Datum CaseWare Nederland bv. Versie 1.0 Amersfoortseweg 15F. Opgesteld door Bas Sperling Telefoon:

RELEASENOTES SRA CCM 2015

Datum

10-6-2015

CaseWare Nederland bv

Versie

1.0

Amersfoortseweg 15F

Referentie

7302 EM APELDOORN www.caseware.nl

Opgesteld door

Bas Sperling

Telefoon: 055-3681050

© Copyright 2015 CaseWare Nederland B.V. All Rights Reserved

Releasenotes SRA CCM 2015

pagina 1 / 34

INHOUDSOPGAVE

Inhoudsopgave .......................................................................................................................................................................... 2 1

Inleiding.............................................................................................................................................................................. 4

2

Wijzigingen......................................................................................................................................................................... 4 2.1

Lay out wijzigingen ................................................................................................................................................ 4

2.2

Tonen van bedragen en materialiteit in werkprogramma’s ..................................................................................... 5

2.3

Sorteren van klantinstructies ................................................................................................................................. 5

2.4

Kolom duidelijk onbeduidend toegevoegd in materialiteitsberekening................................................................... 6

2.5

Intelligentie in werkprogramma’s ........................................................................................................................... 7

2.6

Aantal controledoelstellingen verminderd .............................................................................................................. 7

2.7

Instructies in eindejaarswerkprogramma’s reageren op controledoelstellingen ...................................................... 7

2.8

Risicosoorten gewijzigd ......................................................................................................................................... 8

2.9

Bibliotheekfunctionaliteit werkprogramma’s ........................................................................................................... 9

2.10

In postencontrolestrategiematrix de kans en impact op beweringenniveau kunnen aangeven ............................. 11

2.11

Nieuw document 3.1.3 Materialiteitsberekening toegevoegd. .............................................................................. 12

2.12

Conclusie 1.14.30 Checklist Frauderisico’s in controleplan.................................................................................. 12

2.13

Fysieke documenten verwijderd uit de map Standaard / Documentenbeheer ...................................................... 13

2.14

Extra functionaliteit aan vragenlijst toegevoegd. .................................................................................................. 13

2.15

Alle werkprogramma’s bevriezen......................................................................................................................... 13

2.16

Kerndocumenten fixeren ..................................................................................................................................... 14

2.17

Optie automatische volgorde in leadsheet ........................................................................................................... 15

2.18

Knowledge links .................................................................................................................................................. 15

2.19

Scan inbox functionailteit..................................................................................................................................... 16

2.20

Triggeren synchronisatie na aanpassing door beheerder .................................................................................... 16

2.21

Gebruik maken van materialiteit bij dossieropbouw. ............................................................................................ 17

2.22

Bugfixing ............................................................................................................................................................. 18 2.22.1

Script bij lockdown............................................................................................................................... 18

2.22.2

Keycontrol niet direct zichtbaar in 1.17.4 Controlestrategiematrix (processen) .................................... 18

2.22.3

Overnemen vink keycontrol effectief in risicodocument........................................................................ 18

2.22.4

Aanmaken rollensets ........................................................................................................................... 18

2.22.5

Risico’s komen niet op in werkprogramma inkopen en salarissen........................................................ 18

2.22.6

Foutmelding bij dossier aanvullen met kantoorspecifieke leadsheets .................................................. 18

2.22.7

Kolomkoppen in 4.1.14 Statusoverzicht ............................................................................................... 19

2.22.8

Fout bij transfer groepsdocumenten met bijzondere tekens ................................................................. 19


pagina 2 / 34

3

2.22.9

Lege documenten bij transfer groepsdocumenten ............................................................................... 19

2.22.10

Aantekeningtype in 2.30.2 Interimmemo.............................................................................................. 19

Contentwijzigingen ........................................................................................................................................................... 20 3.1

Vervallen documenten......................................................................................................................................... 20

3.2

Nieuwe documenten ........................................................................................................................................... 20

3.3

Gewijzigde documenten ...................................................................................................................................... 20

Bijlage gewijzigde documenten ................................................................................................................................................ 20

© Copyright 2015 CaseWare Nederland B.V. All Rights Reserved


pagina 3 / 34

1

INLEIDING Het SRA-werkprogramma Controle is geactualiseerd op basis van de weten regelgeving en nieuw verkregen inzichten. De belangrijkste wijzigingen in het werkprogramma Controle: ·

De praktische toepasbaarheid van de werkprogramma’s IT is verbeterd;

·

Een nieuw werkprogramma naleving weten regelgeving (COS 250);

·

Toevoeging werkstap ter onderbouwing (kwantificering) van overige gegevensgerichte controlewerkzaamheden (detailcontroles);

·

Toevoeging voorloopvraag/keus om al dan niet gebruik te maken van een uitgebreide checklist t.b.v. interne beheersingsomgeving en een checklist t.b.v. risico-inschattingsproces;

·

De terminologie is aangepast volgens de meest recente controlestandaarden.

Ook kunt u vanuit het werkprogramma de NV COS en RJ raadplegen, net als het SRA-handboek en relevante praktijkhandreikingen. De overige wijzigingen zijn voornamelijk voortgekomen uit de technische meldingen (servicedesk). Hieronder zullen puntsgewijs de wijzigingen behandeld worden.

2 2.1

WIJZIGINGEN Lay out wijzigingen In het tekstmenu is nu bij items waaronder submenu’s zitten een pijl weergegeven.

Onder de

icoon zitten overige menu-items die waarschijnlijk niet veel gebruikt zullen worden.

Daarnaast is het icoon voor het opnemen in kerndocumenten gewijzigd,


pagina 4 / 34

2.2

Tonen van bedragen en materialiteit in werkprogramma’s Bovenin de werkprogramma’s wordt nu het bedrag van de post van huidig jaar en voorgaand jaar getoond. Daarnaast wordt ook het bedrag van de materialiteit, uitvoeringsmaterialiteit en duidelijk onbeduidend getoond.

2.3

Sorteren van klantinstructies In de werkprogramma’s en checklisten is een optie toegevoegd om instructies die op klantniveau zijn aangemaakt te sorteren middels menu Instructies->Sorteren.


pagina 5 / 34

NB: Het is niet mogelijk om de standaard (kantoor)intructies te sorteren in een klantdossier. Bij updates zouden we anders nooit meer weten op welke plek we een instructie zouden moeten toevoegen als de volgorde veranderd is. 2.4

Kolom duidelijk onbeduidend toegevoegd in materialiteitsberekening In document 1.12.1 en in document 4.1.6 is een kolom duidelijk onbeduidend toegevoegd.


pagina 6 / 34

2.5

Intelligentie in werkprogramma’s Er kan nu vanuit een instructie ook een relatie naar een instructie worden gemaakt als de beantwoording nvt is.

