Inhoudsopgave
Standaard IT................................................................................................................................................................................................................................... 3
IT Risico’s....................................................................................................................................................................................................................................... 5
Omzet 2....................................................................................................................................................................................................................................... 13
Omzet 3....................................................................................................................................................................................................................................... 17
Omzet 4....................................................................................................................................................................................................................................... 21
Standaard omzet.......................................................................................................................................................................................................................... 26
Controle balanspost MVA............................................................................................................................................................................................................ 27
Controleplan Voorzieningen 1..................................................................................................................................................................................................... 30
Controleplan Voorzieningen 2..................................................................................................................................................................................................... 34
Controleplan Voorzieningen 3..................................................................................................................................................................................................... 37
Controleplan nog uit te betalen................................................................................................................................................................................................... 40
Controleplan vergelijkende cijfers............................................................................................................................................................................................... 42
Controleplan salarissen en sociale lasten.................................................................................................................................................................................... 44
Claim controles............................................................................................................................................................................................................................ 48
Datalek......................................................................................................................................................................................................................................... 51
Latente belastingvordering.......................................................................................................................................................................................................... 53
Management Override en control............................................................................................................................................................................................... 54
Continuiteit.................................................................................................................................................................................................................................. 56
Fraude.......................................................................................................................................................................................................................................... 59
1
,2
,Standaard IT
Risico's voortkomen gebruik IT >> Transactiestroom: OMZET PARTICULIEREN
Nummer Tentamen Vraag Onderwerp
Nr. 1 27-6-2023 4 RISICO'S IT = OMZET PARTICULIEREN = ST. 315!!
1 Het bedrijfsmodel van FS is in belangrijke mate afhankelijk van de betrouwbare en continue werking van de verschillende IT- Afhankelijk - Betrouwebare en continue werking van
componenten (de mobiele app, Drive en FOCUS). verschillende IT-componenten
2 Gebruik van IT-afhankelijke interne beheersingsmaatregelen IT-afhankelijke interne beheersingsmaatregelen
3 De geïdentificeerde inherente risico’s inzake de transactiestroom ‘Omzet particulieren’ relateren aan de daarvoor relevante IB- Geïdentificeerde inherente risico’s + relevante IB
maatregelen maatregelen
4 Voor de IT-gerelateerde IB-maatregelen moeten zij vervolgens de ‘risico’s die voortkomen uit het gebruik van IT’ onderkennen:
A De vatbaarheid van deze interne beheersingsmaatregelen voor ineffectieve opzet of werking
B De vatbaarheid voor risico’s voor de integriteit van informatie (dat wil zeggen de volledigheid, nauwkeurigheid en geldigheid van
transacties en andere informatie) in het informatiesysteem van de entiteit, als gevolg van ineffectieve opzet of werking van
interne beheersingsmaatregelen in de IT-processen van de entiteit.
Dit zijn volgens Standaard 315: de processen van de entiteit om de toegang tot de IT-omgeving, programmawijzigingen of
wijzigingen in de IT-omgeving en IT-activiteiten te beheren (met andere woorden de GITC).
5 De accountant van Dynamisch heeft ten aanzien van de transactiestroom ‘Omzet particulieren’ inherente risico’s op een afwijking Inherente risico’s op een afwijking van materieel
van materieel belang geïdentificeerd voor de beweringen voorkomen, nauwkeurigheid en afgrenzing. belang geïdentificeerd
6 Deze risico’s worden mede beïnvloed door een eventuele niet-effectieve opzet of werking van IT-gerelateerde IB-maatregelen Eventuele niet-effectieve opzet of werking van:
en/of door het niet integer zijn van de betreffende transactiedata 1). IT-gerelateerde IB-maatregelen
