lOMoARcPSD|2697772
Contents
HANDREIKING IT - Jaarrekening controle in het mkb: IT audit geïntegreerd in de controle-aanpak.....2
FASE 1 – VOORBEREIDING.................................................................................................................3
FASE 2 – RISICO-ANALYSE EN PLANNING...........................................................................................5
FASE 3 – INTERIMCONTROLE...........................................................................................................12
FASE 4 - EINDERJAARSCONTROLE....................................................................................................15
FASE 5 – AFRONDING......................................................................................................................17
College 1 - Relevantie van de controle en professionele standaarden................................................18
Relevantie en ontwikkeling van het beroep en verscheidenheid soorten accountants...................18
Structuur regelgeving: WRA en NV COS..........................................................................................22
Fundamentele beginselen, ethiek en onafhankelijkheid van de accountant...................................25
Onafhankelijkheid van de accountant.............................................................................................27
Opdrachtenkader............................................................................................................................29
Doelstellingen van de jaarrekeningcontrole....................................................................................32
Beoordelingsopdracht en samenstellingsopdracht.........................................................................35
College 2 - Belanghebbenden, verwachtingskloof en materialiteit.....................................................38
Materialiteit.....................................................................................................................................38
Materialiteit in de controle..............................................................................................................40
Het aanvaarden en continueren van controleopdrachten..............................................................40
College 3 - Bedrijfsverkenning.............................................................................................................41
Fraude en witwassen.......................................................................................................................41
College 4 - Risicoanalyse en controleaanpak t.a.v. het inkoopproces, voorraden en crediteuren......43
Risicoanalyse [COS 300]...................................................................................................................43
Controle-informatie [COS 500]........................................................................................................44
Opstellen controleprogramma........................................................................................................45
IT......................................................................................................................................................46
Gedownload door Dit is niet echt een samenvatting ()
, lOMoARcPSD|2697772
HANDREIKING IT - Jaarrekening controle in het mkb: IT audit
geïntegreerd in de controle-aanpak
INLEIDING - In een risicogerichte controleaanpak analyseert de accountant het risico dat de jaarrekening
afwijkingen van materieel belang bevat. Hij stemt daar zijn aanpak op af, door systeem- en gegevensgerichte
werkzaamheden te plannen. Dit rapport voorziet in de praktijkbehoefte aan een heldere beschrijving hoe een
geïntegreerde aanpak, waarin IT-audit en financial audit hand in hand gaan, er uit kan zien.
De opbouw van dit rapport sluit aan op de fasen van het controleproces:
1. Voorbereiding;
2. Risicoanalyse en planning;
3. Interimcontrole;
4. Eindejaarscontrole;
5. Afronding.
Ieder hoofdstuk kent daarbij een vaste indeling:
- Inleiding (samenhang met andere hoofdstukken en doelstelling)
- Inhoudelijke uitwerking
- Aanpak documentatie
- Aanpak communicatie
FASE 1 – VOORBEREIDING
Onderdeel van de voorbereidingsfase is een algemene beoordeling van de IT-omgeving van de klant. Het
resultaat hiervan draagt bij aan het vereiste begrip van de klantomgeving en vormt input voor de beoordeling
van de controleerbaarheid ervan. Indien de IT-kennis van het team nog niet voldoende is om de beoordeling te
kunnen uitvoeren, valt interne of externe inhuur te overwegen.
FASE 2 – RISICO-ANALYSE EN PLANNING
In de planningsfase wordt allereerst de omgeving van de klant nader beoordeeld op een steeds gedetailleerder
niveau. Deze beoordeling richt zich onder meer op aanwezige IT-componenten, beheersing van IT en de relatie
met de jaarrekening. Vervolgens worden op de verschillende niveau’s risico’s gedefinieerd. Voor het definiëren
van de audit respons op deze risico’s wordt een balans gezocht tussen manual- en application controls.
Vervolgens wordt vanuit de geselecteerde application controls de diepgang van het testen van de
randvoorwaardelijke General IT Controls bepaald.
FASE 3 – UITVOERING
Het is raadzaam de uitvoering te starten met testen van de General IT Controls zodat bij eventuele
ontoereikende controls direct de controlaaanpak kan worden herzien. Vervolgens worden de geselecteerde
application controls getest. Aanvullend op deze controlewerkzaamheden worden overige
controlewerkzaamheden uitgevoerd die noodzakelijk zijn voor het verkrijgen van voldoende zekerheid.
Aandachtspunt is het inzetten van data-analyse om de gegevensgerichte controlewerkzaamheden efficiënt en
effectief te kunnen uitvoeren.
FASE 4 – AFRONDING
De afrondingsfase vormt het sluitstuk van de uitgevoerde werkzaamheden en bevat minimaal een beoordeling
van de toereikendheid van de uitgevoerde werkzaamheden en de conclusies die daaruit getrokken zijn. In deze
Gedownload door Dit is niet echt een samenvatting ()
, lOMoARcPSD|2697772
fase wordt de relatie vanuit de conclusies gelegd naar de verantwoording. Tevens wordt verslag gedaan van de
relevante bevindingen aan de entiteit.
FASE 1 – VOORBEREIDING
In de voorbereidingsfase wordt de basis gelegd voor de uitvoering van de audit. Stappen:
- Inventarisatie klant en IT-omgeving;
- Is de klant controleerbaar?
- Voldoende (iT) kennis in het team?
- Inhuur nodig / mogelijk?
- Opdracht accepteren of weigeren.
IT-OMGEVING OP HOOFDLIJNEN IN KAART BRENGEN
De IT-componenten worden op hoofdlijnen in kaart gebracht ten behoeve van de opdrachtaanvaarding en de
organisatie van de uitvoering van de opdracht.
De IT-componenten:
- Apparatuur: Dit is de hardware. Hardware functioneert niet zonder systeemprogrammatuur.
- Systeemprogrammatuur: Systeemprogrammatuur zorgt er onder andere voor dat allerlei controles
worden uitgevoerd bij het opstarten van de hardware. De systeemsoftware is in strikte zin van het woord
wel ‘software’, maar is zo sterk met de apparatuur verbonden dat ze vaak als één geheel worden
behandeld.
- Toepassingsprogrammatuur: Een computerprogramma dat bedoeld is voor eindgebruikers.
Toepassingsprogrammatuur wordt ook wel aangeduid met de term ‘software’ of ‘applicaties’.
- Organisatie: Betreft de procedures die zijn opgesteld rondom het IT beheer.
- Beveiliging
- Gegevensopslag
- Datacommunicatie: Een ‘computersysteem’ bestaat vaak uit enkele (soms honderden/duizenden)
onderling verbonden apparaten, die onderling met elkaar kunnen ‘praten’. Dat praten wordt mogelijk
gemaakt door netwerken (= de draden die computers verbinden) en datacommunicatie (= de uitwisseling
van gegevens over die draden).
Gedownload door Dit is niet echt een samenvatting ()
, lOMoARcPSD|2697772
Voorbeelden van elementen van deze inventarisatie zijn:
- Welke bedrijfsprocessen zijn geautomatiseerd?
