Jaarrekeningcontrole in het MKB: IT audit geïntegreerd in de controle-aanpak
Inleiding:
Vaak worden de werkzaamheden van een accountant en de IT-auditor gezien als 2 gescheiden
processen. Maar, de huidige controlestandaarden laten er geen misverstand over bestaan. Financial
audit en de IT-Audit zijn onlosmakelijk van elkaar. De accountant kan tijdens de controle niet om de
IT-omgeving heen.
In het begin van de opdracht kijkt de accountant naar de situatie van de jaarrekening en de
beheersmaatregelen (AO/IB). Op basis van deze gegevens kiest de accountant een van de volgende
controleaanpakken:
- Gegevensgerichte controle
Meer controlewerkzaamheden verrichten om toch te kunnen vertrouwen dat de jaarrekening klopt
en goed in elkaar zit.
- Systeemgerichte controle
Vertrouwen op de AO/IB van het bedrijf en dus minder controlewerkzaamheden doen in het bedrijf.
Bij de analyse van het risico dat een verantwoording een afwijking van materieel belang bevat, moet
de accountant een brede invalshoek hanteren. Omdat IT een steeds grotere rol vervult in de
bedrijfsvoering en informatieverzorging, zal hij ook de aan IT-gerelateerde risico’s op een afwijking
van materieel belang in kaart moeten brengen.
Wat moet de accountant doen als hij gebruik wilt maken van de AO/IB wat het bedrijf zelf ontwikkeld
heeft? Interne beheersingsmaatregelen zijn namelijk een groot onderdeel van de IT-omgeving van de
onderneming.
Geheel handmatige controles (Manual controls) worden steeds minder gebruikt. Wel komen er nog
steeds veel computer handmatige controles voor. (Oftewel computer dependent controls) Deze
controls maken onderdeel uit van applicaties, die de bedrijfs- en informatieprocessen ondersteunen.
In de keuze voor de controle waarbij je steunt op de AO/IB van een bedrijf zijn de computer
independent controls daarom niet meer te negeren.
Ook bij de gegevensgerichte werkzaamheden komt de accountant steeds meer in aanmerking met de
IT-omgeving van de onderneming die gecontroleerd moet worden. Dit is omdat alle administratieve
gegevens worden verwerkt in een geautomatiseerd systeem. Voor de gegevensgerichte
werkzaamheden gebruikt de accountant gegevens uit deze systemen, zoals de administraties,
documenten, dossiers, contracten en (eventuele) specificaties. Elke schermweergave of afdruk van
deze gegevens komt tot stand via de IT-toepassing.
,Opbouw:
De opbouw van dit rapport sluit aan op de fasen van het controleproces:
1. Voorbereiding
2. Risicoanalyse en planning
3. Interimcontrole
4. Eindejaarcontrole
5. Afronding
Plaatsbepaling opzet, bestaan en werking van automated controls
Automated controls zijn te onderscheiding in 2 hoofdgroepen:
- Application controls
De beheersingsmaatregelen in de geautomatiseerde processen.
- General IT controls (GITC)
De rand voorwaardelijke beheersingsmaatregelen
Als onderdeel van de risicoanalyse wordt er in hoofdstuk 2 beschreven hoe de IT verankerd is in de
organisaties. Ook worden er meer voorbeelden gegeven van de bovenstaande controls. In dat
hoofdstuk wordt ook uitgelegd hoe de application en GITC zich tot elkaar verhouden. Ook wordt
aangegeven welke GITC belangrijk zijn voor de controle van een verantwoording (en dus in
aanmerking komen voor een test op hun effectieve werking).
De integrated audit thinkchart
Dit is een schema wat de samenhang weergeeft van de verschillende fasen in de controle en tussen
de stappen in elke fase. Het dient als een wegwijzer voor de lezer
Thinkchart. Voorbereiding
Onderdeel van de voorbereiding is de algemene beoordeling van de IT-omgeving van de klant. Het
resultaat hiervan geeft input voor de beoordeling en de controleerbaarheid van de klant. Indien de
IT-omgeving te complex is (en dus dat het team te weinig kennis heeft) kan er overwogen worden om
een extern team in te huren die gespecialiseerd is in dit soort IT-systemen.