2.6

Aantal controledoelstellingen verminderd Het aantal van 9 controledoelstellingen is door het SRA gereduceerd tot 6. Het betreft de volgende: 1)

Volledigheid

2)

Bestaan

3)

Accuratesse en afgrenzing (deze zijn samengevoegd)

4)

Waardering en toerekening

5)

Rechten en verplichtingen

6)

Presentatie en classificatie

Let op: Indien u voorgaand jaar afgrenzing had aangevinkt zult u deze vink niet meer terugvinden, omdat deze geïntegreerd is met Accuratesse. Graag de jaarrekeningposten waar afgrenzing van toepassing is nalopen! 2.7

Instructies in eindejaarswerkprogramma’s reageren op controledoelstellingen In het postenoverzicht (document 1.1.2) kunnen per post de voor de controle relevante beweringen worden aangegeven. Deze kunnen in document 3.1.2 materialiteitsoverzicht nog aangepast worden. Deze beweringen komen nu niet enkel op bovenaan het werkprogramma, maar sturen nu ook de instructies zelf aan. Indien bewering Bestaan niet is aangevinkt zullen er ook geen instructies inzake bestaan in het werkprogramma opkomen. Eventueel zijn deze wel weer te importeren uit de library.

Alle controledoelstellingen aangevinkt bij MVA: 39 instructies:


pagina 7 / 34

Drie beweringen aangevinkt: 39 instructies

2.8

Risicosoorten gewijzigd De risicosoorten zijn vanuit SRA aangepast van Frauderisico, Bedrijfsrisico en Controlerisico naar Frauderisico, RAMB (Risico op een afwijking van materieel belang) en naar Significant.


pagina 8 / 34

Let op: De risico’s die zijn overgenomen met de jaarovergang en de classificatie Bedrijfsrisico of Controlerisico hadden dienen opnieuw te worden getypeerd. 2.9

Bibliotheekfunctionaliteit werkprogramma’s In de werkprogramma’s hebben we de blauwe instructies die aan konden worden gezet uit het werkprogramma gehaald. Middels de menu-optie “Instructies”->Importeren uit library kunnen deze aan het werkprogramma worden toegevoegd.


pagina 9 / 34

Er komt dan een scherm op waarbij de gewenste instructies kunnen worden aangevinkt.

Het verwijderen van instructies uit een werkprogramma gaat middels het rechtermuismenu:


pagina 10 / 34

Indien gewenst kunt u echter ook op de oude manier blijven doorwerken, middels de blauwe instructies en de aan/uit button. Dit dient door de beheerder ingesteld te worden in de content editor. Zie hiervoor de beheerdershandleiding. 2.10

In postencontrolestrategiematrix de kans en impact op beweringenniveau kunnen aangeven

Het is nu mogelijk om voor materiële posten op beweringeniveau een inschatting te kunnen doen van de kans en de impact.

Indien bij soort risico op beweringenniveau Significant, F(raude) of R(isico op een afwijking van materieel belang wordt gegeven komt automatisch de risicowizard op met de juiste zaken aangevinkt. Indien op annuleren wordt geklikt zal er geen risico worden aangemaakt. Indien op G wordt geklikt wordt er ook geen risicokaart aangemaakt.


pagina 11 / 34

2.11

Nieuw document 3.1.3 Materialiteitsberekening toegevoegd.

In het begin van de eindejaarsfase is een nieuw document opgenomen om de materialiteit opnieuw te kunnen berekenen.

2.12

Conclusie 1.14.30 Checklist Frauderisico’s in controleplan.

De conclusie uit 1,14,30 Checklist Frauderisico’s wordt nu ook overgenomen in het controleplan.


pagina 12 / 34

2.13

Fysieke documenten verwijderd uit de map Standaard / Documentenbeheer

De werkprogramma’s, checklisten, sectiememo’s en leadsheets zijn verwijderd uit de map Standaard/Documentenbeheer. Ze worden nu aangemaakt vanuit de database. Dit scheelt opslagcapaciteit en de synchronisatie gaat sneller. 2.14

Extra functionaliteit aan vragenlijst toegevoegd.

Bij de vragenlijst (1.14.3A Vragenlijst indicatie ICT-omgeving) is het nu mogelijk om via de content editor ook docreferenties, relaties en een connectie met een mapping aan te maken.

2.15

Alle werkprogramma’s bevriezen

In 1.1.3 Documentenbeheer is de optie opgenomen om alle werkprogramma’s in één keer te bevriezen opgenomen.


pagina 13 / 34

2.16

Kerndocumenten fixeren

De kerndocumenten kunnen nu gefixeerd worden zodat men zeker weet dat deze niet meer wijzigingen. De optie is gekoppeld aan een CaseView level die in de conten editor kan worden aangepast. Standaard staat deze op level 6.


pagina 14 / 34

2.17

Optie automatische volgorde in leadsheet

De optie “automatische volgorde” in leadsheets is nu aan te sturen vanuit de leadsheets xml’s.

2.18

Knowledge links

Bovenin de werkprogramma’s en checklists zijn linken ingebouwd naar de COS, het handboek SRA indien gebruik wordt gemaakt van Scienta en naar de site van de SRA.

U kunt deze linken vinden onder de

icoon. De eerste link (uw helpinformatie0 is de link naar de SRA-site.

Indien deze reeds op kantoorniveau gevuld is, gaat de kantoorinformatie voor.


pagina 15 / 34

2.19

Scan inbox functionailteit

Er is functionaliteit voorbereid om gescande documenten op de juiste plaats en met de juiste benaming automatisch in het dossier op te nemen. Hiervoor dient door de leverancier van de scanapparatuur wel het één en ander geregeld worden. Er dient gescand te worden naar een subdirectory van de cliëntdirectory en er dient per document een xml met metadata (documentnaam en nummer) te worden opgenomen. Voor meer informatie kunt u contact opnemen met onze servicedesk. Indien er documenten in de subdirectory klaar staan wordt er in het dashboard een melding gegeven en middels een optie “Connect” in 1.1.3 documentenbeheer kunnen de gescande documenten worden ingelezen.

2.20

Triggeren synchronisatie na aanpassing door beheerder

Indien de beheerder voorheen een wijziging had aangebracht op kantoorniveau op de server en deze wilde verspreiden naar de werkstations diende handmatig de .MySCMServerInfo te worden aangepast om de synchronisatie te triggeren. Dit werkt nog steeds, maar om het gebruikersvriendelijker te maken hebben we in de beheerderstemplate een document toegevoegd waarin de directories kunnen worden gekozen die gesynchroniseerd dienen te worden Het betreft document TRIGGER.


pagina 16 / 34

2.21

Gebruik maken van materialiteit bij dossieropbouw.

