Artikel. Naar een verbeterde audit van de interne controle: Continuous auditing

Artikel Naar een verbeterde audit van de interne controle:

Continuous auditing Willem Scheeres

Een belangrijk deel van de accountantscontrole is gericht op het beoordelen van de opzet, het bestaan en de werking van de interne controlemaatregelen bij

In dit artikel wordt een samenvatting gegeven van een onderzoek naar de perspectieven van een tool voor het beoordelen van de interne controle omgeving die geïmplementeerd is in een ERP systeem [Scheeres, 2005].

organisaties. Dit is nog overwegend een handmatige activiteit. Doordat meer en meer bedrijfsprocessen wor-

Ontwikkelingen

den ondersteund door informatiesystemen is een

Als gevolg van de Amerikaanse Sarbanes-Oxley-wetgeving en de Nederlandse Tabaksblat-regelgeving heeft het beheer van het interne controleraamwerk de afgelopen jaren veel aandacht gekregen. Terugkijkend op deze ontwikkeling zien we dat het management van deze bedrijven – als eindverantwoordelijke voor het interne controleraamwerk – veel energie heeft gestoken in het documenteren en testen van de interne controlemaatregelen. Het management heeft expliciet moeten aangegeven wat de significante interne controlemaatregelen voor zijn organisatie zijn. Daarmee worden die maatregelen bedoeld die van essentieel belang zijn voor de audit van de jaarrekeningcontrole. Door deze nadrukkelijke keuze van het aantal controlemaatregelen is het nu mogelijk om gerichter dan voorheen een audit tool in te zetten voor het beoordelen van de interne controlemaatregelen. Als gevolg van een verschuiving van de interne controlemaatregelen naar ERP-systemen én de gevolgen van SOX en Tabaksblat mag verwacht worden dat een ‘continuous audit’ beter mogelijk is dan een aantal jaren geleden.

steeds groter deel van de interne controlemaatregelen ondergebracht in die informatiesystemen. Dit biedt de mogelijkheid om – een gedeelte van – de interne controle geautomatiseerd te testen. Hierdoor wordt het bovendien mogelijk om de interne controle (vrijwel) continu te toetsen voor een grotere zekerheid over de werking van het stelsel van interne controle.

Ing. W.G. (Willem) Scheeres RE MBA is Senior Business Developer bij Ernst & Young. In die rol bedient hij bedrijven in de sectoren transport & logistiek en de industrie. Zijn fascinatie voor continuous audit komt voort uit de mogelijkheden van de inzet van IT voor het nog efficiënter en effectiever uitvoeren van bedrijfsprocessen: ‘de partij met de laagste kosten en een goede kwaliteit heeft de meeste keuze’.

Wanneer een organisatie gebruikmaakt van een ERPsysteem, betekent dat in de meeste gevallen dat besloten is de bedrijfsprocessen beter met elkaar te integreren en te ondersteunen met IT. ERP-systemen worden cliëntspecifiek gemaakt door parameters in configuratiedatabases in te stellen. Ook de interne controlemaatregelen in een ERP-systeem worden op een overeenkomstige wijze geparametriseerd. Wanneer bijvoorbeeld voor een functionaris een inkooporderlimiet gesteld is op 400.000 euro, zal deze waarde in een bepaalde tabel worden vastgelegd. Deze parameter is daarna door een eenvoudige audittool uit te lezen en te toetsen aan een norm. Door de parameters van de significante interne controlemaatregelen gedurende het jaar stelselmatig uit te lezen en te toetsen aan een ingestelde norm, ontstaat een ‘continue’ beeld over het bestaan van de interne controlemaatregelen. Door de intervallen tussen het uitlezen te verkleinen – zodat bijvoorbeeld een paar maal per uur getoetst wordt – ontstaat er ‘in continuïteit’ een beeld over de werking van de interne controlemaatregelen. We spreken dan van ‘continuous audit’ van de interne controlemaatregelen. 10 | de EDP-Auditor nummer 3 | 2007

Continuous auditing

Het begrip ‘continuous auditing’ wordt in de literatuur te pas en te onpas gebruikt. De AICPA heeft in 1999 een rapport geschreven over de mogelijkheden van continuous auditing en een inventarisatie gemaakt van de verschillende financial audittoepassingen met de wens om daar onderzoek naar te doen. Het AICPA rapport wordt gezien als één van de standaardwerken over continuous auditing en bevat een duidelijke definitie: ‘Een methodologie waarmee (onafhankelijke) auditors een schriftelijke verklaring over een bedrijfsactiviteit kunnen afgeven op basis van een reeks controlerapporten die (bijna) gelijktijdig met het plaatsvinden van de bedrijfsactiviteit beschikbaar zijn.’ Deze definitie wordt hier overgenomen. Monitoring of auditing?

Over de begrippen continuous auditing en continuous monitoring bestaat bij collega auditors enige verwarring [Warren,2003]. De Global Technology Audit Guide (GTAG) [2005] van de IIA brengt klaarheid in de discussie door uit te gaan van de onafhankelijkheid en het eigenaarschap van de gebruiker van een evaluatietool. GTAG stelt dat continuous auditing wordt uitgevoerd door (internal/ external) auditors en continuous monitoring wordt uitgevoerd door het management. De keuze voor de benaming van continuous audit of continuous monitoring is dan ook afhankelijk vanuit welke functie een evaluatietool wordt ingezet. De auteur werkt voor een accountantsorganisatie en spreekt dan ook over continuous auditing. Full-scope continuous audit?

