De evoluerende rol van de IT-auditor
Team:
907
Studenten:
S.P. Heijens MSc Ing. F.E. van Wieringen MSc RI
Instituut:
Vrije Universiteit Amsterdam Faculteit der Economische Wetenschappen en Bedrijfskunde Postgraduate School IT Audit opleiding
Begeleiders:
Drs. J. Stierman RE E. de Horde RA
Versie: Datum:
1.0 30 maart 2009
Inhoudsopgave Samenvatting ........................................................................................................................................4 Voorwoord ............................................................................................................................................5 1 Inleiding ........................................................................................................................................6 1.1 Doelstelling ..........................................................................................................................6 1.2 Probleemstelling....................................................................................................................6 1.3 Verwachte resultaat...............................................................................................................6 1.4 Beperking van de scope .........................................................................................................7 1.5 Onderzoeksaanpak en planning ...............................................................................................7 1.6 Outline ................................................................................................................................7 2 Literatuuronderzoek ........................................................................................................................8 2.1 Traditionele rol IT-auditor financiële audit .................................................................................8 2.2 Belangrijkste technologische ontwikkelingen..............................................................................8 2.2.1 ERP-systemen...................................................................................................................9 2.2.2 Workflow Management Systemen ........................................................................................9 2.2.3 Computer Aided Audit Techniques (CAATs) ......................................................................... 10 2.2.4 eXtensible Business Reporting Language (XBRL) .................................................................. 12 2.2.5 Continuous Auditing ........................................................................................................ 12 2.3 Invloed volwassenheidsniveau IT op de toegevoegde waarde IT audit ........................................ 14 2.4 Huidige/Toekomstige rol IT-auditor........................................................................................ 14 2.4.1 Verschillen in perceptie tussen IT en financiële auditor ......................................................... 15 2.5 Samenvatting literatuuronderzoek.......................................................................................... 17 3 Praktijkonderzoek.......................................................................................................................... 18 3.1 Onderzoeksmodel................................................................................................................ 18 3.1.1 Hypothesen per onderzoeksvraag ...................................................................................... 18 3.2 Opzet enquête .................................................................................................................... 20 3.2.1 Opzet van enquêteonderdelen en -vragen........................................................................... 20 3.2.2 Verspreiding van de enquête............................................................................................. 21 3.3 Respons enquête................................................................................................................. 22 3.4 Analyse van de enquêteresultaten.......................................................................................... 23 3.4.1 De traditionele rol van de IT-auditor bij de jaarrekeningcontrole ............................................ 23 3.4.2 Betere ondersteuning gezien vanuit de financiële auditor ...................................................... 25 3.4.3 Betere ondersteuning gezien vanuit de klant ....................................................................... 26 3.4.4 Betrokkenheid van de IT-auditor is niet meer voldoende ....................................................... 28 3.4.5 Relevante technologische ontwikkelingen............................................................................ 28 3.4.6 Impact van ERP-systemen ................................................................................................ 30 3.4.7 Impact van Workflow Management Systemen ..................................................................... 31 3.4.8 Impact van CAATs........................................................................................................... 33 3.4.9 Impact van XBRL ............................................................................................................ 34 3.4.10 Impact van Continuous Auditing ........................................................................................ 35 3.4.11 Volwassenheidsniveau IT klant.......................................................................................... 36 3.4.12 Andere factoren van invloed op inzet IT-auditor................................................................... 41 3.5 Samenvatting praktijkonderzoek ............................................................................................ 42 4 Conclusies & aanbevelingen............................................................................................................ 43 4.1 Aanbevelingen .................................................................................................................... 43 4.2 Vervolgonderzoek................................................................................................................ 44 Literatuurlijst....................................................................................................................................... 45 Appendix A – Enquête .......................................................................................................................... 48
2
Lijst van figuren / tabellen Figuur 1: Unified Theory of Acceptance and Use of Technology (UTAUT) [32]............................................... 11 Figuur 2: IT Governance aspecten volgens De Haes et al. [10] ................................................................... 14 Figuur 3: Verdeling respondenten........................................................................................................... 22 Figuur 4: Verdeling respondenten naar functieniveau ................................................................................ 23 Figuur 5: Verdeling respondenten naar aantal jaren werkervaring ............................................................... 23 Figuur 6: Traditionele rol IT-auditor ........................................................................................................ 24 Figuur 7: Betere ondersteuning vanuit het perspectief van de financiële auditor ............................................ 25 Figuur 8: Betere ondersteuning vanuit het perspectief van de klant ............................................................. 27 Figuur 9: Verdeling respons voldoet de rol van de IT-auditor nog................................................................ 28 Figuur 10: Relevante technologische ontwikkelingen met impact op de jaarrekeningcontrole........................... 29 Figuur 11: Verwachte activiteiten van de IT-auditor bij aanwezigheid van een ERP-systeem............................ 30 Figuur 12: Verwachte activiteiten van de IT-auditor bij aanwezigheid van een Workflow Management Systeem . 32 Figuur 13: Verwachte activiteiten van de IT-auditor bij mogelijkheden voor CAATs ........................................ 33 Figuur 14: Verwachte activiteiten van de IT-auditor bij een XBRL-jaarrekening.............................................. 34 Figuur 15: Verwachte activiteiten van de IT-auditor bij continuous auditing .................................................. 35 Figuur 16: Verwachte activiteiten van de IT-auditor bij een klant met een laag IT-volwassenheidsniveau.......... 37 Figuur 17: Verwachte activiteiten van de IT-auditor bij een klant met een gemiddeld IT-volwassenheidsniveau . 38 Figuur 18: Verwachte activiteiten van de IT-auditor bij een klant met een hoog IT-volwassenheidsniveau......... 39 Figuur 19: Klanteigenschappen die van invloed zijn op de inzet van de IT-auditor bij de jaarrekeningcontrole.... 40 Figuur 20: Andere factoren van invloed op de inzet van de IT-auditor.......................................................... 41 Tabel 1: Significante verschillen tussen de financiële- en de IT-auditor, traditionele werkzaamheden IT-auditor. 25 Tabel 2: Significante verschillen tussen de financiële- en de IT-auditor, betere ondersteuning vanuit het perspectief van de financiële auditor ....................................................................................................... 26 Tabel 3: Significante verschillen tussen de financiële- en de IT-auditor, betere ondersteuning vanuit het perspectief van de klant ........................................................................................................................ 28 4: Significante verschillen tussen de financiële- en de IT-auditor, relevante technologische ontwikkelingen ....... 30 Tabel 5: Significante verschillen tussen de financiële- en IT-auditor, werkzaamheden IT-auditor bij aanwezigheid van een ERP-systeem ........................................................................................................................... 31 Tabel 6: Significante verschillen tussen de financiële- en de IT-auditor, werkzaamheden IT-auditor bij aanwezigheid van Workflow Management Systeem ................................................................................... 33 Tabel 7: Significante verschillen tussen de financiële- en de IT-auditor, werkzaamheden IT-auditor bij XBRLjaarrekening........................................................................................................................................ 35 Tabel 8: Significante verschillen tussen de financiële- en de IT-auditor, werkzaamheden IT-auditor bij continuous auditing.............................................................................................................................................. 36 Tabel 9: Significante verschillen tussen de financiële- en de IT-auditor, verwachte activiteiten IT-auditor bij een klant met een laag volwassenheidsniveau ................................................................................................ 37 Tabel 10: Significante verschillen tussen de financiële- en de IT-auditor, verwachte activiteiten IT-auditor bij een klant met een gemiddeld volwassenheidsniveau ....................................................................................... 38 Tabel 11: Significante verschillen tussen de financiële- en de IT-auditor, verwachte activiteiten IT-auditor bij een klant met een hoog volwassenheidsniveau............................................................................................... 39 Tabel 12: Significante verschillen tussen de financiële- en de IT-auditor, klanteigenschappen die van invloed zijn op de inzet van de IT-auditor bij de jaarrekeningcontrole........................................................................... 40 Tabel 13: Significante verschillen tussen de financiële- en de IT-auditor, andere factoren die van invloed zijn op de inzet van de IT-auditor bij de jaarrekeningcontrole ............................................................................... 42
3
Samenvatting In het afgelopen decennium hebben er diverse technologische ontwikkelingen plaatsgevonden. Doel van dit onderzoek is om te onderzoeken of – gezien de technologische ontwikkelingen van het afgelopen decennium – de traditionele rol van de IT-auditor nog voldoet. Om antwoord te geven op die onderzoeksvraag hebben we een aantal deelvragen gedefiniëerd waar wij de literatuurstudie en het praktijkonderzoek op hebben gebaseerd. Uit de literatuurstudie komt o.a. naar voren dat tot het einde van de 20e eeuw vaak nog om systemen heen werd geaudit en dat IT audit maar een zeer beperkt onderdeel van de jaarrekeningcontrole is. Daarnaast hebben wij vijf relevante technologische ontwikkelingen behandeld in de literatuurstudie, te weten (1) ERP-systemen, (2) Workflow Management systemen, (3) Computer Aided Audit Techniques (CAATs), (4) XBRL en (5) Continuous Auditing. Tevens komt uit de literatuur naar voren dat de impact van deze ontwikkelingen op de jaarrekeningcontrole van een aantal factoren afhankelijk is, zoals het perceptieverschil tussen de financiële auditor en de IT-auditor, maar ook de IT-volwassenheid van de klant. De resultaten van de literatuurstudie vormden de basis voor ons praktijkonderzoek. In het praktijkonderzoek onderzoeken wij door gebruik te maken van een enquête welke mogelijkheden er zijn voor verbetering van de van de inzet van de IT-auditor bij de jaarrekeningcontrole binnen een accountantskantoor in Nederland gezien de recente technologische ontwikkelingen. De enquête is zowel door financiële als IT-auditors ingevuld. Vervolgens is door middel van de resultaten van zowel de literatuurstudie als de enquête antwoord gegeven op de gedefiniëerde deelvragen en uiteindelijk ook op de hoofdvraag. Uit het onderzoek komt naar voren dat de traditionele werkzaamheden van de IT-auditor in relatie tot de jaarrekeningcontrole bestaat uit het toetsen van generieke IT-beheersmaatregelen, autorisaties en geautomatiseerde beheersmaatregelen. Om te kunnen beoordelen of deze traditionele werkzaamheden nog voldoen hebben we onderzocht wanneer er sprake is van een betere ondersteuning en in welke mate de traditionele werkzaamheden nog voldoen. Een betere ondersteuning voor de financiële auditor kenmerkt zich volgens de door ons onderzochte groep respondenten in het voldoende comfort krijgen over systemen, het toetsen van geautomatiseerde beheersmaatregelen en het in kaart brengen van IT-risico’s. Het in kaart brengen van IT-risico’s wordt ook genoemd als betere ondersteuning voor de klant, samen met het leveren van toegevoegde waarde en het bieden van specifieke kennis. Opvallend is dat de onderzochte groep respondenten over het algemeen van mening is dat de traditionele werkzaamheden nog grotendeels voldoen maar het blijkt wel dat er nog niet volledig gebruik wordt gemaakt van nieuwe mogelijkheden door de technologische ontwikkelingen. Het blijkt ook dat er nogal verschillen bestaan in de perceptie van de financiële- en de IT-auditors. ITauditors worden nog steeds als echte IT-specialisten gezien door de financiële auditor terwijl de ITauditor zichzelf ook als processpecialist lijkt te zien.
4
Voorwoord Deze scriptie is onderdeel van het examen voor de IT-audit opleiding aan de Vrije Universiteit Amsterdam en is dus onderdeel van het 3e jaar van de opleiding. Doelstelling van het schrijven van de scriptie als onderdeel van de opleiding is om kennis en vaardigheden op het gebied van onderzoek op te doen, en om kritisch en diepgaand een relevant onderwerp binnen het vakgebied IT-auditing te bespreken. Het onderzoek is uitgevoerd vanaf juli 2008 (orienteren op een onderwerp) tot en met maart 2009 (afronding). Vereiste voor het onderzoek was dat het zowel een literatuuronderzoek als een parktijkonderzoek omvatte. Het praktijkonderzoek hebben we uitgevoerd in de vorm van een enquête onder financiële- en IT-auditors. We vonden het erg interessant en leerzaam om diepgaand met dit onderwerp bezig te zijn en hopen dat we hiermee een eerste stap hebben kunnen zetten naar een betere inzet van de IT-auditor en een betere samenwerking met de financiële auditors tijdens de jaarrekeningcontrole. Wij bedanken onze begeleiders voor hun begeleiding en de tijdige en kritische feedback. Amsterdam, 23 maart 2009 Friso van Wieringen Saphira Heijens
Begeleider VU: Job Stierman Begeleider bedrijfscoach: Erwin de Horde
5
1
Inleiding
Als IT-auditors valt het ons op dat de belangrijkste bezigheid van de IT-auditor het toetsen van beheersmaatregelen is: het zogenaamde ‘controls testing’. Met de opkomst van ERP-systemen, workflow-systemen, document management systemen, CAATs, XBRL, en bijvoorbeeld data-analyse applicaties vragen wij ons af in hoeverre deze traditionele rol van de IT-auditor nog voldoet en op welke manier een IT-auditor beter en efficiënter kan ondersteunen bij een financiële audit.
1.1 Doelstelling De doelstelling van ons onderzoek is te onderzoeken welke mogelijkheden er zijn om een jaarrekeningcontrole beter en efficiënter uit te voeren. Daarnaast willen wij met dit onderzoek concrete aanbevelingen doen om dit te bewerkstelligen. Daarmee hopen we het werk voor zowel de IT-auditor als de financiële auditor efficiënter en tevens uitdagender en leuker te maken.
1.2 Probleemstelling Om aan de doelstelling van het onderzoek te voldoen staat de volgende onderzoeksvraag centraal: In hoeverre kan de IT-auditor een betere ondersteuning bieden bij de financiële audit? Om deze onderzoeksvraag te kunnen beantwoorden hebben wij een aantal deelvragen geformuleerd: 1. Waaruit bestaat de traditionele rol van de IT-auditor in relatie tot de financiële audit? 2. Wanneer is er sprake van betere ondersteuning bij de financiële audit? 3. Welke relevante technologische veranderingen hebben er plaatsgevonden in het afgelopen decennium en welke technologische veranderingen vinden er in de nabije toekomst plaats? 4. In welke mate voldoet de traditionele rol van de IT-auditor bij de huidige financiële audit nog? 5. Welke invloed hebben deze veranderingen op de financiële audit? 6. In welke mate is het volwassenheidsniveau van de klant op het gebied van IT en beheersmaatregelen van invloed op de rol van de IT-auditor bij de financiële audit? Met de financiële audit wordt in dit geval het uitvoeren van werkzaamheden t.b.v. de jaarrekeningcontrole bedoeld.