2). Niet integer zijn van de betreffende
7 Dit zijn de risico’s die voortkomen uit het gebruik van IT.
8 Vaststellen dat de IT-gerelateerde IB-maatregelen, met inbegrip van de GITC, in opzet, implementatie en werking effectief zijn
om de volgende doelstellingen te bereiken (het niet bereiken van deze doelstellingen zijn de risico’s die voortkomen uit het
gebruik van IT): 315.A229 + A166 + A6 +A150 +A173 +A180
3
, 1 Waarborgen betrouwbare en ongestoorde werking App.. = continuiteit, beveiliging en onderhoud
2 Waarborgen intregrieteit van de registratie in APP
3 Waarborgen integriteit van accountgegevens in APP
4 Waarborgen betrouwbare werking intercase tusse APP, APP en APP
5 Waarborgen betrouwbare totstandkoming van uitzonderingsrapportages
6 Waarborgen integriteit van prijstabel in APP
7 Waarborgen integriteit van ritgegevens in APP
8 Waarborgen dat lage tarief terecht wordt toegepast
9 Waarborgen dat alle gereden km in rekening wordt gebracht + geincasseerd
10 Waarborgen in rekening gebrachte bedragen corret als omzet worden gebracht + geincasseerd
11 Waarborgen volledigheid en nauwkeurigheid van gegevens account aanmaken
12 Betrouwbare registratie GPS - gegevens
13 Mutaties in APP geinitieerd = waarborgen dat toegang tot APP beperkt is
14 Tijdige en volledige melding van storingen in APP
15 Totaalcontrole APP op facturering van alle door de acconthouders gereden KM
16 Totaalcontroles interface tussen APP, APP en APP
17 Tijdige blokkade gebruiker die niet betaalt
18 Niet eerder deblokkeren van gebruiker na ontvangst van achterstallige betaling
A De GITC die relevant zijn om het risico te beperken dat deze doelstellingen worden behaald, zijn:
1 - (Logische) toegangsbeveiliging
2 - Change management Change management houdt zich bezig met het systematisch veranderen van organisaties en individuen binnen organisaties. Binnen change
management onderscheiden we in ieder geval drie aspecten: aanpassen aan verandering, het beheersen/controleren van verandering en het uitvoeren
van verandering.
3 - Databeveiliging
4 - Taakplanning en -monitoring
4
,IT Risico’s
5
, Er is sprake van een complexe IT-omgeving waar niet met een financiële applicatie wordt gewerkt, maar in plaats daarvan met een centrale database en verschillende reporting scripts.
Integriteit data De beheersing van de integriteit van de data alsmede de integriteit van de scripts is een belangrijk aandachtspunt in deze casus.
De kandidaat moet bij de uitwerking het onderkende risico alsmede de uit te voeren werkzaamheden uitwerken. In onderstaande uitwerking op hoofdlijnen zijn de risico’s soms impliciet benoemd.
Primaire registratie:
Integriteit data 1) De database bevat niet alleen financiële transacties, maar alle activiteiten worden geregistreerd.
Dit betekent waarschijnlijk dat naast de afdeling financiën ook personen van andere afdelingen toegang hebben tot Daedalus.
FS, autorisaties Dit betekent dat de accountant de inrichting van de autorisatie zal beoordelen, en vaststelt dat rechten voor het aanbrengen van wijzigingen die
een financieel effect hebben zijn voorbehouden aan daartoe bevoegde functionarissen, alsmede dat deze gecontroleerd tot stand komen.
2) Data integriteit: De geregistreerde activiteiten moeten zijn voorzien van de juiste kenmerken, omdat activiteiten anders niet worden meegenomen in de financiële rapportages.
Autorisaties De accountant dient aandacht te besteden aan autorisaties rondom het beheer en de autorisatie van kenmerken (het zijn immers voor de financiële informatieverwerking belangrijke stamgegevens),
aan invoercontroles bij het toekennen van deze kenmerken en aan autorisaties voor eventueel achteraf wijzigen van aan transacties toegekende kenmerken.
3) De accountant besteedt in het bijzonder aandacht aan de continuiteitsmaatregelen die rond de database zijn getroffen, waaronder back-up en recovery van de database.
