Accountants en IT-auditors hebben al vele jaren ervaring in de samenwerking bij jaarrekeningcontroleopdrachten. Door de steeds sterkere afhankelijkheid van bedrijven van IT, is het in het laatste decennium een must en vanzelfsprekend om IT-auditkennis in het auditteam te integreren. Het artikel handelt over praktijkervaringen van de auteurs. Mede naar aanleiding van een tweetal specifieke praktijkvoorbeelden wordt ingegaan op de taken en verantwoordelijkheden van een IT-auditor in een jaarrekeningcontroleopdracht, wordt een aantal specifieke succesfactoren beschreven en worden suggesties gedaan voor optimalisatie van samenwerkingsprocessen.
Inleiding
Integratie van IT-auditors in accountantsteams is vanzelfsprekend geworden in de huidige praktijk van jaarrekeningcontroles. Nu bedrijven steeds afhankelijker van IT zijn geworden, is het voor accountants onontkoombaar om de IT-auditkennis in het team te integreren. We schrijven over onze ervaringen in het algemeen en specifiek in een tweetal praktijkvoorbeelden, over de succesfactoren en over verdere stappen voor optimalisatie van de samenwerking. Om de kaders te stellen starten we met een paragraaf over de aanpak van een jaarrekeningcontrole en de rol van een IT-auditor daarin.
De rol van IT in de controle
Deze paragraaf gaat ter inleiding in op de verschillende fasen van het controleproces van een jaarrekeningcontroleopdracht (hierna: het controleproces) en de rol die de IT-auditor hierin (in het algemeen) speelt.
Het controleproces
Het controleproces onderscheidt (doorgaans) de volgende fasen:
- Planning;
- Evalueren van opzet, bestaan en werking van controls (‘control evaluation’);
- Gegevensgerichte werkzaamheden (‘substantive procedures’); en
- Conclusie & Afronding.
Hierna volgt een korte toelichting per fase.
Planning
De planningsfase heeft als doel om via een risicoanalyse de controlestrategie en controleaanpak te bepalen. In deze fase wordt de kwalitatieve basis gelegd voor de overige fasen van de controle.
Control evaluation
In deze fase vindt een evaluatie van opzet, bestaan en werking van de beheersingsmaatregelen (‘controls’) plaats. Deze stelt de accountant in staat de kans op een significante fout in de jaarrekening (‘Risk of Significant Misstatement’ (RoSM) in te schatten.
Substantive procedures
De uitkomsten van de werkzaamheden in de vorige fasen bepalen de aard en reikwijdte van de gegevensgerichte werkzaamheden (zoals cijferbeoordeling, verbandscontroles en steekproeven), waarbij gegevensgerichte werkzaamheden worden uitgevoerd bij een significant risico, als de RoSM op ‘hoog’ wordt gesteld of als deze werkwijze efficiënter en/of effectiever is dan het uitvoeren van systeemgerichte werkzaamheden.
Conclusie & Afronding
De doelstelling van deze fase is het afronden van de controle en het vormen van een oordeel ten aanzien van de jaarrekening.
De rol van IT-auditor
In elke fase van het controleproces kan de IT-auditor een belangrijke rol spelen.
Rol in de planningsfase
In de planningsfase heeft de IT-auditor een rol bij het verkrijgen van het overzicht van ‘Key IT applications’ en bijbehorende infrastructuur en bij het evalueren van de opzet en het bestaan van IT-gerelateerde Entity Level Controls.
Entity Level Controls (ELC) zijn organisatiebrede controls en liggen op een hoger niveau dan Assertion Level Controls. Bij de beoordeling van de ELC wordt de beheersingsstructuur van een organisatie beoordeeld, zoals de algehele controleomgeving (‘tone at the top’), de organisatiebrede risicoanalyse door het management en de informatie- en communicatielijnen binnen de organisatie.
Het vaststellen van de opzet en het bestaan van de ELC bij een organisatie kan en wordt veelal zelfstandig door een accountant uitgevoerd.
Rol in de fase van control evaluation
In de fase van control evaluation richt de IT-auditor zich met name op de Assertion Level Controls en IT General Controls.
