken.
3. Ten derde bespreken we onderzoek naar de interactie tussen generalistische en IS-auditors. Elke sectie
wordt afgesloten met suggesties voor toekomstig onderzoek.
Het doel van dit artikel is om ongelijksoortige onderzoekslijnen rond dit onderwerp samen te brengen en
verdere onderzoeksaandacht hiervoor te motiveren. Dit artikel draagt bij door tekortkomingen in deze
literatuur op te merken en specifieke aanbevelingen te doen voor toekomstig onderzoek.
DE HUIDIGE OMGEVING VAN IS EN HAAR ROL IN
FINANCILE RAPPORTAGE EN AANVERWANTE ASSURANCE
In de volgende paragrafen bespreken we drie implicaties van de veranderende IS-omgeving voor het
auditproces.
1. Ten eerste worden IS steeds meer geautomatiseerd, zodat bedrijfsprocessen in veel organisaties
zonder menselijke tussenkomst werken.
2. Ten tweede breiden bedrijven hun gebruik van enterprise resource planning (ERP)-systemen uit.
3. Ten derde moedigt de verleiding van kostenbesparingen en toegang tot schaarse middelen veel
bedrijven aan om kritieke IS-processen uit te besteden.
1.
De mogelijkheid om de effecten van economische gebeurtenissen op de financiële overzichten vast te
leggen en te rapporteren is zo geëvolueerd dat de belangrijkste bedrijfsprocessen in veel bedrijven
volledig geautomatiseerd zijn (bijv. herbestellingen van voorraden en kredietgoedkeuring voor verkopen
op rekening).
De meeste IS omvatten applicatiecontroles (bijv. tests van de nauwkeurigheid van de invoer en tests voor
de redelijkheid van gegevens) die zijn ontworpen om de geldigheid van transacties te waarborgen. Deze
, geautomatiseerde controles zijn belangrijk voor de accountant omdat ze een belangrijk middel zijn om
de kans op afwijkingen te verkleinen.
Hoewel geautomatiseerde controles bijdragen aan de efficiëntie, een uitgebreide afhankelijkheid ervan
brengt het risico met zich mee dat de controles niet werken zoals verwacht. Geautomatiseerde controles
worden bijvoorbeeld mogelijk niet geactiveerd tijdens een systeemimplementatie of kunnen worden
omzeild door technologisch onderlegde medewerkers.
2.
Sutton (2006) merkt op dat ERP-systemen entiteiten in staat stellen om de IS van het bedrijf nauw te
koppelen aan zijn zakelijke en supply chain-partners. Dergelijke uitgebreide ondernemingen stellen de
auditor voor nieuwe uitdagingen, aangezien ze de grenzen van de entiteit/klant opnieuw definiëren.
Wright en Wright (2002) leveren verder bewijs over ERP-auditkwesties. Hun discussies bevestigen dat
ERP-systemen verschillende unieke controlerisico's met zich meebrengen:
1. Ten eerste hebben implementatieprocessen een belangrijke impact op de systeembetrouwbaarheid.
2. Ten tweede verschillen de lopende risico's tussen applicaties en leveranciers.
3.Ten derde vereist het verkrijgen van zekerheid over deze systemen meer focus op het testen van het
proces dan op de output.
Al deze zaken vormen uitdagingen voor accountants.
3.
De functionaliteit die wordt uitbesteed kan enorm variëren: van niet meer dan connectiviteitsdiensten,
die een beperkte impact hebben op de interne controles van een organisatie, tot het exporteren van alle
IT-gerelateerde functies, met een aanzienlijke impact op de controles.
Een van de vele zorgen voor de organisatie van outsourcing zijn:
het kiezen van een geschikte leverancier,
gegevensprivacy,
gegevens- en intellectuele eigendomsbeveiliging,
het opstellen van effectieve serviceovereenkomsten (SLA's),
bedrijfscontinuïteitsplanning voor de leverancier,
verandermanagement,
kenniscontinuïteitsplanning en
controleerbaarheid.