Back-up
Recovery
Beveiliging data
Hackers
Scope ISAE
Diepgang onderzoek ISAE
Zelf ontwikkeling +
beheer scipts bij de
externe onderzoeken
6
,7
,Bevindingen
OORZAAK VAN DE FOUT ONDERZOEKEN + VASTSTELLEN OF DEZE FOUT EFFECT KAN HEBBEN OP BETROUWBAARHEID FIN
LAAT ONTDEKKEN = KWALITEIT VAN DE INTERNE BEHEERSING, KWALITEIT IB OVERWEGEN = MOGELIJK EFFECT OP
UITVOERINGSMATERIALITEIT EN HEROVERWEGING TOT DE CONTROLEAANPAK
De accountant zal onderzoeken welke aanpassingen aan Daedalus zijn gemaakt in deze periode, en of sprake was van
aanpassingen naast deze fouten.
De accountant stelt vast dat deze correcties daadwerkelijk juist zijn verwerkt aan de hand van brondocumenten en
correctieboekingen. De mededeling van de medewerkers alleen volstaat niet
De accountant dient te onderzoeken in hoeverre de geconstateerde bevindingen van invloed hadden moeten zijn op de ISAE 3402
rapportage van de externe partij en te concluderen in hoeverre dat van invloed kan zijn op bestaande controlewerkzaamheden.
Aandachtspunten bij de r isico-inschatting van dit onderdeel zijn de boeteclausules in leverancierscontracten (volledigheid schulden) , het hoge
aantal retouren (40%) en d e volledigheid (toereikendheid) van de voorziening hiervoor (volledigheid voorziening/realisatie omzet), de
regelmatige afprijzing van artikelen (volledigheid omzet) en de korting van 50% in de eerste 2 weken van januari (waardering voorraad).
8
,Omzet 1
NR 1
Tentamen VJ 23 - 27-6-2023
Vraag 5
Korte omschrijving Casus Aanpak controle Accountant Transactiestroom: 'Omzet Particulieren'
Regelgeving 330 en 500-serie
Kernpunten: De te verantwoorden omzet uit hoofde van scooterverhuur aan particulieren is met name afhankelijk
1). Afhankelijk betrouwbare en ongestoorde van de betrouwbare en ongestoorde werking van de app en Drive. De accountant van Dynamisch heeft
werking van APP/IT ten aanzien van de transactiestroom ‘Omzet particulieren’ inherente risico’s op een afwijking van
2). TAV transactiestoom 'Omzet' inherente materieel belang geïdentificeerd voor de beweringen voorkomen (significant), nauwkeurigheid en
risico's op een afwijking van mat belang afgrenzing. De interne beheersingsmaatregelen die relevant zijn voor deze risico’s zijn in belangrijke
geidentificeerd voor beweringen; voorkomen mate IT-gerelateerd (zie ook vraag 4). De accountant zal bij de controlewerkzaamheden willen steunen
(S), nauwkeurigheid en afgrenzing. op deze IB-maatregelen en aanvullend gegevensgerichte werkzaamheden verrichten.
3). IMB relevant zijn voor deze risico's zijn in
belangrijke mate IT-gerelateerd.