Thinkchart. Planning
In de planningsfase wordt allereerst de omgeving van de klant nader beoordeeld op een steeds meer
gedetailleerd niveau. De beoordeling richt zich onder meer op:
- Aanwezige IT-componenten
- Beheersing van IT en de relatie met de jaarrekening.
Vervolgens worden op verschillende niveaus de risico’s gedefinieerd. Voor het definiëren van de
audit-respons op deze risico’s wordt een balans gezocht tussen manual- en application controls.
Vervolgens wordt er vanuit de geselecteerde application controls de diepgang van het testen van de
rand-voorwaardelijke GITC bepaald.
Thinkchart. Uitvoering
Het is raadzaam om de uitvoering te beginnen met het testen van de GITC. Zodat bij eventueel
ontoereikende controls gelijk de controleaanpak veranderd kan worden. Vervolgens worden de
geselecteerde application controls getest. Aanvullend op deze controlemaatregelen worden er ook
overige controlewerkzaamheden verricht. Dit wordt gedaan om zoveel mogelijk zekerheid te krijgen
, dat de accountant op de AO/IB van het bedrijf kan steunen. Het aandachtspunt hierbij is, is het
inzetten van data-analyse om de gegevensgerichte controlewerkzaamheden efficiënt en effectief te
kunnen uitvoeren.
Thinkchart. Afronding
De afrondingsfase vormt het sluitstuk van de uitgevoerde werkzaamheden en bevat minimaal een
beoordeling van de toereikendheid van de uitgevoerde werkzaamheden en de conclusies die daarbij
getrokken zijn. In deze fase wordt de relatie vanuit de conclusies gelegd naar de verantwoording.
Tevens wordt verslag gedaan van de relevante bevindingen aan de onderneming / klant.
Voorbereiding:
In de voorbereiding wordt de basis gelegd voor de uitvoering van de controle. De accountant stelt
zich de volgende vragen in dit proces:
Zijn de omstandigheden aanwezig om de opdracht zodanig uit te voeren dat een professioneel
oordeel mogelijk is tijdens de controle.
Welke aanvullende maatregelen zouden daarvoor nodig zijn, en zijn die naar verwachting te
realiseren
Voor de beantwoording van de bovenstaande vragen, is het belangrijk dat de controlelerende
accountant geïnformeerd is over de IT-omgeving van de opdrachtgever. Want bij een complexe IT-
omgeving zal het team heel anders zijn dan wanneer het een minder complexe IT-omgeving betreft.
Om het juiste team samen te stellen is het daarom belangrijk dat de accountant enig inzicht heeft in
de IT-omgeving van het bedrijf. Deze kennis wordt verder uitgewerkt in de fase van de risicoanalyse
en de planning. Als deze risico’s bekend zijn dan kan er een concreet plan worden gemaakt en
kunnen er concrete werkzaamheden worden opgesteld op basis van deze risico’s
Input voor de voorbereidingsfase kan voortkomen uit eerder uitgevoerde gelijksoortige opdrachten,
zoals de controle van de jaarrekening van het vorige jaar of eerder uitgevoerde vergelijkbare
opdrachten.
1.2 IT-omgeving op hoofdlijnen
De IT-componenten worden op hoofdlijnen in kaart gebracht om inzicht te krijgen in de voor deze
fase relevante aandachtsgebieden. Deze componenten zijn:
- Apparatuur
- Systeemprogrammatuur
- Toepassingsprogrammatuur
- Organisatie
- Beveiliging
- Gegevensopslag
- Datacommunicatie
(Deze componenten zijn in hoofdstuk 2 “Risicoanalyse en planning” verder uitgewerkt)
In de Voorbereidingsfase gaat het er alleen om de hoofdlijnen in beeld te brengen ten behoeve van
de opdrachtaanvaarding en de organisatie van de uitvoering van de opdracht.