Middels de content editor is het mogelijk om op basis van de berekende materialiteit in 1.12.1 het dossier op te bouwen (werkprogramma’s te laten opkomen indien de post boven de berekende uitvoeringsmaterialiteit komt). U kunt vervolgens inde content editor kiezen of u daarvoor de materialiteit, uitvoeringsmaterialiteit of het bedrag voor duidelijk onbeduidend wilt gebruiken. Standaard staat deze optie niet aan.


pagina 17 / 34

2.22

Bugfixing

2.22.1 Script bij lockdown Indien een dossier locked down is ging toch een script draaien indien een werkprogramma of checklist werd geopend. Dit is nu afgevangen. 2.22.2 Keycontrol niet direct zichtbaar in 1.17.4 Controlestrategiematrix (processen) Een in een werkprogramma opzet en bestaan AO/IB aangemaakt keycontrol was niet direct zichtbaar in document 1.17.4 Controlestrategiematrix processen. Dit is verholpen. 2.22.3 Overnemen vink keycontrol effectief in risicodocument In de werkprogramma’s testen werking relevante beheersingsmaatregelen kan worden aangegeven of een keycontrol effectief is. Deze vink werd niet overgenomen in het risicodocument indien aan deze keycontrol een risico was gekoppeld. Dit is verholpen. 2.22.4 Aanmaken rollensets Er kan nu niet meer via de content editor gekozen worden om een rollenset aan te maken met maar 1 rol. 2.22.5 Risico’s komen niet op in werkprogramma inkopen en salarissen Gekoppelde risico's aan Keycontrols worden nu meegenomen in de interim werkprogramma’s inkopen en salarissen. 2.22.6 Foutmelding bij dossier aanvullen met kantoorspecifieke leadsheets Bij het aanvullen van het dossier kwam sporadisch een foutmelding op indien kantoorspecifieke leadsheets werden toegevoegd. Dit is verholpen.


pagina 18 / 34

2.22.7 Kolomkoppen in 4.1.14 Statusoverzicht De kolomkoppen in document 4.1.14 Statusoverzicht schoven niet mee, indien er gescrold werd in het document. Dit is aangepast.

2.22.8 Fout bij transfer groepsdocumenten met bijzondere tekens

Indien een werkprogramma of checklist werd getransferred waarin bijzondere tekens voorkwamen, liep de import bij de dochtermaatschappijen vast. Dit is aangepast. 2.22.9 Lege documenten bij transfer groepsdocumenten In bepaalde gevallen kwamen de getransporteerde groepsdocumenten leeg aan bij de dochtermaatschappijen. Dit is inmiddels opgelost. 2.22.10 Aantekeningtype in 2.30.2 Interimmemo In 2.30.2 was standaard geen aantekeningtype gevuld. Nu staat deze standaard op aantekeningtype IM.


pagina 19 / 34

3

CONTENTWIJZIGINGEN

3.1

Vervallen documenten -

3.2

3.3

1.14.3B Werkprogramma opzet en bestaan ITGC’s.

Nieuwe documenten -

1.13.3 Werkprogramma naleving weten regelgeving

-

1.14.3 Inventarisatie ICT

-

3.1.3 Materialiteitsberekening

Gewijzigde documenten Per werkprogramma en checklist is bijgehouden welke instructies zijn verwijderd en welke instructies nieuw zijn. Zie Bijlage. Niet separaat is bijgehouden welke instructies tekstmatig veranderd zijn, maar inhoudelijk dezelfde strekking hebben.

BIJLAGE GEWIJZIGDE DOCUMENTEN 1.1.1 Voorloopvragen Nieuw: Vraag 16: Is sprake van organen van Governance (RvC, RvT etc)? 1.4.1 Onafhankelijkheidschecklist Meer intelligentie aangebracht op basis van 1.1.1 Voorloopvragen. 1.5.1 Opdrachtaanvaarding Meer intelligentie aangebracht op basis van 1.1.1 Voorloopvragen. 1.5.2 Opdrachtcontinuering Meer intelligentie aangebracht op basis van 1.1.1 Voorloopvragen. 1.9.1 Wwft-checklist Meer intelligentie aangebracht op basis van 1.1.1 Voorloopvragen 1.12.3 Werkprogramma materialiteit (geconsolideerd) Meer intelligentie aangebracht op basis van 1.1.1 Voorloopvragen 1.14.1 Beheersingsomgeving Verwijderd: Vraag 9: Er is een toezichthoudend orgaan (RvC, Audit Committee) ingesteld. (verplaatst naar voorloopvragen) Nieuw: Vraag 1: Wilt u voor het verwerven van inzicht in de interne beheersingsomgeving gebruik maken van de uitgebreide checklist? Indien bovenstaande vraag met Nee wordt beantwoordt blijft enkel de conclusie over om in te vullen. Vraag 36: Is de vereiste evaluatie of het management, onder toezicht van de met governance belaste personen,een cultuur van eerlijkheid en ethisch gedrag heeft gecreerd en in stand houdt, én of de sterke punten in de elementen van de interne beheersingsomgeving samen een geschikte basis vormen voor de andere componenten van de interne beheersing, én of deze andere componenten niet door tekortkomingen in de interne beheersingsomgeving worden aangetast, toereikend in het controledossier gedocumenteerd?


pagina 20 / 34

1.14.2 Risico-inschattingproces v.d. entiteit Meer intelligentie aangebracht. Verwijderd: Nieuw: Vraag 1: Is er sprake van een proces van risico-inschatting of is er sprake van een ad-hocproces? Vraag 2: Wilt u voor het verwerven van inzicht in het risico-inschattingsproces van de entiteit gebruik maken van de uitgebreide checklist? Vraag 43: Evalueer de mate van schattingsonzekerheid die samenhangt met het maken van een schatting. 1.14.3A Vragenlijst indicatie ICT omgeving Verwijderd: Vraag 1: Verkrijg/vervaardig een beschrijving op hoofdlijnen van de IT-omgeving van de entiteit. Verkrijg voldoende inzicht in het informatiesysteem, inclusief de daarop betrekking hebbende bedrijfsprocessen, voor zover van belang voor de financële verslaggeving en de communicatie. Neem in deze beschrijving de volgende elementen op:

- De transactiestromen binnen de entiteit die van belang zijn voor het financiële overzicht;

- De procedures, zowel binnen de geautomatiseerde als de handmatige systemen, waarmee de transacties tot stand worden gebracht, vastgelegd, verwerkt en in het financiële overzicht opgenomen;

- De hiermee verband houdende digitale of handmatige vastleggingen betreffende het tot stand komen, vastleggen, verwerken en rapporteren van transacties, die de onderbouwing vormen voor de informatie en specifieke posten in het financiële overzicht;

- De wijze waarop voor het financiële overzicht van belang zijnde gebeurtenissen en omstandigheden, niet zijnde transactiestromen, worden vastgelegd in het informatiesysteem; en

- Het financiële verslaggevingproces dat wordt gebruikt om het financiële overzicht van de entiteit op te stellen, met inbegrip van belangrijke schattingsposten en toelichtingen. Vraag 2: Breng de IT-infrastructuur in kaart. Bij het in kaart brengen van de onderdelen van systemen die voor de jaarrekeningcontrole relevant zijn kan – per locatie en voor zover van toepassing – onderscheid worden gemaakt tussen bijvoorbeeld:

Hardware - Computer- en overige hardware;


pagina 21 / 34

- Systeemplatforms; - Terminals, barcodescanners en overige devices;

Voorzieningen - Netwerken; - Data-opslag; - Beveiliging; - Datacommunicatie; - Interfaces; - Koppelingen tussen systemen;

Software (applicaties) - Administratieve applicaties; - Bedrijfsapplicaties; - Databases en database management systemen; - Workflow management systemen; - Rapporteringssoftware; - Webshopapplicaties; - Kantoorautomatisering; - Beheersoftware.

