Same
nvatting: IT-based Audit
Hoofdstukken: 2, 3, 4, 5, 6 en 7
(Alle hoofdstukken van IT ten behoeve van het tentamen Auditing Beginselen
2017 van
Nyenrode Business Universiteit)
Aantal pagina’s: 26
1
,Inhoud
Hoofdstuk 2 Invloed van IT op het controleproces.................................................................................3
§2.1 Overzicht van het controleproces...............................................................................................3
§2.2 Hoofdlijnen en IT-aspecten per fase............................................................................................4
Hoofdstuk 3 Inzicht in de IT-omgeving..................................................................................................10
§3.1 Analyse van de bedrijfsomgeving..............................................................................................10
§3.2 Typen IT-omgevingen................................................................................................................11
§3.3 Gebruik van een IT-map............................................................................................................12
§3.4 Business Control Framework (BCF)...........................................................................................12
§3.5 Functiescheidingen...................................................................................................................12
§3.6 IT general controls....................................................................................................................13
§3.7 Application controls..................................................................................................................16
§3.8 User controls.............................................................................................................................17
§3.9 Samenhang tussen de vier BCF-segmenten..............................................................................18
Hoofdstuk 4 Risicoanalyse....................................................................................................................18
§4.1 Identificeren en inschatten van risico’s.....................................................................................18
§4.2 Verschillende soorten risico’s....................................................................................................19
§4.3 Risicoanalyse met behulp van het Business Control Framework (BCF).....................................19
§4.4 Nieuwe ontwikkelingen, nieuwe risico’s...................................................................................21
Hoofdstuk 5 Controleaanpak................................................................................................................22
§5.1 Keuze van de controleaanpak...................................................................................................22
§5.2 Uitbreiden van de IT-map.........................................................................................................22
§5.3 Gebruik van CAATT’s.................................................................................................................22
§5.4 Documentatie...........................................................................................................................24
Hoofdstuk 6 Onderzoek van IT-controls................................................................................................24
§6.1 Onderzoek van application controls..........................................................................................24
§6.2 Onderzoek van de IT general controls.......................................................................................26
§6.3 Evaluatie van de IT-tests............................................................................................................28
§6.5 Testen van managementrapportages........................................................................................28
Hoofdstuk 7 Datamining en process mining.........................................................................................28
§7.1 Datamining...............................................................................................................................28
§7.2 De zes successtappen bij datamining........................................................................................29
§7.3 Analyse van subsets en frequentietests....................................................................................30
§7.4 Auditfile van de Belastingdienst................................................................................................31
2
, §7.5 Process mining..........................................................................................................................31
Bijlagen.................................................................................................................................................33
Bijlage 1 – Relevante IT-elementen per COS.....................................................................................33
Bijlage 2 – Mogelijke toepassingen van datamining in de controle...................................................35
Hoofdstuk 2 Invloed van IT op het controleproces
§2.1 Overzicht van het controleproces
IT en jaarrekeningcontrole worden vaak gezien als twee aparte zaken, maar in
de praktijk integreren ze vaak samen. Onderstaande figuur laat zien in welke
fasen de COS het controleproces verdelen.
Tussen haakjes staan de nummers van de relevante standaarden per fase.
De fasen 3 en 4 vormen de kern van het controleproces, in deze fasen
manifesteert zich de risicogerichte controlefilosofie van de COS, waarbij de
controle wordt opgeknipt in twee onderdelen:
1. Risico-inschatting (COS 315) – eerst wordt er een inschatting gemaakt
met betrekking tot materiële afwijkingen wegens fraude of fouten in de
jaarrekening. Deze risicoanalyse omvat een onderzoek naar opzet en
bestaan van de interne beheersingsmaatregelen die relevant zijn voor de
jaarrekening.
2. Respons op de ingeschatte materiële risico’s (COS 330) – Als de
materiële jaarrekeningrisico’s zijn ingeschat, wordt nagegaan hoe de
risico’s voldoende gemitigeerd kunnen worden met gegevensgerichte
controles en zo nodig systeemtests. Die keuze bepaalt de controleaanpak.
