1
Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles
Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles
Afstudeerscriptie geschreven ter afronding van de IT audit opleiding aan de Vrije Universiteit Amsterdam
Student: Andre Sanders
Begeleider: Paul Harmzen Datum: 28 februari 2015 Scriptienummer: 2043 Contact:
[email protected]
2
Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles
Voorwoord Inzicht in de achtergrond en motivatie van de student lijkt me, in deze toch wel bijzondere constellatie, voor u – lezer – nuttig. Ik leg dit hieronder nader uit. Ik ben in 1993 als RA afgestudeerd bij het toenmalige NIVRA. Dit mede dankzij mijn huidige scriptiebegeleider, die me destijds de leer der accountantscontrole doceerde, waarvoor nu dubbel chapeau en dank. Mijn loopbaan bestrijkt een periode van ruwweg 15 jaar in het openbaar accountantsberoep, van 1984 tot 1998, bij KPMG accountants, gevolgd door een iets langere tijd, tot 2014, binnen de financiële afdeling van General Electric. Daar heb ik diverse functies doorlopen met startpunt in financial accounting, evoluerend naar operationele bedrijfsondersteuning binnen het gebied van management accounting. IT als vakgebied en als raakvlak met financiële activiteiten is altijd relevant voor me geweest. Een loopbaan zoals de mijne levert dan ook op dat gebied waardevolle praktijkervaring op, maar expertise opbouwen gaat niet zonder de theoretische verdieping van een opleiding op universeel niveau. Dat haal ik nu (veel te laat) in, in de hoop er - ook gezien de maatschappelijke relevantie van IT - nog lang profijt van te hebben. Het onderwerp “onvervangbare interne controles” boeit me sinds ik het gedoceerd kreeg, vooral wat eventuele gebreken in deze controles dienen te betekenen voor de strekking van de controleverklaring bij de jaarrekening. Mijn afstudeerscriptie voor de RA opleiding behandelde het verband tussen de werking van deze onvervangbare interne controles en de volledigheid van de verantwoorde transacties in de jaarrekening. De aanbeveling uit deze scriptie aan het NIVRA was om een richtlijn uit te brengen die de accountant beter houvast biedt met betrekking tot de vraag, waar de accountscontrole op de volledige verantwoording van transacties ophoudt en waar het (kwalitatief) axiomatisch voorbehoud begint, om a) op deze wijze een bijdrage te leveren aan de bevordering van de kwaliteit van de beroepsuitoefening en b) de accountant een betere rechtspositie te bieden in geval van aansprakelijkstelling door gebruikers van de jaarrekening. De scriptie kreeg een mooie beoordeling maar die richtlijn is er – zoals te verwachten viel - nooit gekomen. De hernieuwde keuze van het thema onvervangbare controle verbindt voor mij verleden (RA) met heden en toekomst (IT). Het cirkeltje is dus rond. En misschien wordt een nieuwe aanbeveling nu wel opgevolgd…
3
Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles
Waarom is dit van belang ? Ik hecht eraan het verwachtingspatroon van de lezer vooraf scherper te krijgen:
gezien mijn achtergrond zie ik de volgende beperkingen: 1) ik ben geruime tijd niet meer zelf als openbaar accountant actief, beschik derhalve niet over directe actuele kennis en ervaring uit het veld; 2) ik heb niet de praktijkervaring van het uitoefenen van IT functies. daarentegen mag de lezer van mij meerwaarde verwachten op grond van: 1) de ervaringen die ik aan beide kanten van de tafel heb opgedaan, als controleur en gecontroleerde, met aandacht voor “hard en soft skills”; 2) de relatieve afstand die ik ten opzichte van het onderwerp en belanghebbenden heb, helpt om de contouren vanuit gebruikersperspectief duidelijk te krijgen en daarop gebaseerd keuzes te maken.
Dit gebruikersperspectief dient het uitgangspunt te zijn van de invulling van het beroep van accountant of auditor; de verwachtingen van de gebruiker (“de verstandige leek”) mogen niet worden beschaamd. Dat doe je denk ik (simpel gezegd) door kwaliteit te leveren – de deugdelijke grondslag – door een onberispelijke cultuur – is naleving van de VGC - en door externe focus en klantgerichtheid – door bruggen te bouwen met belanghebbenden, op gelijke golflengte te blijven – en deze elementen door de respectievelijke beroepsorganisaties op begrijpelijke, systematische wijze te laten communiceren. Me dunkt dat hier in de loop der jaren wat steken zijn gevallen. Waarom breng ik dit op ? Aan een deugdelijke grondslag voor de controleverklaring ligt, ook voor wat betreft mijn scriptieonderwerp, een goede samenwerking tussen de accountant en de IT auditor ten grondslag. Helaas staat deze samenwerking al enige tijd onder druk, wordt er gekrakeeld over competenties en financiën, en worden deuren dichtgeslagen die open zouden moeten blijven123. Dat is vanuit gebruikersperspectief gezien geen gezonde basis om aan maatschappelijke verwachtingen te kunnen voldoen. Aan gebalde vaktechnische expertise is er geen gebrek, zou ik zeggen, ook al is er nog te vaak een cultuur van beterweters die (wellicht onbedoeld) vooruitgang blokkeren. Voor deze scriptie heb ik me voorgenomen geen beterweter te zijn en zoveel mogelijk hapklare brokken uit de literatuur te gebruiken om de probleemstelling van deze afstudeeropdracht te tackelen. Dank u voor uw interesse. Dat dit leesvoer u (en mij … ) goed mag bekomen !