1.3 Verwachte resultaat De verwachte resultaten van dit onderzoek zijn: Een analyse van de huidige literatuur over de relatie tussen IT audit en de financiële audit. Een analyse van de huidige situatie binnen een accountantskantoor gebaseerd op de ervaringen van zowel de financiële als de IT-auditors uit de praktijk. Aanbevelingen voor een betere inzet van IT audit bij de financiële audit. Wij verwachten dat de mate waarin de IT audit een betere ondersteuning kan bieden bij de jaarrekeningcontrole af zal hangen van het type klant en de mate van volwassenheid van de IT omgeving. Indien een klant immers weinig geavanceerde IT-systemen heeft geïmplementeerd en geen goede interne beheersomgeving heeft zal een IT audit weinig toegevoegde waarde bieden voor de financiële auditors.
6
1.4 Beperking van de scope Bij het bepalen van de scope van het onderzoek zijn de volgende zaken expliciet buiten het onderzoek gehouden: We beperken ons tot de technologische ontwikkelingen met invloed op de IT audit als onderdeel van de financiële audit. Andere ontwikkelingen binnen IT-audit zoals business ITalignment zullen we dus niet bespreken. Er is een grote variëteit aan ERP-systemen en overige applicaties op de markt die bij kunnen dragen aan een efficiëntere en effectievere audit. Tijdens ons onderzoek zullen wij niet op specifieke ERP-systemen ingaan. Er is een grote variëteit aan workflow management systemen op de markt die bij kunnen dragen aan een efficiëntere en effectievere audit. Tijdens ons onderzoek zullen wij niet op specifieke workflow management systemen ingaan.
1.5 Onderzoeksaanpak en planning Ons onderzoek zal worden uitgevoerd vanaf juli 2008 tot en met maart 2009 en onderscheidt zich in de volgende fasen: Literatuurstudie. Analyse van de huidige literatuur over de relatie tussen de IT audit en de financiële audit. Praktijkonderzoek. Het praktijkonderzoek zal bestaat uit: o Een enquête. Door het enquêteren van junior en senior medewerkers van zowel de financiële audit als de IT-audit groep binnen een accountantskantoor zullen wij onderzoeken in hoeverre de IT audit een onderdeel is van de jaarrekeningcontrole en bij welk type klanten de IT audit als meest waardevol wordt gezien door zowel de financiële als de ITauditors. Documenteren van de resultaten van het praktijkonderzoek Schrijven van de conclusie en aanbevelingen
1.6 Outline De overige onderdelen van deze scriptie zijn als volgt opgebouwd: In Hoofdstuk 2 zijn de resultaten van de literatuurstudie opgenomen. In Hoofdstuk 3 zijn de resultaten van het praktijkonderzoek opgenomen. In Hoofdstuk 4 beschrijven we onze conclusies en aanbevelingen en suggesties voor verder onderzoek.
7
2
Literatuuronderzoek
Uitgaande van de onderzoeksvragen in Hoofdstuk 1 hebben we bijpassende literatuur gezocht. We starten met het beschrijven van de traditionele rol van de IT-auditor. Daarna beschrijven we de belangrijkste ontwikkelingen in het afgelopen decennium en in de nabije toekomst met invloed op de financiële audit. Dit vertalen we vervolgens naar de veranderende rol van de IT-auditor in relatie tot de financiële audit. Als laatste leggen we een relatie tussen de rol van de IT-auditor bij verschillende typen bedrijven. Bij welke mate van IT-volwassenheidsniveau heeft de IT-auditor de meeste toegevoegde waarde?
2.1 Traditionele rol IT-auditor financiële audit Binnen 1 van de Big 5 accountantskantoren is er vanaf 1970 een formele IT audit functie ontstaan [29]. De primaire rol van de IT-auditor was destijds het ondersteunen van de jaarrekeningcontrole en de IT audit maakte hier maar een heel klein deel van uit. Sinds 1984 is wettelijk bepaald dat de accountant bij een jaarrekeningcontrole in zijn verslag aan de Raad van Commissarissen en aan het bestuur melding dient te maken van zijn bevindingen met betrekking tot de betrouwbaarheid en continuïteit van de geautomatiseerde gegevensverwerking [23]. Hinson [12] geeft aan dat de keuze, om al dan niet om de IT-systemen heen te auditen, tot het einde van de 20e eeuw een belangrijk onderdeel van de planningsfase van de jaarrekeningcontrole was. Vanwege de beperkte kennis bij de financiële auditors van IT werden de IT-systemen nog vaak als ‘black boxes’ gezien. Berekeningen die door een boekhoudpakket geautomatiseerd werden gedaan werden door de financiële auditors gevalideerd om te controleren dat het programma zijn werk goed deed. IT-auditors beperkten zich ook nog puur tot de IT-omgeving (zoals hardware, operating systems, database systemen) en negeerden de bedrijfsprocessen. Vanaf de jaren 90 werd deze scheiding tussen IT audit en de financiële audit doorbroken door het idee van de geïntegreerde audit. In 1995 bracht de NIVRA [22] een studierapport uit waarin normatieve maatregelen voor de geautomatiseerde gegevensverwerking in het kader van de jaarrekeningcontrole worden beschreven. Het studierapport beschrijft richtlijnen voor de beoordeling van de gautomatiseerde gegevensverwerking die de accountant minimaal moet verrichten om zich een oordeel over de getrouwheid van de jaarrekening te kunnen vormen [22]. Tucker [28] geeft aan dat in 2001 de SAS94 standaard werd uitgebracht waarin het effect van informatietechnologie op de evaluatie van de interne controles in het kader van de jaarrekeningcontrole wordt beschreven. Het is een aanvulling op SAS55 (het evalueren van de interne beheersmaatregelen in het kader van de jaarrekeningcontrole) en wordt gezien als belangrijke stap in het erkennen van IT als onderdeel van de controleaanpak.
2.2 Belangrijkste technologische ontwikkelingen In deze sectie beschrijven we de belangrijkste ontwikkelingen in het afgelopen decennium en in de nabije toekomst met invloed op de financiële audit. Deze ontwikkelingen werden het meest genoemd bij het zoeken naar recente literatuur over technologische ontwikkelingen met invloed op de audit. We starten met de invloed van ERP-systemen, Workflow Management Systemen, CAAT’s en eindigen met twee actuele ontwikkelingen zoals XBRL en Continuous Auditing.
8
2.2.1 ERP-systemen Volgens Sutton [26] is er nog maar weinig onderzoek gedaan naar de invloed van ERP-systemen op accounting. In 2006 doet hij via het International Journal of Accounting Systems een oproep voor onderzoek. Volgens Sutton is door de invoer van ERP-systemen de uitdaging voor de accountants niet meer het opstellen van de financiële rapportages, dit wordt immers grotendeels geautomatiseerd gedaan. Hij ziet nu de grootste uitdaging in het tijdig rapporteren en verstrekken van financiële informatie. Sutton is ook van mening dat auditors slecht zijn in het tijdig aanpassen aan nieuwe technologische ontwikkelingen zoals ERP-systemen. Volgens hem dient de nadruk nu meer te liggen op het reviewen of de activiteiten die automatisch transacties registreren in de ERP-systemen wel juist zijn geprogrammeerd. Hij ziet echter weinig onderzoek dat onderbouwt dat hier genoeg aandacht aan wordt besteed. Open onderzoeksvragen zijn volgens Sutton [26] hoe systeem betrouwbaarheidsonderzoeken onderdeel kunnen worden van de audit en welke technieken en tooling hiervoor het meest effectief ingezet kan worden. Er is ook nog weinig geschreven over hoe continuous auditing gerealiseerd kan worden in een ERP-omgeving. Hunton [14] heeft onderzoek gedaan naar de risico’s die bestaan bij de audit van klanten met ERPsystemen. Bij dit onderzoek zijn zowel financial auditors (accountants) en IS audit specialists (ITauditors) betrokken. Uit het onderzoek van Hunton blijkt dat risico’s door accountants anders worden geclassificeerd dan door de IT-auditors en dat risico’s op het gebied van continuïteit, netwerkbeveiliging, databasebeveiliging, applicatiebeveiliging (waaronder functiescheiding) en beheersbaarheid vaak zeer beperkt of helemaal niet worden onderkend. Tevens blijkt uit het onderzoek dat de ondervraagde accountants vaak van mening zijn dat de risico’s van een ERPsysteem zonder tussenkomst van een specialist kunnen worden herkend. Kelechi [15] beschrijft in zijn master thesis de invloed van ERP-systemen op het audit proces. Hij heeft onderzocht in hoeverre de aanwezigheid van een ERP-systeem de audit aanpak beïnvloedt. Kelechi toetst vier hypothesen door het enquêteren van 365 auditors [15]: 1. Het audit proces en procedures veranderen door de implementatie van een ERP-systeem. 2. Het risico op gebied van beheersbaarheid neemt toe na een ERP implementatie. 3. Er hoeft minder substantive te worden getest. 4. De kwaliteit en efficiency van de audit neemt toe door het sneller beschikbaar zijn van realtime informatie. De eerste drie hypothesen werden op basis van de statistische analyse aangenomen. Er werd geen bewijs gevonden dat de audit trail van ERP-systemen ertoe leidt dat de benodige informatie voor de audit sneller beschikbaar is. Wel werd volgens Kelechi [15] duidelijk dat ERP-systemen functionaliteiten bieden die het audit process kunnen versnellen en efficiënter kunnen maken. Hij beschrijft echter niet welke functionaliteiten dit zijn.
2.2.2 Workflow Management Systemen Een andere nieuwe mogelijkheid door de opkomst van workflow management systemen is het auditen of processen in overeenstemming met de definitie worden uitgevoerd [9]. Er wordt tegenwoordig een heleboel informatie gelogd in de meeste informatiesystemen. Heijens [11] beschrijft een datamodel waarin de benodigde informatie is opgenomen voor een bruikbare audit trail ten behoeve van monitoring doeleinden. Er wordt echter nog weinig met deze logging gedaan volgens Hakvoort en Sluiter [9]. Process mining is een nieuw onderzoeksgebied waarin er op basis van logging kennis wordt vergaard over processen maar ook over sociale netwerken. Op deze manier kan er inzicht verkregen worden in hoe processen
9
daadwerkelijk worden uitgevoerd waardoor een betere risicoanalyse kan worden uitgevoerd. Vooralsnog wordt process mining vaak gebruikt om procesverbetering te bewerkstellingen. Hakvoort en Sluiter [9] hebben onderzocht hoe process mining ook kan worden ingezet voor de financiële audit. Voordelen die zij hebben gevonden van ‘conformance analysis’ zijn het significant verminderen van het aantal transacties dat substantive moet worden getest en het verkrijgen van inzicht in hoe vaak het proces door bepaalde personen wordt uitgevoerd. Nadelen die Hakvoort en Sluiter onderkennen zijn het niet kunnen analyseren op procesattributen (zoals bedragen) en of de transacties op het juist niveau zijn goedgekeurd. Ze concluderen dat process mining interessante inzichten kan bieden, maar dat er nog een aantal verbeteringen nodig zijn, ook in de transactie logs van ERP-systemen, voor het echt kan worden ingezet als tool voor de financiële audit. Naast process mining bieden Workflow Management Systemen nog andere voordelen voor auditors. Indien de workflow goed wordt ingericht dwingt een workflow management systeem immers een bepaalde werkwijze af [9]. Zo kan worden ingesteld dat de manager van een medewerker een bepaald inkoopverzoek moet goedkeuren alvorens het wordt doorgezet naar de inkoopafdeling. Zoals bij alle informatiesystemen is het hier ook belangrijk dat de IT general controls goed zijn ingericht opdat het juist functioneren van de procedures die door het systeem worden afgedwongen wordt gewaarborgd. Met name autorisaties en functiescheiding dienen goed te worden bekeken.
2.2.3 Computer Aided Audit Techniques (CAATs) Computer Aided Audit Techniques (CAATs) zijn volgens De Vries [31] op te delen in vier categorieën: 1. Data analyse software zoals ACL, Microsoft Access en Excel. 2. Netwerk beveiliging en netwerk evaluatie software. 3. Operating System en Database Management systeem beveiliging evaluatie software. 4. Software voor testen van programmacode. Spreadsheet Assurance is tevens een voorbeeld van CAATs. Hier zijn verschillende tools voor beschikbaar zoals Spreadsheet Professional en XL Analyst [25]. Naast de categorieën genoemd door De Vries kunnen we ook de tools voor het testen van automated controls en security als aparte categorie onderscheiden. Computer Aided Audit Techniques hebben veel potentie om een audit efficiënter en effectiever te maken [6]. Onderzoek toont echter aan dat CAATs in de praktijk nog niet veelvuldig worden gebruikt [16]. Volgens Curtis en Payne [6] is dit grotendeels te wijten aan de prestatiegerichte cultuur binnen accountantskantoren. Zij hebben onderzocht welke factoren er een rol spelen bij het inzetten van IT voor de audit. Hierbij maken ze onderscheid tussen contextuele (duur van de opdracht/budget en invloed van leidinggevenden) en individuele factoren (risico voorkeur, audit ervaring en druk op het budget). Curtis en Payne gebruiken hiervoor een aangepaste versie van het ‘Unified Theory of Acceptance and Use of Technology’ (UTAUT) model [30]. Volgens dit model wordt het gebruik van technologie bepaald door drie aspecten, te weten (1) de verwachte toegevoegde waarde (performance expectancy), (2) de verwachte te leveren inspanning (effort expectancy) en (3) de mate waarin iemand sociaal wordt beïnvloed. Tot slot zijn er een aantal faciliterende omstandigheden die als enabler werken en uiteindelijk leiden tot het gebruik van de technologie. Zie ook Figuur 1. Curtis en Payne hebben bij hun onderzoek gebruik gemaakt van de aspecten Performance Expectancy en Social Influance.