Assertion Level Controls zijn controls die bepaalde beweringen (bijvoorbeeld volledigheid, juistheid, bestaan en tijdigheid) over jaarrekeningposten ondersteunen en die in de organisatieprocessen zijn verankerd. Een control kan handmatig, IT-afhankelijk of volledig geautomatiseerd worden uitgevoerd.
Teneinde zekerheid te verkrijgen over de werking van de IT-afhankelijke of geautomatiseerde controls, is het veelal de rol van de IT-auditor om de IT General Controls (ITGC) te beoordelen ([Bomm04]).
Rol in de fase van substantive procedures
In de fase van substantive procedures kan de accountant het gebruik van IT-tools overwegen, de zogenaamde Computer Aided Audit Tools (CAAT’s) ([Scho04], [Dijk04]). Het voordeel van deze tools is dat de accountant in staat is effectief en efficiënt de gehele populatie van gegevens te controleren. Ook kunnen deze CAAT’s een bijdrage leveren door alsnog achteraf de werking van geprogrammeerde controls aan te tonen als het wijzigingsbeheer onvoldoende beheerst wordt.
Praktijkvoorbeelden van goede samenwerking
In deze paragraaf worden twee best practices van succesvolle samenwerking tussen accountant en IT-auditor beschreven. Naast een beschrijving van de praktijksituatie besteden we aandacht aan de belangrijkste succesfactoren van deze praktijkvoorbeelden (de gebruikte klantnamen zijn fictief).
Klantcasus 1: Oils & Palms
O&P is een wereldwijde onderneming die zich toelegt op de productie van halffabricaten uit landbouwproducten voor onder andere de voedingsmiddelenindustrie. Naast het bezit van fabrieken met een beperkte voorraadcapaciteit, handelt O&P veel in hun eigen grondstoffen op de termijnhandel. O&P is daarom een industriële onderneming met kenmerken van een financiële instelling.
Geïntegreerde aanpak O&P
Na de implementatie van een nieuw ERP-systeem heeft de IT-auditor een aantal risicoanalyseopdrachten (met behulp van de System Integration Controls (SIC)-methode ([Beza01])) uitgevoerd bij verschillende vestigingen van O&P. Doel van deze opdrachten was het in kaart brengen van alle manuele en geprogrammeerde controls in de processen die door het ERP-systeem ondersteund worden. Hierbij wordt gebruikgemaakt van een risicoanalyse, die grote overeenkomsten vertoont met de procesanalyse die accountants uitvoeren om de controls in kaart te brengen. De risicoanalyse werd uitgevoerd door een multidisciplinair team van IT-auditors en accountants.
De uitkomst van de risicoanalyse was een selectie van key controls die van belang zijn voor de controle. Deze key controls bestonden uit configuratiecontroles, autorisaties in het ERP-systeem, IT-afhankelijke manuele controls en manuele controls. Deze key controls zijn vervolgens op werking getest.
Op deze wijze is een gestructureerd top-down controleprogramma ontwikkeld waarin accountants en IT-auditors in een gezamenlijke aanpak de interne controle toetsen (figuur 1). Tevens heeft dit geresulteerd in een controleaanpak waarin op relatief veel geprogrammeerde controls gesteund wordt, waardoor de effectiviteit van de controle is toegenomen.
Figuur 1. Van risicoanalyse naar auditprogramma. [Klik hier voor grotere afbeelding]
Succesfactoren O&P
De volgende (belangrijkste) succesfactoren hebben naar onze mening bijgedragen aan een goede samenwerking op de O&P-controle:
- De managers en partners van IT-auditors en accountants hebben nauw samengewerkt om het geïntegreerde controleplan tot stand te laten komen. De teams van de managers en partners kunnen hierdoor effectiever samenwerken en met elkaar communiceren.
- De SIC-opdrachten hebben het controleteam in staat gesteld om in multidisciplinaire teams van accountants en IT-auditors de interne controle in en rondom het ERP-systeem op gestructureerde wijze en met voldoende diepgang in kaart te brengen.