- Welke applicaties ondersteunen de bedrijfsprocessen, voor zover relevant voor de controleopdracht?
- Is er sprake van standaard oplossingen, maatwerk of een combinatie hiervan?
- Is er sprake van een webwinkel?
- Is de organisatie in hoge mate afhankelijk van de continuïteit van de IT-omgeving?
IT-aspecten per relevante controlestandaard (NV COS) in de voorbereidingsfase
Niet alle onderwerpen die bij de voorbereiding van de opdracht aan de orde komen hebben een raakvlak met
IT. Onderstaand betreffen NV-COS Richtlijnen t.a.v. de voorbereidingsfase waarbij IT aspecten aan de orde zijn.
210 – Opdrachtvoorwaarden voor controles
- Omschrijving: Heeft ten doel vereisten vast te stellen en leidraden te geven voor: a) de voorwaarden die
met opdrachtgevers worden overeen-gekomen aangaande de opdracht; b) de reactie van de accountant
op een verzoek van de opdrachtgever tot een zodanige wijziging van de opdracht dat een lager niveau van
zekerheid wordt verschaft.
- IT aspect: De accountant vormt zich in deze fase een algemeen beeld van de uitvoerbaarheid van de
opdracht; is de klant controleerbaar? Als de IT-omgeving bijvoorbeeld zeer complex is en een grote rol
speelt bij de uitvoering van de controle kan dat de uitvoering bemoeilijken. In uitzonderlijke gevallen kan
de omvang en complexiteit van de IT-omgeving, in combinatie met het gebrek aan (eigen) deskundigheid,
reden zijn om de opdracht niet te aanvaarden.
220 – Kwaliteitsbeheersing voor controles
- Omschrijving: Deze Controlestandaard heeft ten doel vereisten vast te stellen en leidraden te geven
omtrent de specifieke verantwoordelijkheden van het personeel van accountantspraktijken met
betrekking tot de kwaliteitsbeheersingsprocedures ten aanzien van controle van historische financiële
informatie, waaronder de controle van jaarrekeningen. Deze Standaard moet worden gelezen in
samenhang met de Verordening Gedrags- en Beroepsregels Accountants (VGBA).
- IT aspect: Er is voldoende inzicht nodig van relevante IT onderdelen om vast te stellen of: IT kennis
voldoende aanwezig is binnen de accountantsorganisatie om de opdracht uit te voeren; de
Gedownload door Dit is niet echt een samenvatting ()
, lOMoARcPSD|2697772
beschikbaarheid van medewerkers met de specifieke IT kennis geen belemmering vormt voor de planning
van de opdracht; er behoefte aan specifieke IT consultancy is; eventueel inzet van externe deskundigheid
van toepassing is.
240 – De verantwoordelijkheid van de accountant m.b.t. fraude
- Omschrijving: Deze Controlestandaard heeft ten doel algemene uitgangspunten en noodzakelijke
werkzaamheden vast te stellen en leidraden te geven omtrent de verantwoordelijkheid van de accountant
voor het identificeren van het risico van fraude in het kader van een opdracht tot controle van financiële
overzichten en uit te werken hoe de vereisten en leidraden in Standaard 315, “Risico’s op een afwijking
van materieel belang identificeren en inschatten door inzicht te verwerven in de entiteit en haar
omgeving” en Standaard 330, “Inspelen door de accountant op ingeschatte risico’s” moeten te worden
toegepast met betrekking tot het risico van een afwijking van materieel belang als gevolg van fraude. De
vereisten en leidraden in deze Standaard dienen te worden geïntegreerd in het totale controleproces.
- IT aspect: Hierbij is rekening te houden met specifieke IT-omgevingen waarbij zich fraude risico’s kunnen
voordoen. Het kan ook gaan om fraude door derden. Denk hierbij aan Webwinkels en betalingen met
credit cards, iDEAL of Paypal waarbij nieuwe vormen van “IT fraude” mogelijk zijn.
300 – De planning van de controle
- Omschrijving: Deze Controlestandaard heeft ten doel vereisten vast te stellen en leidraden te geven voor
de overwegingen en de werkzaamheden die gelden voor de planning van de controle van financiële
overzichten.
- IT-aspect: Er is voldoende inzicht nodig van relevante IT onderdelen om vast te stellen of: de IT kennis
voldoende aanwezig is binnen de accountantsorganisatie om de opdracht uit te voeren; de
beschikbaarheid van medewerkers met de specifieke IT kennis geen belemmering vormt voor de planning
van de opdracht; er behoefte aan specifieke IT consultancy is; eventueel inzet van externe deskundigheid
van toepassing is.
Communicatie
Uiteindelijk vindt een gesprek met de opdrachtgever plaats om een eerste indruk te krijgen van de mate van
automatisering. Naar aanleiding van dit gesprek dienen eventuele IT- gerelateerde opdrachtvoorwaarden te
worden overeengekomen en vastgelegd in de opdrachtbevestiging.
FASE 2 – RISICO-ANALYSE EN PLANNING
Gedownload door Dit is niet echt een samenvatting ()
, lOMoARcPSD|2697772
De risicoanalyse is gericht op het inschatten van risico’s dat de jaarrekening een afwijking van materieel belang
bevat als gevolg van fouten of fraude. De risicoanalyse vormt de basis voor de uit te voeren werkzaamheden.
De risicoanalyse start bij de business risks (potentiële risico’s) om de volledigheid van risico’s na te streven.
Deze risico’s hoeven echter niet direct invloed te hebben op de jaarrekening. De accountant zal alleen de
(inherente) risico’s die betrekking hebben op de jaarrekening verder evalueren. Door de huishouding zijn
maatregelen getroffen om een of meerdere van deze inherente risico’s te elimineren. De accountant zal bij zijn
controleaanpak willen steunen op de effectieve werking van deze maatregelen. In de controle richt de
accountant zich vervolgens op het afdekken van restrisico’s die niet door de beheersingsmaatregelen worden
afgedekt. Met deze aanpak zijn accountants bekend en een soortgelijke werkwijze geldt voor IT-risico’s. Dit
betekent dus dat de accountant alleen die beheersingsmaatregelen in de IT-omgeving test waar hij in zijn
controle op wil steunen. Het is niet de bedoeling te beginnen met een zeer gedetailleerde vastlegging van alle
aanwezige systemen en alle aanwezige risico’s en beheersingsmaatregelen in en rondom deze systemen.
Inzicht in de entiteit en haar omgeving, inclusief de IT-omgeving
De accountant verwerft inzicht in de interne beheersing om vast te stellen op welke wijze de onderneming
inspeelt op onderkende bedrijfsrisico’s.