Maak eventueel gebruik van bijlage 6A van de SRA-Praktijkhandreiking 'IT in de jaarrekeningcontrole'. Vraag 3: Beschrijf op hoofdlijnen de IT-organisatie. Hierbij kan onderscheid worden gemaakt tussen bijvoorbeed:

Verantwoordelijkheden Hoe zijn verantwoordelijkheden in de entiteit belegd ten aanzien van IT? Denk daarbij aan beslissingen over aankopen van hard- en software, updates en upgrades, onderhoud, personeel, SLA’s et cetera. Is er voldoende aansluiting op beslissingen betreffende de doelstellingen en activiteiten van de entiteit?

Beschikbaarheid Hoe is georganiseerd dat IT-systemen die de processen en informatieverzorging van de entiteit ondersteunen (hard- en software, netwerken, databases et cetera) zonder onderbreking beschikbaar zijn dan wel weer tijdig opnieuw beschikbaar zijn bij calamiteiten? Denk daarbij aan voorzieningen en procedures voor backup en recovery, herstarten en/of uitwijken. Wie is hiervoor verantwoordelijk? Wat is een aanvaardbare time out tijd? Worden voorzieningen en procedures toereikend getest, zijn deze up to date?

Beveiliging Hoe is de fysieke en logische beveiliging van systemen, applicaties en netwerken georganiseerd? Zijn de maatregelen goed afgestemd op actuele identificatie van relevante bedreigingen? Wie is hiervoor verantwoordelijk? Worden beveiligingsmaatregelen toereikend getest en gee?valueerd?


pagina 22 / 34

Beheer Hoe is het IT-beheer georganiseerd? Maak daarbij onderscheid tussen systeembeheer en applicatiebeheer. Is sprake van (volledig) intern beheer of heeft de entiteit (onderdelen van) het IT- beheer uitbesteed? Hoe wordt de kwaliteit van het IT-beheer gewaarborgd, is er voldoende kennis en capaciteit beschikbaar? Hoe wordt omgegaan met storingen en klachten van gebruikers, welke bevoegdheden hebben beheerders?

Autorisaties Wie is beschikkend verantwoordelijk voor het toekennen en intrekken van rechten en hoe is de feitelijke (technische, uitvoerende) toekenning en intrekking geregeld? Welke procedures gelden hiervoor en welke controles worden hierop uitgevoerd? Vraag 4: De aard en hoeveelheid van geautomatiseerde interfaces tussen systemen en/of applicaties Vraag 5: De mate waarin applicaties en systemen worden aangepast aan ontwikkelingen in de bedrijfsvoering Vraag 7: De mate waarin "zelfstandige" applicaties worden vervangen door geïntegreerde systemen Vraag 14: De mate van gebruik van complexe (distributed) databases die gekoppeld zijn aan meerdere systemen Vraag 16: Aantal transacties dat door het systeem wordt verwerkt Vraag 19: De mate waarin hard copy vastleggingen en documenten zijn vervangen door elektronische vastleggingen Vraag 31: De mate waarin informatie zonder tussenkomst van medewerkers aan de derden wordt verstrekt Vraag 33: De mate waarin controletechnische functiescheidingen zijn vormgegeven als IT-controls Vraag 34: De mate waarin controlemaatregelen zijn vormgegeven als of afhankelijk zijn van geprogrammeerde procedures Vraag 36: De mate waarin de accountant bij gegevensgerichte controlewerkzaamheden gebruik maakt van door systemen gegenereerde informatie, zoals specificaties en lijstwerk Vraag 37: De mate waarin de accountant voor analyses gebruik maakt van gegevensbestanden Vraag 42: Geef van onderstaade situaties of omstandigheden aan of deze zich het afgelopen jaar hebben voorgedaan of dat er een reële kans bestaat dat deze zich kunnen voordoen. Als dit het geval is, dient te worden aangegeven wat de significantie hiervan bezien vanuit het perspectief van de kans op een materiële afwijking in de financiële overzichten.

De risico's kunnen als volgt worden gecategoriseerd: - Elektronische bedreigingen, die gericht zijn op het beschadigen/verminken of stelen van bedrijfsinformatie.


pagina 23 / 34

- Wijzigingen van bedrijfsstrategie, die kunnen leiden tot een onvoldoende aansluiting van IT-systemen op de (beoogde) activiteiten. - Personele bedreigingen, waaronder onder IT-personeel of een ontoereikend opleidings- en/of ervaringsniveau. - Wijzigingen in de IT-bedrijfsvoering, zoals de invoering van nieuwe IT-systemen, kan leiden tot verlies of verminking van gegevens, verstoring van activiteiten en een verhoogde kans op menselijke fouten, technische en/of infrastructurele storingen. - Technische storingen, die kunnen leiden tot verlies van data. - Infrastructurele storingen, die kunnen leiden tot onderbreking van activiteiten. - Menselijke fouten, die een belangrijke bedreiging vormen vanwege de vele verschijningsvormen. - Technologische ontwikkelingen, die kunnen leiden tot veroudering van systemen. - Marktontwikkelingen, die kunnen leiden tot de noodzaak om apparatuur/programmatuur anders in te zetten dan op de manier die oorspronkelijk is bedoeld. Vraag: Het doel van dit onderdeel is het verkrijgen van inzicht om op gedegen wijze een risico-inschatting te kunnen maken voor de controle-aanpak. Stel vast welke risico's gerelateerd aan de geautomatiseerde administratieve gegevensverwerking van de entiteit kunnen worden onderkend en wat de significantie is van deze risico's bezien vanuit het perspectief van de kans op een materie?le afwijking in de financie?le overzichten.

De volgende categoriee?n van risico's kunnen daarbij worden onderscheiden: - Veelvuldig gebruik maken van spreadsheets en andere niet-gei?ntegreerde toepassingen, waarin brongegevens worden vastgelegd en/of bewerkingen worden uitgevoerd die niet-systematische interne controle moeten ondergaan; - In hoge mate vertrouwen op de door applicaties gegenereerde ‘standaard’ aansluitingen, afletteringen, specificaties en overzichten; - Voor managementinformatie en verslaggeving steunen op geparameteriseerde uitvoerrapporten die eenmalig zijn ingericht door externe adviseurs; - De periodieke instelling van ‘basisgegevens’ die een grote invloed heeft op - al dan niet complexe berekeningen en bewerkingen in de administratie; - Toekennen van ruime (systeembeheerders)bevoegdheden aan administratief personeel vanwege een beperkte omvang van de organisatie; en - Niet optimaal inrichten van beveiligingsmaatregelen rondom de elektronische betalingsomgeving. Vraag: Verkrijg op hoofdlijnen inzicht in de manier waarop de entiteit heeft ingespeeld op de risico’s inzake het vóórkomen of ontdekken van een afwijking van materiaal belang op het niveau van beweringen in het financiële overzicht, voortkomend uit en/of samenhangend met het systeem van informatietechnologie.