In de meeste gevallen hebben de auditors van een organisatie geen toegang tot de informatiesystemen
die zijn ondergebracht in de activiteiten van een outsourcingleverancier. In dit geval zal accountant
moeten testen of hij kan steunen op controls.
Alles bij elkaar genomen, levert het onderzoek dat in deze sectie wordt aangehaald, bewijs dat het
gebruik van IS in het bedrijfsleven toeneemt en verandert in zijn fundamentele aard, en dat
geautomatiseerde controles bedoeld zijn om betrouwbaardere informatie over financiële overzichten te
produceren. Er zijn verschillende implicaties voor auditing in deze omgeving. Ten eerste betekent de
alomtegenwoordigheid van IS en het snelle tempo van veranderingen in de zakelijke omgeving dat
auditors zonder uitgebreide systeemkennis moeite kunnen hebben met het begrijpen van de complexe
technologie die de bedrijfsprocessen van hun klanten ondersteunt. Ten tweede hebben auditnormen in
het afgelopen decennium het toenemende gebruik van geautomatiseerde bedrijfsprocessen en controles
erkend door de noodzaak voor auditors om IS te integreren in de planning en het verkrijgen van
bewijsmateriaal. In de afgelopen tien jaar hebben controlenormen steeds meer nadruk gelegd op de
Information Systems: A Research Synthesis
Mary B. Curtis, J. Gregory Jenkins, Jean C. Bedard, Donald R. Deis
In dit artikel wordt een overzicht gegeven van bestaande literatuur waarin kwesties worden onderzocht
die verband houden met de kennis van en de opleiding van auditors op het gebied van
informatiesystemen. Deze beoordeling is belangrijk vanwege het snel toenemende gebruik van
technologie in het bedrijfsleven, recente wijzigingen in de Amerikaanse auditnormen voor
informatietechnologie en interne controle, en signalen van belangstelling van regelgevers voor mogelijke
toekomstige normen voor de kennis van auditorsinformatiesystemen (IS). We beoordelen eerder
onderzoek zowel om informatie te geven over de huidige status van onze literatuur als om specifieke
vragen te identificeren waarover onvoldoende onderzoek is gedaan. Onze beoordeling omvat drie brede
gebieden:
1. Eerst bekijken we de huidige omgeving van IS op het gebied van financiële rapportage en assurance,
en vatten we de gerelateerde controlestandaarden samen.
2. Ten tweede beschouwen we eerder onderzoek naar hoe accountants van financiële overzichten
("generalistische") IS-kennis verwerven en gebruiken.
3. Ten derde bespreken we onderzoek naar de interactie tussen generalistische en IS-auditors. Elke sectie
wordt afgesloten met suggesties voor toekomstig onderzoek.
Het doel van dit artikel is om ongelijksoortige onderzoekslijnen rond dit onderwerp samen te brengen en
verdere onderzoeksaandacht hiervoor te motiveren. Dit artikel draagt bij door tekortkomingen in deze
literatuur op te merken en specifieke aanbevelingen te doen voor toekomstig onderzoek.
DE HUIDIGE OMGEVING VAN IS EN HAAR ROL IN
FINANCILE RAPPORTAGE EN AANVERWANTE ASSURANCE
In de volgende paragrafen bespreken we drie implicaties van de veranderende IS-omgeving voor het
auditproces.
1. Ten eerste worden IS steeds meer geautomatiseerd, zodat bedrijfsprocessen in veel organisaties
zonder menselijke tussenkomst werken.
2. Ten tweede breiden bedrijven hun gebruik van enterprise resource planning (ERP)-systemen uit.
3. Ten derde moedigt de verleiding van kostenbesparingen en toegang tot schaarse middelen veel
bedrijven aan om kritieke IS-processen uit te besteden.
1.