Voor het auditen van een onderneming moeten vele activiteiten worden uitgevoerd. Vanuit de financial audit zijn deze activiteiten ten behoeve van het financial statement onder te verdelen in het auditen van ‘top management transactions’ en het auditen van ‘business transactions’ (zie figuur 1). Top management transactions betreffen niet-routinematige activiteiten die door het top management zelf worden uitgevoerd. Een voorbeeld is de aan- of verkoop van bedrijven. Door hun niet-routinematige karakter vallen deze transactions buiten de reikwijdte van het geautomatiseerde deel van het interne controle raamwerk. Om een volledige continuous audit uit te voeren zullen in principe alle activiteiten die de financial auditor uitvoert geautomatiseerd moeten worden. Omdat de niet-routine-

matige activiteiten niet zijn ondergebracht in een informatie systeem, is het niet mogelijk om deze geautomatiseerd te testen. Een full-scope continuous audit is vooralsnog niet realistisch. Een minder complexe toepassing voor een continuous auditing tool is het monitoren van het interne controleraamwerk. Het interne controleraamwerk van een organisatie is relatief statisch van aard, omdat de interne controlemaatregelen vaak gerelateerd zijn aan de processen en procedures van de organisatie en als gevolg daarvan niet vaak veranderen. Een toepassing voor het beoordelen van de interne controlemaatregelen lijkt dus een prima eerste stap in het verkennen van de mogelijkheden van een continuous audit. Economische realiteit continuous audit tool In de laatste 15 jaar zijn verschillende onderzoeken uitgevoerd om na te gaan of continuous auditing technisch en theoretisch haalbaar is [Vasarhelyi,1991 Daigle,2000 Rezaee,2002 Searcy,2003 Warren,2003]. Deze onderzoeken hebben geleid tot het inzicht dat de technische en theoretische haalbaarheid van continuous auditing geen onderwerp van discussie meer is; ‘we kunnen het’. De discussie is verlegd van ‘kunnen we het?’ naar ‘willen we het?’. De vraag is dan ook of het economisch haalbaar is om een continuous auditing toepassing te gebruiken voor de evaluatie van het interne controleraamwerk ten behoeve van de jaarrekeningcontrole. Economisch haalbaar wil zeggen dat de besparingen die gerealiseerd kunnen worden door een deel van de interne controlemaatregelen geautomatiseerd te testen opwegen tegen de investeringen die nodig zijn om een continuous tool te bouwen en te gebruiken. De ervaring met continuous auditing in de praktijk is nog marginaal. Dit komt onder meer door de hoge implementatiekosten die mede een gevolg zijn van de multidisciplinaire kennis die nodig is om een continuous auditing project op te starten. De specialisten moeten gedetailleerde kennis hebben op het gebied van financial auditing, interne controle, audit software en verschillende modules van ERPsystemen. Naast deze kennis moeten de specialisten ook over voldoende overtuigingskracht beschikken om resources los te krijgen om de audit tool van de grond te tillen. Het ontwikkelen van een continuous auditing toepassing is immers alleen zinvol als het economisch haalbaar is.

0LAATSVANHETINTERNECONTROLERAAMWERK 4OPMANAGEMENT TRANSACTIONS &INANCIAL 3TATEMENT "USINESSTRANSACTIONS )NTERNECONTROLERAAMWERK

Figuur 1

De kosten die nodig zijn om een continuous audit toepassing bij een organisatie in te richten en te beheren worden vooral bepaald door de (tijds)inspanning die de financial en IT-auditor moeten leveren ten behoeve van de audit. Vooral voor het operationele gebruik geldt dan: ‘Hoe meer IT-controls significant zijn in een proces, des te kostbaarder wordt de toepassing’. Elke extra IT-control vereist extra aandacht en dus geld, zowel in de analysefase als in de implementatiefase.

11 | de EDP-Auditor nummer 3 | 2007

Voor het terugverdienen van de investeringen in een continuous audit beheertool kan bij accountantskantoren gebruik gemaakt worden van de economische praktijk om investeringen te verdelen over meerdere jaarrekeningcontroles. Investeringen in tools voor gebruik bij meerdere cliënten zijn dus eerder economisch haalbaar. Vanwege de benodigde kennis én de economische haalbaarheid zou mogen worden verwacht dat accountantskantoren de lead nemen om te investeren in de evaluatie van de interne controlemaatregelen met behulp van continuous audit tools. Naast het economische motief is ook de kwaliteit van de audit van belang. Doordat de interne controlemaatregelen met kortere intervallen worden getoetst aan een norm, kan ook met meer zekerheid een uitspraak worden gedaan over het bestaan en de werking van de interne controlemaatregelen. Een continuous audit toepassing heeft hierdoor een positieve invloed op de kwaliteit van de audit. De investeringen zijn dan ook gedeeltelijk te verantwoorden met een verbetering van de kwaliteit van de audit. Het onderzoek In het onderzoek is gekeken of auditors behoefte hebben aan een effectievere en efficiëntere methode voor het geautomatiseerd auditen van het interne controle raamwerk en of er belemmeringen zijn om over te gaan op een geautomatiseerde aanpak. In het onderzoek stonden daarom de volgende twee vragen centraal: • Is er vanuit de audit business behoefte om op een effectievere en efficiëntere manier het interne controle framework geautomatiseerd te testen? • Wat zijn de hindernissen die genomen moeten worden voordat een continuous auditing toepassing voor de evaluatie van het interne controle framework kan worden geïmplementeerd?