Door het multidisciplaire karakter ontstond effectieve kennisoverdracht en wederzijds begrip tussen beide partijen. De gestructureerde en grondige risicoanalyse (direct na de oplevering van het ERP-systeem per businessunit) leverde een schat aan inzichten en een gedegen raamwerk van controles en auditprogramma op. De effectiviteit van het controleproces is hierdoor verbeterd. Bijkomend voordeel is dat deze wijze van aanpak toegevoegde waarde voor de klant opleverde (de klant heeft het controleraamwerk tot haar beschikking gekregen). - Binnen het geïntegreerde auditteam zijn duidelijke afspraken gemaakt over de verdeling van verantwoordelijkheden voor de uitvoering van de IT-gerelateerde auditwerkzaamheden.
Klantcasus 2: Fresh
Deze tweede casus speelt zich af bij de internationale massaproducent Fresh, die eveneens in verregaande mate geautomatiseerd is. Fresh heeft een ERP-systeem geïmplementeerd in de belangrijkste werkmaatschappijen en werkt aan optimalisatie. De ERP-implementaties bij de werkmaatschappijen zijn verschillend en daarom streeft Fresh ernaar de komende jaren te migreren naar uniforme ERP-implementaties. Dit stelt Fresh in staat de procesgang en interne beheersing van de verschillende werkmaatschappijen te uniformeren. Het neveneffect is dat een dergelijke uniformiteit kan leiden tot een efficiëntere controleaanpak. Immers, de application controls zijn gelijk voor alle werkmaatschappijen en de gebruikerscontroles eromheen kunnen daarom gelijksoortig zijn.
Aanpak op groepsniveau
Om de efficiëntie en de effectiviteit van de interne controle van de groep te bevorderen is Fresh drie jaar geleden gestart met de ontwikkeling van een raamwerk van relevante internecontrolemaatregelen. Dit raamwerk geeft zowel controls relevant voor de jaarrekeningcontrole als voor de operationele effectiviteit van het proces.
In samenwerking met de interne accountant, groepsaccountant, IT-auditors en lokale accountants zijn vervolgens, in een aantal sessies, de voor de jaarrekening relevante (‘key’) controls geselecteerd. De lokale (interne) accountants zijn ingeschakeld om de ontwikkelde raamwerken op opzet, bestaan en werking te testen en eventuele verschillen tussen het kader en de praktijk te rapporteren.
IT-auditors en accountants hebben in belangrijke mate samengewerkt in dit proces van ontwikkeling en uitrol van het raamwerk. Voor het huidige controlejaar zijn een IT-auditor en een manager van het controleteam samen verantwoordelijk voor de beoordeling van het raamwerk en de aansturing, het houden van toezicht op en de ondersteuning van de lokale controleteams (van de werkmaatschappijen) bij het toepassen/gebruikmaken van het raamwerk.
De Nederlandse werkmaatschappij
Op lokaal niveau is enkele jaren geleden de IT-auditor integraal onderdeel geworden van het controleteam. Via de identificatie van het systeemlandschap (naast het besproken ERP-systeem een groot aantal legacy-systemen) en de mogelijke jaarrekeningrisico’s zijn key application controls geïdentificeerd in een aantal kritieke applicaties. Voor deze kritieke applicaties heeft de IT-auditor de ITGC’s getest. De bevindingen zijn gezamenlijk door IT-auditor en accountants vertaald naar jaarrekeningrisico’s, waarbij de opmerkingen rondom het wijzigingsbeheer uiteindelijk tot aanvullende gegevensgerichte werkzaamheden hebben geleid.
Daarnaast is een selectie gemaakt van de application controls en IT-afhankelijke gebruikerscontroles die relevant zijn voor de jaarrekeningcontrole. In het eerste jaar heeft de IT-auditor een intensieve rol gehad bij het testen van deze IT-controls.
Kritieke succesfactoren van de Fresh-audit
De volgende succesfactoren hebben naar onze mening bijgedragen aan een goede samenwerking op de controleopdracht van Fresh:
- Communicatie vindt plaats op het juiste (met name ‘hoog genoeg’) niveau binnen de teams. Hierdoor wordt commitment gekweekt bij beide partijen.
- Het stellen van heldere, duidelijke verantwoordelijkheden en afspraken op het gebied van timing, dossiervorming en rapportage.