Er worden in dit verband twee categorieën van beheersingsmaatregelen onderscheiden: - IT beheersingsmaatregelen op applicatie - of procesniveau - Algemene IT beheersingsmaatregelen


pagina 24 / 34

Verkrijg/vervaardig een beschrijving op hoofdlijnen van de beheersingsmaatregelen rondom de IT-omgeving van de entiteit die bijdragen aan het verlagen van de kans op een materiële afwijking in de financiële overzichten tot een aanvaardbaar laag niveau. Nieuw: Vraag 3: De mate waarin sprake is van maatwerk applicaties/systemen. Vraag 10: Beschrijf de Back-up voorzieningen. Besteed hierbij aandacht aan: - Scope: alle van belang zijnde systemen en data? Full/incremental, alleen Back-up van de data of Back-up van de programmatuur inclusief data? - Periodiciteit: met welke frequentie worden Back-ups gemaakt? - Op welke wijze het maken van de Back–up wordt gemonitord en wordt gesignaleerd als een Back-up niet is geslaagd. - Op welke wijze de Back-ups op een veilige locatie worden opgeslagen. Buiten het pand, op een externe locatie? Ook in het geval van een online Back-up (in eigen beheer of belegd bij een externe partij). - Op welke wijze periodiek een restore-test (herstellen van het systeem door het terugzetten van een volledige Back-up) wordt uitgevoerd. Vraag 11: Geef aan op welke wijze is gewaarborgd dat bij calamiteiten die leiden tot een lange ‘down time’ de activiteiten en/of de gegevensverwerking elders kunnen/kan worden voortgezet. Vraag 12: Geef aan op welke wijze en met welke frequentie de gerealiseerde uitwijkmogelijkheden worden getest. Vraag 13: Geef aan op welke wijze is gewaarborgd dat de capaciteit van systemen, waaronder de capaciteit van dataverkeer, niet leidt tot knelpunten in de gegevensverwerking of data-opslag, door bijvoorbeeld scenario analyses. Vraag 14: Geef aan op welke wijze is gewaarborgd dat adequate registratie en bewaring plaatsvindt van actuele en geautoriseerde contracten waarin belangrijke voorwaarden en overige (juridische) aspecten rond de levering van producten en diensten zijn opgenomen. Naast het opvragen van SLA’s is een inhoudelijke beoordeling daarvan van belang. Vraag 15: Beschrijf de inrichting van de IT-organisatie. Besteed hierbij, gegeven het belang van IT voor de organisatie, aandacht aan: - structuur; - omvang, capaciteit; - kennis; - functiescheiding; - vacatures; - uitbesteding. Vraag 18: De mate waarin de organisatie de primaire bedrijfsactiviteiten niet kan voortzetten bij uitval van systemen. Vraag 21: Geef aan welke geformaliseerde procedures bestaan voor het doorvoeren van wijzigingen in de IT-omgeving of systemen. Vraag 22:


pagina 25 / 34

Geef aan op welke wijze wijzigingen in de IT-omgeving of systemen vooraf aan de organisatie bekend wordt gemaakt. Vraag 23: Geef aan op welke wijze de impact van wijzingen op bestaande processen, systemen en functionaliteiten wordt onderzocht (impact analyse). Vraag 24; Geef aan op welke wijze wijzigingen in de IT-omgeving of systemen niet rechtstreeks in de productieomgeving worden doorgevoerd (maar in een test- of ontwikkelomgeving). Vraag 25: Geef aan op welke wijze Ontwikkel-, Test- en Productiesystemen van elkaar zijn gescheiden. Vraag 26: Geef aan op welke wijze wijzigingen, voordat deze in productie worden genomen, worden getest door kerngebruikers en formeel worden goedgekeurd door de ‘systeem eigenaar’. Vraag 27: Geef aan welke geformaliseerde procedures bestaan voor het melden en opvolgen van incidenten, storingen en/of inbreuken op toegangsbeveiliging. Vraag 28: Geef aan of er een centraal meldpunt voor incidenten bestaat, waar een centrale registratie van de incidenten wordt bijgehouden. Vraag 29: Geef aan op welke wijze incidenten en/of problemen op het gebied van IT worden geprioriteerd en worden afgehandeld conform de afspraken die hierover zijn gemaakt. Vraag 30: Geef aan op welke wijze sprake is van controletechnische functiescheiding binnen beveiligingsbeheer (tussen het aanvragen, uitvoeren en controleren van autorisatie-aanvragen). Vraag 31: Geef aan op welke wijze de kernapplicaties en het netwerk is beveiligd tegen ongeoorloofde toegang? (wachtwoordinstellingen, complexiteitseisen, verplicht wijzigen na x aantal dagen etc.). Op welke manier is authenticatie van gebruikers gewaarborgd indien dit niet wordt afgedwongen? Vraag 32: Geef aan op welke wijze de systemen zijn beschermd tegen schade veroorzaakt door virussen en spyware? Vraag 44: De mate waarin de accountant voor de controle wenst te steunen op Application Controls, waaronder bijvoorbeeld controletechnische functiescheiding in de systemen. Vraag 50: Overweeg verder of het noodzakelijk is om op basis van de uitkomst van de bovenstaande werkzaamheden: - een significante tekortkoming in de opzet van de maatregelen van AO/IB te rapporteren aan het management en/of het toezichthoudend orgaan; - nader te onderzoeken of sprake is van fraude en/of het doorbreken van de maatregelen van AO/IB door het management. Vraag 51: Vooral in de ‘minder volwassen’ IT-omgevingen kunnen leemten in de opzet van de IT-omgeving (en ITGC's) voorkomen.