Inzicht in de entiteit volgens de NV COS: Standaard 315.18 bepaalt dat de kennis over het informatiesysteem
de volgende elementen bevat:
- de transactiestromen binnen de entiteit die van belang zijn voor het financiële overzicht;
- de procedures, zowel binnen de geautomatiseerde als de handmatige systemen, waarmee de transacties
tot stand worden gebracht, vastgelegd, verwerkt en in het financiële overzicht opgenomen;
- de hiermee verband houdende digitale of handmatige vastleggingen over het tot stand komen,
vastleggen, verwerken en rapporteren van transacties, die de onderbouwing vormen voor de informatie
en specifieke posten in het financiële overzicht;
Gedownload door Dit is niet echt een samenvatting ()
, lOMoARcPSD|2697772
- de wijze waarop voor het financiële overzicht van belang zijnde gebeurtenissen en omstandigheden, niet
zijnde transactiestromen, worden vastgelegd in het informatiesysteem;
- het financiële verslaggevingsproces dat wordt gebruikt om het financiële overzicht van de entiteit op te
stellen, met inbegrip van belangrijke schattingsposten en toelichtingen;
- interne beheersingsmaatregelen met betrekking tot journaalboekingen, met inbegrip van
journaalboekingen die geen standaardjournaalboekingen zijn en worden gebruikt om eenmalige,
ongebruikelijke transacties of correcties vast te leggen.
Het P6-model: In kaart te brengen van de IT-omgeving en de bijbehorende beheersingsmaatregelen
Performance
- Soort onderneming (productie, handel etc.), producten/diensten, markt.
- Aard van de entiteit; de structuur van de onderneming, de wijze waarop de onderneming wordt bestuurd
en gefinancierd en de investeringsactiviteiten.
- Keuze en toepassing grondslagen voor financiële verslaggeving.
- Doelstellingen en strategieën en daaruit voortvloeiende bedrijfsrisico’s.
- Wijze waarop entiteit financiële prestaties meet en beoordeelt (KPI’s)
Posten: De accountant bepaalt welke posten in de jaarrekening materieel zijn.
Processen:
- De accountant verwerft inzicht in de processen door de AO/IB-beschrijving op te vragen en te beoordelen.
- Hierin dienen de volgende elementen duidelijk te zijn beschreven:
o welke transactiestromen door welke systemen lopen;
o wie welke handelingen verricht en in welk systeem dit geregistreerd of uitgevoerd wordt;
o welke relevante application controls aanwezig zijn in welk systeem.
Programma’s: Voor zover niet reeds geïdentificeerd in de voorbereiding, is het aan te bevelen de relevante
applicaties te benoemen. Het resultaat is een overzicht van de aanwezige applicaties dat aangeeft welke
processen ze ondersteunen (of welke jaarrekeningposten zij beïnvloeden) en om wat voor soort applicatie het
gaat.
Platformen: Om applicaties te kunnen laten functioneren, zijn platformen noodzakelijk. Deze stap leidt tot een
beschrijving van de aanwezige infrastructuur.
Processen van IT-beheer: Bij een hoog geautomatiseerde onderneming zullen procedures bestaan voor het
beheer van de infrastructuur en de daarop draaiende systemen. We spreken hierbij over General IT Controls.
Dit zijn de interne beheersingsmaatregelen gericht op nagenoeg alle computersystemen en bedrijfsprocessen.
Hierbij valt niet alleen te denken aan de beveiliging van hard- en software, maar ook aan de IT-organisatie
(beleid, procedures en monitoring). Het in kaart brengen van de General IT Controls is alleen noodzakelijk
indien in de controleaanpak steunt op de IT. Daarnaast is het voldoende om alleen de werking van de
relevante General IT Controls vast te stellen en is het niet nodig dit voor alle General IT Controls te doen.
BEHEERSINGSMAATREGELEN
Interne beheersingsmaatregelen: Manual controls; Computer dependent controls; Automated controls.
- Automated controls zijn opgenomen in de applicaties die de processen ondersteunen, zoals hieronder
beschreven bij ‘P4 Programma’s’.
- Computer dependent controls zijn een mix tussen manual en automated controls. Dit houdt in dat een
gebruiker voor het uitvoeren van een controle een programma gebruikt.
Application controls
Gedownload door Dit is niet echt een samenvatting ()
, lOMoARcPSD|2697772
Application controls betreffen onder meer:
Logische toegangsbeveiliging
- Is erop gericht ongeautoriseerde toegang tot applicaties en bestanden te voorkomen.
- De functiescheiding zoals beschreven in de AO/IB moet via autorisaties zijn vastgelegd in de applicaties.
Dit ligt vast in een competentietabel, ook wel autorisatiematrix genoemd.
Invoercontroles
- Volledigheidscontroles: Vaststellen dat geen gegevens ontbreken – bijvoorbeeld doorlopende nummering.
- Field check: Juiste type: numeriek , datum of alfabetisch.
- Sign check: Rekenkundige juistheid.
- Limit check: Verzekeren dat het onder de bovengrens blijft (bijv. kredietlimiet).
Verbands- en totaalcontroles
- Verbandscontroles: Vaststellen of een bepaald direct verband tussen twee of meer grootheden aanwezig
is, bijvoorbeeld omzet en btw.
- Totaalcontrole: Bij totaalcontroles wordt gebruik gemaakt van een door de toepassing opgebouwd
controletotaal.
Audit trail: Voor de controle is het belangrijk dat het systeem zo is opgezet dat de route van elke transactie of
gegeven door het gehele verwerkingsproces heen (van invoer tot en met uitvoer) te volgen is: de audit trail.
Logging: Via logging worden acties in de applicatie geregistreerd.
General IT Controls
Om de ongestoorde werking van application controls te garanderen, zijn General IT Controls noodzakelijk.
Onderzoek naar de GITC’s is alleen nodig indien er wordt gesteund op de applications controls. Tevens, enkel
de relevante GITC’s worden onderzocht.
General IT Controls: De General IT Controls zijn randvoorwaardelijke beheersingsmaatregelen om de
ongestoorde werking van application controls te waarborgen. De betrouwbaarheid valt uiteen in de volgende
componenten:
- Exclusiviteit: De mate waarin uitsluitend geautoriseerde personen of apparatuur via geautomatiseerde
procedures en beperkte bevoegdheden gebruikmaken van IT-processen.
- Integriteit: De mate waarin het object (gegevens en informatie-, technische- en processystemen) in
overeenstemming is met de afgebeelde werkelijkheid.
- Controleerbaarheid: De mate waarin het mogelijk is kennis te verkrijgen over de structurering
(documentatie) en werking van een object.
- Continuïteit: De mate waarin een object continu beschikbaar is en de gegevensverwerking ongestoord
voortgang kan hebben. Belangrijk aspect van continuïteit is tevens het voorkomen van dataverlies bij
storingen en calamiteiten.
o Recovery Point Objective (RPO): De RPO is het punt in de tijd tot waar men minimaal de
gegevens moet kunnen herstellen. Het is dus de acceptabele hoeveelheid aan dataverlies
uitgedrukt in tijd.
o Recovery Time Objective (RTO): Een RTO is de tijd waarna een proces/middel na een
onderbreking moet teruggebracht zijn op een aanvaardbaar niveau, om een onacceptabele
impact op de organisatie te vermijden.