4). ACC zal bij ControleWerkzaamheden,
willen steunen op IB-maatregelen +
aanvullende GG WZ verrchten
9
, Systeemgerichte werkzaamheden - Evalueren van de opzet van de relevante IB-maatregelen, met inbegrip van de GITC, en vaststellen dat
1). Evaluatie Opzet Relevante IB- de maatregelen effectief zijn geïmplementeerd
maatregelen, in begrip GITC, vaststellen - Testen van de effectieve werking van de relevante IB-maatregelen (reperformance, waar mogelijk in de
maatregelen effectief zijn geimplemeteerd. vorm van een ‘test of one’ als sprake is van effectieve GITC)
2). Testen effectieve werking in de vorm van - Evalueren van de bevindingen en indien noodzakelijk aanpassen van de geplande respons (andere IB-
'test of one' - sprake van effectieve GITC maatregelen testen en/of uitbreiding van geplande gegevensgerichte werkzaamheden)
3). Evalueren bevindingen + indien
noodzakelijk aanpassen geplande respons,
andere IBM testen en/of uitbreiding van
geplande GG WZH
10
Standaard IT................................................................................................................................................................................................................................... 3
IT Risico’s....................................................................................................................................................................................................................................... 5
Omzet 2....................................................................................................................................................................................................................................... 13
Omzet 3....................................................................................................................................................................................................................................... 17
Omzet 4....................................................................................................................................................................................................................................... 21
Standaard omzet.......................................................................................................................................................................................................................... 26
Controle balanspost MVA............................................................................................................................................................................................................ 27
Controleplan Voorzieningen 1..................................................................................................................................................................................................... 30
Controleplan Voorzieningen 2..................................................................................................................................................................................................... 34
Controleplan Voorzieningen 3..................................................................................................................................................................................................... 37
Controleplan nog uit te betalen................................................................................................................................................................................................... 40
Controleplan vergelijkende cijfers............................................................................................................................................................................................... 42
Controleplan salarissen en sociale lasten.................................................................................................................................................................................... 44
Claim controles............................................................................................................................................................................................................................ 48
Datalek......................................................................................................................................................................................................................................... 51
Latente belastingvordering.......................................................................................................................................................................................................... 53
Management Override en control............................................................................................................................................................................................... 54
Continuiteit.................................................................................................................................................................................................................................. 56
Fraude.......................................................................................................................................................................................................................................... 59
1
,2
,Standaard IT
Risico's voortkomen gebruik IT >> Transactiestroom: OMZET PARTICULIEREN
Nummer Tentamen Vraag Onderwerp
Nr. 1 27-6-2023 4 RISICO'S IT = OMZET PARTICULIEREN = ST. 315!!
1 Het bedrijfsmodel van FS is in belangrijke mate afhankelijk van de betrouwbare en continue werking van de verschillende IT- Afhankelijk - Betrouwebare en continue werking van
componenten (de mobiele app, Drive en FOCUS). verschillende IT-componenten
2 Gebruik van IT-afhankelijke interne beheersingsmaatregelen IT-afhankelijke interne beheersingsmaatregelen
3 De geïdentificeerde inherente risico’s inzake de transactiestroom ‘Omzet particulieren’ relateren aan de daarvoor relevante IB- Geïdentificeerde inherente risico’s + relevante IB
maatregelen maatregelen
4 Voor de IT-gerelateerde IB-maatregelen moeten zij vervolgens de ‘risico’s die voortkomen uit het gebruik van IT’ onderkennen:
A De vatbaarheid van deze interne beheersingsmaatregelen voor ineffectieve opzet of werking
B De vatbaarheid voor risico’s voor de integriteit van informatie (dat wil zeggen de volledigheid, nauwkeurigheid en geldigheid van
transacties en andere informatie) in het informatiesysteem van de entiteit, als gevolg van ineffectieve opzet of werking van
interne beheersingsmaatregelen in de IT-processen van de entiteit.
Dit zijn volgens Standaard 315: de processen van de entiteit om de toegang tot de IT-omgeving, programmawijzigingen of
wijzigingen in de IT-omgeving en IT-activiteiten te beheren (met andere woorden de GITC).
5 De accountant van Dynamisch heeft ten aanzien van de transactiestroom ‘Omzet particulieren’ inherente risico’s op een afwijking Inherente risico’s op een afwijking van materieel
van materieel belang geïdentificeerd voor de beweringen voorkomen, nauwkeurigheid en afgrenzing. belang geïdentificeerd
6 Deze risico’s worden mede beïnvloed door een eventuele niet-effectieve opzet of werking van IT-gerelateerde IB-maatregelen Eventuele niet-effectieve opzet of werking van:
en/of door het niet integer zijn van de betreffende transactiedata 1). IT-gerelateerde IB-maatregelen