10
Figuur 1: Unified Theory of Acceptance and Use of Technology (UTAUT) [32]
Uit het onderzoek van Curtis en Payne blijkt dat de auditors vaker nieuwe technologieën zoals CAATs inzetten als er een budget voor een langere periode, bijvoorbeeld drie jaar wordt opgesteld. Dit omdat het inzetten van een nieuwe technologie in het eerste jaar vaak extra kosten met zich meebrengt en dit zichzelf pas in de volgende jaren terugbetaalt. Uit de statistische analyse komt ook naar voren dat auditors vaker nieuwe technologieën inzetten als ze weten dat de leidinggevenden daar een voorkeur voor hebben. Daarnaast spelen ook individuele factoren een rol, maar in mindere mate dan de contextuele factoren. Indien de contextuele factoren niet bekend zijn spelen de individuele factoren zoals risicovoorkeur en budgetdruk die wordt ervaren een grotere rol. Indien budgetten hevig onder druk staan hebben risicoaverse personen de neiging om geen onzekerheden (nieuwe technologieën) in het audit plan op te nemen [6]. Curtis en Payne geven aan dat er mogelijk nog andere factoren de keuze beïnvloeden, zoals bekendheid met de technologie en roulerende audit staff. Ook interessant om te onderzoeken is hoe nieuwe technologieën zoals continuous auditing de auditors dwingen om meer geautomatiseerde substantive testing uit te gaan voeren omdat zij anders hun concurrentievoordeel niet meer kunnen behouden. Beide onderwerpen worden aangedragen als mogelijke verdere studies. Volgens Van Beek kunnen ook andere factoren het al dan niet gebruiken van IT-tooling beïnvloeden [1]. Anti-virus programma’s beperken het gebruik van door de auditor gebruikte software utilities om bijvoorbeeld wachtwoordinstellingen te achterhalen. Van Beek geeft echter ook dat deze beperkingen wel makkelijk te omzeilen zijn. De Vries geeft aan dat het succes van het gebruik van CAATs voor de financiële audit afhangt van de manier waarop CAATs door de auditor wordt ingezet [31]. Hij geeft aan dat CAATs vaak reactief of verplicht wordt ingezet wat vaak tot hoge kosten en weinig toegevoegde waarde leidt. De Vries pleit ervoor om CAATs proactief in te zetten en een vast onderdeel te maken van de financiële audit. Dit kan alleen als de financiële auditor ook goed begrijpt wat de voordelen zijn die CAATs bieden. De Vries onderzoekt vervolgens hoe CAATs meer toegevoegde waarde kunnen bieden voor de jaarrekeningcontrole. CAATs kunnen zowel bij geautomatiseerde controles als gegevensgerichte werkzaamheden worden ingezet. Een groot voordeel van CAATs in de praktijk is dat herhaalbaarheid van de werkzaamheden mogelijk is [3]. Ook wordt het mogelijk om gehele populaties te testen waardoor meer zekerheid kan worden verkregen dan bij handmatig testen [31]. Volgens De Vries kunnen er voordelen worden behaald voor de jaarrekeningcontrole indien tijdens het definiëren van de audit aanpak al wordt geëvalueerd om wel of geen CAATs in te zetten. De kosten kunnen dan goed worden afgewogen tegen de voordelen die te behalen zijn met de inzet van CAATs.
11
2.2.4 eXtensible Business Reporting Language (XBRL) XBRL staat voor eXtensible Business Reporting Language en is een op XML gebaseerde open standaard die het mogelijk maakt financiële gegevens te verzamelen, elektronisch uit te wisselen, te analyseren en indien nodig te bewerken [17]. In 1998 is XBRL International opgericht: een organisatie die de promotie en adoptie van XBRL in bedrijven moet ondersteunen. Pasmooij [24] geeft aan dat XBRL gebruik maakt van een zogenaamde taxonomie, waarin de gegevenselementen worden vastgelegd en worden beschreven. Door deze taxonomie te verspreiden onder partijen waarmee gegevens moeten worden uitgewisseld kunnen elementen uit de administratie worden gelabeld met elementnamen uit de taxonomie. Op deze manier ontstaat een eenduidige manier om gegevenselementen te definiëren. Door deze gelabelde gegevens op te nemen in een tekstdocument kunnen de elementen uit de administratie worden verzonden naar een andere partij. Een standaardfunctionaliteit van XML, en daarmee ook XBRL, is dat er op alle documenten zogenaamde style sheets kunnen worden toegepast, waardoor de uiteindelijke presentatie van de gegevens kan worden beïnvloed. Op deze manier kan hetzelfde XBRL-tekstbestand door middel van twee verschillende style sheets worden gepresenteerd als bijvoorbeeld een balans of een winst- en verliesrekening. 2.2.4.1 Belang voor de IT-auditor De implementatie van XBRL bij bedrijven heeft implicaties voor de accountantscontrole en daarom ook voor de betrokkenheid van de IT-auditor. Pasmooij [24] geeft vier gebieden aan waar de IT-auditor een bijdrage kan leveren, te weten (1) het ondersteunen van organisaties bij de inrichting van hun op XBRL gebaseerde informatieverwerkingsprocessen, (2) het samenstellen van rapportage op basis van XBRL, (3) het ondersteunen van financiële auditors bij de accountantscontrole en (4) het geven van zekerheid over de processen onderliggend aan de totstandkoming van XBRL-rapportages. Koning et al. [17] voegen hier aan toe dat de IT-auditor tevens kan ondersteunen bij het vergelijken van de XBRL-jaarrekening met de klassieke jaarrekening, of de documenten voldoen aan wet- en regelgeving en of data-elementen in het XBRL-document overeenkomen met de brondata.
2.2.5 Continuous Auditing Een andere ontwikkeling van het afgelopen decennium is het begrip ‘Continuous Auditing’. Continuous auditing wordt door Hoffer [13] omschreven als ‘an auditing technique, rather than a business operations activity, and it includes the frequent auditing of a specific area, function, or set of risks and controls’. Met andere woorden, het betreft een audittechniek die zich richt op het regelmatig testen van een bedrijfsonderdeel, -functie of –risico met beheersmaatregelen. Volgens Coderre et al. [5] is continuous auditing ‘a method used to automatically perform control and risk assessments on a more frequent basis’: het periodiek geautomatiseerd testen van beheersmaatregelen en risico’s. Beide definities hebben het over het periodiek testen van beheersmaatregelen en risico’s en scharen continuous auditing dus meer in de hoek van de interim controle, waar de interne beheersmaatregelen worden getoetst. Flowerday et al. [8] hanteren bij hun vergelijking van verschillende continuous auditing modellen de definitie ‘a methodology that enables independent auditors to provide written assurance on a subject matter using a series of auditors’ reports issues simultaneously with, or a short time after, the occurrence of events underlying the subject matter’. Deze definitie is duidelijk meer gericht op transactionele data in plaats van op beheersmaatregelen. 2.2.5.1 Criteria voor continuous auditing Uit de bestudeerde literatuur komt als algemeen beeld naar voren dat het betrekken van technologie essentieel is voor het slagen van continuous auditing. Flowerday et al. [8] beschrijft dat het hebben
12
van de mogelijkheid om data te downloaden uit alle relevante bronnen, inclusief legacy systemen, cruciaal is voor de ontwikkeling van een continuous auditing systeem. Hoffer [13] geeft aan dat technologie bepalend is voor het mogelijk maken van continuous auditing en kan het niet effectief en juist worden uitgevoerd zonder de integratie van technologie. Technologie is essentieel om (1) datarelaties te documenteren en te onderhouden, (2) analyse op data uit te voeren, (3) anomalieën en trends te onderzoeken en (4) zwakheden in de beheersmaatregelen te ontdekken. 2.2.5.2 Continuous auditing modellen Volgens Chou et al. [4] zijn er verscheidene modellen die zich richten op het analyseren van transactionele data door een set van vooraf gedefinieerde regels op deze data toe te passen. Wanneer regels worden overtreden of bepaalde drempels worden overschreden zal dit kenbaar worden gemaakt door middel van ‘rode stoplichtjes’ en kan dit onder de aandacht van de auditor worden gebracht. Dit kan volgens Chou worden bewerkstelligd via twee benaderingen, te weten (1) Embedded Audit Modules (EAM) waarbij triggers, rapporten en beheersmaatregelen als functionaliteit in het informatiesysteem worden ingebouwd en (2) Audit Data Marts (ADM) waarbij er gebruik wordt gemaakt van een datawarehouse waar data relevant voor de audit naartoe wordt gekopieerd voor verdere analyse door de auditor. Flowerday et al. [8] hebben een drietal modellen op het gebied van continuous auditing vergeleken, waar er twee relevant zijn voor continuous auditing op het gebied van jaarrekeningcontrole. Het ‘Continuous auditing building automated auditing capability’ model (ontwikkeld door Rezaee et al.) richt zich op het centraal verzamelen van data van verschillende transactionele systemen om dit vervolgens te standaardiseren. Tot slot kunnen er analyses op deze data worden uitgevoerd. Het ‘Towards a paradigm for continuous auditing’ model dat ontwikkeld is door Onions deelt continuous auditing op in twee fasen. De data wordt (1) op het moment van invoeren direct getoetst aan de hand van verschillende business rules en (2) achteraf getoetst over een langere periode (mogelijk zelfs over meerdere jaren) door middel van expertsystemen die verbanden en trends zoeken in de data. 2.2.5.3 Rol van de IT-auditor Voor wat betreft de rol van de IT-auditor blijkt dat deze tweeledig kan zijn. 1. Flowerday et al. [8] merken terecht op dat continuous auditing alleen kan werken wanneer er gebruik gemaakt wordt van een adequaat beveiligd systeem. Zij geven een aantal handgrepen voor normenkaders die als norm kunnen dienen voor de beveiliging van de continuous auditing omgeving, zoals CobIT en de Code voor Informatiebeveiliging (ISO 17799). Het beoordelen of de beveiliging van de systemen voldoet aan de gestelde normen en het beoordelen van de generieke IT-beheersmaatregelen rondom het systeem kan een taak zijn van de IT-auditor. 2. Hoffer [13] brengt onder de aandacht dat de financiële auditor niet de benodigde achtergrond heeft om de geavanceerde data mining tools te gebruiken om complexe analyses op de data uit te voeren. De achtergrond van de IT-auditor ligt meer in het gebied van de technologie. De IT-auditor kan hierbij dus een rol vervullen. Tevens geven Flowerday et al. [8] aan dat er gebruik gemaakt kan worden van allerlei geautomatiseerde triggers en queries, welke beoordeeld dienen te worden door een IT-auditor op juiste, volledige en tijdige verwerking van transacties.
13
2.3 Invloed volwassenheidsniveau IT op de toegevoegde waarde IT audit In moderne organisaties speelt IT een steeds grotere rol. Met de komst van Sarbanex-Oxley in 2002 en de daaropvolgende lokale varianten wordt de interne beheersing en beheersing van IT-systemen voor bedrijven steeds belangrijker. Debrenceny [7] geeft aan dat er door bedrijven veelal gebruik wordt gemaakt van het framework dat wordt aangeraden door de Public Company Accounting Oversight Board (PCAOB): het COSO framework. Ook geeft hij aan dat het COSO framework op een aantal gebieden onvoldoende ingaat op de IT-aspecten van bedrijven en dat in dit geval vaak gebruik wordt gemaakt van CobIT. Op het gebied van de relatie tussen het volwassenheidsniveau van IT en de toegevoegde waarde van de IT-auditor bij een financiële audit is nog weinig onderzoek uitgevoerd. Debreceny [7] heeft een eerste onderzoekspoging gedaan waarin hij de relatie onderzoekt tussen het Capability Maturity Model (CMM) van CobIT en de mate van interne beheersing die wordt verwacht door auditing standards. Hij geeft aan dat de beschikbare onderzoeksliteratuur op het gebied van het CMM-framework en IT governance nihil is. Het CMM-framework dat door CobIT gebruikt wordt is direct afgeleid van het Capability Maturity Model van het Software Engineering Institute. Dit model is meer gericht op het softwareontwikkelproces, terwijl het model dat bij CobIT wordt gebruikt is aangepast om het volledige IT-proces te beoordelen. Beide modellen gebruiken dezelfde benadering om de volwassenheid te meten. De vijf niveaus van volwassenheid zijn: geen (0), initieel (1), gestructureerd (2), geïnstitutionaliseerd (3), benchmarking (4) en continue verbetering (5). Volgens De Haes et al. [10] is IT governance te verdelen in drie aspecten, te weten (1) structurele aspecten (zoals de IT-organisatiestructuur, aanstelling van een CIO), (2) procesgerelateerde aspecten (zoals balanced scorecards, CobIT, ITIL, geformaliseerde processen) en (3) relationele aspecten (zoals samenwerking tussen belanghebbenden, incentives en beloningen). Volgens Debreceny [7] is de relatie tussen IT-volwassenheid en de mate van interne beheersing en beheersing van IT-systemen vooral in de procesgerelateerde aspecten te vinden. Op basis van de beschikbare literatuur lijkt er een correlatie te zijn tussen het ITvolwassenheidsniveau en de inzet van de IT-auditor, maar dit dient nog nader te worden onderzocht. In ons praktijkonderzoek zullen we aan dit onderwerp, gezien de complexiteit, dus ook maar beperkt aandacht besteden. Structures
Processes
Relational Mechanisms
IT Governance
Figuur 2: IT Governance aspecten volgens De Haes et al. [10]
2.4 Huidige/Toekomstige rol IT-auditor Er zijn enkele artikelen te vinden over IT-auditing in de 21e eeuw. Hinson [12] geeft een samenvatting van de achtergrond van de huidige IT-auditors, druk op het beroep, tooling en technieken die anno 2007 worden gebruikt en kijkt vooruit naar toekomstige ontwikkelingen. Hij legt echter niet de link naar de financiële audit. Hinson begint met een analyse van de omgevingsfactoren (politiek, economisch, sociologische en technische aspecten) die invloed uitoefenen op de IT-audit. Volgens hem is IT niet meer weg te denken uit een typische audit vanwege de verregaande automatisering van de bedrijfsprocessen.
14
Andere belangrijke invloeden op de IT audit zijn compliance en de bijbehorende Governance, Risk & Compliance tooling, business IT alignment, en de toenemende breedte van het vakgebied. Hinson ziet de brede kennis en vaardigheden van competente IT-auditors als een waardevolle toevoeging voor elke organisatie. Mede door het kunnen leggen van de relatie tussen IT-risico’s en controles en de bedrijfsomgeving en dit bespreekbaar te maken met het management. Als belangrijkste IT audit tools noemt Hinson CobIT, CAATs en audit automation tools zoals Teammate. Verdere technologische ontwikkelingen zoals ‘Software as a Service’ bieden nieuwe uitdagingen voor de IT-auditor in de komende jaren. Hinson verwacht dan ook dat IT-auditors zich steeds meer zullen gaan specialiseren. Het bieden van toegevoegde waarde voor de gehele organisatie wordt steeds belangrijker en vraagt kennis van de business. Er zijn voorspellingen die zeggen dat ‘IT audit’ zal verdwijnen vanwege het feit dat geen enkele audit meer om de systemen heen kan en alle auditors dus kennis van IT zullen moeten hebben. Hinson [12] denkt echter dat de technische diepgang die benodigd is voor bijvoorbeeld het auditen van security verder zal gaan dan de meeste niet IT-auditors zullen willen weten over systemen. Hij verwacht dat IT-auditors en auditors elkaar zullen blijven aanvullen. Volgens Sutton [27] is er een verschuiving geweest in auditing waarbij nu de nadruk in de 21e eeuw meer ligt op het testen van interne beheersingsmaatregelen rondom de informatiesystemen en het reviewen van bedrijfsprocessen. Bierstaker [2] is van mening dat er nu echt een tijdperk is aangebroken waarbij er niet meer om de computer heen kan worden geaudit. Auditors die gebruik maken van de mogelijkheden die de nieuwe technologieën bieden zullen volgens hem enorme efficiëntie voordelen behalen. Kliem [16] heeft anno 2004 een artikel geschreven over kennis die elke nieuwe IT-auditor moet hebben. Dit artikel focust echter meer op de vaardigheden die een IT-auditor nodig heeft en gaat niet zozeer over de technologische ontwikkelingen en impact op de financiële audit. Kor Mollema heeft meerdere artikelen gepubliceerd in ‘De Accountant’ waarin hij trends in de accountancy bekijkt. Hij betoogt dat een accountant ICT-bijscholing nodig heeft en ICT niet meer als alleen een complex auditobject kan worden gezien [19] [20]. ‘De opkomst van de papierloze samenleving en XBRL vereist dat de accountant kennis heeft om op de digitale informatie te kunnen steunen’. In 2006 geeft hij echter ook aan dat de hiervoor benodigde attitudewijziging in de beroepsgroep nog niet heeft plaatsgevonden. Mollema heeft ook een voorspelling gedaan in 2005 waarbij hij vooruitkijkt naar 2020 [18]. Hij voorspelt dat het gebrek aan belangstelling voor IT door de accountants hun doodsteek is geworden. ‘In plaats van de verplichte accountantscontrole laat de onderneming zich vrijwillig raten door één of meer control ratinginstituten’. Mollema voorspelt dus dat er een nieuw systeem zal komen met een nieuw type auditors die verregaande scholing in IT aspecten nodig zullen hebben. In 2008 nam Mollema afscheid als hoogleraar EDP-auditing en geeft hij opnieuw aan dat de huidige generatie financiële experts IT nog altijd als iets ‘speciaals’ ziet in plaats van het fundament voor de gehele informatievoorziening. Hij geeft aan dat dit onder andere komt doordat de accountantskantoren er niet bij gebaat zijn als het personeel een IT-opleiding gaat volgen in plaats van declarabele uren te maken [21]. Hij pleit voor gemengde teams en een betere samenwerking tussen de accountants en IT-auditors.