1
Matto - "Wicked Problems: IT auditors en accountants: the fiction of Audit Integration", presentatie @ de VU Amsterdam, 27 september 2013 2 Van der Pijl - "Jammer", De IT-Auditor nummer 4 2013 3 Bakker - "Venus en Mars", De Accountant juli/augustus 2013
4
Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles
Inhoudsopgave
Samenvatting van de scriptie ...........................................................................................6 1. Inleiding ............................................................................................................................
1.1. IT audit en de jaarrekening audit...........................................................................7 1.2. Probleemstelling en onderzoeksvraag ..................................................................9 1.3. Afbakening en definities ......................................................................................10 1.4. Methode van onderzoek .....................................................................................13 1.5. Verantwoording van de opzet .............................................................................15 2. Wat zijn onvervangbare IT controles en hoe kritisch zijn gebreken in hun werking? ........... 2.1. Plaatsbepaling; Stelsel van IT controles ................................................................17 2.2. Dynamiek; Toenemende afhankelijkheid van IT .................................................19 2.3. Gevolg; Onvervangbaarheid van IT controles.......................................................20 2.4. Remedie; Mogelijkheden en beperkingen van data-analyse ...............................21 2.5. Tussenstand; Jaarrekening assurance in gevaar ..................................................23 3. Welke IT controles dienen uit assurance oogpunt minimaal adequaat te werken? .............. 3.1. Maatwerk; Gezamenlijke professionele beoordeling accountant en IT auditor 24 3.2. Organisatie; Basisvoorzieningen in IT en adequate respons op IT risico ‘s ..........26 3.3. General; Basisvoorzieningen in logische toegangsbeveiliging en in wijzigingsbeheer .............................................................................................28 3.4. Applicaties; Werking van IT controles in kritische massa-processen ..................31 3.5. Conclusie; Correlatie van onvervangbare IT controles en controleverklaring ...33 4. Hoe kan de IT Auditor de bijdrage aan het reduceren van het audit risico verbeteren? ........
4.1. Deugdelijke grondslag; Noodzaak van IT audit competenties .............................34 4.2. Teamwerk; Besef en begrijpen van wederzijds perspectief ................................35 4.3. Jaarrekening audit proces; Naar een geïntegreerde aanpak ...............................36 4.4. IT audit Rapportage; Met een minimum volwassenniveau van IT controles ......37 4.5. Conclusie; Appel aan beroepsorganisaties ..........................................................38
5
Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles
5. Wat is de opinie in het veld; Bijdrage van geënquêteerde accountants en IT auditors ..........
5.1 Enquête; Aanpak van het praktijkonderzoek ........................................................39 5.2 Stellingen; Analyse van feedback...........................................................................40 5.3 Interviews; Verificatie van de interpretatie ...........................................................44 5.4 Resultaten; Nieuwe inzichten, nieuwe voorstellen ? ............................................45 6. Conclusie; Synthese van theorie en praktijk ........................................................................