pagina 26 / 34

Beschrijf hieronder de impact van geconstateerde tekortkomingen in de opzet van de IT-omgeving op de controleaanpak. Ook wanneer voor de controle geen gebruik wordt gemaakt van Application Controls (AC’s), maar wel wordt gesteund op de betrouwbaarheid van output uit één of meer applicaties, dient hieronder te worden beschreven wat de impact is op de betrouwbaarheid van de output (bijvoorbeeld lijstwerk).Voor controldoelstellinge waarbij het niet mogelijk is om de betrouwbaarheid van die output op een andere manier vast te stellen, geldt dat de relevante algemene IT General Controls moeten worden onderzocht overeenkomstig de in dit werkprogramma opgenomen procedures. Vraag 52: Beschrijf afhankelijk van de initiële controle-aanpak, de geïdentificeerde bedrijfsrisico’s, de mate waarin het controleteam wenst te steunen op Application Controls en IT Dependent Manual Controls, de classificatie van de ITomgeving (voor de controle) en de conclusie met betrekking tot de opzet van de IT-omgeving, van welke ITGC's het bestaan en de werking moet worden vastgesteld (werkprogramma 2.13) en eventueel welke compenserende systeemgerichte of gegevensgerichte werkzaamheden eventueel moeten worden uitgevoerd. 2.13.1 Bestaan en werking ITGC’s Nieuw: Vraag 1: Bestaan effectief? De organisatie beschikt over een procedure voor het toekennen, wijzigen en intrekken van toegang en autorisaties tot de kritieke applicaties. Toekenning of wijziging van rechten vindt plaats op basis van een akkoord van een leidinggevende op basis van een normpositie (SOLL-matrix). Vraag 2: Werking effectief? Stel voor # toegevoegde accounts vast dat de autorisaties gecontroleerd zijn toegekend op basis van een verzoek van een geautoriseerde medewerker. Stel voor # uit dienst getreden medewerkers vast dat de accounts tijdig zijn ingetrokken. Vraag 3: Bestaan effectief? Periodieke toetsing van de ingestelde autorisaties aan de functieprofielen (SOLL-IST) met als doel dat ingerichte autorisaties in lijn zijn met de functies van medewerkers. Toekenning van Superuser rechten zijn beperkt tot een strikt noodzakelijke groep. Vraag 4: Werking effectief? Stel voor # periodieke reviews van autorisaties vast dat door het verantwoordelijk management de SOLL en IST positie van de autorisaties met elkaar zijn vergeleken en zijn hersteld. Vraag 5: Bestaan effectief? Het wachtwoordbeleid dwingt toereikend sterke bescherming van accounts af. Het initiële wachtwoord wordt (afgedwongen door het systeem) gewijzigd. Vraag 6: Werking effectief? Ga na of er accounts zijn waarbij het initiële wachtwoord nooit is gewijzigd en stel vast of er uitzonderingen zijn in het wachtwoordbeleid en of deze gebruikers een voldoende complex wachtwoord hebben om te steunen op authenticatienormen Vraag 7: Bestaan effectief? Gebruikers beschikken over een persoonsgebonden account en gebruik van algemene accounts wordt tot een minimum beperkt en gemonitord. Vraag 8: Werking effectief? Beoordeel de gebruikersaccounts in de kritieke applicaties en stel vast dat gebruikers een persoonsgebonden account hebben. Bepaal voor generieke accounts of deze hoge rechten hebben en wie hier toegang toe hebben.


pagina 27 / 34

Vraag 9: Bestaan effectief? Stel aan de hand van beoordeling van de systeeminstellingen vast dat rechtstreekse toegang tot de database tot een minimum wordt beperkt en wordt gemonitord. Vraag 10: Werking effectief? Stel aan de hand van # monitoring-rapporten vast dag rechtstreekse toegang tot de database wordt gemonitord. Vraag 11: Standaard patches en updates verzorgd door leverancier Bestaan effectief? Bij een wijziging worden de release notes doorgenomen en de impact wordt bepaald. Vraag 12: Standaard patches en updates verzorgd door leverancier Werking effectief? Stel voor # wijzingen vast dat release notes zijn doorgenomen Vraag 13: Bestaan effectief? Een procedure voor wijzigingsbeheer wordt gehanteerd, waarbij wijzigingen worden: - Gedocumenteerd - Geautoriseerd - Getest na ontwikkeling. Vraag 14: Werking: Stel voor # wijzigingen vast dat deze voldoende zijn gedocumenteerd en getest. Vraag 15: Bestaan effectief? Voorafgaand aan de ingebruikname van nieuwe of gewijzigde software wordt deze vooraf getest (in een testomgeving) en geaccepteerd door de gebruikersorganisatie. Vraag 16: Werking effectief? Stel voor # wijzigingen vast dat voorafgaand aan ingebruikname de wijzingen zijn geaccepteerd door de gebruikersorganisatie. Vraag 17: Bestaan effectief? Wanneer geen sprake is van een testomgeving (zie hierboven) zijn andere maatregelen getroffen, zoals Back-up en restore mogelijkheden om eventuele verstoringen te kunnen herstellen. Vraag 18: Werking effectief? Stel voor # wijzingen vast dat voorafgaand aan ingebruikname sprake is geweest van de hiervoor genoemde aanvullende maatregelen. Vraag 19: Bestaan effectief? Van alle relevante data worden periodiek Back-ups gemaakt volgens een vastgesteld schema. Dit schema is afgestemd met de eisen van de organisatie gerelateerd aan het maximaal toelaatbaar gegevensverlies. Vraag 20: Werking effectief? Stel voor # Back-ups vast dat Back-ups zijn geslaagd. Vraag 21: Bestaan effectief? Er vind monitoring plaats op het succesvol verloop van Back-up runs waarbij eventuele geconstateerde fouten worden opgevolgd. Vraag 22: Werking effectief? Stel voor # niet geslaagde Back-ups vast dat deze zijn gesignaleerd en zijn opgevolgd.


pagina 28 / 34

Vraag 23: Bestaan effectief? Back-ups worden extern bewaard. Vraag 24: Werking effectief? Stel voor # Back-ups vast dat deze extern zijn weggeschreven of extern worden bewaard. Vraag 25: Geef aan op welke wijze is gewaarborgd dat bij calamiteiten die leiden tot een lange ‘down time’ de activiteiten en/of de gegevensverwerking elders kunnen c.q. kan worden voortgezet. Vraag 26: De werking van de gemaakte Back-ups wordt periodiek getest. Tevens wordt periodiek een systeem-restore vanuit een Back-up getest.

Vraag 27: Evalueer op basis van de antwoorden op de voorgaande vragen of de ITGC's in bestaan toereikend zijn. Leg uw conclusie (inclusief eventuele tekortkomingen) en de daaraan ten grondslag liggende overwegingen vast. Vraag 29: Overweeg verder of het noodzakelijk is om op basis van de uitkomst van de bovenstaande werkzaamheden: - een significante tekortkoming in de effectieve werking van de maatregelen van AO/IB te rapporteren aan het management en/of het toezichthoudend orgaan; - nader te onderzoeken of sprake is van fraude en/of het doorbreken van de maatregelen van AO/IB door het management. Verwijderd: Vraag 1: Stel vast dat wijzigingen in de IT omgeving of systemen vooraf aan de organisatie bekend worden gemaakt. Vraag 2: Stel vast dat de impact van wijzigen op bestaande processen, systemen en functionaliteit is onderzocht (impact analyse). Besteed daarbij ook aandacht aan de gevolgen van wijzigingen voor beveiligingsinstellingen, autorisaties en parametrisering binnen applicaties. Vraag 3: Stel vast dat wijzigingen in de IT omgeving of systemen niet rechtstreeks in de productieomgeving worden doorgevoerd (maar in een test- of ontwikkelomgeving). Vraag 4: Stel vast dat wijzigingen, voordat deze in productie worden genomen, worden getest door kerngebruikers en formeel worden goedgekeurd door de 'systeem eigenaar'. Vraag 5: Stel vast dat de werking van de back-upprocedures periodiek door de entiteit wordt gestest. Vraag 6: Stel vast dat periodiek een restoretest (herstellen van het systeem door het terugzetten van een volledige backup) wordt uitgevoerd. Vraag 7: Stel vast welke procedures gelden voor het toekennen, wijzigen, intrekken en communiceren van de toegangsrechten aan de gebruikers. Vraag 8:


pagina 29 / 34

Stel vast dat het management de hiervoor genoemde procedures bewaakt, actualiseert en autoriseert. Vraag 10: Vanwege de aard van tactische en strategische IT beheersingsmaatregelen, is de effetcieve werking hiervan over het algemeen niet eenduidig vast te stellen. Van belang is echter dat hieronder wordt vastgelegd op welke wijze de uitvoering van deze beheersmaatregelen wordt gerealiseerd. Bijvoorbeeld: hoe is vastgesteld dat het geformuleerde IT beleid in uitvoering wordt gehandhaafd? Vraag 11 is opgesplitst in twee verschillende vragen.

1.17.3 Werkprogramma groepsaccountant (planning) Nieuw: Vraag 10: Beoordeel de door de accountants van groepsonderdelen opgestelde documentatie van geïdentificeerde significante risico's 2.20.1 Evaluerend memo interimcontrole Nieuw: Vraag 7: Stel vast dat, indien op een tussentijdse datum gegevensgerichte controles zijn uitgevoerd, voor de resterende periode toereikende controlewerkzaamheden worden verricht. Vraag 8: Stel vast of de conclusie uit de interimcontrole aanleiding geeft tot herziening van de uitvoeringsmaterialiteit, alsmede of de aard, timing en omvang van de verdere controlewerkzaamheden passend blijven. 3.3.1.1 Werkprogramma Goodwill Nieuw: Vraag 13: Bepaal de aard en omvang van de overige gegevensgerichte controlewerkzaamheden op een zodanige wijze dat gegeven de gekozen controleaanpak- detailcontroles met voldoende diepgang worden uitgevoerd. Leg de onderbouwing van de omvang van de geselecteerde detailcontroles in het dossier vast. 3.3.3.1 Werkprogramma materiële vaste activa Nieuw: Vraag 14: Bepaal de aard en omvang van de overige gegevensgerichte controlewerkzaamheden op een zodanige wijze dat gegeven de gekozen controleaanpak- detailcontroles met voldoende diepgang worden uitgevoerd. Leg de onderbouwing van de omvang van de geselecteerde detailcontroles in het dossier vast. 3.3.3.9 Werkprogramma Vastgoedbeleggingen Nieuw: Vraag 14: Bepaal de aard en omvang van de overige gegevensgerichte controlewerkzaamheden op een zodanige wijze dat gegeven de gekozen controleaanpak- detailcontroles met voldoende diepgang worden uitgevoerd. Leg de onderbouwing van de omvang van de geselecteerde detailcontroles in het dossier vast. 3.3.4.1 Werkprogramma Deelnemingen Nieuw: Vraag 20:


pagina 30 / 34

Bepaal de aard en omvang van de overige gegevensgerichte controlewerkzaamheden op een zodanige wijze dat gegeven de gekozen controleaanpak- detailcontroles met voldoende diepgang worden uitgevoerd. Leg de onderbouwing van de omvang van de geselecteerde detailcontroles in het dossier vast. 3.3.5.1 Werkprogramma Overige financiële vaste activa Nieuw: Vraag 20: Bepaal de aard en omvang van de overige gegevensgerichte controlewerkzaamheden op een zodanige wijze dat gegeven de gekozen controleaanpak- detailcontroles met voldoende diepgang worden uitgevoerd. Leg de onderbouwing van de omvang van de geselecteerde detailcontroles in het dossier vast. 3.3.6.1 Werkprogramma Effecten (vlottende activa) Nieuw: Vraag 19: Bepaal de aard en omvang van de overige gegevensgerichte controlewerkzaamheden op een zodanige wijze dat gegeven de gekozen controleaanpak- detailcontroles met voldoende diepgang worden uitgevoerd. Leg de onderbouwing van de omvang van de geselecteerde detailcontroles in het dossier vast. 3.3.7.1 Werkprogramma Voorraad Nieuw: Vraag 18: Bepaal de aard en omvang van de overige gegevensgerichte controlewerkzaamheden op een zodanige wijze dat gegeven de gekozen controleaanpak- detailcontroles met voldoende diepgang worden uitgevoerd. Leg de onderbouwing van de omvang van de geselecteerde detailcontroles in het dossier vast. Vraag 25 Verricht bepaalde fysieke opnames op een alternatieve datum, alsmede controlewerkzaamheden op de tussenliggende transacties, indien door onvoorziene omstandigheden fysieke voorraadopname niet kan worden bijgewoond. Vraag 26: Voer alternatieve controlewerkzaamheden uit gericht op het bestaan en de conditie van de voorraad, indien het bijwonen van de fysieke voorraadopname praktisch onuitvoerbaar is. Vraag 27: Vraag voor goederen in consignatie externe bevestigingen op, voer inspecties uit of verricht andere passende controlewerkzaamheden. 3.3.8.1 Werkprogramma Onderhanden projecten Nieuw: Vraag 18: Bepaal de aard en omvang van de overige gegevensgerichte controlewerkzaamheden op een zodanige wijze dat gegeven de gekozen controleaanpak- detailcontroles met voldoende diepgang worden uitgevoerd. Leg de onderbouwing van de omvang van de geselecteerde detailcontroles in het dossier vast. 3.3.9.1 Werkprogramma Debiteuren Nieuw: Vraag 17: Bepaal de aard en omvang van de overige gegevensgerichte controlewerkzaamheden op een zodanige wijze dat gegeven de gekozen controleaanpak- detailcontroles met voldoende diepgang worden uitgevoerd. Leg de onderbouwing van de omvang van de geselecteerde detailcontroles in het dossier vast. 3.3.11.1 Werkprogramma Overige vorderingen en overlopende activa