Systeemtests (test of controls) zijn uitsluitend nodig bij een systeemgerichte
controleaanpak, dus als je bij de jaarrekeningcontrole gebruik wilt maken van
interne beheersingsmaatregelen. Je hoeft dan minder gegevensgerichte
controles (substantive tests) uit te voeren, maar moet wel bewijs hebben dat
die beheersingsmaatregelen inderdaad effectief werken. Dat bewijs verzamel je
met systeemtests. Indien je ervoor kiest om de gehele jaarrekening
gegevensgericht te controleren, zijn geen systeemtests nodig.
3
, Je moet echter wel altijd opzet en bestaan van de interne
beheersingsmaatregelen onderzoeken, want
COS 315 stelt dat onderzoek verplicht bij elke jaarrekeningcontrole, ongeacht
de gekozen controleaanpak.
Iteratief proces
In de praktijk zijn de fasen minder scherp af te bakenen dan in de figuur, omdat
er tussentijds bevindingen geëvalueerd kunnen worden en zo nodig de
werkzaamheden daaraan aanpast. De jaarrekeningcontrole is een iteratief
proces, je moet je telkens afvragen of de aanvankelijke risico-inschatting nog
wel juist is.
Interimcontrole en balanscontrole
De jaarrekeningcontrole wordt meestal uitgevoerd in twee perioden: een
interimcontrole in het najaar en een balanscontrole in het voorjaar van het jaar
daarop. De interimcontrole is met name gericht op opzet en bestaan van de
relevante interne beheersingsmaatregelen. Bij een systemgerichte
controleaanpak wordt vaak ook gelijk de werking van die maatregelen getest.
Hoewel dit in theorie twee aparte fasen zijn, namelijk het onderzoek van opzet
en bestaan (COS 315) en het toetsen van de werking (COS 330), staan de
controlestandaarden toe om deze fasen uit efficiencyoverwegingen met elkaar te
combineren (330.A21).
In de praktijk wordt vaak al op kantoor een groot deel van de controleaanpak
uitgewerkt voordat de interimcontrole start. Dat kan echter riskant zijn,
aangezien geen rekening wordt gehouden met eventuele nieuwe ontwikkelingen
bij de klant. Bovendien zeggen de COS dat je de controleaanpak pas kunt
bepalen tijdens of na de interimcontrole, als je de opzet en bestaan van de
interne beheersingsmaatregelen hebt onderzocht.
Het is gebruikelijk om na de interimcontrole een management letter uit te
brengen. Dit is een brief aan het management waarin de accountant beschrijft
welke tekortkomingen in de interne beheersing zijn geconstateerd.
De balanscontrole bestaat voornamelijk uit gegevensgerichte
werkzaamheden (controles van activastaten, debiteuren en voorzieningen) en
eindigt normaliter in een controleverklaring. Deze verklaring is bedoeld voor het
grote publiek zoals aandeelhouders, bankiers en werknemers en wordt samen
met de jaarrekening gedeponeerd bij het handelsregister. Bij wettelijke
jaarrekeningcontroles moet de accountant ook het verslag ex artikel 393 lid 4
BW2 uitbrengen. Dit accountantsverslag is uitsluitend bedoeld voor de Raad
van Commissarissen en het bestuur en wordt niet openbaar gemaakt.