/NDERZOEKSGROEPENRESPONDENTEN !ANTAL )NTERNAL)4 AUDITOR

)4AUDITOR

 





 

 &INANCIAL AUDITOR



2ESPONDENTEN

Continuous auditing in de praktijk

Begrijpen auditors continuous auditing? Van de 154 auditors die hebben meegedaan aan het onderzoek geeft 40 procent (62) aan (figuur 3) dat ze redelijk tot volledig bekend zijn met het concept continuous auditing. 60 Procent (91 auditors) van de respondenten heeft nog onvoldoende zicht op de betekenis van continuous auditing. Onder de respondenten die praktijkervaring hebben opgedaan bevinden zich drie financial auditors. We kunnen hieruit concluderen dat, terwijl continuous auditing wel enige bekendheid heeft, er nog maar weinig financial auditors zijn die er in de praktijk ervaring mee hebben. Verwacht mag daarom worden dat het voor auditors lastig is om continuous audittoepassingen op hun waarde te beoordelen en organisaties te overtuigen van nut en noodzaak ervan. Continuous audittoepassingen moeten zich kennelijk eerst nog bewijzen voordat brede acceptatie haalbaar is. #ONTINUOUSAUDITINGBEKENDHEIDENERVARING !ANTAL

0ERCENTAGE!ANTAL 

6OLLEDIG

&INANCIAL  AUDITOR



2EDELIJK

 'EEN



%NIGSZINS







)4AUDITOR



)NTERNAL )4 AUDITOR

 .IET



"EKENDHEID 6RAAG



*A



%RVARING



&UNCTIE 

"ENTUBEKENDMETHETCONCEPTCONTINUOUS AUDITING 

6RAAG

(EEFTUPRAKTIJKERVARINGMETCONTINUOUS AUDITING 

!NALYSE

2ESPONDENTENMETERVARINGGECATEGORISEERDPERFUNCTIE I

Figuur 3

Beperkt gebruik auditsoftware

Een tool voor een continuous audit is een vorm van auditsoftware: het gaat om een specifieke functionaliteit ten behoeve van de audit. Ook voor auditsoftware geldt dat auditors er in hun praktijk betrekkelijk weinig gebruik van maken. Informatie hierover is te vinden in figuur 4. Het blijkt dat slechts 50 procent van de respondenten bij de jaarrekeningcontrole gebruik maakt van audit software en slechts 37 procent dat doet bij de beoordeling van de interne controle. In dit licht bezien is de beperkte ervaring die auditors met continuous audit hebben misschien niet eens zo bijzonder.

 



0OPULATIE

Figuur 2

Het onderzoek is uitgevoerd in het voorjaar van 2005 door middel van een on-line survey die is uitgezet onder 370 personen met een auditfunctie: financial auditors, IT-Auditors en internal auditors. In totaal hebben 154 auditors de survey ingevuld, hetgeen een response geeft van 42 procent.

De auditor is bij de aanwezigheid van een ERP systeem in principe in de gelegenheid om met behulp van audittools analyses te maken van processen of transacties. Vanuit accountancy-organisaties wordt veel inspanning gedaan om het analyseren van data te stimuleren om zo concrete evidence te verkrijgen. De percentages uit figuur 4 van auditors die audittools gebruiken bij de jaarverslagcontrole (50 procent), respectievelijk bij de beoordeling van de interne controle (37 procent) zijn beduidend lager dan het percentage

12 | de EDP-Auditor nummer 3 | 2007

'EBRUIKVANAUDITSOFTWARE

van 71 procent (zie figuur 5) dat in z’n werk te maken heeft met een ERP-systeem. Het lijkt er dus op dat de mogelijkheden om audittools in te zetten als de organisatie met een ERP-systeem werkt, onvoldoende benut worden.



0ERCENTAGE 6RIJWELALTIJD 

*AARVERSLAG

)NTERNE#ONTROLE

'EREGELD



!FENTOE



.EE 7EETNIET



















 6RAAG

-AAKTUWORGANISATIEGEBRUIKVANAUDITSOFTWAREZOALS!#, )$%!OFEIGENPROGRAMMATUUR TIJDENSDECONTROLE WERKZAAMHEDENTBVHETJAARVERSLAG

6RAAG

-AAKTUWORGANISATIEGEBRUIKVANAUDITSOFTWAREZOALS!#, )$%!OFEIGENPROGRAMMATUUR BIJDEBEOORDELINGVANDE )NTERNE#ONTROLEMAATREGELEN