General IT Controls – Operationeel beheer:
Gedownload door Dit is niet echt een samenvatting ()
, lOMoARcPSD|2697772
- Probleembeheer: de wijze waarop storingen, problemen en klachten ten aanzien van de
informatiesystemen worden geïdentificeerd, behandeld en opgelost.
- Wijzigingsbeheer (change management): Dit is het proces van plannen, coördineren, daadwerkelijk
aanbrengen en evalueren van de wijzigingen in de informatiesystemen en de verwerkingsomgeving.
Change management dient er toe te leiden dat: een scheiding bestaat tussen de ontwikkelomgeving en de
verwerkingsomgeving; wijzigingen in informatiesystemen alleen plaatsvinden indien aan de gestelde
kwaliteitscriteria is voldaan; wijzigingen alleen door eigenaar van de applicatie worden geautoriseerd; de
juiste versies van informatiesystemen operationeel zijn; toereikende noodprocedures aanwezig zijn.
- Logische toegangsbeveiliging: betreft het inrichten van het netwerk en de besturingssystemen op
zodanige wijze dat gebruikers uitsluitend toegang hebben tot daartoe geautoriseerde applicaties, data en
overige randapparatuur.
- Procesbeheer: Operators zijn in het algemeen verantwoordelijk voor ‘het in de lucht houden van de
automatisering’.
Relatie: Application Controls – GITC’s
- De relatie is zodanig dat General IT Controls nodig zijn om het functioneren van application controls te
ondersteunen, en beiden zijn nodig om de volledige en accurate informatieverwerking te verzekeren.
- Een application control hoef je niet op werking te testen indien je het bestaan hebt vastgesteld. Door het
bestaan vast te stellen heb je eenmaal de werking vastgesteld. Application controls blijven altijd hetzelfde
werken, tenzij je veranderingen doorvoert. Hierdoor is het - indien geen wijzigingen hebben
plaatsgevonden - voldoende om eenmaal de werking vast te stellen. Dit geldt alleen indien General IT
Controls gedurende de gehele controleperiode goed functioneren.
- General IT Controls zijn in het kader van de accountantscontrole primair relevant voor het:
o (1) als randvoorwaarde zorgdragen voor een ongestoorde werking van application controls;
Als het bestaan en werking van relevante General IT Controls is vastgesteld, is
daarmee de ongestoorde werking van aanwezige application controls vastgesteld. In
dit geval behoeft van application controls alleen nog het bestaan te worden
vastgesteld.
o (2) waarborgen van een minimaal niveau van beschikbaarheid van relevante IT-systemen in
het kader van de continuïteit van de onderneming;
o (3) waarborgen van een minimaal niveau van gegevensverwerking in het kader van de
controleerbaarheid van een onderneming.
Naast de functie van General IT Controls als randvoorwaarde voor de ongestoorde
werking van application controls, spelen General IT Controls ook een rol bij de
beoordeling van de continuïteit en de controleerbaarheid van de onderneming. Ook
in die gevallen waarin de keuze is gemaakt op geen enkele application control te
steunen dient de accountant het effect van mogelijke tekortkomingen in de General
IT Controls te evalueren voor een oordeel over de continuïteitsaspecten en de
Gedownload door Dit is niet echt een samenvatting ()
, lOMoARcPSD|2697772
controleerbaarheid van de onderneming. Conform BW 2: 393 lid 4 dient de
accountant minimaal verslag uit te brengen over de continuïteit en de
betrouwbaarheid van de geautomatiseerde gegevensverwerking.
RISICOANALYSE
NV COS 315 – Risico's op een afwijking van materieel belang identificeren en inschatten door inzicht te
verwerven in de entiteit en haar omgeving:
- ‘’Deze Standaard behandelt de verantwoordelijkheid van de accountant voor het identificeren en
inschatten van de risico's op een afwijking van materieel belang in de financiële overzichten door het
verwerven van inzicht in de entiteit en haar omgeving, met inbegrip van haar interne beheersing.’’
- Doelstelling: ‘’De doelstelling van de accountant is het identificeren en inschatten van de risico's op een
afwijking van materieel belang op het niveau van de financiële overzichten en beweringen als gevolg van
fraude of van fouten, door inzicht te verwerven in de entiteit en haar omgeving, met inbegrip van haar
interne beheersing, zodat een basis wordt verkregen voor het opzetten en implementeren van manieren
om op de ingeschatte risico's op een afwijking van materieel belang in te spelen.’’
- Vereisten: ‘’De accountant dient risico-inschattingswerkzaamheden uit te voeren om een basis te
verkrijgen voor het identificeren en inschatten van risico's op een afwijking van materieel belang op het
niveau van de financiële overzichten en beweringen. Risico-inschattingswerkzaamheden op zich
verschaffen echter geen voldoende en geschikte controle-informatie waarop de accountant zijn
controleoordeel kan baseren.’’
- ‘’De risico-inschattingswerkzaamheden dienen het volgende te omvatten:
- verzoeken om inlichtingen bij het management, bij de juiste personen binnen de interne auditfunctie
(indien deze functie bestaat), en bij anderen binnen de entiteit die in de oordeelsvorming van de
accountant over informatie kunnen beschikken die waarschijnlijk ondersteunend is bij het identificeren
van risico's op een afwijking van materieel belang die het gevolg is van fraude of van fouten;
- cijferanalyses;
- waarneming en inspectie.’’
Het R6-model
- De accountant voert een risicoanalyse uit zoals voorgeschreven is in Standaard 315. In de risicoanalyse
legt de accountant de binnen het controleteam onderkende risico’s vast en beschrijft hij welke interne
beheersingsmaatregelen de entiteit hiervoor heeft getroffen. Accountants richten zich bij de risicoanalyse
veelal op risico’s die voortvloeien uit de omgeving van de onderneming (politieke en economische
factoren) en op gebreken in de AO/IB van de onderneming. Van de accountant wordt echter tevens
verlangd dat hij risico’s die voortkomen uit het systeem van informatietechnologie onderkent.
- R6-model: Model voor het evalueren van de risico’s die voortvloeien uit de IT-omgeving:
o Potentiele risico’s: Identificatie van de business risks. Bijvoorbeeld; wat zijn de risico’s m.b.t.
de ketenafhankelijkheid?
o Posten: Vanuit de geïdentificeerde business risks bepaalt de accountant welke audit risks aan
een of meerdere jaarrekeningposten zijn te koppelen.
o Processen: Als een risico wordt gemitigeerd door de interne beheersing, stelt de accountant
het bestaan van deze interne beheersingsmaatregel(en) vast (o.b.v. de AO/IB beschrijving).
Indien het bestaan is vastgesteld, kan de accountant ervan uitgaan dat dit risico is afgedekt
door de AO/IB. Hij richt zich dan op de resterende risico’s.
o Programma’s: Van de risico’s die worden gemitigeerd door de interne beheersing bepaalt de
accountant welke door application controls worden gemitigeerd.