2.4.1 Verschillen in perceptie tussen IT en financiële auditor In 2000 hebben Vendrzyk en Bagranoff een onderzoek gedaan naar de evoluerende rol van de ITauditor en hoe zowel de IT-auditors als de financiële auditors dit ervaren [29]. Ze hebben hiervoor veldwerk verricht onder 20 senior managers en partners bij de, toen nog Big 5 kantoren, in de 15
Verenigde Staten om te begrijpen hoe de IT audit zal veranderen. Ze kwamen er achter dat er een groot verschil is in perceptie tussen de IT-auditors en de financiële auditors over de toekomstige rol van IT audit evenals de services die klanten in de toekomst wensen. Volgens Vendrzyk en Bagranoff [29] leverde het IT audit werk als ondersteuning bij de jaarrekeningcontrole in 2000 al minder dan de helft van de totale opbrengsten in de IT audit praktijken van de Big 5 op. Ze proberen op een viertal gebieden een bijdrage te leveren aan de literatuur: 1. Het documenteren van de perceptie van zowel de financiële als de IT-auditors over de impact van de IT audit op de jaarrekeningcontrole. 2. Het leveren van informatie over actuele ontwikkelingen en de vermeende shift van de financiële naar de IT-audit. 3. Het informeren van de onderwijspraktijk over accounting informatiesystemen zodat dit kan worden verwerkt in de lesprogramma’s. 4. Het informeren van zowel de IT-auditors als de financiële auditors over de verschillen in perceptie die er bestaan tussen beide groepen. Om de verschillen in perceptie over de rol van IT audit te onderzoeken focussen de auteurs op twee rollen van de IT audit: de relatie tussen IT audit en de financiële audit en de verwachte groei van de IT audit praktijk zelf (los van de traditionele financiële audit support rol). Vendrzyk en Bagranoff [29] hebben een drietal onderzoeksvragen gedefinieerd om te onderzoeken hoe de rol van IT audit wordt gezien: 1. Is er een verschil in de beschrijving van de verhouding tussen de financiële en de IT audit door beide groepen? 2. Is er een verschil in perceptie over de focus van de IT audit op controls testing? 3. Is er een verschil in de perceptie van de impact van IT audit bevindingen op de financiële audit? Daarnaast hebben ze ook onderzocht of er een ander idee heerst bij beide groeperingen over de services die anno 2005 van de accountantskantoren wordt gevraagd. Uit de resultaten van het onderzoek [29] blijkt dat de financiële auditors anno 2000 de financiële audit nog steeds dominanter vinden bij de jaarrekeningcontrole dan de IT audit. Opvallend is dat alleen enkele financiële auditors ook denken dat dit in de toekomst zo zal blijven. Daarentegen denkt geen een van de IT-auditors dat de financiële audit dominanter zal blijven in de toekomst. Zij verwachten dat de financiële audit meer en meer een IT audit zal worden. Het lijkt er dus op dat de waarde van de IT audit door beide groepen anders wordt ervaren. Control testing wordt ook in de toekomst gezien als de belangrijkste bezigheid van de IT-auditors bij het ondersteunen van de jaarrekeningcontrole. Beide groepen noemen echter wel een verschuiving naar een risicogebaseerde aanpak en zien de scheiding tussen IT general controls en application controls vervagen door onder andere ERP-systemen. De impact van IT audit bevindingen op de scope van de financiële audit blijkt anno 2000 nog beperkt. Een aantal keren wordt aangegeven in het onderzoek [29] dat dit komt doordat beide groepen niet goed van elkaar weten wat ze doen en wat dus echt de impact van een bevinding is. Een aantal auditors geven echter ook aan dat de bevindingen van de IT audit wel degelijk de werkzaamheden van de financiële auditors kunnen verminderen en dat een geïntegreerde audit het beste werkt.
16
De financiële auditors denken dat de services die gevraagd worden door klanten in de toekomst zich nog steeds zullen focussen op de jaarrekeningcontrole. De IT-auditors verwachten meer vraag naar IT audit services en meer consultancy-achtige opdrachten zoals het beoordelen van een outsourcingstraject. Wanneer er een aantal directe stellingen worden voorgelegd aan zowel de financiële als de IT-auditors zien we wel dat er meer overeenstemming is. Zo is iedereen het erover eens dat de IT audit steeds belangrijker zal worden. Technologische ontwikkelingen bieden mogelijkheden om de IT audit beter in te zetten en zo de kwaliteit en de effectiviteit van de audit te verbeteren [29]. Wij proberen met ons onderzoek te concretiseren hoe dit bewerkstelligt kan worden en kijken hoe de situatie is anno 2009. Vendrzyk en Bagranoff hebben hun onderzoek zes jaar geleden in de Verenigde Staten uitgevoerd. We zijn benieuwd in hoeverre hun bevindingen ook gelden voor de huidige situatie bij een accountantskantoor in Nederland.
2.5 Samenvatting literatuuronderzoek De literatuurstudie heeft ons inzicht gegeven in de traditionele rol van de financiële auditor. Hieruit kwam naar voren dat tot het einde van de 20e eeuw vaak nog om systemen heen werd geaudit en dat de IT audit een zeer beperkt onderdeel van de jaarrekeningcontrole was. Tevens hebben wij inzicht verkregen in een aantal relevante technologische ontwikkelingen. De technologische ontwikkelingen die aan de orde zijn geweest zijn ERP-systemen, Workflow Management systemen, Computer Aided Audit Techniques (CAATs), XBRL en Continuous Auditing. We hebben gezien dat de mogelijkheden die deze ontwikkelingen bieden nog geen standaard onderdeel zijn van de jaarrekeningcontrole. Om deze nieuwe mogelijkheden wel of geen onderdeel te laten zijn van de jaarrekeningcontrole is afhankelijk van een aantal factoren. Het verschil in perceptie van de financiële en de IT-auditor speelt hier onder andere een rol. Maar ook het IT-volwassenheidsniveau van klanten is van invloed op de mate waarin IT audit een toegevoegde waarde kan leveren bij de jaarrekeningcontrole en dus in hoeverre de verschillende mogelijkheden worden ingezet. Er is geen recent onderzoek in Nederland dat de knelpunten en mogelijkheden voor verbetering van de samenwerking tussen de financiële en de IT audit in kaart brengt en daarmee de toegevoegde waarde van de IT audit doet toenemen. Met ons praktijkonderzoek willen we voor de Nederlandse auditpraktijk binnen één van de accountantskantoren onderzoeken welke factoren een rol spelen bij de samenwerking tussen de financiële en IT audit en hoe de IT audit hierbij meer toegevoegde waarde kan bieden. Daarbij zullen we de huidige en recente technologische ontwikkelingen die we hebben besproken in de literatuurstudie in acht nemen.
17
3
Praktijkonderzoek
3.1 Onderzoeksmodel Op basis van de wetenschappelijke literatuur hebben wij een onderzoeksmodel ontwikkeld met daarin de hypothesen die zullen leiden tot testvariabelen in de enquête. Gezien de beperkte beschikbaarheid van wetenschappelijke literatuur op een aantal gebieden zullen wij deze onderdelen van het model invullen met aannames gebaseerd op onze eigen ervaringskennis. Uiteraard zullen deze aannames op eenzelfde wijze getoetst worden.
3.1.1 Hypothesen per onderzoeksvraag Door één of meerdere toetsbare hypothesen per onderzoeksvraag te definiëren hopen wij antwoord te kunnen geven op de deelvragen en hoofdvraag. 3.1.1.1 Waaruit bestaat de traditionele rol van de IT-auditor in relatie tot de financiële audit? Uit de bestudeerde literatuur blijkt dat de rol van de IT-auditor in relatie tot de jaarrekeningcontrole tweeledig is. Enerzijds beoordeelt de IT-auditor de werking van de beheersmaatregelen in de generieke IT omgeving, de zogenaamde ‘general controls’ of ‘IT general controls’. Anderzijds beoordeelt hij de geautomatiseerde beheersmaatregelen in applicaties. H1
De traditionele rol van de IT-auditor bestaat uit het toetsen van opzet, bestaan en werking van generieke IT-beheersmaatregelen en geautomatiseerde beheersmaatregelen in applicaties.
3.1.1.2 Wanneer is er sprake van betere ondersteuning bij de financiële audit? Een betere ondersteuning bij de jaarrekeningcontrole is wat ons betreft tweeledig. Een accountant zal een betere ondersteuning waarschijnlijk ervaren wanneer er hoge kwaliteit wordt geleverd en wanneer de IT Audit ondersteuning efficiënt en dus goedkoop wordt uitgevoerd. Naar verwachting betekent betere ondersteuning voor een klant dat de IT Audit waarde toevoegt voor de bedrijfsvoering en de audit goedkoper maakt. Deze aannames leiden tot de volgende te toetsen hypothesen: H2
Betere ondersteuning bij de financiële audit betekent voor de accountant een efficiënte en kwalitatief hoogwaardige audit.
H3
Betere ondersteuning bij de financiële audit betekent voor de klant het leveren van toegevoegde waarde en een goedkopere controle.
3.1.1.3 In welke mate voldoet de traditionele rol van de IT-auditor bij de huidige financiële audit nog? De wetenschappelijke literatuur biedt geen direct antwoord op bovenstaande vraag. Wel komt naar voren dat de rol van de IT-auditor in de loop der jaren veranderd is van een puur technische rol naar een rol die een geïntegreerde audit mogelijk maakt. Ook wordt er gesproken over de grote transactievolumes en de complexere IT-structuur, die het puur gegevensgericht controleren van de cijfers tot een tijdrovende en dure exercitie maken. Hieruit zou opgemaakt kunnen worden dat wanneer de IT-auditor zich puur richt op werkzaamheden rondom het toetsen van interne
18
beheersmaatregelen en geautomatiseerde beheersmaatregelen deze rol van de IT-auditor niet meer voldoende is. H4
Betrokkenheid van de IT-auditor bij de jaarrekeningcontrole voor alleen het toetsen van interne beheersmaatregelen en geautomatiseerde beheersmaatregelen is niet meer voldoende.
3.1.1.4 Welke relevante technologische veranderingen hebben er plaatsgevonden in het afgelopen decennium en welke technologische veranderingen vinden er in de nabije toekomst plaats? Uit de literatuurstudie komt naar voren dat o.a. de volgende relevante technologische ontwikkelingen hebben plaatsgevonden in het afgelopen decennium: de implementatie en het gebruik van systemen voor Enterprise Resource Planning (ERP); de implementatie en het gebruik van workflow management systemen; de omkomst van Computer Aided Audit Techniques (CAATs); de opkomst van de op XML gebaseerde uitwisselingstaal voor financiële data XBRL; het gebruik van methoden voor ‘Continuous Auditing’. Door middel van ons praktijkonderzoek willen wij de juistheid en volledigheid van deze lijst van relevante ontwikkelingen toetsen. H5
De opkomst van ERP-systemen, workflow management systemen, CAATs, XBRL en Continuous Auditing zijn relevante technologische ontwikkelingen.
H6
De opkomst van ERP-systemen, workflow management systemen, CAATs, XBRL en Continuous Auditing zijn de enige relevante technologische ontwikkelingen.
3.1.1.5 Welke invloed hebben deze veranderingen op de financiële audit? Op basis van de bestudeerde literatuur hebben wij vastgesteld dat de bovengenoemde mogelijk relevante technologische ontwikkelingen waarschijnlijk van invloed zijn op de jaarrekeningcontrole en op de betrokkenheid van de IT-auditor bij de financiële audit. Om dit te toetsen hebben wij per relevante technologische ontwikkeling op basis van de bestudeerde literatuur een hypothese opgenomen. H7
De werkzaamheden van de IT-auditor bestaan bij ERP-systemen uit het toetsen van geautomatiseerde beheersmaatregelen.
H8
De werkzaamheden van de IT-auditor bestaan bij Workflow Management systemen uit het beoordelen van de juiste inrichting van het proces in het systeem en het toetsen van geautomatiseerde beheersmaatregelen.
H9
De IT-auditor richt zich bij CAATs op de volgende werkzaamheden: H9.1
De IT-auditor voert gespecialiseerde data-analyse uit;
H9.2
De IT-auditor beoordeelt middels tools geautomatiseerd de netwerkbeveiliging;
H9.3
De IT-auditor beoordeelt middels tools geautomatiseerd databasebeveiliging en databaseintegriteit;
H9.4
De IT-auditor beoordeelt middels tools geautomatiseerd programmacode.
H10 De IT-auditor beoordeelt het proces van totstandkoming van de XBRL-jaarrekening. H11 De IT-auditor richt zich bij Continuous Auditing op de volgende werkzaamheden:
19
H11.1 De IT-auditor beoordeeld de general controls rondom de systemen die betrokken zijn bij de Continuous Auditing werkzaamheden; H11.2 De IT-auditor voert gespecialiseerde data-analyse uit; H11.3 De IT-auditor beoordeelt geautomatiseerde triggers en queries die gebruikt worden bij de Continuous Auditing werkzaamheden; 3.1.1.6 In welke mate is het volwassenheidsniveau van de klant op het gebied van IT en beheersmaatregelen van invloed op de rol van de IT-auditor bij de financiële audit? Op basis van de literatuurstudie zijn er een aantal aspecten naar voren gekomen die een indicatie kunnen geven van de IT-volwassenheid van een bedrijf, te weten (1) het gebruik van een IT governance framework, (2) het al dan niet beursgenoteerd zijn, (3) het moeten voldoen aan stricte wet- en regelgeving, zoals SOx, (4) het hebben van geformaliseerde en gedocumenteerde procedures, (5) de grootte van de IT afdeling, (6) de mate van vertegenwoordiging van IT in het management (CIO) en (7) het gebruik van tools voor monitoring en ondersteuning. Om te toetsen of deze aspecten invloed hebben op de werkzaamheden van de IT-auditor hebben wij de volgende hypothesen opgenomen: H12 De werkzaamheden van de IT-auditor richten zich bij een klant met een laag ITvolwassenheidsniveau op geautomatiseerd uitvoeren van gegevensgerichte werkzaamheden. H13 De werkzaamheden van de IT-auditor richten zich bij een klant met een hoog ITvolwassenheidsniveau op toetsen van geautomatiseerde beheersmaatregelen.