Figuur 4

'EBRUIKTE%20SYSTEEMENAUDITERVARING !ANTAL

0ERCENTAGE

3!02



0EOPLESOFT



/RACLE&INANCIALS



%XACT'LOBE

  RESPONDENTEN

NVT



#ODA .AVISION

JAAR



*$%DWARDS

JAAR











"AAN



!XAPTA



!NDERS



  JAAR



'EEN 7EET NIET



 JAAR

 

%20GEBRUIK



!UDITERVARING



-AAKTUWORGANISATIEOFDEORGANISATIEWAARUUW VOORNAAMSTEWERKZAAMHEDENVERRICHT GEBRUIKVANmmN VANDEVOLGENDE%NTERPRISE2ESOURCE0LANNING%20 SOFTWAREPAKETTEN

6RAAG

6RAAG

(OEVEELJARENERVARINGHEEFTUINAUDITFUNCTIES

Figuur 5

)NZETVANAUDITSOFTWARE 'EENMENING

0ERCENTAGE

'EDEELTELIJK 6OLLEDIGMEE MEEEENS EENS 

0ROCESEIGENAAR





'EDEELTELIJK 6OLLEDIGMEE MEEONEENS ONEENS 









 $ATA

 

)NFORMATIE 

)NTERNET





















Uit vorenstaande kan voorzichtig worden geconcludeerd dat auditors weinig gebruik maken van auditsoftware tools voor de beoordeling van de interne controle terwijl de mogelijkheden er wel zijn. Wanneer men zelf geen praktische ervaring heeft met auditsoftwaretoepassingen, is het niet eenvoudig om anderen van het nut en de noodzaak te overtuigen. Indien auditsoftware de audits efficiënter en effectiever kan maken zal er naast de technische aspecten speciale aandacht moeten worden besteed aan het stimuleren van financial auditors om continuous auditing tools toe te passen in de praktijk. De wens tot verandering

Het management is verantwoordelijk voor het opstellen van een ‘in-control statement’. Sarbanes-Oxley en Tabaksblat verlangen dat de financial auditor hierover een verklaring afgeeft. Dit impliceert dat de financial auditor voldoende evidence in handen wil krijgen om deze verklaring met overtuiging te kunnen afgeven. Het is dus geen vreemde gedachte dat de financial auditor, al dan niet samen met de internal auditor, behoefte zal hebben aan auditsoftware waarmee opzet, bestaan en werking van de interne controlemaatregelen op een onafhankelijke wijze én in continuïteit kan worden vastgesteld. Het moet efficiënter





 6RAAG"IJHETGEBRUIKVANAUDITSOFTWAREISHETGEMAKKELIJKOM  DEPROCESEIGENAARTEOVERTUIGENTOEGANGTEVERLENENTOTDEBENODIGDE DATA  DEBENODIGDEDATAUITHET)4SYSTEEMTEKRIJGEN  DEGEWENSTEINFORMATIEUITDEONTVANGENDATATEVERKRIJGEN  DEPROCESEIGENAARTEOVERTUIGENTOEGANGTEGEVENTOTDEDATAVIAEEN BEVEILIGDEINTERNETVERBINDING

Figuur 6

Behalve de aanwezigheid van een ERP-systeem en het bieden van de mogelijkheid tot het uitvoeren van een continuous audit is het ook belangrijk om vast te stellen of de auditor problemen verwacht bij de toegang tot de data. Dit levert in de praktijk nogal eens een probleem op omdat bedrijfsgegevens vaak als zeer vertrouwelijk worden gezien. In figuur 6 is te zien dat 55 procent van de respondenten denkt de proceseigenaar te kunnen overtuigen toegang tot de vereiste data te verlenen. Wordt gevraagd om dit te doen via een beveiligde internet verbinding, dan is dit nog maar 27 procent.

Uit figuur 7 is af te leiden dat de beoordeling van de interne controle bij organisaties nog valt te verbeteren. 87 procent van de respondenten is van mening dat de efficiency in de beoordeling van de interne controle moet worden verbeterd en 77 procent vindt dat dit ook voor de effectiviteit geldt. Bij auditors bestaat dus de wens om de evaluatie van het interne controle raamwerk te verbeteren. Dit is niet verbazingwekkend, omdat grote delen van het beoordelingsproces nog (vrijwel) handmatig zijn. Naar aanleiding van Sarbanes-Oxley is veel energie gestoken in het vastleggen van het interne controleraamwerk. Automatisering kan de evaluatie van dit raamwerk efficiënter maken.

13 | de EDP-Auditor nummer 3 | 2007

)NTERNECONTROLEEVALUATIEACTIVITEITEN 0ERCENTAGE



   

  

6OLLEDIGONEENS 'EDEELTELIJKONEENS





'EENMENING





'EDEELTELIJKEENS





6OLLEDIGEENS 



%FFICIENCY

%FFECTIVITEIT

6RAAG (ETISNOODZAKELIJKOMDEEFFICIENCYVANDEBEOORDELINGVANDE INTERNECONTROLETEVERBETEREN 6RAAG (ETISNOODZAKELIJKOMDEEFFECTIVITEITVANDEBEOORDELINGVANDE INTERNECONTROLETEVERBETEREN