- Op holdingniveau vervult een IT-auditor (managerniveau) op permanente basis een sleutelrol in het controleproces.
- De accountant en IT-auditor trekken samen op in de control evaluation. Hierdoor wordt bereikt dat beiden van elkaar kunnen leren.
- De klant beschikt over een gedegen controleraamwerk (dat door de externe auditors is geaccordeerd) dat onderscheid maakt in application controls, autorisaties, rapportages en gebruikerscontroles.
Kritieke succesfactoren voor een succesvolle samenwerking tussen accountants en IT-auditors
Verschillende factoren spelen een rol in het al dan niet succesvol zijn van de samenwerking tussen accountants en IT-auditors. Hieronder hebben wij op basis van persoonlijke ervaring vijf belangrijke kritieke succesfactoren (KSF) uiteengezet. We onderkennen dat meer KSF zijn aan te wijzen, echter deze vijf geraken naar onze mening snel op de achtergrond in de drukte van het controleproces.
KSF1: Communicatie op seniorniveau
De sleutel voor het succes van iedere samenwerking is communicatie. Om een efficiënte en effectieve controle met voldoende daadkracht te bewerkstelligen is het van belang dat partners en/of managers van accountants en IT-auditors voldoende betrokken zijn bij het controleproces en op gezette tijden met elkaar communiceren en de grote lijnen uitzetten. Dit geldt in het bijzonder in de planningsfase van een controle: de senior teamleden dienen gezamenlijk na te denken over de controledoelstellingen, risico’s en de vertaling hiervan naar het controleplan.
Tevens dient het senior management een belangrijke rol te vervullen in de evaluatie van de gezamenlijke bevindingen en de vertaling hiervan naar noodzakelijke compenserende controlemaatregelen, gegevensgerichte werkzaamheden en adviespunten voor de klant.
KSF2: ‘Horizontale samenwerking’: kennisoverdracht en taken uitwisselen
Tevens is kennisoverdracht tussen de verschillende disciplines van groot belang. IT-auditors zijn in veel gevallen in staat een constructieve bijdrage te leveren aan de beschrijving van de interne controle en daarmee een bredere functie te vervullen in het controleproces dan sec het uitvoeren van de pure IT-auditwerkzaamheden (testen van ITGC en application controls).
Accountants zijn voorts over het algemeen prima in staat (delen van) het ITGC-onderzoek en het testen van application controls op zich te nemen.
Het uitwisselen van taken (‘horizontale samenwerking’) kan voor beide partijen het werk uitdagend en leerzaam maken/houden, onderling begrip kweken en daarmee een stimulans zijn voor optimale samenwerking (zie ook kader 1).
Kader 1. Horizontale samenwerking.
Horizontale samenwerking: wat kan een accountant zelf?
Veelvoorkomende applicatiecontroles zijn te verdelen in (zie ook de tabel):
- invoercontroles, zoals verplichte velden, bestaanscontroles (selectie uit een stamtabel / drop-down list) en formatcontroles (numeriek, alfanumeriek, lengte, elf-proef);
- complexe geautomatiseerde controles, zoals complexe calculaties, automatische boekingen en tolerantiecontroles;
- autorisaties;
- interfaces;
- rapportages.
Het testen van invoercontroles kan over het algemeen heel goed worden uitgevoerd door middel van inspectie van gegevensinvoer door een eindgebruiker (de accountant kijkt over de schouder van een eindgebruiker mee en verifieert of het systeem inderdaad de vereiste invoercontroles uitvoert). Voor het auditdossier kunnen screenprints worden gemaakt van de gegevensinvoer, waarbij zichtbaar is dat systeemcontroles worden uitgevoerd (bijvoorbeeld verplichte velden zijn ‘grijs’, of een errormelding is zichtbaar als niet aan het juiste format wordt voldaan). Het moge duidelijk zijn dat voor een dergelijke test geen universitaire informaticaopleiding of IT-auditopleiding benodigd is.