3.2 Opzet enquête Op basis van de in hoofdstuk 3.1 gedefinieerde hypothesen en het resulterende onderzoeksmodel hebben wij een enquête opgesteld welke elektronisch zal worden verspreid onder een groep accountants en IT-auditors binnen een Nederlands accountantskantoor.
3.2.1 Opzet van enquêteonderdelen en -vragen De enquête is onderverdeeld in een aantal groepen met vragen Inzicht verkrijgen in het begrip ‘betere ondersteuning’. Door middel van een tweetal multiple choice vragen waarbij meerdere antwoorden mogelijk zijn en de mogelijkheid wordt geboden om twee eigen antwoorden toe te voegen hopen wij de hypothesen H2 en H3 te toetsen. Inzicht verkrijgen in de perceptie van (het nog afdoende zijn van) de traditionele rol van de IT-auditor bij de financiële audit. Wij zullen door middel van een multiple choice vraag waarbij meerdere antwoorden mogelijk zijn en de mogelijkheid wordt geboden twee eigen antwoorden toe te voegen de werkzaamheden inventariseren die volgens onze groep respondenten behoren tot de traditionele rol van de IT-auditor. Daarnaast zullen de respondenten via een Likertschaal (rating van 1-5) kunnen aangeven of deze werkzaamheden nog afdoende zijn. Via deze vragen hopen wij antwoord de hypothesen H1 en H4 te toetsen. Inzicht verkrijgen in de relevantie van technologische ontwikkelingen. Door de respondenten middels een multiple choice vraag met de mogelijkheid voor twee eigen antwoorden een aantal in onze ogen relevante en niet-relevante technologische ontwikkelingen voor te leggen hopen wij de hypothese H5 en H6 te toetsen.
20
Inzicht verkrijgen in de IT-audit werkzaamheden op de door ons geïdentificeerde relevante ontwikkelingen. Vanuit de literatuurstudie hebben wij zelf al een aantal ontwikkelingen gedefinieerd die ons relevant lijken. Deze aanname zal worden getoetst door middel van de hierboven genoemde vragen. Wij willen echter wel een beeld krijgen van de mogelijke IT-audit werkzaamheden wanneer blijkt dat deze ontwikkelingen inderdaad een impact op de financiële audit hebben. Om dit te toetsen hebben wij per door ons aangenomen relevante technologische ontwikkeling een multiple choice vraag opgenomen waarbij één of meerdere werkzaamheden kunnen worden geselecteerd en de mogelijkheid aanwezig is om werkzaamheden toe te voegen. Middels deze vragen hopen wij hypothesen H7, H8, H9, H10 en H11 inclusief subhypothesen te toetsen. Inzicht verkrijgen in IT-volwassenheid in relatie tot klantgrootte en IT-audit werkzaamheden. Wij zullen een aantal mogelijke klanten (scenario’s) voorleggen aan de respondent. Deze klanten zullen van elkaar verschillen doordat ze al dan niet een IT governance framework gebruiken, al dan niet beursgenoteerd zijn, al dan niet moeten voldoen aan lokale wet- en regelgeving (SOx, Code Tabaksblat, JSOX), al dan niet processen geformaliseerd en gedocumenteerd hebben, in omvang van IT afdeling verschillen, een CIO hebben en al dan niet tools voor monitoring/ondersteuning van processen gebruiken. Op basis van een meerkeuzevraag met meerdere antwoordmogelijkheden zullen we per klantscenario vast stellen welke werkzaamheden door de IT-auditor uitgevoerd zouden kunnen worden en hopen hiermee de hypothesen H12 en H13 te toetsen. Inzicht verkrijgen in de achtergrond van de respondent. Door middel van een aantal vragen over beroep, functie, ervaring en business unit zullen wij proberen inzicht te verkrijgen in de achtergrond van de groep respondenten. De volledige enquête is opgenomen in Appendix A. We hebben de leesbaarheid en betrouwbaarheid van de enquête eerst getoetst op een aantal collega’s alvorens deze te versturen. In de enquête zijn een aantal onlogische antwoorden opgenomen waarmee we kunnen toetsen of de respondent de enquête al dan niet serieus heeft ingevuld. De respondenten hebben bij de antwoorden de mogelijkheid om ook zelf nog maximaal twee andere antwoorden in te vullen.
3.2.2 Verspreiding van de enquête De enquête is verstuurd aan collega’s werkzaam in de financiële auditpraktijk en aan collega’s werkzaam in de IT-auditpraktijk. We hebben hierbij geen onderscheid gemaakt tussen de functieniveau’s zodat onze groep respondenten uit auditors van alle functie- en ervaringsniveaus bestaat. Omdat de werkzaamheden van accountants en IT-auditors vaak een seizoenspatroon vertonen met piekdrukte in de periode september – maart en de respondenten dus weinig tijd hebben en weinig op kantoor aanwezig zijn hebben wij besloten de enquête elektronisch uit te sturen. We zullen de enquête naar evenveel IT-auditors als financiële auditors toesturen zodat elke eenheid een gelijke kans heeft om tot de steekproef te behoren. We gaan hierbij uit van het maximale aantal IT-auditors omdat dit de kleinste groep is en zullen de enquête naar evenveel financiële auditors toesturen. Gezien de seizoensdrukte momenteel voor de financiële auditors en het feit dat wij beter bekend zijn binnen de IT audit groep verwachten we echter wel meer respons vanuit de IT-auditors. De enquête is verstuurd aan alle 135 IT-auditors binnen het accountantskantoor. De enquête hebben we naar 130 financiële auditors verstuurd waarvan we weten dat ze regelmatig met IT-auditors
21
samenwerken. Circa 15 personen van deze groepen zijn zowel als IT-auditor als financiële auditor werkzaam. Het totale aantal personen benaderd voor de enquête bestaat dus uit 265 personen. We verwachten een respons van circa 50% op de enquête.
3.3 Respons enquête Uiteindelijk hebben we 131 vragenlijsten terug ontvangen. Voor 18 van deze vragenlijsten hebben we een gedeeltelijk non-respons voor de pagina waarop persoonlijke gegevens moeten worden ingevuld. Omdat alleen deze pagina niet volledig is ingevuld, en de vragen die onze hypothesen onderbouwen wel, nemen we deze respons wel mee in onze analyse. Bij een aantal vragen hebben de respondenten geen antwoord ingevuld. Omdat de enquête zo is opgezet dat de vragen onafhankelijk van elkaar kunnen worden beantwoord nemen we de gedeeltelijke non-respons wel mee en zal per vraag worden aangeven hoeveel respondenten deze vraag hebben beantwoord. De enquêteresultaten hebben we gecodeerd en verwerkt met de statistische analysetool SPSS 16.0. De dataset in SPSS is zo ingericht dat indien er geen antwoord is ingevuld dit ook niet wordt meegenomen in de analyse (grafieken) of wordt vermeldt als ‘excluded’ in de tabellen. Om de betrouwbaarheid en de validiteit van de respons te controleren zijn een aantal onlogische antwoorden opgenomen in de meerkeuzevragen. Respondenten hebben deze onlogische antwoorden niet aangevinkt. De verdeling van de repondenten is gespecificeerd in onderstaande tabel. Zoals verwacht hebben we inderdaad meer respons gekregen vanuit de IT-auditors. Hiermee zullen we rekening houden in de analyse van de resultaten. Om te kijken of er significante verschillen zitten in de antwoorden gegeven door de IT-auditors en de financiële auditors, en er dus mogelijk een perceptie verschil bestaat, zullen we de antwoorden van beide groepen vergeleken door middel van een t-toets voor twee onafhankelijke steekproeven. Frequentie
Percentage
Onbekend
18
13,7
Financiële Auditor
34
26,0
IT-auditor
69
52,7
Beiden
10
7,6
Total
131
100,0
Figuur 3: Verdeling respondenten
De verdeling over de verschillende functieniveau’s zien we in onderstaande grafiek. Gezien de piramidestructuur binnen een accountantskantoor is deze verdeling conform de verwachtingen.
22
Figuur 4: Verdeling respondenten naar functieniveau
Gezien de bovenstaande functieverdeling en het verband tussen functieniveau en ervaringsjaren is ook de verdeling van respondenten naar aantal jaren werkervaring conform verwachting. Deze verdeling is weegegeven in Figuur 5.
Figuur 5: Verdeling respondenten naar aantal jaren werkervaring
3.4 Analyse van de enquêteresultaten We zullen de resultaten van de enquête behandelen per hypothese die zijn beschreven in hoofdstuk 3.1 Onderzoeksmodel.
3.4.1 De traditionele rol van de IT-auditor bij de jaarrekeningcontrole Zoals gesteld in hypothese H1 bestaat de traditionele rol van de IT-auditor bij de jaarrekeningcontrole voornamelijk uit het toetsen van opzet, bestaan en werking van generieke IT-beheersmaatregelen en geautomatiseerde beheersmaatregelen in applicaties. Om deze hypothese te toetsen hebben we de doelgroep gevraagd wat zij verstaan onder de traditionele rol van de IT-auditor, via een vraag met meervoudige antwoordmogelijkheden.
23
Figuur 6: Traditionele rol IT-auditor
Hierbij zien we duidelijk naar voren komen dat het toetsen van de IT general controls en het toetsen van geautomatiseerde beheersmaatregelen inderdaad worden gezien als de traditionele werkzaamheden van de IT-auditor. Specifiek het beoordelen van autorisaties komt hierbij ook sterk naar voren. Autorisatiebeoordelingen hangen echter nauw samen met het beoordelen van de IT general controls en het beoordelen van geautomatiseerde beheersmaatregelen. H1 kan op basis van deze resultaten worden aangenomen. Bij verdere analyse naar de significante verschillen tussen de financiële- en de IT-auditor blijkt dat de financiële auditor het adviseren bij het IT-beleid ook tot de traditionele taken van de IT-auditor vindt behoren. De IT-auditor vindt juist het toetsen van handmatige beheersmaatregelen vaker tot de traditionele taken behoren. Dit laatste verschil vinden we opvallend omdat deze werkzaamheden vaker door de financiële auditor worden gedaan. We zien hierbij wel dat 40% van de IT-auditors die dit hebben aangevinkt minder dan drie jaar werkervaring heeft wat dit verschil mogelijk zou kunnen verklaren.
advisering bij IT-beleid autorisatiebeoordeling cijferbeoordelingen data-analyse toetsen van geautomatiseerde beheersmaatregelen toetsen van handmatige beheersmaatregelen toetsen van IT general controls inventarisatie van IT-apparatuur project-assurance
Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor
N 34 71 34 71 34 71 34 71 34 71 34 71 34 71 34 71 34
Mean ,47 ,14 ,76 ,90 ,00 ,04 ,32 ,49 ,97 ,93 ,03 ,27 ,97 ,97 ,32 ,32 ,06
Std. Deviation ,507 ,350 ,431 ,300 ,000 ,203 ,475 ,504 ,171 ,258 ,171 ,446 ,171 ,167 ,475 ,471 ,239
Std. Error Mean ,087 ,042 ,074 ,036 ,000 ,024 ,081 ,060 ,029 ,031 ,029 ,053 ,029 ,020 ,081 ,056 ,041
24
pre- en postimplementatiereviews beoordelen van conversies
Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor
N 71 34 71 34 71
Mean ,14 ,32 ,27 ,65 ,52
Std. Deviation ,350 ,475 ,446 ,485 ,503
Std. Error Mean ,042 ,081 ,053 ,083 ,060
Tabel 1: Significante verschillen tussen de financiële- en de IT-auditor, traditionele werkzaamheden IT-auditor
3.4.2 Betere ondersteuning gezien vanuit de financiële auditor In hypothese H2 stellen we dat een betere ondersteuning door de IT-auditor bij de jaarrekeningcontrole voor de financiële auditor een efficiënte en kwalitatief hoogwaardige audit betekent. Deze hypothese hebben we getoetst door aan de doelgroep te vragen wat zij verstaan onder een betere ondersteuning, gezien vanuit het perspectief van de financiële auditor, via een vraag met meervoudige antwoordmogelijkheden.
Figuur 7: Betere ondersteuning vanuit het perspectief van de financiële auditor
Vanuit de enquêteresultaten zien we een afwijking ten opzichte van onze hypothese. Uit de antwoorden blijkt voornamelijk dat onder betere ondersteuning van de IT-auditor bij de jaarrekeningcontrole het toetsen van application controls, comfort verkrijgen over systemen en het in kaart brengen van IT-risico’s wordt verstaan. H2 dient op basis van deze resultaten te worden verworpen. We zien als we de resultaten uitsplitsen wel dat de financiële auditor onze hypothese beter ondersteunt. De financiële auditor geeft wel aan dat een betere ondersteuning voor hem een efficiëntere en kwalitatief hoogwaardige audit inhoudt. Er lijkt een verwachtingskloof te zijn tussen wat de financiële auditor zoekt en wat de IT-auditor denkt te moeten leveren.
25
toetsen van application controls volledige dossiervorming een effectieve audit een efficiënte audit levering van extra diensten besparing op het audit budget in kaart brengen van IT-risico's specifieke kennis kwalitatief hoogwaardige audit minder detailwerkzaamheden levering van toegevoegde waarde gebruik van specialistische tooling comfort verkrijgen over systemen
Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor
N 34 71 34 71 34 71 34 71 34 71 34 71 34 71 34 71 34 71 34 71 34 71 34 71 34 71
Mean ,88 ,73 ,59 ,41 ,62 ,31 ,79 ,44 ,09 ,11 ,35 ,31 ,88 ,75 ,62 ,56 ,68 ,25 ,68 ,54 ,74 ,45 ,44 ,32 ,94 ,79
Std. Deviation ,327 ,446 ,500 ,495 ,493 ,466 ,410 ,499 ,288 ,318 ,485 ,466 ,327 ,438 ,493 ,499 ,475 ,438 ,475 ,502 ,448 ,501 ,504 ,471 ,239 ,411
Std. Error Mean ,056 ,053 ,086 ,059 ,085 ,055 ,070 ,059 ,049 ,038 ,083 ,055 ,056 ,052 ,085 ,059 ,081 ,052 ,081 ,060 ,077 ,059 ,086 ,056 ,041 ,049
Tabel 2: Significante verschillen tussen de financiële- en de IT-auditor, betere ondersteuning vanuit het perspectief van de financiële auditor
3.4.3 Betere ondersteuning gezien vanuit de klant Hypothese H3 stelt dat een betere ondersteuning door de IT-auditor bij de jaarrekeningcontrole voor de klant betekent dat er toegevoegde waarde wordt geleverd en de controle goedkoper kan worden uitgevoerd. Om deze hypothese te toetsen hebben we de doelgroep gevraagd wat zij verstaan onder een betere ondersteuning, gezien vanuit het perspectief van de klant, via een vraag met meervoudige antwoordmogelijkheden.