Figuur 7

interne controlemaatregelen gevraagd wordt (figuur 8, vraag 3). 93 Procent van de respondenten wil in antwoord op deze vraag elk kwartaal de interne controlemaatregelen testen. Belangrijk bij de interpretatie van deze gegevens is dat de vraagstelling expliciet spreekt van geautomatiseerd testen. De respondent zal door de vraagstelling veronderstellen dat het geautomatiseerd testen daadwerkelijk ook mogelijk is. De stijging van 43% (vraag 1, n=152) naar 92 procent (vraag 3, n=66) geeft aan dat het voor de auditor ook een kwestie is van de mogelijkheden zien en begrijpen. Kennelijk willen auditors wel met een hogere frequentie testen wanneer hun duidelijk wordt gemaakt dat geautomatiseerd testen inderdaad mogelijk is. Blijkt het geautomatiseerd testen van de interne controlemaatregelen mogelijk te zijn dan wil het overgrote deel van de auditors daar gebruik van maken. Versnelling accountantsverklaring

Bovenal bevordert het echter de effectiviteit van de controle door bijvoorbeeld zes keer per uur geautomatiseerd een interne controlemaatregel aan een norm te toetsen, in plaats van handmatig éénmaal per jaar. Ander gedrag

De wens tot verandering is aanwezig, maar slechts 43 procent van de ondervraagden (figuur 8, vraag 1) geeft aan de interne controlemaatregelen vaker dan één keer per jaar te willen testen. De andere 57 procent voelt hier weinig voor. Dit betekent dat de noodzaak niet wordt onderkend, of dat men denkt dat het geautomatiseerd testen van de interne controlemaatregelen niet mogelijk is of te veel tijd en geld zal gaan kosten. Van de respondenten die wel vaker dan een keer per jaar de interne controlemaatregelen willen testen geeft nog steeds 48% aan dat het voldoende is om slechts eenmaal per kwartaal te testen (figuur 8, vraag 2). Het is interessant om te zien dat slechts 8 procent van mening is dat de interne controlemaatregelen op dagbasis getest moeten worden, terwijl dat percentage opeens omhoog gaat naar 26 procent wanneer expliciet naar de werking van de

Door het geautomatiseerd testen van de interne-controlemaatregelen kan een deel van de controlewerkzaamheden efficiënter verlopen en is de mogelijkheid aanwezig om het tijdsinterval tussen einde boekjaar en het publiceren van het jaarverslag te verkorten. Van de ondervraagden vindt 72 procent dat het tijdsinterval tussen einde boekjaar en de publicatie van het jaarverslag korter moet (zie figuur 9). De productietijd van het jaarverslag zou volgens 86 procent van de ondervraagden idealiter korter dan één maand moeten zijn en 22 procent vindt dat deze productietijd korter dan één dag zou moeten zijn. 8 procent van de ondervraagden vindt minder dan één uur noodzakelijk. 62 procent van de respondenten ziet in de nabije toekomst de noodzaak van een on-line jaarverslag in dat de actuele financiële situatie van de organisatie weerspiegelt.

'EWENSTEVERSNELLINGACCOUNTANTSVERKLARING 0ERCENTAGE 6OLLEDIGEENS

6ERKORTEN INTERVAL

'EDEELTELIJK EENS 

'EDEELTELIJK ONEENS 6OLLEDIGONEENS

'EEN MENING 

  



  

'EDRAGSVERANDERINGBIJTESTENINTERNECONTROLE 0ERCENTAGE 7EETNIET .EE

N 

N  



 *A



 

4ESTENVAKER DANXPERJAAR 6RAAG

 



+WARTAAL



-AAND



7EEK

&REQUENTIE

0RODUCTIETIJD









MINUUT UUR DAG WEEK 

$AG

 



N  *AAR



JR

/NLINEVERSLAG 

 JR





MAAND

 



MAAND 7EETNIET

'EEN  JR JR BEHOEFTE 











&REQUENTIE

"ESTAATERBEHOEFTEOMDEWERKINGVANDEINTERNECONTROLEMAATREGELEN INGEBEDINDE)4SYSTEMEN VAKERDANmmNMAALPERJAARTETESTEN

6RAAG  -ETWELKEFREQUENTIEZOUUEENEFFECTIEVECONTROLEMAATREGEL BIJVOORKEUROPERATIONEELWILLENTESTEN"IJVRAAG*A

6RAAG  7ANNEERUEXPLICIETEENUITSPRAAKOVER³DEWERKING´VANEFFECTIEVE CONTROLEMAATREGELENINEEN)4SYSTEEMZOUWILLENDOEN METWELKE FREQUENTIEZOUUDEMAATREGELENDANGEAUTOMATISEERDWILLENTESTEN

6RAAG $EORGANISATIEHEEFTBEHOEFTEAANHETVERKORTENVANDEPERIODE TUSSENHETEINDEVANHETBOEKJAARENHETPUBLICERENVANHET JAARVERSLAG 6RAAG (ETFINANCIpLEJAARVERSLAGMOETEENPRODUCTIETIJDHEBBENVAN 6RAAG "INNENHOEVEELJAARDENKTUDATERBEHOEFTEISAANEENON LINE FINANCIEELJAARVERSLAGDATDEACTUELEFINANCIpLESITUATIEVANDE ORGANISATIEWEERSPIEGELT &IGUUR 