Inleiding:
Vaak worden de werkzaamheden van een accountant en de IT-auditor gezien als 2 gescheiden
processen. Maar, de huidige controlestandaarden laten er geen misverstand over bestaan. Financial
audit en de IT-Audit zijn onlosmakelijk van elkaar. De accountant kan tijdens de controle niet om de
IT-omgeving heen.
In het begin van de opdracht kijkt de accountant naar de situatie van de jaarrekening en de
beheersmaatregelen (AO/IB). Op basis van deze gegevens kiest de accountant een van de volgende
controleaanpakken:
- Gegevensgerichte controle
Meer controlewerkzaamheden verrichten om toch te kunnen vertrouwen dat de jaarrekening klopt
en goed in elkaar zit.
- Systeemgerichte controle
Vertrouwen op de AO/IB van het bedrijf en dus minder controlewerkzaamheden doen in het bedrijf.
Bij de analyse van het risico dat een verantwoording een afwijking van materieel belang bevat, moet
de accountant een brede invalshoek hanteren. Omdat IT een steeds grotere rol vervult in de
bedrijfsvoering en informatieverzorging, zal hij ook de aan IT-gerelateerde risico’s op een afwijking
van materieel belang in kaart moeten brengen.
Wat moet de accountant doen als hij gebruik wilt maken van de AO/IB wat het bedrijf zelf ontwikkeld
heeft? Interne beheersingsmaatregelen zijn namelijk een groot onderdeel van de IT-omgeving van de
onderneming.
Geheel handmatige controles (Manual controls) worden steeds minder gebruikt. Wel komen er nog
steeds veel computer handmatige controles voor. (Oftewel computer dependent controls) Deze
controls maken onderdeel uit van applicaties, die de bedrijfs- en informatieprocessen ondersteunen.
In de keuze voor de controle waarbij je steunt op de AO/IB van een bedrijf zijn de computer
independent controls daarom niet meer te negeren.
Ook bij de gegevensgerichte werkzaamheden komt de accountant steeds meer in aanmerking met de
IT-omgeving van de onderneming die gecontroleerd moet worden. Dit is omdat alle administratieve
gegevens worden verwerkt in een geautomatiseerd systeem. Voor de gegevensgerichte
werkzaamheden gebruikt de accountant gegevens uit deze systemen, zoals de administraties,
documenten, dossiers, contracten en (eventuele) specificaties. Elke schermweergave of afdruk van
deze gegevens komt tot stand via de IT-toepassing.
,Opbouw:
De opbouw van dit rapport sluit aan op de fasen van het controleproces:
1. Voorbereiding
2. Risicoanalyse en planning
3. Interimcontrole
4. Eindejaarcontrole
5. Afronding
Plaatsbepaling opzet, bestaan en werking van automated controls
Automated controls zijn te onderscheiding in 2 hoofdgroepen:
- Application controls
De beheersingsmaatregelen in de geautomatiseerde processen.
- General IT controls (GITC)
De rand voorwaardelijke beheersingsmaatregelen
Als onderdeel van de risicoanalyse wordt er in hoofdstuk 2 beschreven hoe de IT verankerd is in de
organisaties. Ook worden er meer voorbeelden gegeven van de bovenstaande controls. In dat
hoofdstuk wordt ook uitgelegd hoe de application en GITC zich tot elkaar verhouden. Ook wordt
aangegeven welke GITC belangrijk zijn voor de controle van een verantwoording (en dus in
aanmerking komen voor een test op hun effectieve werking).
De integrated audit thinkchart
Dit is een schema wat de samenhang weergeeft van de verschillende fasen in de controle en tussen
de stappen in elke fase. Het dient als een wegwijzer voor de lezer
Thinkchart. Voorbereiding
Onderdeel van de voorbereiding is de algemene beoordeling van de IT-omgeving van de klant. Het
resultaat hiervan geeft input voor de beoordeling en de controleerbaarheid van de klant. Indien de
IT-omgeving te complex is (en dus dat het team te weinig kennis heeft) kan er overwogen worden om
een extern team in te huren die gespecialiseerd is in dit soort IT-systemen.