Voor het testen van meer complexe geautomatiseerde controles daarentegen is veelal wel meer IT-kennis benodigd. Een test hiervan beslaat veelal een controle van systeemconfiguratie (in het geval van ‘standaard’pakketten/ERP-systemen) of code review (in geval van maatwerk) in combinatie met één of meer transactietests. Een dergelijke test zou daarom door de IT-auditor zelfstandig of (beter nog) in een gecombineerd team van accountant en IT-auditor moeten worden uitgevoerd.
Ook voor autorisaties geldt dat dit veelal een verhoogd inzicht in IT-beveiliging vereist: in grote ERP-systemen is het auditen van autorisaties bijna een specialisme op zich. Goede afstemming en communicatie met de accountant over de noodzakelijke functiescheiding is echter van belang: een IT-auditor is geneigd meer autorisatiebevindingen te rapporteren dan echt benodigd voor de auditdoelstellingen. Een gecombineerd team van accountant en IT-auditor is derhalve ook hier op zijn plaats.
Interfaces kunnen complexe IT-aspecten in zich hebben en het technisch testen van interfaces vereist daarom veelal een goed begrip van IT. Echter, in veel gevallen kan een interface efficiënter worden getest door te steunen op de aansluiting die de proceseigenaar maakt tussen het bronsysteem en het ontvangende systeem.
Rapportages worden veel geselecteerd als key control. Rapportages op zich zijn in het algemeen geen controle, maar wel de controlerende activiteit die de eindgebruiker op basis van de rapportage uitvoert. Dit wordt daarom ook wel aangeduid als ‘key IT dependent control’. De test van een rapportage kan bestaan uit verschillende onderdelen:
- het testen van de query waarmee de rapportage wordt gegenereerd;
- het testen van (het ontwerp van) de rapportagelay-out (geeft het inzicht in alle benodigde informatie);
- het uitvoeren van één of meer systeemtransacties om na te gaan of de verwachte uitvoer ook daadwerkelijk op de rapportage terechtkomt.
De laatste twee tests kunnen heel goed door een accountant zelfstandig worden uitgevoerd. Voor het testen van de query is de inzet van IT-auditkennis aan te bevelen.
KSF3: ‘Verticale samenwerking’: samenwerking in het gehele controleproces
Aan het begin van dit artikel is beschreven dat het controleproces uit een aantal fasen bestaat en dat in iedere fase de IT-auditor een rol heeft / kan hebben. Traditioneel draagt de IT-auditor echter voornamelijk bij aan de fase ‘control evaluation’ en is zijn rol in de andere fasen (te) beperkt. Bij een succesvolle samenwerking tussen accountant en IT-auditor blijkt dat de IT-auditor een belangrijke rol vervult in alle fasen van het controleproces.
Planningsfase
In succesvol geïntegreerde audits is de IT-auditor al in de planningsfase van de controle betrokken. De IT-auditor denkt in dat geval mee over de belangrijkste risico’s, financiële stromen in een organisatie en waar deze stromen worden geraakt/ondersteund door IT, inclusief het verkrijgen van inzicht in het IT-landschap.
Doordat beide partijen de wederzijdse verantwoordelijkheden vooraf doornemen, wordt voorkomen dat sommige taken niet worden uitgevoerd.
Control evaluation
Vervolgens is de IT-auditor betrokken in de procesanalyse: de IT-auditor werkt mee aan het in kaart brengen van de interne controle in de processen en systemen en bepaalt mede welke interne controles relevant zijn voor het controleproces. De IT-auditor is nauw betrokken bij het identificeren van de controlewerkzaamheden die worden uitgevoerd en bij de onderlinge taakverdeling tussen accountants en IT-auditor. Gestreefd wordt naar een situatie waarin zoveel mogelijk gezamenlijk, als één team, wordt geopereerd.
Op basis van de inventarisatie van de opzet van de beheersingsmaatregelen en de selectie van relevante controls maken accountant en IT-auditor een vertaling naar de wijze waarop deze controls worden getest.
Het verdient hierbij de voorkeur om niet direct alle IT-gerelateerde werkzaamheden bij de IT-auditor neer te leggen, maar af te wegen in hoeverre het efficiënt, interessant/leerzaam en uitdagender voor beide disciplines is om samen op te trekken en accountants ook IT-controls te laten testen (zie KSF2 ‘Horizontale samenwerking’).