Figuur 8

Figuur 9

14 | de EDP-Auditor nummer 3 | 2007

Mogelijkheid tot verandering

!CTIVITEITENINTERNECONTROLEEVALUATIE

Economische haalbaarheid

0ERCENTAGE

Voor een efficiëntere en effectievere evaluatie van de interne controle wil de auditor de geboden technologische mogelijkheden wel inzetten, mits hij ze ook begrijpt. Combineren we dit met de ontwikkelingen als gevolg van Sarbanes-Oxley en Tabaksblat, dan kunnen we concluderen dat het geautomatiseerd testen van het interne controleraamwerk een interessante mogelijkheid is voor auditors. Technisch en functioneel is de inzet van auditsoftware voor het geautomatiseerd testen van de interne controlemaatregelen haalbaar, maar kan het in de praktijk ook economisch? Huidig inzicht

Het is interessant om vast te stellen op welke wijze auditors in de praktijk met het interne controleraamwerk omgaan. Als wordt gekeken naar de activiteiten die de meeste tijd in beslag nemen, noemt 29 procent van de ondervraagden het testen van de interne controlemaatregelen (zie figuur 10, vraag 1). Maar ook het verzamelen van informatie (21 procent) en analyseren/documenteren (19 procent) neemt veel tijd in beslag. Wanneer we vragen welke activiteiten het beste geautomatiseerd kunnen worden (vraag 2) geeft 33 procent aan dat dit het testen van de interne controlemaatregelen betreft. Ook analyseren en documenteren komen in aanmerking (26 procent). Wanneer we de audit procesmatig bekijken kan besloten worden om een maximale tijd beschikbaar te stellen voor de evaluatie van de interne controlemaatregelen. 66 Procent van de auditors (vraag 3) vindt dat per proces, per maand, minder dan een dag mag worden besteed, en 14 procent vindt dat het minder dan een uur moet zijn. (figuur 10, vraag 3). Bij een maximum van een dag per maand zou de auditor dan per jaar maximaal twaalf uur mogen besteden aan de analyse van en rapportage over de werking van de maatregelen van interne controle van één bedrijfsproces. Dit vereist een zeer efficiënte methode van werken, zodat de vraag zich opdringt: ‘Hoe ga ik dit realiseren?’. Samenwerking

Wanneer de interne controlemaatregelen zijn ingebed in ITsystemen en geautomatiseerd kunnen worden getest, wordt het verzamelen van informatie minder arbeidsintensief omdat het voor de auditor niet meer nodig is handmatig gegevens op te vragen bij de organisatie. Wel zal de complexiteit van de beoordeling toenemen omdat de auditor nu met meer detailgegevens inzicht krijgt in de werking van de interne controlemaatregelen. Want, stel dat blijkt dat enkele interne controlemaatregelen maar tijdens 95 procent van de tijd hebben gewerkt – bijvoorbeeld door bijvoorbeeld software updates of systeem downtime. Welke gevolgen heeft dit dan voor de beoordeling van de audit? Wat voor aanvullende werkzaamheden moeten worden gedaan? De gevolgen van deze extra informatie voor het beoordelen van de interne controlemaatregelen moeten nog nader worden onderzocht.

7EETNIET 

3ET UPACTIVITEITEN



6ERZAMELENVANINFORMATIE



4ESTENVANINTERNECONTROLES



!NALYSEENDOCUMENTATIE 2APPORTEREN 7EETNIET

 

DAGEN



DAGEN



DAG





DAG

 



UUR

     

!UDITTOOL SUPPORT

-EEST  TIJDROVEND

!UDITTIJD

6RAAG 7ELKEACTIVITEITENNEMENTIJDENSDEBEOORDELINGVANDEINTERNE CONTROLEWERKZAAMHEDENDEMEESTETIJDINBESLAG-AXIMAAL ANTWOORDEN 6RAAG 7ELKEACTIVITEITENHEBBENBIJDEBEOORDELINGVANDEINTERNE CONTROLEVOLGENSUDEMEESTEKANSOMSUCCESVOLTEWORDEN GEAUTOMATISEERD-AXIMAALANTWOORDEN 6RAAG (OEVEELTIJDMAGUWTEAM PERMAAND BESTEDENAANHET ANALYSERENVANDEAUDITTRAILINCLUSIEFRAPPORTAGEOVERmmN SIGNIFICANTPROCES

Figuur 10

4OEPASSINGVANCONTINUOUSAUDITS 

!ANTAL

)NTERNECONTROLE 

&INANCIpLEINFORMATIE  *AARREKENINGCONTROLE 

+EYPERFORMANCE INDICATOREN  

!NDERS  7EETNIET







 

%FFICIENCY %FFECTIVITEIT

6RAAG 3TELDATUMETEENCONTINUOUSAUDITTOEPASSINGDEEFFECTIVITEIT VANDEAUDITKANVERBETEREN/PWELKEGEBIEDENISDATHET MEESTWENSELIJK-AXANTWOORDEN 6RAAG 3TELDATUMETEENCONTINUOUSAUDITTOEPASSINGDEEFFICIENCYVAN DE AUDIT KANVERBETEREN/PWELKEGEBIEDENISDATHETMEEST WENSELIJK-AXANTWOORDEN