26
Figuur 8: Betere ondersteuning vanuit het perspectief van de klant
Vanuit de antwoorden zien we dat er volgens de doelgroep voor de klant naast het in kaart brengen van de IT-risico’s ook andere aspecten belangrijk zijn voor een betere ondersteuning van de ITauditor bij de jaarrekeningcontrole dan volgens het perspectief van de financiële auditor. Ook het bieden van toegevoegde waarde en het leveren van specifieke kennis komen hier duidelijk naar voren. Dit is een afwijking ten opzichte van de hypothese waarbij het goedkoper uitvoeren van de audit ook belangrijk werd geacht. H3 kan gedeeltelijk worden aangenomen omdat het leveren van toegevoegde waarde wel terugkomt in de resultaten. Opvallend is dat de IT-auditors vaker antwoorden dat volledige dossiervorming ook tot de betere ondersteuning voor de klant behoort. Auditors, die zowel IT als financiële auditor zijn, geven vaker aan dat er een efficiëntere audit kan worden uitgevoerd waardoor een besparing op het audit budget kan worden gerealiseerd. Omdat deze groep respondenten echter maar een klein deel van onze populatie uitmaakt kunnen we hier geen conclusies aan verbinden.
toetsen van application controls volledige dossiervorming een effectieve audit een efficiënte audit levering van extra diensten besparing op het audit budget in kaart brengen van IT-risico's specifieke kennis kwalitatief hoogwaardige audit minder detailwerkzaamheden levering van toegevoegde waarde
Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor
N 34 71 34 71 34 71 34 71 34 71 34 71 34 71 34 71 34 71 34 71 34
Mean ,21 ,32 ,00 ,11 ,38 ,35 ,50 ,41 ,38 ,35 ,32 ,30 ,76 ,85 ,62 ,65 ,41 ,30 ,09 ,15 ,76
Std. Deviation ,410 ,471 ,000 ,318 ,493 ,481 ,508 ,495 ,493 ,481 ,475 ,460 ,431 ,364 ,493 ,481 ,500 ,460 ,288 ,364 ,431
Std. Error Mean ,070 ,056 ,000 ,038 ,085 ,057 ,087 ,059 ,085 ,057 ,081 ,055 ,074 ,043 ,085 ,057 ,086 ,055 ,049 ,043 ,074
27
gebruik van specialistische tooling comfort verkrijgen over systemen
Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor
N 71 34 71 34 71
Mean ,58 ,18 ,31 ,38 ,49
Std. Deviation ,497 ,387 ,466 ,493 ,504
Std. Error Mean ,059 ,066 ,055 ,085 ,060
Tabel 3: Significante verschillen tussen de financiële- en de IT-auditor, betere ondersteuning vanuit het perspectief van de klant
3.4.4 Betrokkenheid van de IT-auditor is niet meer voldoende Zoals gesteld in hypothese H4 is de betrokkenheid van de IT-auditor, op alleen het toetsen van interne beheersmaatregelen en geautomatiseerde beheersmaatregelen, niet meer voldoende. Om deze hypothese te toetsen hebben we de doelgroep gevraagd of zij vinden dat de traditionele werkzaamheden van de IT-auditor nog voldoen gezien de technologische ontwikkelingen van de afgelopen jaren, via een antwoordschaal (Likert scale). Hierbij stond optie 1 gelijk aan “deze voldoen helemaal niet” en optie 5 aan “deze voldoen volledig”. Auditor
Mean
N
Std. Dev.
Financiële Auditor
3,71
34
,676
IT-Auditor
3,57
68
,816
Beiden
3,50
10
1,080
Onbekend
3,25
16
,856
Total
3,56
128
,811
Figuur 9: Verdeling respons voldoet de rol van de IT-auditor nog
In tegenstelling tot onze hypothese zien we hier naar voren komen dat de meeste respondenten vinden dat de rol van de IT-auditor nog voldoet. Men is van mening dat de IT-auditor mee gaat met de ontwikkelingen. Een groot gedeelte heeft ook ‘neutraal’ geantwoord. Het verschil tussen de financiële en de IT-auditor is hierbij niet significant. H4 dient op basis van deze resultaten te worden verworpen.
3.4.5 Relevante technologische ontwikkelingen Hypothesen H5 en H6 stellen dat de opkomst van ERP-systemen, workflow management systemen, CAATs, XBRL en Continuous Auditing relevante technologische ontwikkelingen zijn met impact op de jaarrekeningcontrole. Deze hypothese hebben we getoetst door aan de doelgroep te vragen welke technologische ontwikkelingen zij relevant vinden, via een vraag met meervoudige antwoordmogelijkheden. Hiermee toetsen we tevens of de in de hypothesen genoemde technologische ontwikkelingen volgens de doelgroep ook de enige relevante technologische ontwikkelingen zijn.
28
Figuur 10: Relevante technologische ontwikkelingen met impact op de jaarrekeningcontrole
We zien hier inderdaad de in de hypothese veronderstelde relevante technologische ontwikkelingen terugkomen in de antwoorden van de respondenten. Daarnaast wordt RFID en internet ook als relevante ontwikkeling gezien. Naast de keuzemogelijkheden hebben een aantal respondenten zelf ook nog relevante technologische ontwikkelingen aangedragen zoals GRC-tooling, digitaal balansdossier (Runbook), business intelligence, Software As A Service (SaaS), e-business, Service Oriented Architecture (SOA) en distibuted data centers / servers. Op basis van de resultaten kan H5 worden aangenomen en H6 dient te worden verworpen. Analyseren we de verschillen tussen de financiële en de IT-auditors via de onafhankelijke t-toets dan zien we dat er drie significante verschillen zijn. Dit betreft voor alle drie de gevallen de technologische ontwikkelingen die we relevant achten in de hypothese.
Blackberries CAATS (Computer Aided Audit Techniques) Continuous Auditing technieken Draadloos Internet Draadloze netwerken ERP-systemen, zoals SAP, Oracle en JD Edwards HDTV (High Definition Television) Internet en de verdere ontwikkeling daarvan Microsoft Windows Vista Mobiele telefonie Pinpas en chipknip RFID (Radio Frequency Identification)
Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor
N 34 71 34 71 34 71 34 71 34 71 34 71 34 71 34 71 34 71 34 71 34 71 34 71
Mean ,06 ,14 ,82 ,80 ,50 ,70 ,15 ,17 ,35 ,32 ,97 ,75 ,00 ,00 ,50 ,48 ,12 ,06 ,09 ,07 ,15 ,07 ,29 ,46
Std. Deviation ,239 ,350 ,387 ,401 ,508 ,460 ,359 ,377 ,485 ,471 ,171 ,438 ,000a ,000a ,508 ,503 ,327 ,232 ,288 ,258 ,359 ,258 ,462 ,502
Std. Error Mean ,041 ,042 ,066 ,048 ,087 ,055 ,062 ,045 ,083 ,056 ,029 ,052 ,000 ,000 ,087 ,060 ,056 ,028 ,049 ,031 ,062 ,031 ,079 ,060
29
Workflow Management systemen, zoals bijvoorbeeld geautomatiseerde factuurverwerking XBRL (eXtensible Business Reporting Language): de taal om financiële gegevens uit te wisselen
Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor
N 34 71 34 71
Mean ,91 ,82 ,88 ,68
Std. Deviation ,288 ,390 ,327 ,471
Std. Error Mean ,049 ,046 ,056 ,056
4: Significante verschillen tussen de financiële- en de IT-auditor, relevante technologische ontwikkelingen
3.4.6 Impact van ERP-systemen In hypothese H7 wordt gesteld dat de werkzaamheden van de IT-auditor bij ERP-systemen bestaan uit het toetsen van geautomatiseerde beheersmaatregelen. Om dit te toetsen hebben we respondenten gevraagd welke activiteiten zij zouden verwachten van een IT-auditor bij de jaarrekeningcontrole in het geval dat een klant over een ERP-systeem beschikt, via een vraag met meervoudige antwoordmogelijkheden.
Figuur 11: Verwachte activiteiten van de IT-auditor bij aanwezigheid van een ERP-systeem
Het toetsen van geautomatiseerde beheersmaatregelen wordt inderdaad vaak aangegeven door de respondenten. Het beoordelen van rapporten welke gebruikt worden voor de jaarrekeningcontrole en het toetsen van IT general controls en autorisaties wordt echter ook vaak genoemd. Dit is te verklaren doordat het toetsen van de IT general controls en ook het toetsen van de autorisaties als randvoorwaarden kunnen worden gezien om ook te steunen op de geautomatiseerde beheersmaatregelen. H7 wordt op basis van deze resultaten aangenomen.
30
Door een analyse uit te voeren op de antwoorden van de financiële auditor in vergelijking met de antwoorden van de IT-auditor komt naar voren dat de financiële auditor ook werkzaamheden verwacht op het gebied van database-integriteit en het geautomatiseerd beoordelen van netwerkbeveiliging en programmacode. Dit wordt niet herkend door de IT-auditor en deze werkzaamheden worden meestal ook niet door de IT-auditor uitgevoerd.
beoordelen geautomatiseerde beheersmaatregelen beoordeling queries en 'triggers' in het systeem beoordeling van databaseintegriteit geautomatiseerde beoordeling databasebeveiliging geautomatiseerde beoordeling netwerkbeveiliging geautomatiseerde beoordeling van programmacode gespecialiseerde data-analyse proces van totstandkoming van jaarrekening in kaart brengen van bedrijfsprocessen beoordeling van totstandkoming van rapportages die gebruikt worden voor de jaarrekeningcontrole beoordeling van autorisaties toetsen IT general controls review succesvolle selectie en implementatie
Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor
N 34 71 34 71 34 71 34 71 34 71 34 71 34 71 34 71 34 71 34 71
Mean 1,00 ,93 ,65 ,52 ,85 ,58 ,74 ,61 ,68 ,38 ,29 ,13 ,44 ,42 ,21 ,17 ,21 ,31 ,85 ,72
Std. Deviation ,000 ,258 ,485 ,503 ,359 ,497 ,448 ,492 ,475 ,489 ,462 ,335 ,504 ,497 ,410 ,377 ,410 ,466 ,359 ,453
Std. Error Mean ,000 ,031 ,083 ,060 ,062 ,059 ,077 ,058 ,081 ,058 ,079 ,040 ,086 ,059 ,070 ,045 ,070 ,055 ,062 ,054
Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor
34 71 34 71 34 71
,85 ,87 ,94 ,93 ,32 ,31
,359 ,335 ,239 ,258 ,475 ,466
,062 ,040 ,041 ,031 ,081 ,055
Tabel 5: Significante verschillen tussen de financiële- en IT-auditor, werkzaamheden IT-auditor bij aanwezigheid van een ERP-systeem
3.4.7 Impact van Workflow Management Systemen Zoals gesteld in hypothese H8 bestaan de werkzaamheden van de IT-auditor bij Workflow Management Systemen uit het beoordelen van de juiste inrichting van het proces en toetsen van geautomatiseerde beheersmaatregelen. Ter onderbouwing van deze hypothese hebben wij aan de respondenten gevraagd welke activiteiten zij zouden verwachten van een IT-auditor bij de jaarrekeningcontrole in het geval dat een klant over een Workflow Management Systeem beschikt. De respondenten konden de werkzaamheden door middel van een multiple choice vraag met meerdere antwoorden aangeven.
31
Figuur 12: Verwachte activiteiten van de IT-auditor bij aanwezigheid van een Workflow Management Systeem
We zien hier dat het beoordelen van geautomatiseerde beheersmaatregelen duidelijk terugkomt in de antwoorden van de respondenten, evenals het toetsen van IT general controls en autorisaties. H8 kan gedeeltelijk worden aangenomen. Bij de vergelijking van de twee groepen komt naar voren dat de IT-auditor significant meer aangeeft dat een beoordeling van bedrijfsprocessen ook onder de werkzaamheden van de IT-auditor vallen. De financiële auditor zou juist vaker verwachten dat de databaseintegriteit en programmacode ook tot de activiteiten van de IT-auditor behoort.
beoordelen geautomatiseerde beheersmaatregelen, zoals een goedkeuringshiërarchie beoordeling queries en 'triggers' in het systeem beoordeling van databaseintegriteit geautomatiseerde beoordeling databasebeveiliging geautomatiseerde beoordeling netwerkbeveiliging geautomatiseerde beoordeling van programmacode gespecialiseerde data-analyse proces van totstandkoming van jaarrekening in kaart brengen van bedrijfsprocessen beoordeling van totstandkoming van rapportages die gebruikt worden voor de jaarrekeningcontrole
Auditor Financiële Auditor IT-Auditor
N 34 71
Mean ,91 ,89
Std. Deviation ,288 ,318
Std. Error Mean ,049 ,038
Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor
34 71 34 71 34 71 34 71 34 71 34 71 34 71 34 71 34 71
,38 ,42 ,65 ,35 ,50 ,32 ,38 ,23 ,24 ,07 ,12 ,10 ,06 ,08 ,24 ,52 ,38 ,45
,493 ,497 ,485 ,481 ,508 ,471 ,493 ,421 ,431 ,258 ,327 ,300 ,239 ,280 ,431 ,503 ,493 ,501
,085 ,059 ,083 ,057 ,087 ,056 ,085 ,050 ,074 ,031 ,056 ,036 ,041 ,033 ,074 ,060 ,085 ,059
32
beoordeling van autorisaties toetsen IT general controls review succesvolle selectie en implementatie
Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor
N 34 71 34 71 34 71
Mean ,74 ,82 ,68 ,76 ,18 ,23
Std. Deviation ,448 ,390 ,475 ,430 ,387 ,421
Std. Error Mean ,077 ,046 ,081 ,051 ,066 ,050
Tabel 6: Significante verschillen tussen de financiële- en de IT-auditor, werkzaamheden IT-auditor bij aanwezigheid van Workflow Management Systeem
3.4.8 Impact van CAATs In hypothese H9 stellen wij dat de werkzaamheden van de IT-auditor bij CAATs uit het uitvoeren van gespecialiseerde data-analyse, het geautomatiseerd beoordelen van netwerkbeveiliging, het geautomatiseerd beoordelen van databasebeveiliging en –integriteit en het geautomatiseerd beoordelen van programmacode bestaan. Onze respondenten hebben aangegeven welke activiteiten zij zouden verwachten van een IT-auditor wanneer CAATs kunnen worden toegepast bij de jaarrekeningcontrole. Wederom konden zij de vraag beantwoorden via een multiple choice vraag.
Figuur 13: Verwachte activiteiten van de IT-auditor bij mogelijkheden voor CAATs
Zowel door de IT-auditors als de financiële auditors komt alleen het uitvoeren van gespecialiseerde data-analyse sterk naar voren in de antwoorden. Het is opvallend dat het lijkt alsof het niet bekend is dat CAATs meer omvat dan alleen data-analyse en het beoordelen van autorisaties. Voor H9 kan dus alleen hypothese H9.1 worden aangenomen waarin het uitvoeren van data-analyse wordt genoemd. Onze hypothese wordt niet volledig onderbouwd. Tussen de verschillende groepen bestaan verder geen significante verschillen blijkt uit de onafhankelijke t-toets.