De IT-auditor voert in dezelfde periode als de accountant, liefst tegelijkertijd, de werkzaamheden uit.
Daarna is er nauwe betrokkenheid over de (interim) rapportage / management letter. De IT-auditor denkt na over de gevolgen van de IT-bevindingen voor de jaarrekeningcontrole en adviseert de accountant hierin. Gezamenlijk wordt nagedacht over het testen van compenserende of mitigerende maatregelen en/of het uitvoeren van gegevensgerichte werkzaamheden.
Gegevensgerichte werkzaamheden
Gegevensgerichte werkzaamheden kunnen tijdrovend zijn. In het geval dat de werking van geprogrammeerde controls niet vastgesteld kan worden, omdat uit de ITGC-werkzaamheden is gebleken dat het wijzigingsbeheer bij de klant niet voldoende beheerst wordt, kan deze werking alsnog worden vastgesteld. Namelijk door gebruik te maken van CAAT’s. Deze CAAT’s zijn in staat efficiënt een volledige populatie te controleren en alsnog de effectiviteit van application controls vast te stellen.
Het is de verwachting van de auteurs dat de rol die CAAT’s spelen bij de controle de komende jaren verder zal toenemen. De nieuwste producten op dit gebied leveren niet alleen functionaliteit voor gegevensanalyse, maar bieden ook een workflow voor controlebeheer. De kracht van CAAT’s is dat op efficiënte wijze transacties in een periode kunnen worden geïdentificeerd ([Brou06]).
De rol van de IT-auditor zal hierdoor veranderen van het eenmalig testen van geprogrammeerde controls naar het opstellen van rule sets voor CAAT’s die als normenkader dienen voor de geautomatiseerde gegevensgerichte controle (zie ook kader 2).
Kader 2. Voorbeeldtoepassingen van een CAAT.
- Efficiënt beheer en vastlegging van geïdentificeerde controls.
- Vastleggen van een normenkader voor de systeemconfiguratie van een klant (SOLL-positie) en tegelijk ook de IST-positie bepalen.
- Mogelijkheden voor continuous auditing, dat wil zeggen een geautomatiseerde permanente controleomgeving die de control owners direct waarschuwt bij excepties.
- Geprogrammeerde controls toetsen op werking.
- Op basis van logging vaststellen of geen functievermenging heeft plaatsgehad gedurende het boekjaar, ook al schiet de systeemconfiguratie hierin tekort.
- Genereren van rapportages voor zowel de IT General Controls als geprogrammeerde controls.
- Vaststellen of wijzigingen op het systeem van de klant impact hebben op de IT-afhankelijke (rapportages) en geprogrammeerde controls waarop de interne controle en de controle steunen.
Conclusie & Afronding
De accountant neemt de IT-auditor mee naar besprekingen met de directie en/of stelt de IT-auditor op de hoogte van het verloop van dergelijke gesprekken.
KSF4: Volgorde en timing van uitvoering van IT-auditwerkzaamheden
Het komt het controleproces ten goede als in een vroeg stadium bekend is wat de kwaliteit is van de ITGC’s. In succesvolle controles wordt daarom het testen van de opzet van de ITGC’s uitgevoerd voordat de interim-werkzaamheden plaatsvinden. Indien nodig kan dan, op basis van de eerste indruk van de opzet van de ITGC’s, het controleproces vroegtijdig worden bijgestuurd. Als niet op de application controls kan worden gesteund, kan het controleteam, in overleg met de IT-auditor, compenserende controls identificeren en vaststellen of aanvullende gegevensgerichte werkzaamheden noodzakelijk zijn.
KSF5: Gedegen risicoanalyse
Uit beide blijkt dat indien het controleteam of de klant beschikt over een gedegen raamwerk van interne controles, dit het controleproces effectiever kan maken. Voorwaarde is meestal wel dat het raamwerk tevens de interne controle in en rondom omvangrijke IT-systemen bevat (onderscheid in application controls, autorisaties, rapportages en gebruikerscontroles) en dat het raamwerk is opgesteld door een gecombineerd team van accountants en IT-auditors.