2). Niet integer zijn van de betreffende
7 Dit zijn de risico’s die voortkomen uit het gebruik van IT.
8 Vaststellen dat de IT-gerelateerde IB-maatregelen, met inbegrip van de GITC, in opzet, implementatie en werking effectief zijn
om de volgende doelstellingen te bereiken (het niet bereiken van deze doelstellingen zijn de risico’s die voortkomen uit het
gebruik van IT): 315.A229 + A166 + A6 +A150 +A173 +A180
3
, 1 Waarborgen betrouwbare en ongestoorde werking App.. = continuiteit, beveiliging en onderhoud
2 Waarborgen intregrieteit van de registratie in APP
3 Waarborgen integriteit van accountgegevens in APP
4 Waarborgen betrouwbare werking intercase tusse APP, APP en APP
5 Waarborgen betrouwbare totstandkoming van uitzonderingsrapportages
6 Waarborgen integriteit van prijstabel in APP
7 Waarborgen integriteit van ritgegevens in APP
8 Waarborgen dat lage tarief terecht wordt toegepast
9 Waarborgen dat alle gereden km in rekening wordt gebracht + geincasseerd
10 Waarborgen in rekening gebrachte bedragen corret als omzet worden gebracht + geincasseerd
11 Waarborgen volledigheid en nauwkeurigheid van gegevens account aanmaken
12 Betrouwbare registratie GPS - gegevens
13 Mutaties in APP geinitieerd = waarborgen dat toegang tot APP beperkt is
14 Tijdige en volledige melding van storingen in APP
15 Totaalcontrole APP op facturering van alle door de acconthouders gereden KM
16 Totaalcontroles interface tussen APP, APP en APP
17 Tijdige blokkade gebruiker die niet betaalt
18 Niet eerder deblokkeren van gebruiker na ontvangst van achterstallige betaling
A De GITC die relevant zijn om het risico te beperken dat deze doelstellingen worden behaald, zijn:
1 - (Logische) toegangsbeveiliging
2 - Change management Change management houdt zich bezig met het systematisch veranderen van organisaties en individuen binnen organisaties. Binnen change
management onderscheiden we in ieder geval drie aspecten: aanpassen aan verandering, het beheersen/controleren van verandering en het uitvoeren
van verandering.
3 - Databeveiliging
4 - Taakplanning en -monitoring
4
,IT Risico’s
5
, Er is sprake van een complexe IT-omgeving waar niet met een financiële applicatie wordt gewerkt, maar in plaats daarvan met een centrale database en verschillende reporting scripts.
Integriteit data De beheersing van de integriteit van de data alsmede de integriteit van de scripts is een belangrijk aandachtspunt in deze casus.
De kandidaat moet bij de uitwerking het onderkende risico alsmede de uit te voeren werkzaamheden uitwerken. In onderstaande uitwerking op hoofdlijnen zijn de risico’s soms impliciet benoemd.
Primaire registratie:
Integriteit data 1) De database bevat niet alleen financiële transacties, maar alle activiteiten worden geregistreerd.
Dit betekent waarschijnlijk dat naast de afdeling financiën ook personen van andere afdelingen toegang hebben tot Daedalus.
FS, autorisaties Dit betekent dat de accountant de inrichting van de autorisatie zal beoordelen, en vaststelt dat rechten voor het aanbrengen van wijzigingen die
een financieel effect hebben zijn voorbehouden aan daartoe bevoegde functionarissen, alsmede dat deze gecontroleerd tot stand komen.
2) Data integriteit: De geregistreerde activiteiten moeten zijn voorzien van de juiste kenmerken, omdat activiteiten anders niet worden meegenomen in de financiële rapportages.
Autorisaties De accountant dient aandacht te besteden aan autorisaties rondom het beheer en de autorisatie van kenmerken (het zijn immers voor de financiële informatieverwerking belangrijke stamgegevens),
aan invoercontroles bij het toekennen van deze kenmerken en aan autorisaties voor eventueel achteraf wijzigen van aan transacties toegekende kenmerken.
3) De accountant besteedt in het bijzonder aandacht aan de continuiteitsmaatregelen die rond de database zijn getroffen, waaronder back-up en recovery van de database.