De mogelijkheid om de effecten van economische gebeurtenissen op de financiële overzichten vast te
leggen en te rapporteren is zo geëvolueerd dat de belangrijkste bedrijfsprocessen in veel bedrijven
volledig geautomatiseerd zijn (bijv. herbestellingen van voorraden en kredietgoedkeuring voor verkopen
op rekening).
De meeste IS omvatten applicatiecontroles (bijv. tests van de nauwkeurigheid van de invoer en tests voor
de redelijkheid van gegevens) die zijn ontworpen om de geldigheid van transacties te waarborgen. Deze
, geautomatiseerde controles zijn belangrijk voor de accountant omdat ze een belangrijk middel zijn om
de kans op afwijkingen te verkleinen.
Hoewel geautomatiseerde controles bijdragen aan de efficiëntie, een uitgebreide afhankelijkheid ervan
brengt het risico met zich mee dat de controles niet werken zoals verwacht. Geautomatiseerde controles
worden bijvoorbeeld mogelijk niet geactiveerd tijdens een systeemimplementatie of kunnen worden
omzeild door technologisch onderlegde medewerkers.
2.
Sutton (2006) merkt op dat ERP-systemen entiteiten in staat stellen om de IS van het bedrijf nauw te
koppelen aan zijn zakelijke en supply chain-partners. Dergelijke uitgebreide ondernemingen stellen de
auditor voor nieuwe uitdagingen, aangezien ze de grenzen van de entiteit/klant opnieuw definiëren.
Wright en Wright (2002) leveren verder bewijs over ERP-auditkwesties. Hun discussies bevestigen dat
ERP-systemen verschillende unieke controlerisico's met zich meebrengen:
1. Ten eerste hebben implementatieprocessen een belangrijke impact op de systeembetrouwbaarheid.
2. Ten tweede verschillen de lopende risico's tussen applicaties en leveranciers.
3.Ten derde vereist het verkrijgen van zekerheid over deze systemen meer focus op het testen van het
proces dan op de output.
Al deze zaken vormen uitdagingen voor accountants.
3.
De functionaliteit die wordt uitbesteed kan enorm variëren: van niet meer dan connectiviteitsdiensten,
die een beperkte impact hebben op de interne controles van een organisatie, tot het exporteren van alle
IT-gerelateerde functies, met een aanzienlijke impact op de controles.
Een van de vele zorgen voor de organisatie van outsourcing zijn:
het kiezen van een geschikte leverancier,
gegevensprivacy,
gegevens- en intellectuele eigendomsbeveiliging,
het opstellen van effectieve serviceovereenkomsten (SLA's),
bedrijfscontinuïteitsplanning voor de leverancier,
verandermanagement,
kenniscontinuïteitsplanning en
controleerbaarheid.
In de meeste gevallen hebben de auditors van een organisatie geen toegang tot de informatiesystemen
die zijn ondergebracht in de activiteiten van een outsourcingleverancier. In dit geval zal accountant
moeten testen of hij kan steunen op controls.
Alles bij elkaar genomen, levert het onderzoek dat in deze sectie wordt aangehaald, bewijs dat het
gebruik van IS in het bedrijfsleven toeneemt en verandert in zijn fundamentele aard, en dat
geautomatiseerde controles bedoeld zijn om betrouwbaardere informatie over financiële overzichten te
produceren. Er zijn verschillende implicaties voor auditing in deze omgeving. Ten eerste betekent de
alomtegenwoordigheid van IS en het snelle tempo van veranderingen in de zakelijke omgeving dat
auditors zonder uitgebreide systeemkennis moeite kunnen hebben met het begrijpen van de complexe
technologie die de bedrijfsprocessen van hun klanten ondersteunt. Ten tweede hebben auditnormen in
het afgelopen decennium het toenemende gebruik van geautomatiseerde bedrijfsprocessen en controles
erkend door de noodzaak voor auditors om IS te integreren in de planning en het verkrijgen van
bewijsmateriaal. In de afgelopen tien jaar hebben controlenormen steeds meer nadruk gelegd op de