pagina 31 / 34

Nieuw: Vraag 19: Bepaal de aard en omvang van de overige gegevensgerichte controlewerkzaamheden op een zodanige wijze dat gegeven de gekozen controleaanpak- detailcontroles met voldoende diepgang worden uitgevoerd. Leg de onderbouwing van de omvang van de geselecteerde detailcontroles in het dossier vast. 3.3.12.1 Werkprogramma Liquide middelen Nieuw: Vraag 20: Bepaal de aard en omvang van de overige gegevensgerichte controlewerkzaamheden op een zodanige wijze dat gegeven de gekozen controleaanpak- detailcontroles met voldoende diepgang worden uitgevoerd. Leg de onderbouwing van de omvang van de geselecteerde detailcontroles in het dossier vast. 3.3.14.1 Werkprogramma Voorzieningen Nieuw: Vraag 11: Bepaal de aard en omvang van de overige gegevensgerichte controlewerkzaamheden op een zodanige wijze dat gegeven de gekozen controleaanpak- detailcontroles met voldoende diepgang worden uitgevoerd. Leg de onderbouwing van de omvang van de geselecteerde detailcontroles in het dossier vast. 3.3.15.1 Werkprogramma Langlopende schulden Nieuw: Vraag 17: Bepaal de aard en omvang van de overige gegevensgerichte controlewerkzaamheden op een zodanige wijze dat gegeven de gekozen controleaanpak- detailcontroles met voldoende diepgang worden uitgevoerd. Leg de onderbouwing van de omvang van de geselecteerde detailcontroles in het dossier vast. 3.3.16.1 Werkprogramma Crediteuren Nieuw: Vraag 17: Bepaal de aard en omvang van de overige gegevensgerichte controlewerkzaamheden op een zodanige wijze dat gegeven de gekozen controleaanpak- detailcontroles met voldoende diepgang worden uitgevoerd. Leg de onderbouwing van de omvang van de geselecteerde detailcontroles in het dossier vast. 3.3.17.1 Werkprogramma Overige schulden en overlopende passiva Nieuw: Vraag 18: Bepaal de aard en omvang van de overige gegevensgerichte controlewerkzaamheden op een zodanige wijze dat gegeven de gekozen controleaanpak- detailcontroles met voldoende diepgang worden uitgevoerd. Leg de onderbouwing van de omvang van de geselecteerde detailcontroles in het dossier vast. 3.3.18.3 Werkprogramma Omzet (Dienstverlening uren) Nieuw: Vraag 17: Bepaal de aard en omvang van de overige gegevensgerichte controlewerkzaamheden op een zodanige wijze dat gegeven de gekozen controleaanpak- detailcontroles met voldoende diepgang worden uitgevoerd. Leg de onderbouwing van de omvang van de geselecteerde detailcontroles in het dossier vast. 3.3.18.5 Werkprogramma Omzet (Dienstverlening capaciteit) Nieuw:


pagina 32 / 34

Vraag 17: Bepaal de aard en omvang van de overige gegevensgerichte controlewerkzaamheden op een zodanige wijze dat gegeven de gekozen controleaanpak- detailcontroles met voldoende diepgang worden uitgevoerd. Leg de onderbouwing van de omvang van de geselecteerde detailcontroles in het dossier vast. 3.3.19.1 Werkprogramma Omzet (Handel) Nieuw: Vraag 17: Bepaal de aard en omvang van de overige gegevensgerichte controlewerkzaamheden op een zodanige wijze dat gegeven de gekozen controleaanpak- detailcontroles met voldoende diepgang worden uitgevoerd. Leg de onderbouwing van de omvang van de geselecteerde detailcontroles in het dossier vast. 3.3.19.3 Werkprogramma Omzet (Massaproductie) Nieuw: Vraag 17: Bepaal de aard en omvang van de overige gegevensgerichte controlewerkzaamheden op een zodanige wijze dat gegeven de gekozen controleaanpak- detailcontroles met voldoende diepgang worden uitgevoerd. Leg de onderbouwing van de omvang van de geselecteerde detailcontroles in het dossier vast. 3.3.19.5 Werkprogramma Omzet (Stukproductie) Nieuw: Vraag 17: Bepaal de aard en omvang van de overige gegevensgerichte controlewerkzaamheden op een zodanige wijze dat gegeven de gekozen controleaanpak- detailcontroles met voldoende diepgang worden uitgevoerd. Leg de onderbouwing van de omvang van de geselecteerde detailcontroles in het dossier vast. 3.3.21.1 Werkprogramma Personeelkosten Nieuw: Vraag 7: Bepaal de aard en omvang van de overige gegevensgerichte controlewerkzaamheden op een zodanige wijze dat gegeven de gekozen controleaanpak- detailcontroles met voldoende diepgang worden uitgevoerd. Leg de onderbouwing van de omvang van de geselecteerde detailcontroles in het dossier vast. 3.3.22.1 Werkprogramma Overige bedrijfskosten Nieuw: Vraag 17: Bepaal de aard en omvang van de overige gegevensgerichte controlewerkzaamheden op een zodanige wijze dat gegeven de gekozen controleaanpak- detailcontroles met voldoende diepgang worden uitgevoerd. Leg de onderbouwing van de omvang van de geselecteerde detailcontroles in het dossier vast. 3.3.23.1 Werkprogramma Financiële baten en lasten Nieuw: Vraag 11: Bepaal de aard en omvang van de overige gegevensgerichte controlewerkzaamheden op een zodanige wijze dat gegeven de gekozen controleaanpak- detailcontroles met voldoende diepgang worden uitgevoerd. Leg de onderbouwing van de omvang van de geselecteerde detailcontroles in het dossier vast. 3.3.27.1 Werkprogramma Consolidatie Nieuw: Vraag 10:


pagina 33 / 34

Stel vast of de financiële informatie die in de communicatie van de accountant van het groepsonderdeel is vermeld dezelfde is als de financiële informatie die in de financiële overzichten van de groep is opgenomen. Vraag 11: Evalueer voor groepsonderdelen waarvan de einddatum van de verslagperiode verschilt van die van de groep of passende aanpassingen zijn aangebracht in de financiële overzichten van dat groepsonderdeel in overeenstemming met het van toepassing zijnde stelsel inzake financiële verslaggeving. 3.3.30.1 Werkprogramma Belastingen Nieuw: Vraag 11: Bepaal de aard en omvang van de overige gegevensgerichte controlewerkzaamheden op een zodanige wijze dat gegeven de gekozen controleaanpak- detailcontroles met voldoende diepgang worden uitgevoerd. Leg de onderbouwing van de omvang van de geselecteerde detailcontroles in het dossier vast. 3.3.36.1 Werkprogramma Schattingen Nieuw: Vraag 14: Ontwikkel een interval om de redelijkheid van de schattingen te evalueren, indien het management de effecten van schattingsonzekerheden niet adequaat heeft aangepakt. Vraag 16: Beoordeel de oordeelsvormingen en besluiten van het management bij het maken van schattingen en stel vast of er indicaties voor mogelijke tendentie bij het management zijn. 4.1.5 Werkprogramma groepsaccountant (afronding) Nieuw: Vraag 11: Evalueer of uit de uitgevoerde controlewerkzaamheden voldoende en geschikte controle-informatie is verkregen om daarop het controleoordeel op groepsniveau te baseren. Vraag 12: Evalueer wat het effect op het controleoordeel op groepsniveau is van eventuele niet gecorrigeerde afwijkingen en eventuele gevallen waarin het niet mogelijk is gebleken voldoende en geschikte controle-informatie te verkrijgen.


pagina 34 / 34

Datum CaseWare Nederland bv. Versie 1.0 Amersfoortseweg 15F. Opgesteld door Bas Sperling Telefoon:

Recommend Documents