Figuur 11

Als continuous auditing software het audit proces efficiënter en effectiever kan laten verlopen, op welke gebieden vindt de auditor dit dan het meest wenselijk? Het grootste deel van de respondenten (figuur 11, vraag 1) denkt dat het meeste voordeel te halen is bij de evaluatie van de interne controle. Maar ook het verwerken van financiële informatie zou een goede kans maken om in continuïteit geaudit te worden. Dit is geen vreemde gedachte, omdat door de automatisering van bedrijfsprocessen financiële gegevens beschikbaar zijn. Verwacht mag worden dat het management wél de beschikking heeft over deze financiële informatie uit het ERP-systeem, al was het maar uit de standaardrapportages van het ERP-systeem. Vanuit een auditperspectief zou de vraag gesteld kunnen worden: ‘Maakt de financial auditor in voldoende mate in continuïteit gebruik van financiële management rapportages ten behoeve van de financial audit?’. In dit onderzoek wordt daar niet op ingegaan, maar deze vraag zou een apart continuous audit onderzoek rechtvaardigen.

15 | de EDP-Auditor nummer 3 | 2007



)MPACTINTERNECONTROLEOPHETCONTROLEBUDGET !ANTAL

)NTERNECONTROLEBUDGET 

3IGNIFICANTECONTROLSINEENSIGNIFICANTPROCES !ANTALGECATEGORISEERDNAARRESPONDENTENGROEP

!ANTAL 

&INANCIAL !UDITOR

CONTROLS

 ¯



 ¯



 ¯







4OTAAL





)4!UDITOR

)NTERNAL !UDITOR 

4OTAAL



 ¯









¯









¯







 ¯

















RESPONDENTENWETENHETNIET



6RAAG 7ATISPROCENTUEELHETBUDGETVOORDEEVALUATIEVANDEINTERNE CONTROLETENOPZICHTEVANHETTOTALECONTROLEBUDGET BIJBEDRIJVENMETEENCONTROLEBUDGET









7EETNIET





 4OTAAL

 







 





Figuur 12

Figuur 13

Budget

Gedeeltelijk kan het verschil in aantallen significante interne controlemaatregelen per proces ontstaan doordat ‘de belevingswereld’ van wat noodzakelijk is voor de jaarrekeningcontrole verschilt.

Wanneer gekeken wordt naar de aandacht die uitgaat naar het beoordelen van de interne controlemaatregelen, dan geeft 84 procent van de respondenten aan (figuur 12) dat bij bedrijven met een 100.000 euro + controlebudget, tussen de 20 en 50 procent van het controlebudget hiervoor wordt ingezet. Geconcludeerd mag worden dat economisch gezien een efficiencyslag voor het beoordelen van de interne controle dan ook een aanzienlijke impact kan hebben op het jaarrekeningcontrolebudget. Vanuit een efficiency gedachte kan de financial auditor zich afvragen: ‘Wat zou mijn besparing op het controlebudget zijn als de beoordeling van de interne controle efficiënter verloopt?’ In dit onderzoek is vooral de aandacht uitgegaan naar het beeld dat (financial) auditors hebben van de mogelijkheden van continuous audits en naar de economische haalbaarheid van een continuous audittoepassing. Zoals eerder reeds is aangegeven heeft de economische haalbaarheid van een continuous audittoepassing een directe relatie met het aantal interne controlemaatregelen dat getest moet worden: hoe minder significante controles, des te minder tijd en minder kosten nodig zijn om de audit uit te voeren. De vraag die gesteld kan worden is dan: ‘Hoeveel significante interne controlemaatregelen zijn er maximaal nodig voor een proces?’.

Onderlinge communicatie

Is er dan voldoende gerichte communicatie tussen de verschillende auditors bij de jaarrekeningwerkzaamheden? 39 Procent (figuur 14, vraag 1) van de auditors denkt dat er onvoldoende onderlinge communicatie is. 75 Procent van de respondenten (vraag 2) is van mening dat de communicatie tussen IT-auditor en financial auditor moet verbeteren. Als voorgestelde oplossingsrichting geeft 37 procent aan dat de IT-auditor een betere focus zou moeten hebben op de jaarrekeningwerkzaamheden en 47 procent is van mening dat via een integrated audit de samenwerking kan worden verbeterd (vraag 3). We kunnen concluderen dat de communicatie tussen financial auditor en IT auditor ten behoeve van de jaarrekeningcontrolewerkzaamheden verbeterd moet

#OMMUNICATIEAUDITOR¯)TAUDITOR 0ERCENTAGE 6OLLEDIGONEENS

 

/NEENS



'EENMENING



%ENS



6OLLEDIGEENS



Het aantal significante controles per proces

Van de 154 respondenten geeft 68 procent aan (figuur 13) dat tussen drie en tien interne controlemaatregelen per proces moeten worden getest. Bij de IT auditors en internal auditors is de spreiding groter dan bij de financial auditors, wat mogelijk te verklaren is doordat de financial auditor door budgetdruk zo efficiënt mogelijk wil werken. Bij de internal auditor ligt de mediaan bij zes tot tien significante controls per proces. De vraag is waardoor deze spreiding in aantallen dan door kan ontstaan.