De belangrijkste verschillen tussen de interimcontrole en balanscontrole zijn
hieronder samengevat:
Fase Accent van de werkzaamheden Rapportages
Interimcontr Onderzoek interne beheersing (opzet, Management letter
ole bestaan en werking)
Balanscontro Gegevensgerichte controles en Controleverklaring en
le afrondende werkzaamheden accountantsverslag
§2.2 Hoofdlijnen en IT-aspecten per fase
Cliënt- en opdrachtevaluatie
4
nvatting: IT-based Audit
Hoofdstukken: 2, 3, 4, 5, 6 en 7
(Alle hoofdstukken van IT ten behoeve van het tentamen Auditing Beginselen
2017 van
Nyenrode Business Universiteit)
Aantal pagina’s: 26
1
,Inhoud
Hoofdstuk 2 Invloed van IT op het controleproces.................................................................................3
§2.1 Overzicht van het controleproces...............................................................................................3
§2.2 Hoofdlijnen en IT-aspecten per fase............................................................................................4
Hoofdstuk 3 Inzicht in de IT-omgeving..................................................................................................10
§3.1 Analyse van de bedrijfsomgeving..............................................................................................10
§3.2 Typen IT-omgevingen................................................................................................................11
§3.3 Gebruik van een IT-map............................................................................................................12
§3.4 Business Control Framework (BCF)...........................................................................................12
§3.5 Functiescheidingen...................................................................................................................12
§3.6 IT general controls....................................................................................................................13
§3.7 Application controls..................................................................................................................16
§3.8 User controls.............................................................................................................................17
§3.9 Samenhang tussen de vier BCF-segmenten..............................................................................18
Hoofdstuk 4 Risicoanalyse....................................................................................................................18
§4.1 Identificeren en inschatten van risico’s.....................................................................................18
§4.2 Verschillende soorten risico’s....................................................................................................19
§4.3 Risicoanalyse met behulp van het Business Control Framework (BCF).....................................19
§4.4 Nieuwe ontwikkelingen, nieuwe risico’s...................................................................................21
Hoofdstuk 5 Controleaanpak................................................................................................................22
§5.1 Keuze van de controleaanpak...................................................................................................22
§5.2 Uitbreiden van de IT-map.........................................................................................................22
§5.3 Gebruik van CAATT’s.................................................................................................................22
§5.4 Documentatie...........................................................................................................................24
Hoofdstuk 6 Onderzoek van IT-controls................................................................................................24
§6.1 Onderzoek van application controls..........................................................................................24
§6.2 Onderzoek van de IT general controls.......................................................................................26
§6.3 Evaluatie van de IT-tests............................................................................................................28
§6.5 Testen van managementrapportages........................................................................................28
Hoofdstuk 7 Datamining en process mining.........................................................................................28
§7.1 Datamining...............................................................................................................................28
§7.2 De zes successtappen bij datamining........................................................................................29
§7.3 Analyse van subsets en frequentietests....................................................................................30
§7.4 Auditfile van de Belastingdienst................................................................................................31
2
, §7.5 Process mining..........................................................................................................................31
Bijlagen.................................................................................................................................................33
Bijlage 1 – Relevante IT-elementen per COS.....................................................................................33
Bijlage 2 – Mogelijke toepassingen van datamining in de controle...................................................35
Hoofdstuk 2 Invloed van IT op het controleproces
§2.1 Overzicht van het controleproces
IT en jaarrekeningcontrole worden vaak gezien als twee aparte zaken, maar in
de praktijk integreren ze vaak samen. Onderstaande figuur laat zien in welke
fasen de COS het controleproces verdelen.
Tussen haakjes staan de nummers van de relevante standaarden per fase.
De fasen 3 en 4 vormen de kern van het controleproces, in deze fasen
manifesteert zich de risicogerichte controlefilosofie van de COS, waarbij de
controle wordt opgeknipt in twee onderdelen:
1. Risico-inschatting (COS 315) – eerst wordt er een inschatting gemaakt
met betrekking tot materiële afwijkingen wegens fraude of fouten in de
jaarrekening. Deze risicoanalyse omvat een onderzoek naar opzet en
bestaan van de interne beheersingsmaatregelen die relevant zijn voor de
jaarrekening.
2. Respons op de ingeschatte materiële risico’s (COS 330) – Als de
materiële jaarrekeningrisico’s zijn ingeschat, wordt nagegaan hoe de
risico’s voldoende gemitigeerd kunnen worden met gegevensgerichte
controles en zo nodig systeemtests. Die keuze bepaalt de controleaanpak.