Thinkchart. Planning
In de planningsfase wordt allereerst de omgeving van de klant nader beoordeeld op een steeds meer
gedetailleerd niveau. De beoordeling richt zich onder meer op:
- Aanwezige IT-componenten
- Beheersing van IT en de relatie met de jaarrekening.
Vervolgens worden op verschillende niveaus de risico’s gedefinieerd. Voor het definiëren van de
audit-respons op deze risico’s wordt een balans gezocht tussen manual- en application controls.
Vervolgens wordt er vanuit de geselecteerde application controls de diepgang van het testen van de
rand-voorwaardelijke GITC bepaald.
Thinkchart. Uitvoering
Het is raadzaam om de uitvoering te beginnen met het testen van de GITC. Zodat bij eventueel
ontoereikende controls gelijk de controleaanpak veranderd kan worden. Vervolgens worden de
geselecteerde application controls getest. Aanvullend op deze controlemaatregelen worden er ook
overige controlewerkzaamheden verricht. Dit wordt gedaan om zoveel mogelijk zekerheid te krijgen
, dat de accountant op de AO/IB van het bedrijf kan steunen. Het aandachtspunt hierbij is, is het
inzetten van data-analyse om de gegevensgerichte controlewerkzaamheden efficiënt en effectief te
kunnen uitvoeren.
Thinkchart. Afronding
De afrondingsfase vormt het sluitstuk van de uitgevoerde werkzaamheden en bevat minimaal een
beoordeling van de toereikendheid van de uitgevoerde werkzaamheden en de conclusies die daarbij
getrokken zijn. In deze fase wordt de relatie vanuit de conclusies gelegd naar de verantwoording.
Tevens wordt verslag gedaan van de relevante bevindingen aan de onderneming / klant.
Voorbereiding:
In de voorbereiding wordt de basis gelegd voor de uitvoering van de controle. De accountant stelt
zich de volgende vragen in dit proces:
Zijn de omstandigheden aanwezig om de opdracht zodanig uit te voeren dat een professioneel
oordeel mogelijk is tijdens de controle.
Welke aanvullende maatregelen zouden daarvoor nodig zijn, en zijn die naar verwachting te
realiseren
Voor de beantwoording van de bovenstaande vragen, is het belangrijk dat de controlelerende
accountant geïnformeerd is over de IT-omgeving van de opdrachtgever. Want bij een complexe IT-
omgeving zal het team heel anders zijn dan wanneer het een minder complexe IT-omgeving betreft.
Om het juiste team samen te stellen is het daarom belangrijk dat de accountant enig inzicht heeft in
de IT-omgeving van het bedrijf. Deze kennis wordt verder uitgewerkt in de fase van de risicoanalyse
en de planning. Als deze risico’s bekend zijn dan kan er een concreet plan worden gemaakt en
kunnen er concrete werkzaamheden worden opgesteld op basis van deze risico’s
Input voor de voorbereidingsfase kan voortkomen uit eerder uitgevoerde gelijksoortige opdrachten,
zoals de controle van de jaarrekening van het vorige jaar of eerder uitgevoerde vergelijkbare
opdrachten.
1.2 IT-omgeving op hoofdlijnen
De IT-componenten worden op hoofdlijnen in kaart gebracht om inzicht te krijgen in de voor deze
fase relevante aandachtsgebieden. Deze componenten zijn:
- Apparatuur
- Systeemprogrammatuur
- Toepassingsprogrammatuur
- Organisatie
- Beveiliging
- Gegevensopslag
- Datacommunicatie
(Deze componenten zijn in hoofdstuk 2 “Risicoanalyse en planning” verder uitgewerkt)
In de Voorbereidingsfase gaat het er alleen om de hoofdlijnen in beeld te brengen ten behoeve van
de opdrachtaanvaarding en de organisatie van de uitvoering van de opdracht.