Gedownload door Dit is niet echt een samenvatting ()
Contents
HANDREIKING IT - Jaarrekening controle in het mkb: IT audit geïntegreerd in de controle-aanpak.....2
FASE 1 – VOORBEREIDING.................................................................................................................3
FASE 2 – RISICO-ANALYSE EN PLANNING...........................................................................................5
FASE 3 – INTERIMCONTROLE...........................................................................................................12
FASE 4 - EINDERJAARSCONTROLE....................................................................................................15
FASE 5 – AFRONDING......................................................................................................................17
College 1 - Relevantie van de controle en professionele standaarden................................................18
Relevantie en ontwikkeling van het beroep en verscheidenheid soorten accountants...................18
Structuur regelgeving: WRA en NV COS..........................................................................................22
Fundamentele beginselen, ethiek en onafhankelijkheid van de accountant...................................25
Onafhankelijkheid van de accountant.............................................................................................27
Opdrachtenkader............................................................................................................................29
Doelstellingen van de jaarrekeningcontrole....................................................................................32
Beoordelingsopdracht en samenstellingsopdracht.........................................................................35
College 2 - Belanghebbenden, verwachtingskloof en materialiteit.....................................................38
Materialiteit.....................................................................................................................................38
Materialiteit in de controle..............................................................................................................40
Het aanvaarden en continueren van controleopdrachten..............................................................40
College 3 - Bedrijfsverkenning.............................................................................................................41
Fraude en witwassen.......................................................................................................................41
College 4 - Risicoanalyse en controleaanpak t.a.v. het inkoopproces, voorraden en crediteuren......43
Risicoanalyse [COS 300]...................................................................................................................43
Controle-informatie [COS 500]........................................................................................................44
Opstellen controleprogramma........................................................................................................45
IT......................................................................................................................................................46
Gedownload door Dit is niet echt een samenvatting ()
, lOMoARcPSD|2697772
HANDREIKING IT - Jaarrekening controle in het mkb: IT audit
geïntegreerd in de controle-aanpak
INLEIDING - In een risicogerichte controleaanpak analyseert de accountant het risico dat de jaarrekening
afwijkingen van materieel belang bevat. Hij stemt daar zijn aanpak op af, door systeem- en gegevensgerichte
werkzaamheden te plannen. Dit rapport voorziet in de praktijkbehoefte aan een heldere beschrijving hoe een
geïntegreerde aanpak, waarin IT-audit en financial audit hand in hand gaan, er uit kan zien.
De opbouw van dit rapport sluit aan op de fasen van het controleproces:
1. Voorbereiding;
2. Risicoanalyse en planning;
3. Interimcontrole;
4. Eindejaarscontrole;
5. Afronding.
Ieder hoofdstuk kent daarbij een vaste indeling:
- Inleiding (samenhang met andere hoofdstukken en doelstelling)
- Inhoudelijke uitwerking
- Aanpak documentatie
- Aanpak communicatie
FASE 1 – VOORBEREIDING
Onderdeel van de voorbereidingsfase is een algemene beoordeling van de IT-omgeving van de klant. Het
resultaat hiervan draagt bij aan het vereiste begrip van de klantomgeving en vormt input voor de beoordeling
van de controleerbaarheid ervan. Indien de IT-kennis van het team nog niet voldoende is om de beoordeling te
kunnen uitvoeren, valt interne of externe inhuur te overwegen.
FASE 2 – RISICO-ANALYSE EN PLANNING
In de planningsfase wordt allereerst de omgeving van de klant nader beoordeeld op een steeds gedetailleerder
niveau. Deze beoordeling richt zich onder meer op aanwezige IT-componenten, beheersing van IT en de relatie
met de jaarrekening. Vervolgens worden op de verschillende niveau’s risico’s gedefinieerd. Voor het definiëren
van de audit respons op deze risico’s wordt een balans gezocht tussen manual- en application controls.
Vervolgens wordt vanuit de geselecteerde application controls de diepgang van het testen van de
randvoorwaardelijke General IT Controls bepaald.
FASE 3 – UITVOERING
Het is raadzaam de uitvoering te starten met testen van de General IT Controls zodat bij eventuele
ontoereikende controls direct de controlaaanpak kan worden herzien. Vervolgens worden de geselecteerde
application controls getest. Aanvullend op deze controlewerkzaamheden worden overige
controlewerkzaamheden uitgevoerd die noodzakelijk zijn voor het verkrijgen van voldoende zekerheid.
Aandachtspunt is het inzetten van data-analyse om de gegevensgerichte controlewerkzaamheden efficiënt en
effectief te kunnen uitvoeren.
FASE 4 – AFRONDING
De afrondingsfase vormt het sluitstuk van de uitgevoerde werkzaamheden en bevat minimaal een beoordeling
van de toereikendheid van de uitgevoerde werkzaamheden en de conclusies die daaruit getrokken zijn. In deze
Gedownload door Dit is niet echt een samenvatting ()
, lOMoARcPSD|2697772
fase wordt de relatie vanuit de conclusies gelegd naar de verantwoording. Tevens wordt verslag gedaan van de
relevante bevindingen aan de entiteit.
FASE 1 – VOORBEREIDING
In de voorbereidingsfase wordt de basis gelegd voor de uitvoering van de audit. Stappen:
- Inventarisatie klant en IT-omgeving;
- Is de klant controleerbaar?
- Voldoende (iT) kennis in het team?
- Inhuur nodig / mogelijk?
- Opdracht accepteren of weigeren.
IT-OMGEVING OP HOOFDLIJNEN IN KAART BRENGEN
De IT-componenten worden op hoofdlijnen in kaart gebracht ten behoeve van de opdrachtaanvaarding en de
organisatie van de uitvoering van de opdracht.
De IT-componenten:
- Apparatuur: Dit is de hardware. Hardware functioneert niet zonder systeemprogrammatuur.
- Systeemprogrammatuur: Systeemprogrammatuur zorgt er onder andere voor dat allerlei controles
worden uitgevoerd bij het opstarten van de hardware. De systeemsoftware is in strikte zin van het woord
wel ‘software’, maar is zo sterk met de apparatuur verbonden dat ze vaak als één geheel worden
behandeld.
- Toepassingsprogrammatuur: Een computerprogramma dat bedoeld is voor eindgebruikers.
Toepassingsprogrammatuur wordt ook wel aangeduid met de term ‘software’ of ‘applicaties’.
- Organisatie: Betreft de procedures die zijn opgesteld rondom het IT beheer.
- Beveiliging
- Gegevensopslag
- Datacommunicatie: Een ‘computersysteem’ bestaat vaak uit enkele (soms honderden/duizenden)
onderling verbonden apparaten, die onderling met elkaar kunnen ‘praten’. Dat praten wordt mogelijk
gemaakt door netwerken (= de draden die computers verbinden) en datacommunicatie (= de uitwisseling
van gegevens over die draden).
Gedownload door Dit is niet echt een samenvatting ()
, lOMoARcPSD|2697772
Voorbeelden van elementen van deze inventarisatie zijn:
- Welke bedrijfsprocessen zijn geautomatiseerd?