33
3.4.9 Impact van XBRL Zoals gesteld in hypothese H10 bestaan de werkzaamheden van de IT-auditor bij XBRL uit het beoordelen van het proces van de totstandkoming van de XBRL-jaarrekening. Om deze hypothese te toetsen hebben we de doelgroep gevraagd, via een multiple choice vraag, welke activiteiten zij zouden verwachten van een IT-auditor wanneer er een XBRL-jaarrekening wordt opgesteld.
Figuur 14: Verwachte activiteiten van de IT-auditor bij een XBRL-jaarrekening
Uit de antwoorden komt inderdaad het beoordelen van het proces van de totstandkoming van de jaarrekening als belangrijkste activiteit terug. H10 kan dus worden aangenomen. Voor een aantal van de overige activiteiten zien we wel een aantal significante verschillen tussen de financiële- en de ITauditors. De financiële auditors zouden hier wederom verwachten dat de IT-auditor bij XBRL ook vaker de databaseintegriteit- en beveiliging beoordeeld en de programmacode. Het lijkt erop dat de financiële auditor de IT-auditor nog steeds als ‘hardcore’ IT specialist ziet terwijl de IT-auditors zichzelf meer als proces specialist beoordelen.
beoordelen geautomatiseerde beheersmaatregelen beoordeling queries en 'triggers' in het systeem beoordeling van databaseintegriteit geautomatiseerde beoordeling databasebeveiliging geautomatiseerde beoordeling netwerkbeveiliging geautomatiseerde beoordeling van programmacode gespecialiseerde data-analyse
Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor
N 34 71 34 71 34 71 34 71 34 71 34 71 34 71
Mean ,53 ,49 ,24 ,17 ,53 ,30 ,47 ,24 ,26 ,17 ,35 ,15 ,21 ,27
Std. Deviation ,507 ,504 ,431 ,377 ,507 ,460 ,507 ,430 ,448 ,377 ,485 ,364 ,410 ,446
Std. Error Mean ,087 ,060 ,074 ,045 ,087 ,055 ,087 ,051 ,077 ,045 ,083 ,043 ,070 ,053
34
proces van totstandkoming van jaarrekening in kaart brengen van bedrijfsprocessen beoordeling van totstandkoming van rapportages die gebruikt worden voor de jaarrekeningcontrole beoordeling van autorisaties toetsen IT general controls review succesvolle selectie en implementatie
Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor
N 34 71 34 71 34 71
Mean ,71 ,44 ,09 ,11 ,50 ,49
Std. Deviation ,462 ,499 ,288 ,318 ,508 ,504
Std. Error Mean ,079 ,059 ,049 ,038 ,087 ,060
Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor
34 71 34 71 34 71
,29 ,28 ,41 ,44 ,15 ,17
,462 ,453 ,500 ,499 ,359 ,377
,079 ,054 ,086 ,059 ,062 ,045
Tabel 7: Significante verschillen tussen de financiële- en de IT-auditor, werkzaamheden IT-auditor bij XBRL-jaarrekening
3.4.10
Impact van Continuous Auditing
Zoals gesteld in hypothese H11 bestaan de werkzaamheden van de IT-auditor bij continuous auditing mogelijkheden uit het beoordelen van de IT general controls, het uitvoeren van gespecialiseerde data analyse en het beoordelen van triggers en queries die gebruikt worden bij continuous auditing werkzaamheden.
Figuur 15: Verwachte activiteiten van de IT-auditor bij continuous auditing
Om deze hypothese te toetsen hebben we de doelgroep gevraagd welke activiteiten zij zouden verwachten van een IT-auditor wanneer er continuous auditing wordt toegepast, via een vraag met meervoudige antwoordmogelijkheden. Uit de antwoorden van de respondenten blijkt dat ze voornamelijk het beoordelen van de IT general controls en het toetsen van geautomatiseerde beheersmaatregelen zouden verwachten. Data-analyse en het beoordelen van queries en triggers komt niet specifiek terug. Onze hypothese H11 kan dus maar gedeeltelijk worden aangenomen, alleen H11.1 kan op basis van deze resultaten worden 35
aangenomen. De financiële auditors zouden juist wel weer het beoordelen van de databaseintegriteit en programmacode verwachten.
beoordelen geautomatiseerde beheersmaatregelen beoordeling queries en 'triggers' in het systeem beoordeling van databaseintegriteit geautomatiseerde beoordeling databasebeveiliging geautomatiseerde beoordeling netwerkbeveiliging geautomatiseerde beoordeling van programmacode gespecialiseerde data-analyse proces van totstandkoming van jaarrekening in kaart brengen van bedrijfsprocessen beoordeling van totstandkoming van rapportages die gebruikt worden voor de jaarrekeningcontrole beoordeling van autorisaties toetsen IT general controls review succesvolle selectie en implementatie
Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor
N 34 71 34 71 34 71 34 71 34 71 34 71 34 71 34 71 34 71 34 71
Mean ,79 ,72 ,47 ,34 ,59 ,30 ,50 ,34 ,50 ,31 ,32 ,11 ,21 ,32 ,29 ,24 ,26 ,28 ,38 ,37
Std. Deviation ,410 ,453 ,507 ,476 ,500 ,460 ,508 ,476 ,508 ,466 ,475 ,318 ,410 ,471 ,462 ,430 ,448 ,453 ,493 ,485
Std. Error Mean ,070 ,054 ,087 ,057 ,086 ,055 ,087 ,057 ,087 ,055 ,081 ,038 ,070 ,056 ,079 ,051 ,077 ,054 ,085 ,058
Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor
34 71 34 71 34 71
,50 ,48 ,65 ,52 ,21 ,13
,508 ,503 ,485 ,503 ,410 ,335
,087 ,060 ,083 ,060 ,070 ,040
Tabel 8: Significante verschillen tussen de financiële- en de IT-auditor, werkzaamheden IT-auditor bij continuous auditing
3.4.11
Volwassenheidsniveau IT klant
Zoals gesteld in hypothesen H12 en H13 is de aard van de werkzaamheden van de IT-auditor afhankelijk van het volwassenheidsniveau van de klant op het gebied van IT. Om deze hypothesen te toetsen hebben we de doelgroep gevraagd welke klanteigenschappen volgens hen van invloed zijn bij het bepalen van de inzet van de IT-auditor bij de jaarrekeningcontrole. Daarnaast hebben wij hen drie verschillende klantscenario’s voorgelegd waarbij we hebben gevraagd welke activiteiten zij zouden verwachten van de IT-auditor bij de jaarrekeningcontrole. De vier vragen hebben allen meervoudige antwoordmogelijkheden. Als eerste worden de resultaten van de vraag met betrekking tot een klant met een laag IT-volwassenheidsniveau getoond. Daarna volgt een klant met een gemiddeld en een hoog IT-volwassenheidsniveau. Als laatste bespreken we de resultaten van de vraag met betrekking tot de klanteigenschappen.
36
3.4.11.1 Klantscenario’s
Figuur 16: Verwachte activiteiten van de IT-auditor bij een klant met een laag ITvolwassenheidsniveau
advisering bij IT-beleid autorisatiebeoordeling cijferbeoordelingen data-analyse toetsen van geautomatiseerde beheersmaatregelen toetsen van handmatige beheersmaatregelen toetsen van IT general controls inventarisatie van IT-apparatuur project-assurance pre- en postimplementatiereviews
Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor
N 34 71 34 71 34 71 34 71 34 71 34 71 34 71 34 71 34 71 34 71
Mean ,53 ,31 ,44 ,58 ,00 ,03 ,38 ,41 ,50 ,44 ,09 ,39 ,76 ,68 ,21 ,31 ,00 ,06 ,18 ,08
Std. Deviation ,507 ,466 ,504 ,497 ,000 ,167 ,493 ,495 ,508 ,499 ,288 ,492 ,431 ,471 ,410 ,466 ,000 ,232 ,387 ,280
Std. Error Mean ,087 ,055 ,086 ,059 ,000 ,020 ,085 ,059 ,087 ,059 ,049 ,058 ,074 ,056 ,070 ,055 ,000 ,028 ,066 ,033
Tabel 9: Significante verschillen tussen de financiële- en de IT-auditor, verwachte activiteiten ITauditor bij een klant met een laag volwassenheidsniveau
37
Figuur 17: Verwachte activiteiten van de IT-auditor bij een klant met een gemiddeld ITvolwassenheidsniveau
advisering bij IT-beleid autorisatiebeoordeling cijferbeoordelingen data-analyse toetsen van geautomatiseerde beheersmaatregelen toetsen van handmatige beheersmaatregelen toetsen van IT general controls inventarisatie van IT-apparatuur project-assurance pre- en postimplementatiereviews
Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor
N 34 71 34 71 34 71 34 71 34 71 34 71 34 71 34 71 34 71 34 71
Mean ,32 ,25 ,74 ,86 ,03 ,06 ,50 ,35 ,97 ,83 ,12 ,34 ,94 ,92 ,35 ,27 ,09 ,11 ,32 ,21
Std. Deviation ,475 ,438 ,448 ,350 ,171 ,232 ,508 ,481 ,171 ,377 ,327 ,476 ,239 ,280 ,485 ,446 ,288 ,318 ,475 ,411
Std. Error Mean ,081 ,052 ,077 ,042 ,029 ,028 ,087 ,057 ,029 ,045 ,056 ,057 ,041 ,033 ,083 ,053 ,049 ,038 ,081 ,049
Tabel 10: Significante verschillen tussen de financiële- en de IT-auditor, verwachte activiteiten ITauditor bij een klant met een gemiddeld volwassenheidsniveau
38
Figuur 18: Verwachte activiteiten van de IT-auditor bij een klant met een hoog ITvolwassenheidsniveau
advisering bij IT-beleid autorisatiebeoordeling cijferbeoordelingen data-analyse toetsen van geautomatiseerde beheersmaatregelen toetsen van handmatige beheersmaatregelen toetsen van IT general controls inventarisatie van IT-apparatuur project-assurance pre- en postimplementatiereviews
Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor
N 34 71 34 71 34 71 34 71 34 71 34 71 34 71 34 71 34 71 34 71
Mean ,35 ,15 ,79 ,86 ,03 ,01 ,62 ,46 ,97 ,85 ,09 ,30 ,97 ,90 ,41 ,27 ,09 ,13 ,35 ,20
Std. Deviation ,485 ,364 ,410 ,350 ,171 ,119 ,493 ,502 ,171 ,364 ,288 ,460 ,171 ,300 ,500 ,446 ,288 ,335 ,485 ,401
Std. Error Mean ,083 ,043 ,070 ,042 ,029 ,014 ,085 ,060 ,029 ,043 ,049 ,055 ,029 ,036 ,086 ,053 ,049 ,040 ,083 ,048
Tabel 11: Significante verschillen tussen de financiële- en de IT-auditor, verwachte activiteiten ITauditor bij een klant met een hoog volwassenheidsniveau
We zouden verwachten dat er bij klanten met een laag IT-volwassenheidsniveau veel gegevensgerichte werkzaamheden worden verricht en bij klanten met een hoog volwassenheidsniveau juist meer geautomatiseerde beheersmaatregelen worden getoetst. Bij een laag volwassenheidsniveau zien we inderdaad het toetsen van geautomatiseerde beheersmaatregelen minder sterk terugkomen dan bij een hoog volwassenheidsniveau. Ook wordt bij een hoog niveau vaker het toetsen van de IT general controls en autorisatiebeoordeling genoemd. H12 en H13 kunnen dus worden aangenomen. Bij een laag niveau wordt door de financiële auditor significant vaker genoemd dat het adviseren bij het IT-beleid ook tot de werkzaamheden behoort. Opvallend is dat de financiële auditor dit echter ook nog vaker zegt dan de IT-auditor bij een hoog volwassenheidsniveau. Tussen de twee groepen lijkt ook een perceptieverschil te bestaan over wie de handmatige beheersmaatregelen zou moeten toetsen.
39
3.4.11.2 Klanteigenschappen van invloed op de inzet IT-auditor Om een beter beeld te krijgen welke klanteigenschappen nu eigenlijk van invloed zijn op de inzet van de IT-auditor hebben we aan de respondenten voorgelegd welke eigenschappen zij belangrijk achten.
Figuur 19: Klanteigenschappen die van invloed zijn op de inzet van de IT-auditor bij de jaarrekeningcontrole
Notatie aandelenbeurs Bedrijfscultuur Complexiteit van de organisatie Complexiteit van de processen Lokale wet- en regelgeving (Sarbanex-Oxley, JSOx, etc) Gebruik van een IT Governance framework (bijvoorbeeld COBIT) Gemiddelde leeftijd van de medewerkers Grootte van de IT afdeling Grootte van de klant Hoeveelheid transacties in de systemen Mate van automatisering van bedrijfsprocessen Mate van automatisering van IT-beheers processen (backups, incidentregistratie, etc) Mate van geformaliseerde procedures/processen Vertegenwoordiging van IT in de directie
Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor
N 34 71 34 71 34 71 34 71 34 71 34 71 34 71 34 71 34 71 34 71 34 71 34 71 34 71 34 71
Mean ,24 ,34 ,21 ,31 ,71 ,62 ,88 ,85 ,47 ,70 ,47 ,52 ,09 ,03 ,35 ,56 ,62 ,45 ,68 ,55 1,00 ,86 ,71 ,73 ,35 ,41 ,24 ,30
Std. Deviation ,431 ,476 ,410 ,466 ,462 ,489 ,327 ,364 ,507 ,460 ,507 ,503 ,288 ,167 ,485 ,499 ,493 ,501 ,475 ,501 ,000 ,350 ,462 ,446 ,485 ,495 ,431 ,460
Std. Error Mean ,074 ,057 ,070 ,055 ,079 ,058 ,056 ,043 ,087 ,055 ,087 ,060 ,049 ,020 ,083 ,059 ,085 ,059 ,081 ,059 ,000 ,042 ,079 ,053 ,083 ,059 ,074 ,055
Tabel 12: Significante verschillen tussen de financiële- en de IT-auditor, klanteigenschappen die van invloed zijn op de inzet van de IT-auditor bij de jaarrekeningcontrole
40
Vanuit de resultaten zien we dat met name de complexiteit van de bedrijfsprocessen en de mate van automatisering als belangrijke factoren worden gezien die de inzet beïnvloeden. Opvallend is dat de IT-auditor significant vaker dan de financiële auditor de lokale wet- en regelgeving ook als factor benoemt.