Back-up
Recovery
Beveiliging data
Hackers
Scope ISAE
Diepgang onderzoek ISAE
Zelf ontwikkeling +
beheer scipts bij de
externe onderzoeken
6
,7
,Bevindingen
OORZAAK VAN DE FOUT ONDERZOEKEN + VASTSTELLEN OF DEZE FOUT EFFECT KAN HEBBEN OP BETROUWBAARHEID FIN
LAAT ONTDEKKEN = KWALITEIT VAN DE INTERNE BEHEERSING, KWALITEIT IB OVERWEGEN = MOGELIJK EFFECT OP
UITVOERINGSMATERIALITEIT EN HEROVERWEGING TOT DE CONTROLEAANPAK
De accountant zal onderzoeken welke aanpassingen aan Daedalus zijn gemaakt in deze periode, en of sprake was van
aanpassingen naast deze fouten.
De accountant stelt vast dat deze correcties daadwerkelijk juist zijn verwerkt aan de hand van brondocumenten en
correctieboekingen. De mededeling van de medewerkers alleen volstaat niet
De accountant dient te onderzoeken in hoeverre de geconstateerde bevindingen van invloed hadden moeten zijn op de ISAE 3402
rapportage van de externe partij en te concluderen in hoeverre dat van invloed kan zijn op bestaande controlewerkzaamheden.
Aandachtspunten bij de r isico-inschatting van dit onderdeel zijn de boeteclausules in leverancierscontracten (volledigheid schulden) , het hoge
aantal retouren (40%) en d e volledigheid (toereikendheid) van de voorziening hiervoor (volledigheid voorziening/realisatie omzet), de
regelmatige afprijzing van artikelen (volledigheid omzet) en de korting van 50% in de eerste 2 weken van januari (waardering voorraad).
8
,Omzet 1
NR 1
Tentamen VJ 23 - 27-6-2023
Vraag 5
Korte omschrijving Casus Aanpak controle Accountant Transactiestroom: 'Omzet Particulieren'
Regelgeving 330 en 500-serie
Kernpunten: De te verantwoorden omzet uit hoofde van scooterverhuur aan particulieren is met name afhankelijk
1). Afhankelijk betrouwbare en ongestoorde van de betrouwbare en ongestoorde werking van de app en Drive. De accountant van Dynamisch heeft
werking van APP/IT ten aanzien van de transactiestroom ‘Omzet particulieren’ inherente risico’s op een afwijking van
2). TAV transactiestoom 'Omzet' inherente materieel belang geïdentificeerd voor de beweringen voorkomen (significant), nauwkeurigheid en
risico's op een afwijking van mat belang afgrenzing. De interne beheersingsmaatregelen die relevant zijn voor deze risico’s zijn in belangrijke
geidentificeerd voor beweringen; voorkomen mate IT-gerelateerd (zie ook vraag 4). De accountant zal bij de controlewerkzaamheden willen steunen
(S), nauwkeurigheid en afgrenzing. op deze IB-maatregelen en aanvullend gegevensgerichte werkzaamheden verrichten.
3). IMB relevant zijn voor deze risico's zijn in
belangrijke mate IT-gerelateerd.
4). ACC zal bij ControleWerkzaamheden,
willen steunen op IB-maatregelen +
aanvullende GG WZ verrchten
9
, Systeemgerichte werkzaamheden - Evalueren van de opzet van de relevante IB-maatregelen, met inbegrip van de GITC, en vaststellen dat
1). Evaluatie Opzet Relevante IB- de maatregelen effectief zijn geïmplementeerd
maatregelen, in begrip GITC, vaststellen - Testen van de effectieve werking van de relevante IB-maatregelen (reperformance, waar mogelijk in de
maatregelen effectief zijn geimplemeteerd. vorm van een ‘test of one’ als sprake is van effectieve GITC)
2). Testen effectieve werking in de vorm van - Evalueren van de bevindingen en indien noodzakelijk aanpassen van de geplande respons (andere IB-
'test of one' - sprake van effectieve GITC maatregelen testen en/of uitbreiding van geplande gegevensgerichte werkzaamheden)
3). Evalueren bevindingen + indien
noodzakelijk aanpassen geplande respons,
andere IBM testen en/of uitbreiding van
geplande GG WZH
10