- Welke applicaties ondersteunen de bedrijfsprocessen, voor zover relevant voor de controleopdracht?
- Is er sprake van standaard oplossingen, maatwerk of een combinatie hiervan?
- Is er sprake van een webwinkel?
- Is de organisatie in hoge mate afhankelijk van de continuïteit van de IT-omgeving?
IT-aspecten per relevante controlestandaard (NV COS) in de voorbereidingsfase
Niet alle onderwerpen die bij de voorbereiding van de opdracht aan de orde komen hebben een raakvlak met
IT. Onderstaand betreffen NV-COS Richtlijnen t.a.v. de voorbereidingsfase waarbij IT aspecten aan de orde zijn.
210 – Opdrachtvoorwaarden voor controles
- Omschrijving: Heeft ten doel vereisten vast te stellen en leidraden te geven voor: a) de voorwaarden die
met opdrachtgevers worden overeen-gekomen aangaande de opdracht; b) de reactie van de accountant
op een verzoek van de opdrachtgever tot een zodanige wijziging van de opdracht dat een lager niveau van
zekerheid wordt verschaft.
- IT aspect: De accountant vormt zich in deze fase een algemeen beeld van de uitvoerbaarheid van de
opdracht; is de klant controleerbaar? Als de IT-omgeving bijvoorbeeld zeer complex is en een grote rol
speelt bij de uitvoering van de controle kan dat de uitvoering bemoeilijken. In uitzonderlijke gevallen kan
de omvang en complexiteit van de IT-omgeving, in combinatie met het gebrek aan (eigen) deskundigheid,
reden zijn om de opdracht niet te aanvaarden.
220 – Kwaliteitsbeheersing voor controles
- Omschrijving: Deze Controlestandaard heeft ten doel vereisten vast te stellen en leidraden te geven
omtrent de specifieke verantwoordelijkheden van het personeel van accountantspraktijken met
betrekking tot de kwaliteitsbeheersingsprocedures ten aanzien van controle van historische financiële
informatie, waaronder de controle van jaarrekeningen. Deze Standaard moet worden gelezen in
samenhang met de Verordening Gedrags- en Beroepsregels Accountants (VGBA).
- IT aspect: Er is voldoende inzicht nodig van relevante IT onderdelen om vast te stellen of: IT kennis
voldoende aanwezig is binnen de accountantsorganisatie om de opdracht uit te voeren; de
Gedownload door Dit is niet echt een samenvatting ()
, lOMoARcPSD|2697772
beschikbaarheid van medewerkers met de specifieke IT kennis geen belemmering vormt voor de planning
van de opdracht; er behoefte aan specifieke IT consultancy is; eventueel inzet van externe deskundigheid
van toepassing is.
240 – De verantwoordelijkheid van de accountant m.b.t. fraude
- Omschrijving: Deze Controlestandaard heeft ten doel algemene uitgangspunten en noodzakelijke
werkzaamheden vast te stellen en leidraden te geven omtrent de verantwoordelijkheid van de accountant
voor het identificeren van het risico van fraude in het kader van een opdracht tot controle van financiële
overzichten en uit te werken hoe de vereisten en leidraden in Standaard 315, “Risico’s op een afwijking
van materieel belang identificeren en inschatten door inzicht te verwerven in de entiteit en haar
omgeving” en Standaard 330, “Inspelen door de accountant op ingeschatte risico’s” moeten te worden
toegepast met betrekking tot het risico van een afwijking van materieel belang als gevolg van fraude. De
vereisten en leidraden in deze Standaard dienen te worden geïntegreerd in het totale controleproces.
- IT aspect: Hierbij is rekening te houden met specifieke IT-omgevingen waarbij zich fraude risico’s kunnen
voordoen. Het kan ook gaan om fraude door derden. Denk hierbij aan Webwinkels en betalingen met
credit cards, iDEAL of Paypal waarbij nieuwe vormen van “IT fraude” mogelijk zijn.
300 – De planning van de controle
- Omschrijving: Deze Controlestandaard heeft ten doel vereisten vast te stellen en leidraden te geven voor
de overwegingen en de werkzaamheden die gelden voor de planning van de controle van financiële
overzichten.
- IT-aspect: Er is voldoende inzicht nodig van relevante IT onderdelen om vast te stellen of: de IT kennis
voldoende aanwezig is binnen de accountantsorganisatie om de opdracht uit te voeren; de
beschikbaarheid van medewerkers met de specifieke IT kennis geen belemmering vormt voor de planning
van de opdracht; er behoefte aan specifieke IT consultancy is; eventueel inzet van externe deskundigheid
van toepassing is.
Communicatie
Uiteindelijk vindt een gesprek met de opdrachtgever plaats om een eerste indruk te krijgen van de mate van
automatisering. Naar aanleiding van dit gesprek dienen eventuele IT- gerelateerde opdrachtvoorwaarden te
worden overeengekomen en vastgelegd in de opdrachtbevestiging.
FASE 2 – RISICO-ANALYSE EN PLANNING
Gedownload door Dit is niet echt een samenvatting ()
, lOMoARcPSD|2697772
De risicoanalyse is gericht op het inschatten van risico’s dat de jaarrekening een afwijking van materieel belang
bevat als gevolg van fouten of fraude. De risicoanalyse vormt de basis voor de uit te voeren werkzaamheden.
De risicoanalyse start bij de business risks (potentiële risico’s) om de volledigheid van risico’s na te streven.
Deze risico’s hoeven echter niet direct invloed te hebben op de jaarrekening. De accountant zal alleen de
(inherente) risico’s die betrekking hebben op de jaarrekening verder evalueren. Door de huishouding zijn
maatregelen getroffen om een of meerdere van deze inherente risico’s te elimineren. De accountant zal bij zijn
controleaanpak willen steunen op de effectieve werking van deze maatregelen. In de controle richt de
accountant zich vervolgens op het afdekken van restrisico’s die niet door de beheersingsmaatregelen worden
afgedekt. Met deze aanpak zijn accountants bekend en een soortgelijke werkwijze geldt voor IT-risico’s. Dit
betekent dus dat de accountant alleen die beheersingsmaatregelen in de IT-omgeving test waar hij in zijn
controle op wil steunen. Het is niet de bedoeling te beginnen met een zeer gedetailleerde vastlegging van alle
aanwezige systemen en alle aanwezige risico’s en beheersingsmaatregelen in en rondom deze systemen.
Inzicht in de entiteit en haar omgeving, inclusief de IT-omgeving
De accountant verwerft inzicht in de interne beheersing om vast te stellen op welke wijze de onderneming
inspeelt op onderkende bedrijfsrisico’s.