Vervolgstappen op weg naar nauwere samenwerking
De ervaringen en evaluatie tussen IT- en financial auditors in de praktijk van de auteurs hebben geleid tot een aantal voorstellen voor vervolgstappen om de samenwerking te optimaliseren. Hierbij denken wij aan:
- het invoeren van verschillende rollen in verschillende controleopdrachten;
- de versterking van de betrokkenheid van IT-auditors in het hele controleproces; en
- het uitgebreider opleiden van de accountant op het gebied van IT, en de IT-auditor op dat van controle.
Hieronder worden deze vervolgstappen nader uiteengezet en toegelicht.
Verschillende rollen in de verschillende controleopdrachten
Een zinvolle vervolgstap in de nauwere samenwerking is het aanbrengen van meer differentiatie in de rollen van de IT-auditor en accountant binnen verschillende controleopdrachten. Controleopdrachten kunnen hierbij (bijvoorbeeld) worden ingedeeld in een drietal categorieën. Deze indeling is gebaseerd op de omvang van de controle (uren) en de mate van afhankelijkheid van IT.
- Categorie I:
- organisaties met grote omvang in controle-uren;
- organisaties/werkmaatschappijen met gemiddelde omvang in controle-uren én een hoge mate van IT-afhankelijkheid.
- Categorie II:
- organisaties/werkmaatschappijen met gemiddelde omvang in controle-uren én een lage mate van IT-afhankelijkheid;
- organisaties/werkmaatschappijen met een beperkt aantal controle-uren én een hoge mate van IT-afhankelijkheid.
- Categorie III:
- organisaties/werkmaatschappijen met een beperkt aantal controle-uren én een beperkte mate van IT-afhankelijkheid.
Figuur 2. Verschillende rollen in verschillende controleopdrachten.
In het controleproces van organisaties in categorie I dient te worden gestreefd naar een optimale samenwerking waarin wordt voldaan aan de kritieke succesfactoren zoals deze zijn benoemd in dit artikel. Voor het controleproces van organisaties in categorie II en III kan worden gekozen voor een andere benadering: de accountant zal hier zelf een belangrijke(re) rol hebben in het testen van ITGC en/of application controls.
Categorie II: De IT-auditor als meewerkende coach
Bij de controle van organisaties in categorie II zal de IT-auditor een actief coachende rol vervullen:
- De IT-auditor wordt betrokken in de planningsfase van de controle en denkt mee over de risico’s in de jaarrekeningcontrole, de belangrijkste processen en wijze waarop IT hierin een rol speelt.
- De IT-auditor bepaalt samen met de accountant welke IT-auditwerkzaamheden dienen te worden uitgevoerd. Vervolgens wordt in het auditprogramma bepaald welke discipline welke activiteiten zal uitvoeren, waarbij het uitgangspunt is dat de accountant zoveel mogelijk IT-auditwerkzaamheden zelf uitvoert. Alleen in het geval van bijvoorbeeld complexe IT-applicatiecontroles zal de IT-auditor zelf testwerkzaamheden uitvoeren. Verder treedt de IT-auditor in de rol van coach van de accountants die de werkzaamheden uitvoeren. Hij kan bijvoorbeeld de werkzaamheden/interviews die de accountants willen gaan uitvoeren, gezamenlijk voorbereiden.
- De IT-auditor reviewt de uitgevoerde IT-auditwerkzaamheden en denkt mee over de in de te schrijven management letter op te nemen punten.
Categorie III: De coach op afstand
Bij organisaties in categorie III zal de IT-auditor een passief coachende rol vervullen:
- De IT-auditor denkt mee met de accountant indien deze hierom vraagt.
- De IT-auditor verzorgt trainingen voor accountants die willen leren hoe zij IT General Controls en (beperkt) applicatiecontroles kunnen testen.
Voordelen
De voordelen van de benadering van controleopdrachten in de categorieën II en III zijn dat:
- de inspanning van de IT-auditor beperkt kan blijven tot het leveren van de specifieke expertise, waardoor beter gebruik kan worden gemaakt van de deskundigheid van de IT-auditor;
- de kennisoverdracht wordt bewerkstelligd, waardoor accountants zelfstandig IT-auditwerkzaamheden kunnen uitvoeren en ook beter in staat zullen zijn om bevindingen te evalueren in combinatie met hun overige controlewerkzaamheden.