Systeemtests (test of controls) zijn uitsluitend nodig bij een systeemgerichte
controleaanpak, dus als je bij de jaarrekeningcontrole gebruik wilt maken van
interne beheersingsmaatregelen. Je hoeft dan minder gegevensgerichte
controles (substantive tests) uit te voeren, maar moet wel bewijs hebben dat
die beheersingsmaatregelen inderdaad effectief werken. Dat bewijs verzamel je
met systeemtests. Indien je ervoor kiest om de gehele jaarrekening
gegevensgericht te controleren, zijn geen systeemtests nodig.
3
, Je moet echter wel altijd opzet en bestaan van de interne
beheersingsmaatregelen onderzoeken, want
COS 315 stelt dat onderzoek verplicht bij elke jaarrekeningcontrole, ongeacht
de gekozen controleaanpak.
Iteratief proces
In de praktijk zijn de fasen minder scherp af te bakenen dan in de figuur, omdat
er tussentijds bevindingen geëvalueerd kunnen worden en zo nodig de
werkzaamheden daaraan aanpast. De jaarrekeningcontrole is een iteratief
proces, je moet je telkens afvragen of de aanvankelijke risico-inschatting nog
wel juist is.
Interimcontrole en balanscontrole
De jaarrekeningcontrole wordt meestal uitgevoerd in twee perioden: een
interimcontrole in het najaar en een balanscontrole in het voorjaar van het jaar
daarop. De interimcontrole is met name gericht op opzet en bestaan van de
relevante interne beheersingsmaatregelen. Bij een systemgerichte
controleaanpak wordt vaak ook gelijk de werking van die maatregelen getest.
Hoewel dit in theorie twee aparte fasen zijn, namelijk het onderzoek van opzet
en bestaan (COS 315) en het toetsen van de werking (COS 330), staan de
controlestandaarden toe om deze fasen uit efficiencyoverwegingen met elkaar te
combineren (330.A21).
In de praktijk wordt vaak al op kantoor een groot deel van de controleaanpak
uitgewerkt voordat de interimcontrole start. Dat kan echter riskant zijn,
aangezien geen rekening wordt gehouden met eventuele nieuwe ontwikkelingen
bij de klant. Bovendien zeggen de COS dat je de controleaanpak pas kunt
bepalen tijdens of na de interimcontrole, als je de opzet en bestaan van de
interne beheersingsmaatregelen hebt onderzocht.
Het is gebruikelijk om na de interimcontrole een management letter uit te
brengen. Dit is een brief aan het management waarin de accountant beschrijft
welke tekortkomingen in de interne beheersing zijn geconstateerd.
De balanscontrole bestaat voornamelijk uit gegevensgerichte
werkzaamheden (controles van activastaten, debiteuren en voorzieningen) en
eindigt normaliter in een controleverklaring. Deze verklaring is bedoeld voor het
grote publiek zoals aandeelhouders, bankiers en werknemers en wordt samen
met de jaarrekening gedeponeerd bij het handelsregister. Bij wettelijke
jaarrekeningcontroles moet de accountant ook het verslag ex artikel 393 lid 4
BW2 uitbrengen. Dit accountantsverslag is uitsluitend bedoeld voor de Raad
van Commissarissen en het bestuur en wordt niet openbaar gemaakt.
De belangrijkste verschillen tussen de interimcontrole en balanscontrole zijn
hieronder samengevat:
Fase Accent van de werkzaamheden Rapportages
Interimcontr Onderzoek interne beheersing (opzet, Management letter
ole bestaan en werking)
Balanscontro Gegevensgerichte controles en Controleverklaring en
le afrondende werkzaamheden accountantsverslag
§2.2 Hoofdlijnen en IT-aspecten per fase
Cliënt- en opdrachtevaluatie
4