Inzicht in de entiteit volgens de NV COS: Standaard 315.18 bepaalt dat de kennis over het informatiesysteem
de volgende elementen bevat:
- de transactiestromen binnen de entiteit die van belang zijn voor het financiële overzicht;
- de procedures, zowel binnen de geautomatiseerde als de handmatige systemen, waarmee de transacties
tot stand worden gebracht, vastgelegd, verwerkt en in het financiële overzicht opgenomen;
- de hiermee verband houdende digitale of handmatige vastleggingen over het tot stand komen,
vastleggen, verwerken en rapporteren van transacties, die de onderbouwing vormen voor de informatie
en specifieke posten in het financiële overzicht;
Gedownload door Dit is niet echt een samenvatting ()
, lOMoARcPSD|2697772
- de wijze waarop voor het financiële overzicht van belang zijnde gebeurtenissen en omstandigheden, niet
zijnde transactiestromen, worden vastgelegd in het informatiesysteem;
- het financiële verslaggevingsproces dat wordt gebruikt om het financiële overzicht van de entiteit op te
stellen, met inbegrip van belangrijke schattingsposten en toelichtingen;
- interne beheersingsmaatregelen met betrekking tot journaalboekingen, met inbegrip van
journaalboekingen die geen standaardjournaalboekingen zijn en worden gebruikt om eenmalige,
ongebruikelijke transacties of correcties vast te leggen.
Het P6-model: In kaart te brengen van de IT-omgeving en de bijbehorende beheersingsmaatregelen
Performance
- Soort onderneming (productie, handel etc.), producten/diensten, markt.
- Aard van de entiteit; de structuur van de onderneming, de wijze waarop de onderneming wordt bestuurd
en gefinancierd en de investeringsactiviteiten.
- Keuze en toepassing grondslagen voor financiële verslaggeving.
- Doelstellingen en strategieën en daaruit voortvloeiende bedrijfsrisico’s.
- Wijze waarop entiteit financiële prestaties meet en beoordeelt (KPI’s)
Posten: De accountant bepaalt welke posten in de jaarrekening materieel zijn.
Processen:
- De accountant verwerft inzicht in de processen door de AO/IB-beschrijving op te vragen en te beoordelen.
- Hierin dienen de volgende elementen duidelijk te zijn beschreven:
o welke transactiestromen door welke systemen lopen;
o wie welke handelingen verricht en in welk systeem dit geregistreerd of uitgevoerd wordt;
o welke relevante application controls aanwezig zijn in welk systeem.
Programma’s: Voor zover niet reeds geïdentificeerd in de voorbereiding, is het aan te bevelen de relevante
applicaties te benoemen. Het resultaat is een overzicht van de aanwezige applicaties dat aangeeft welke
processen ze ondersteunen (of welke jaarrekeningposten zij beïnvloeden) en om wat voor soort applicatie het
gaat.
Platformen: Om applicaties te kunnen laten functioneren, zijn platformen noodzakelijk. Deze stap leidt tot een
beschrijving van de aanwezige infrastructuur.
Processen van IT-beheer: Bij een hoog geautomatiseerde onderneming zullen procedures bestaan voor het
beheer van de infrastructuur en de daarop draaiende systemen. We spreken hierbij over General IT Controls.
Dit zijn de interne beheersingsmaatregelen gericht op nagenoeg alle computersystemen en bedrijfsprocessen.
Hierbij valt niet alleen te denken aan de beveiliging van hard- en software, maar ook aan de IT-organisatie
(beleid, procedures en monitoring). Het in kaart brengen van de General IT Controls is alleen noodzakelijk
indien in de controleaanpak steunt op de IT. Daarnaast is het voldoende om alleen de werking van de
relevante General IT Controls vast te stellen en is het niet nodig dit voor alle General IT Controls te doen.
BEHEERSINGSMAATREGELEN
Interne beheersingsmaatregelen: Manual controls; Computer dependent controls; Automated controls.
- Automated controls zijn opgenomen in de applicaties die de processen ondersteunen, zoals hieronder
beschreven bij ‘P4 Programma’s’.
- Computer dependent controls zijn een mix tussen manual en automated controls. Dit houdt in dat een
gebruiker voor het uitvoeren van een controle een programma gebruikt.
Application controls
Gedownload door Dit is niet echt een samenvatting ()
, lOMoARcPSD|2697772
Application controls betreffen onder meer:
Logische toegangsbeveiliging
- Is erop gericht ongeautoriseerde toegang tot applicaties en bestanden te voorkomen.
- De functiescheiding zoals beschreven in de AO/IB moet via autorisaties zijn vastgelegd in de applicaties.
Dit ligt vast in een competentietabel, ook wel autorisatiematrix genoemd.
Invoercontroles
- Volledigheidscontroles: Vaststellen dat geen gegevens ontbreken – bijvoorbeeld doorlopende nummering.
- Field check: Juiste type: numeriek , datum of alfabetisch.
- Sign check: Rekenkundige juistheid.
- Limit check: Verzekeren dat het onder de bovengrens blijft (bijv. kredietlimiet).
Verbands- en totaalcontroles
- Verbandscontroles: Vaststellen of een bepaald direct verband tussen twee of meer grootheden aanwezig
is, bijvoorbeeld omzet en btw.
- Totaalcontrole: Bij totaalcontroles wordt gebruik gemaakt van een door de toepassing opgebouwd
controletotaal.
Audit trail: Voor de controle is het belangrijk dat het systeem zo is opgezet dat de route van elke transactie of
gegeven door het gehele verwerkingsproces heen (van invoer tot en met uitvoer) te volgen is: de audit trail.
Logging: Via logging worden acties in de applicatie geregistreerd.
General IT Controls
Om de ongestoorde werking van application controls te garanderen, zijn General IT Controls noodzakelijk.
Onderzoek naar de GITC’s is alleen nodig indien er wordt gesteund op de applications controls. Tevens, enkel
de relevante GITC’s worden onderzocht.
General IT Controls: De General IT Controls zijn randvoorwaardelijke beheersingsmaatregelen om de
ongestoorde werking van application controls te waarborgen. De betrouwbaarheid valt uiteen in de volgende
componenten:
- Exclusiviteit: De mate waarin uitsluitend geautoriseerde personen of apparatuur via geautomatiseerde
procedures en beperkte bevoegdheden gebruikmaken van IT-processen.
- Integriteit: De mate waarin het object (gegevens en informatie-, technische- en processystemen) in
overeenstemming is met de afgebeelde werkelijkheid.
- Controleerbaarheid: De mate waarin het mogelijk is kennis te verkrijgen over de structurering
(documentatie) en werking van een object.
- Continuïteit: De mate waarin een object continu beschikbaar is en de gegevensverwerking ongestoord
voortgang kan hebben. Belangrijk aspect van continuïteit is tevens het voorkomen van dataverlies bij
storingen en calamiteiten.
o Recovery Point Objective (RPO): De RPO is het punt in de tijd tot waar men minimaal de
gegevens moet kunnen herstellen. Het is dus de acceptabele hoeveelheid aan dataverlies
uitgedrukt in tijd.
o Recovery Time Objective (RTO): Een RTO is de tijd waarna een proces/middel na een
onderbreking moet teruggebracht zijn op een aanvaardbaar niveau, om een onacceptabele
impact op de organisatie te vermijden.