6OLDOENDE COMMUNICATIE



JA





6ERBETERING NODIG 



!NDEREOPLOSSING



)NTEGRATEDAUDIT



&OCUSOPJAARREKENING WERKZAAMHEDEN

6OORGESTELDE OPLOSSING 

6RAAG

%RVINDTINVOLDOENDEMATEOVERLEGPLAATSTUSSENDE ACCOUNTANTENDE)4AUDITORGEDURENDEDEBEOORDELINGVANDE INTERNECONTROLETENBEHOEVEVANDEJAARREKENINGCONTROLE

6RAAG

"ENTUVANMENINGDATDECOMMUNICATIETUSSENDEACCOUNTANT ENDE)4AUDITOROVERDEBEOORDELINGVANDEINTERNECONTROLE ZOUMOETENVERBETEREN

!NALYSE

,EGUIT2ESPONSEGECATEGORISEERDNAAROPLOSSINGSRICHTING GEtNTERPRETEERD

Figuur 14

16 | de EDP-Auditor nummer 3 | 2007

worden. Een volwaardige integrated audit, zoals uiteengezet door de PCAOB in Audit Standard 2 [AS2, 2004] waarbij zowel een audit wordt uitgevoerd van het financial statement als van de interne controle gericht op de financiële rapportage uit het informatiesysteem brengt verbetering aan in de communicatie. Bij een integrated audit neemt de betrokkenheid van de IT-auditor toe omdat een deel van de interne controlemaatregelen aanwezig is in de informatiesystemen.

Referenties CICA ,1999

Canadian Institute of Chartered Accountants, 1999, Research Report on continuous auditing continuous auditing.

Daigle, 2000

Daigle, R and Lampe, J, 2000, Determining the Market Demand for continuous Online Attestation, Conference on continuous audit, Rutgers University, September 2000

GTAG, 2005

Global Technology Audit Guide, 2005, Continuous auditing: implications for assurance, monitoring, and risk

Samenvattend De afgelopen jaren heeft het management als gevolg van Sarbanes-Oxley en Tabaksblat veel aandacht gegeven aan het verbeteren van de interne controlemaatregelen ten behoeve van de jaarrekeningcontrole. Door een verschuiving van de interne controlemaatregelen naar informatie systemen wordt het inzetten van geautomatiseerde audit tools steeds beter haalbaar. Door internet is de fysieke locatie van de audit tool minder belangrijk is geworden.

assessment, Institute for Internal auditors (IIA). PCAOB, 2004

Public Company Accounting Oversight Board Bylaws and Rules, 2004, – Accounting Standards 2 – AS2 As of September 8, 2004

Rezaee, 2002

Rezaee, Z, Sharbatoghile, A. Elam and R, McMickle, P, 2002, continuous auditing: building automated auditing capability, Auditing: A journal of Practice and Theory, March 2002, pp.147-63.

Searcy, 2003

Searcy, D, Woodroof, J and Behn, B, 2002, continuous auditing: The motivations, benefits, problems and Challenges

Uit het onderzoek blijkt dat auditors nog weinig gebruikmaken van auditsoftwaretools voor de beoordeling van de interne controlemaatregelen terwijl de mogelijkheden bij bedrijven met ERP-systemen er wel zijn. Bij het overgrote deel van de auditors bestaat de wens om de evaluatie van het interne controleraamwerk efficiënter en effectiever te maken. Wanneer de auditor duidelijk wordt gemaakt dat het geautomatiseerd testen van interne controlemaatregelen mogelijk is, dan wil 92 procent van de auditors de interne controlemaatregelen minstens elk kwartaal testen en 26 procent zelfs dagelijks. De beoordeling van het interne controle raamwerk bij grotere bedrijven (met een controlebudget van 100.000 euro of meer) bedraagt tussen de 20 en 50 procent van het budget. Omdat een efficiëntere interne controle-evaluatie een aanzienlijke impact kan hebben op het controlebudget, zou de auditor zich vanuit een ‘lean’ gedachte mogen afvragen welke besparingen te realiseren zijn bij de inzet van continuous audit tools. De continuous audit tools zullen bij goede implementatie tevens een positieve bijdrage leveren aan de kwaliteit van de audit omdat met meer zekerheid kan worden gerapporteerd over de werking van de interne controlemaatregelen.

Identified by Partners of a big 4 accounting firm, Proceedings of the 36th Hawaii international Conference on System Sciences. Scheeres, 2005 Scheeres, W.G, 2005, How continuous auditing could support the process of internal control evaluation, University of Liverpool Vasarhelyi, 1991 Vasarhelyi, M., and Halper, F., The continuous audit of online systems. Auditing, A journal of Practice and Theory 19 (1), 110-125, 1991 Warren, 2003

In de literatuur is de discussie over continuous audit tool verlegd van ‘kunnen we het?’ naar ‘willen we het?’. De vraag is nu: Welke auditor neemt het voortouw om een continuous audit tool voor de evaluatie van het interne controle raamwerk in de praktijk te realiseren? Ik doe mee. ■

17 | de EDP-Auditor nummer 3 | 2007

Warren jr, J and Parker, X, 2003, continuous auditing: potential for Internal auditor, The IIA Research Foundations (IIARF).