3.4.12
Andere factoren van invloed op inzet IT-auditor
Figuur 20: Andere factoren van invloed op de inzet van de IT-auditor
Om ook andere factoren met invloed op het al dan niet inzetten van de IT-auditor te kunnen identificeren hebben we een extra vraag opgenomen in de enquête waarbij de respondenten via een multiple choice vraag konden aangeven welke andere factoren zij van belang achten. We zien hierbij dat communicatie tussen de financiële- en IT-auditor en de kennis van de toegevoegde waarde van de IT audit het meest als beïnvloedende factor worden benoemd. Ook het budget, ervaringen en bewezen controleaanpak uit het verleden blijken volgens de respondenten hierbij een grote rol te spelen. De financiële auditor noemt daarbij de ervaringen van de leidinggevenden significant vaker dan de ITauditor.
Bedrijfscultuur accountantskantoor Ervaringen leidinggevende auditteam uit het verleden Prestatiedruk / evaluatiemethodiek accountantskantoor Roulatie van het auditteam
Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor
N 34 71 34 71 34 71 34
Mean ,29 ,39 ,76 ,51 ,21 ,17 ,12
Std. Deviation ,462 ,492 ,431 ,504 ,410 ,377 ,327
Std. Error Mean ,079 ,058 ,074 ,060 ,070 ,045 ,056
41
Auditbudget Controleaanpak heeft zich in het verleden bewezen Meerjarencontract met de klant (terugkerende opdracht) Risicobereidheid van de auditpartner Toegevoegde waarde voor toekomstige opdrachten Kennis bij auditteam van toegevoegde waarde IT-Audit Communicatie tussen Financiële Auditor en IT-Auditor Voorkeur van leidinggevende voor al dan niet toepassen van nieuwe technieken
Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor Financiële Auditor IT-Auditor
N 71 34 71 34 71 34 71 34 71 34 71 34 71 34 71 34 71
Mean ,20 ,53 ,70 ,56 ,51 ,24 ,28 ,26 ,21 ,56 ,45 ,91 ,77 ,85 ,79 ,35 ,32
Std. Deviation ,401 ,507 ,460 ,504 ,504 ,431 ,453 ,448 ,411 ,504 ,501 ,288 ,421 ,359 ,411 ,485 ,471
Std. Error Mean ,048 ,087 ,055 ,086 ,060 ,074 ,054 ,077 ,049 ,086 ,059 ,049 ,050 ,062 ,049 ,083 ,056
Tabel 13: Significante verschillen tussen de financiële- en de IT-auditor, andere factoren die van invloed zijn op de inzet van de IT-auditor bij de jaarrekeningcontrole
3.5 Samenvatting praktijkonderzoek Uit het praktijkonderzoek blijkt dat een aantal van de hypothesen kunnen worden aangenomen (H1, H5, H7, H9.1, H10, H11.1, H12, H13) en een aantal dienen te worden verworpen (H2, H3 gedeeltelijk, H4, H6, H8 gedeeltelijk, H9 gedeeltelijk, H11 gedeeltelijk) . Het meest opvallend is dat de respondenten vinden dat de rol van de IT-auditor bij de jaarrekeningcontrole nog voldoet. Hiermee wordt gesuggereerd dat de auditpraktijk al wel voldoende gebruik maakt van alle nieuwe mogelijkheden. Uit het praktijkonderzoek blijkt ook dat er nog wel regelmatig verschillen zijn tussen de perceptie van de financiële- en de IT-auditor.
42
4
Conclusies & aanbevelingen
Na het analyseren van de resultaten en het accepteren, dan wel verwerpen van de hypothesen rest het beantwoorden van de onderzoeksvraag. Tevens zal er aandacht besteed worden aan aanbevelingen voor vervolgonderzoek. Dit onderzoek is uitgevoerd om uiteindelijk antwoord te vinden op de vraag: In hoeverre kan de ITauditor een betere ondersteuning bieden bij de financiële audit? Betere ondersteuning door de IT-auditor kan vanuit meerdere perspectieven worden benaderd. Wanneer we kijken naar wat een betere ondersteuning voor de financiële auditor betekent dan blijkt dat de financiële auditor met name comfort wil verkrijgen over de IT-systemen van de IT-auditor. Vragen we onze respondenten naar de toegevoegde waarde van de IT-auditor vanuit het perspectief van een klant dan wordt onder betere ondersteuning voornamelijk het leveren van toegevoegde waarde door specifieke kennis van de IT-auditor verstaan. Vanuit de literatuurstudie hebben we een aantal relevante technologische ontwikkelingen met impact op de jaarrekeningcontrole bestudeerd. Hieruit werd duidelijk dat er ruimte voor verbetering van de inzet van de IT-auditor is door het beter gebruik maken van de nieuwe mogelijkheden. Uit het praktijkonderzoek blijkt echter niet duidelijk dat dit binnen het onderzochte accountantskantoor direct als een probleem wordt ervaren. Over het algemeen wordt de rol van de IT-auditor bij de jaarrekeningcontrole als voldoende ervaren. Ook komt er naar voren bij vergelijking van antwoorden van financiële auditors met die van ITauditors dat er vaak een perceptieverschil tussen beide partijen is over welke werkzaamheden een ITauditor zou moeten uitvoeren gezien de onderzochte technologische ontwikkelingen. Kijken we echter naar de inzet van de IT-auditor in relatie tot de specifieke technologische ontwikkelingen dan zien we dat nog niet van alle mogelijkheden van de IT-auditor gebruik wordt gemaakt. De verklaring hiervoor kan mogelijk worden gezocht in andere factoren. Communicatie tussen de financiële auditor en de ervaringen uit het verleden worden als belangrijke factor genoemd die de inzet van de IT-auditor beïnvloeden. Mogelijk wordt er nog niet voldoende gebruik gemaakt van de IT-auditor maar wordt dit niet als een probleem ervaren omdat men liever los van elkaar opereert door deze communicatieproblemen. Ook het beschikbare budget wordt nog vaak als beperkende factor genoemd. De in de literatuurstudie onderzochte technologische ontwikkelingen worden allen als relevant ervaren. Ook zien we dat het volwassenheidsniveau van de klant invloed heeft op de keuze voor het type werkzaamheden van de IT-auditor bij de jaarrekeningcontrole.
4.1 Aanbevelingen Vanuit het praktijkonderzoek blijkt dat de respondenten de huidige rol van de IT-auditor als voldoende ervaren maar tegelijkertijd blijkt dat nog niet van alle mogelijkheden gebruik wordt gemaakt. Wij denken dat de oorzaak hiervan ligt in de beperkte kennis bij de financiële auditor van de mogelijkheden van het inzetten van de IT-auditor bij de jaarrekeningcontrole. Uit het praktijkonderzoek blijkt dat er regelmatig een verschil in perceptie bestaat tussen beide groeperingen over de werkzaamheden die een IT-auditor zou kunnen uitvoeren bij een jaarrekeningcontrole. Wij
43
adviseren daarom om voor beide groepen duidelijker te maken welke mogelijkheden er zijn en wat dit voor voordelen biedt voor de jaarrekeningcontrole. Uit de resultaten blijkt dat ook het auditbudget een factor is die een sterke invloed heeft op het al dan niet inzetten van de IT-auditor. Het verdient aanbeveling verder te onderzoeken op welke manier het auditbudget een rol speelt.
4.2 Vervolgonderzoek Uit onze enquêteresultaten blijkt dat er verschillen bestaan in perceptie tussen de pure IT- of financiële auditors en de auditors die beide rollen vervullen. Omdat onze populatie auditors met beiden rollen beperkt is kunnen wij hier echter geen conclusies aan verbinden. Het is interessant om hier een vervolgstudie naar te doen waarbij voldoende grotere populaties kunnen worden getoetst. In deze vervolgstudie zou onderzocht kunnen worden hoe auditors met beide rollen (RA RE) de rol van de IT-auditor tijdens een jaarrekeningcontrole zien en of de mate van betrokkenheid van de ITauditor bij de jaarrekeningcontrole verschilt. Onze enquête heeft zich beperkt tot één accountantskantoor. Het is interessant om dit onderzoek te herhalen onder meerdere accountantskantoren om te onderzoeken hieruit dezelfde resultaten naar voren komen. Het onderzoek zou zich dan niet alleen moeten richten op kantoren van de Big Four, maar zou juist ook kleinere kantoren moeten omvatten. Over het volwassenheidsniveau van de IT omgeving van de klant en de relatie tot de inzet van de ITauditor bij de jaarrekeningcontrole kan een volledig aparte studie worden gedaan. Hierbij is het met name interessant om ook de klanten zelf te vragen in hoeverre zij toegevoegde waarde ondervinden van de inzet van een IT-auditor bij de jaarrekeningcontrole.
44
Literatuurlijst [1]
Beek, Jeroen van. IT-audit tooling: technische beperkingen opgelegd door antivirusprogrammatuur en de effectiviteit hiervan. Master Thesis IT audit, VU Amsterdam, 30 mei 2007.
[2]
Bierstaker, James L., Burnaby, Priscilla, Thibodeau, Jay. The impact of information technology on the audit process: an assessment of the state of the art and implications for the future. Managerial Auditing Journal 16/3 (2001), pp. 159-164.
[3]
Boersen, D., van der Maat, M., de Haan, R. Auditsoftware in de praktijk bij Achmea. De EDPauditor 2 (2007). pp 48-51.
[4]
Chou, Charles Ling-yu, Du, Timon, Lay, Vincent S. Continuous auditing with a multi-agent system. Decission Support Systems 42 (2007) pp. 2274-2292.
[5]
Coderre, David, Verver, John G., Warren Jr., J. Donald. Continuous monitoring: Implications for assurance, monitoring and risk assessment. Global Technology Audit Guide (GTAG 3) pp. 1-2, 7, 11, 13, 15, 21-22.
[6]
Curtis, M.B., Payne, E.A. An examination of contextual factors and individual characteristics affecting technology implementation decisions in auditing. International Journal of Accounting Information Systems 9 (2008) pp. 104-121.
[7]
Roger S. Debreceny. Re-Engineering IT Internal Controls: Applying Capability Maturity Models to the Evaluation of IT Controls. HICSS, pp.196c, Proceedings of the 39th Annual Hawaii International Conference on System Sciences (HICSS'06) Track 8, 2006
[8]
Flowerday, S., Blundell, A.W., von Solms, R. Continuous auditing technologies and models: A discussion. Computers & Security 25 (2006) pp. 325-331.
[9]
Hakvoort, Ron, Sluiter, Alexander. Process Mining: Conformance analysis from a financial audit perspective. Process. International Journal of .Business Process Integration and Management, Vol. X, No.Y, pp.XXX–XXX. (2008).
[10]
Haes, S. de, Grembergen, W. van. IT Governance Structures, Processes and Relational Mechanisms: Achieving IT/Business Alignment in a Major Belgian Financial Group. Presented at 38th Hawaii International Conference on System Sciences, Hawaii, 2005.
[11]
Heijens, S. Support for Workflow Administration and Monitoring in the YAWL Environment. Master Thesis, Vrije Universiteit Amsterdam, The Netherlands, August 2005.
[12]
Hinson, Gary. The state of IT auditing in 2007. The EDP Audit, Control, And Security Newsletter (EDPACS), July 2007, pp. 13-31.
[13]
Hoffer, Ronald M. The value of continuous auditing. The EDP Audit, Control, And Security Newsletter (EDPACS), June 2007, pp. 1-19.
45
[14]
Hunton, J., Wright, A., Wright, S. Business and audit risks associated with ERP systems: Knowledge differences between information systems audit specialists and financial auditors. (2001), http://aaahq.org/audit/midyear/02midyear/papers/erp.pdf, bezocht op 8 februari 2009.
[15]
Kelechi, N.J. The impact of ERP system on the audit process. Master of Science Thesis in Accounting, Swedish School of Economics and Business Administration, 2007. http://www.pafis.shh.fi/graduates/josnwa05.pdf, bezocht op 8 februari 2009.
[16]
Kliem, Ralph L. What every new IT-auditor should know. The EDP Audit, Control, And Security Newsletter (EDPACS), February 2005, pp. 12-20.
[17]
Koning, Gerard, Roon, Nico van. XBRL jaarrekening naast de klassieke jaarrekening, en de impact op de werkzaamheden van de IT auditor. Master Thesis IT audit, VU Amsterdam, 2008.
[18]
Mollema, Kor. Back to the future de accountant in 2020. De Accountant, februari 2005, Volume 111, pp 18.
[19]
Mollema, Kor. ICT is meer dan een complex auditobject. De Accountant, januari 2006, Volume 112, pp. 62.
[20]
Mollema, Kor. ICT-bijscholing noodzakelijk. De Accountant, November 2006, Volume 113, pp. 20.
[21]
Mollema, Kor. Controllers ontberen IT-kennis. Interview door Yteke de Jong, Financieel Dagblad, 24-04-2008 http://www.accountant.nl/Accountant/Nieuws/De+veredelde+boekhouder, geraadpleegd op 12-03-2009.
[22]
Moonen, H.B., Normatieve maatregelen voor de geautomatiseerde gegevensverwerking in het kader van de jaarrekeningcontrole. NIVRA Studierapport 34, Werkgroep van de Commissie van Advies inzake Automatiseringsvraagstukken, 1995, ISBN: 9075103093, http://www.nivra.nl/NivraSite/Ledenservice/Boekhandel+online/Studierapport_34
[23]
Nederlandse wet- en regelgeving. Burgerlijk Wetboek, Boek 2 (Rechtspersonen), Titel 9 (De jaarrekening en het jaarverslag), Afdeling 9 (Deskundigenonderzoek), Artikel 393, Lid 4. Ingevoerd per 1 januari 1984.
[24]
Pasmooij, Jan. Het belang van XBRL voor IT-auditors. De EDP-auditor 2 (2008). pp. 18-23.
[25]
Powell, S.G., Baker, K.R., Lawson, B. An auditing protocol for spreadsheet models. Information & Management 45 (2008), pp. 312-320.
[26]
Sutton, Steve G. Enterprise systems and the re-shaping of accounting systems: A call for research. International Journal of Accounting Information Systems 7 (2006) pp. 1-6.
46
[27]
Sutton, Steve G. The changing face of accounting in an information technology dominated world. International Journal of Accounting Information Systems 1 (2000) pp. 1-8.
[28]
Tucker, George H. IT and the Audit, http://www.aicpa.org/pubs/jofa/sept2001/tucker.htm, bezocht 2 januari 2009.
[29]
Vendrzyk, V.P., Bagranoff, N.A. The evolving role of IS audit: A field study comparing the perceptions of IS and financial auditors. In Advances in Accounting: Vol. 20, Philip M. J. Reckers, Reckers, Salvador Carmone, Elsevier 2003, ISBN 0762310669, 9780762310661. pp. 141 – 164.
[30]
Venkatesh, V., Morris, M.G., Davis, G.B., Davis, F.D. User acceptance of information technology: toward a unified view. MIS Quarterly 2003: Vol. 27(3). pp. 425 – 478
[31]
Vries, Hugo de. Computer-assisted audit techniques (CAATs). Master Thesis IT audit, Vrije Universiteit Amsterdam, The Netherlands, June 2008.
[32]
Wieringen, F.E. van. Consumentenadoptie van High Definition Television. Master Thesis Business Informatics, Universiteit Utrecht, The Netherlands, July 2006.
47
Appendix A – Enquête
48
49
50
51
52
53
54
55
56