General IT Controls – Operationeel beheer:
Gedownload door Dit is niet echt een samenvatting ()
, lOMoARcPSD|2697772
- Probleembeheer: de wijze waarop storingen, problemen en klachten ten aanzien van de
informatiesystemen worden geïdentificeerd, behandeld en opgelost.
- Wijzigingsbeheer (change management): Dit is het proces van plannen, coördineren, daadwerkelijk
aanbrengen en evalueren van de wijzigingen in de informatiesystemen en de verwerkingsomgeving.
Change management dient er toe te leiden dat: een scheiding bestaat tussen de ontwikkelomgeving en de
verwerkingsomgeving; wijzigingen in informatiesystemen alleen plaatsvinden indien aan de gestelde
kwaliteitscriteria is voldaan; wijzigingen alleen door eigenaar van de applicatie worden geautoriseerd; de
juiste versies van informatiesystemen operationeel zijn; toereikende noodprocedures aanwezig zijn.
- Logische toegangsbeveiliging: betreft het inrichten van het netwerk en de besturingssystemen op
zodanige wijze dat gebruikers uitsluitend toegang hebben tot daartoe geautoriseerde applicaties, data en
overige randapparatuur.
- Procesbeheer: Operators zijn in het algemeen verantwoordelijk voor ‘het in de lucht houden van de
automatisering’.
Relatie: Application Controls – GITC’s
- De relatie is zodanig dat General IT Controls nodig zijn om het functioneren van application controls te
ondersteunen, en beiden zijn nodig om de volledige en accurate informatieverwerking te verzekeren.
- Een application control hoef je niet op werking te testen indien je het bestaan hebt vastgesteld. Door het
bestaan vast te stellen heb je eenmaal de werking vastgesteld. Application controls blijven altijd hetzelfde
werken, tenzij je veranderingen doorvoert. Hierdoor is het - indien geen wijzigingen hebben
plaatsgevonden - voldoende om eenmaal de werking vast te stellen. Dit geldt alleen indien General IT
Controls gedurende de gehele controleperiode goed functioneren.
- General IT Controls zijn in het kader van de accountantscontrole primair relevant voor het:
o (1) als randvoorwaarde zorgdragen voor een ongestoorde werking van application controls;
Als het bestaan en werking van relevante General IT Controls is vastgesteld, is
daarmee de ongestoorde werking van aanwezige application controls vastgesteld. In
dit geval behoeft van application controls alleen nog het bestaan te worden
vastgesteld.
o (2) waarborgen van een minimaal niveau van beschikbaarheid van relevante IT-systemen in
het kader van de continuïteit van de onderneming;
o (3) waarborgen van een minimaal niveau van gegevensverwerking in het kader van de
controleerbaarheid van een onderneming.
Naast de functie van General IT Controls als randvoorwaarde voor de ongestoorde
werking van application controls, spelen General IT Controls ook een rol bij de
beoordeling van de continuïteit en de controleerbaarheid van de onderneming. Ook
in die gevallen waarin de keuze is gemaakt op geen enkele application control te
steunen dient de accountant het effect van mogelijke tekortkomingen in de General
IT Controls te evalueren voor een oordeel over de continuïteitsaspecten en de
Gedownload door Dit is niet echt een samenvatting ()
, lOMoARcPSD|2697772
controleerbaarheid van de onderneming. Conform BW 2: 393 lid 4 dient de
accountant minimaal verslag uit te brengen over de continuïteit en de
betrouwbaarheid van de geautomatiseerde gegevensverwerking.
RISICOANALYSE
NV COS 315 – Risico's op een afwijking van materieel belang identificeren en inschatten door inzicht te
verwerven in de entiteit en haar omgeving:
- ‘’Deze Standaard behandelt de verantwoordelijkheid van de accountant voor het identificeren en
inschatten van de risico's op een afwijking van materieel belang in de financiële overzichten door het
verwerven van inzicht in de entiteit en haar omgeving, met inbegrip van haar interne beheersing.’’
- Doelstelling: ‘’De doelstelling van de accountant is het identificeren en inschatten van de risico's op een
afwijking van materieel belang op het niveau van de financiële overzichten en beweringen als gevolg van
fraude of van fouten, door inzicht te verwerven in de entiteit en haar omgeving, met inbegrip van haar
interne beheersing, zodat een basis wordt verkregen voor het opzetten en implementeren van manieren
om op de ingeschatte risico's op een afwijking van materieel belang in te spelen.’’
- Vereisten: ‘’De accountant dient risico-inschattingswerkzaamheden uit te voeren om een basis te
verkrijgen voor het identificeren en inschatten van risico's op een afwijking van materieel belang op het
niveau van de financiële overzichten en beweringen. Risico-inschattingswerkzaamheden op zich
verschaffen echter geen voldoende en geschikte controle-informatie waarop de accountant zijn
controleoordeel kan baseren.’’
- ‘’De risico-inschattingswerkzaamheden dienen het volgende te omvatten:
- verzoeken om inlichtingen bij het management, bij de juiste personen binnen de interne auditfunctie
(indien deze functie bestaat), en bij anderen binnen de entiteit die in de oordeelsvorming van de
accountant over informatie kunnen beschikken die waarschijnlijk ondersteunend is bij het identificeren
van risico's op een afwijking van materieel belang die het gevolg is van fraude of van fouten;
- cijferanalyses;
- waarneming en inspectie.’’
Het R6-model
- De accountant voert een risicoanalyse uit zoals voorgeschreven is in Standaard 315. In de risicoanalyse
legt de accountant de binnen het controleteam onderkende risico’s vast en beschrijft hij welke interne
beheersingsmaatregelen de entiteit hiervoor heeft getroffen. Accountants richten zich bij de risicoanalyse
veelal op risico’s die voortvloeien uit de omgeving van de onderneming (politieke en economische
factoren) en op gebreken in de AO/IB van de onderneming. Van de accountant wordt echter tevens
verlangd dat hij risico’s die voortkomen uit het systeem van informatietechnologie onderkent.
- R6-model: Model voor het evalueren van de risico’s die voortvloeien uit de IT-omgeving:
o Potentiele risico’s: Identificatie van de business risks. Bijvoorbeeld; wat zijn de risico’s m.b.t.
de ketenafhankelijkheid?
o Posten: Vanuit de geïdentificeerde business risks bepaalt de accountant welke audit risks aan
een of meerdere jaarrekeningposten zijn te koppelen.
o Processen: Als een risico wordt gemitigeerd door de interne beheersing, stelt de accountant
het bestaan van deze interne beheersingsmaatregel(en) vast (o.b.v. de AO/IB beschrijving).
Indien het bestaan is vastgesteld, kan de accountant ervan uitgaan dat dit risico is afgedekt
door de AO/IB. Hij richt zich dan op de resterende risico’s.
o Programma’s: Van de risico’s die worden gemitigeerd door de interne beheersing bepaalt de
accountant welke door application controls worden gemitigeerd.
Gedownload door Dit is niet echt een samenvatting ()