Het indelen van controleklanten in verschillende categorieën ten aanzien van gewenste IT-auditondersteuning helpt de wederzijdse verwachtingen te managen. Bij de eerste categorie past een meer actieve grondhouding bij de IT-auditor, bij de andere categorieën fungeert de IT-auditor als adviseur van het controleteam. Het controleteam is dan initiator. Deze afspraken over de verantwoordelijkheden vormen de basis voor goede samenwerking.
Versterking betrokkenheid IT-auditors in het hele controleproces
Planningsproces
Het is van belang om intensieve betrokkenheid van (senior) IT-auditors te hebben bij de planningsfase en het opstellen van het controleplan. De IT-auditor brengt kennis in en wordt betrokken bij het gestructureerd en top-down in kaart brengen van de risico’s in processen en IT en de vertaling hiervan naar controlestrategie.
Control evaluation
Voorts is het als geïntegreerd team uitvoeren van interim-werkzaamheden naar onze mening een zeer waardevolle ontwikkeling. Dit geldt in het bijzonder voor processen die in sterke mate worden ondersteund door IT, zoals ERP-systemen. In deze opzet wordt een team samengesteld uit accountants en IT-auditors die gezamenlijk de interne controle in kaart brengen. Het voordeel, maar ook een randvoorwaarde, voor het succes van deze aanpak is kennisoverdracht. De accountant zal de IT-auditor leren hoe een controle wordt uitgevoerd, welke controledoelstellingen van belang zijn (inclusief de reden) en op welke wijze deze worden gecontroleerd en gedocumenteerd. De IT-auditor op zijn beurt leert de accountant hoe het IT-systeem werkt en op welke wijze de IT-controls in en rondom het systeem kunnen worden getest.
Substantive procedures
Vervolgens kunnen verdere stappen worden gezet wat betreft de inzet van IT-auditondersteuning op het gebied van de CAAT’s. De uitdaging hierbij is om de tool zodanig in te zette / te configureren dat de effectiviteit en efficiency van de (gegevensgerichte) controleaanpak toeneemt.
Accountants opleiden tot RE / IT-auditors opleiden tot RA
Er zijn voorbeelden van accountants die ook de opleiding tot RE volgen. Ook zijn er IT-auditors die aansluitend nog een RA bemachtigen. Het grote voordeel hiervan is dat de accountants en IT-auditor elkaar in de toekomst beter zullen begrijpen. Bundeling van kennis biedt veel mogelijkheden om tot een efficiëntere planning van de audit te komen.
Tabel 1. Mogelijke rollen van de IT-auditor in de verschillende fasen van het controleproces.
Tot slot
Accountants en IT-auditors hebben al vele jaren ervaring in de samenwerking bij controleopdrachten. De auteurs hebben een vijftal specifieke factoren belicht die, op basis van praktijkervaring, kritiek zijn voor succesvolle integratie. Hoewel deze succesfactoren veel auditors bekend zullen voorkomen, is het volgens de auteurs een uitdaging om aan deze factoren op continue basis voldoende aandacht te schenken. Daarbij kan een aantal (lichte) ingrepen in de samenwerking bij verschillende soorten controleopdrachten het (samen)werk voor beide partijen (nog) uitdagender, leerzamer en interessanter maken.
Literatuur
[Beza01] C. Bezant en P.P. Brouwers, System Integration Controls Lessons Learned from ERP Projects applied to e-Business Systems, Compact 2001/1.
[Bomm04] C.F. van Bommel en H.M. van Goor, IT-auditing in het kader van de jaarrekeningcontrole?, Compact 2004/2.
[Brou06] P.P.M.G.G Brouwers, M.A.P. op het Veld en A.T.J. Lissone, Tool-based monitoring en auditing van ERP-systemen, van hebbeding naar noodzaak, Compact 2006/2.
[Dijk04] A.A. van Dijke, R.A. Jonker en R. Ossendrijver, Het meten van effectiviteit van controlemaatregelen, Compact 2004/1.
[Scho04] R.P. Schouten, De revival van auditsoftware, Compact 2004/1.