6.1. Deelvragen; Beantwoording en verbeteringsvoorstellen.....................................46 6.2. Probleemstelling; Oplossingsvoorstel in samenvatting ........................................48 Nawoord ........................................................................................................................... 49 Literatuurlijst .................................................................................................................... 50 Bijlage 1: Referentiebedrijf “Happy Care B.V.” .................................................................... 52 Bijlage 2: Basisvoorzieningen in IT ...................................................................................... 54 Bijlage 3: Controleprogramma Onvervangbare IT controles ................................................ 57 Bijlage 4: Enquête; Resultaten............................................................................................ 58 Bijlage 5: Aanvullende interviews; Samenvattingen ............................................................ 66
6
Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles
Samenvatting van de scriptie NIVRA geschrift 64 (uit 1995) verbindt de controleerbaarheid van de jaarrekening met de werking van onvervangbare “EDI” controles; aan materiële gebreken zijn dwingend conclusies te verbinden voor de accountantsverklaring (nu: controleverklaring). In de afgelopen 20 jaar zijn de toepassingen van IT binnen ondernemingen expansief gegroeid, en daarmee ook het relatieve belang van IT controles binnen het samenstel van controle maatregelen waarmee de accountant zekerheid verkrijgt over de getrouwheid van een jaarrekening. De beroepsorganisaties hebben aan de registeraccountant (RA) en IT auditor (RE) in de tussentijd geen verdere normen(kaders) of richtlijnen aangereikt die verduidelijken hoe een (minimale) ondergrens voor de werking van onvervangbare IT controles als basis voor een deugdelijke grondslag kan worden bepaald. => De probleemstelling van de afstudeeropdracht luidt daarom: “Welke onvervangbare IT controles dienen minimaal adequaat te werken om een hieruit resulterende beperking in de verklaring bij de jaarrekening (van een willekeurige onderneming) te vermijden, en hoe kan de IT auditor in dit kader bijdragen aan reductie van het audit risico ? “ Centraal in het onderzoek staat de IT auditor als de deskundige op het vakgebied en in die hoedanigheid wordt ingehuurd door de accountant. Recente kwaliteitsonderzoeken van AFM naar jaarrekeningcontroles wijzen op lacunes in de controle van de interne beheersing en daarin opgenomen IT controles. De jaarrekening assurance is vanwege ontoereikende respons van de accountant op gebreken in de werking van mogelijk onvervangbare IT controles in een gevaarzone beland. De identificatie van (mogelijk) onvervangbare IT controles krijgt gestalte aan de hand van een stelsel van IT controles – verdeeld in Entity Level, General, Application en User controles - en het audit risk model dat aan de basis staat van de controle van de jaarrekening. COSO 2013, en in het verlengde daarvan COBIT (ITGI), worden daarbij als normenkaders gebruikt voor de selectie van voor de jaarrekening relevante basisvoorzieningen in IT. Het resultaat van dit onderzoek is een leidraad voor een controleprogramma van onvervangbare IT controles voor een IT-afhankelijk bedrijf, dat uit 10 geselecteerde IT controles bestaat die steeds als maatwerk gebaseerd op de specifieke inrichting en omgeving van de gecontroleerde en zijn financiële verantwoording zijn toe te passen. Tot slot volgt een appel aan de beroepsorganisaties om met een aantal rand voorwaardelijke beleidsmaatregelen - waaronder : 1) verduidelijken van de omgang met onvervangbare IT controles in de COS 2) verplichte consultatie van de IT auditor in IT relevante jaarrekening audits 3) formalisering van de IT audit rapportage - een kader te scheppen waarin de positie van de IT auditor wordt versterkt. => Deugdelijke omzetting van deze voorstellen voor probleemoplossing zal bijdragen aan noodzakelijke reductie van het audit risico in de controle van de jaarrekening.
7
Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles
Inleiding 1.1 IT audit en de jaarrekening audit We schrijven het jaar 1995. De internet revolutie is nog niet uitgebroken. Financiële verantwoordingen zijn nog het product van mainframes met grootboekpakketten die in isolatie van de primaire processen van het bedrijf opereren en nog op grote schaal (semi-) handmatig gevoed worden. De IT audit heette nog EDP audit. De accountant controleert de mechaniek en de inhoud van het grootboeksysteem, als zelfstandig controle object. Parafenlijsten en facturen zijn nog belangrijke controlebronnen. In deze omgeving brengt het NIVRA (de voorloper van het NBA) dat jaar geschrift 64 uit: "Electronic Data Interchange, beheersing en controle"4. Het volgende overzicht en de teksten in de kantlijn zijn hieraan ontleend: “Indien de EDI-specifieke onvervangbare interne controle niet aanwezig is, dient een negatief oordeel te worden gegeven over de betrouwbaarheid van de met behulp van de EDI-toepassing verwerkte transacties.” “De EDI-specifieke onvervangbare interne controle bestaat uit het waarborgen van de herkomst en echtheidskenmerken van de transacties die met EDI zijn verwerkt. Hiertoe is het noodzakelijk dat alle transacties zijn terug te leiden tot de EDI-berichten waarin ze zijn opgenomen en dat deze EDI-berichten in een voor de accountant interpreteerbare vorm bewaard zijn gebleven: de audit trail.”
Het is de controleerbaarheid van de geautomatiseerde gegevensverwerking, de audit trail, die het NIVRA in dit geschrift aanspreekt, en waarbij de accountant wordt aangewezen bij een combinatie van: - ontoereikendheid van de onvervangbare interne “EDI” controles en - materieel belang voor de jaarrekening dwingende conclusies te verbinden aan de strekking van de controleverklaring.
4
NIVRA Geschrift 64 - "Electronic Data Interchange, beheersing en controle", figuur 8 blz.67 , 1995
8
Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles
Het toereikend zijn van de controleerbaarheid van de geautomatiseerde gegevensverwerking wordt verbonden met de werking van onvervangbare interne “EDI” controles. Deze onvervangbare “EDI” controles vormen klaarblijkelijk een ondergrens voor de controleerbaarheid van een jaarrekening. Duidelijk toch ? De afgelopen 20 jaar sinds het verschijnen van NIVRA geschrift 64 … is IT steeds meer een onvervangbaar element van de accountantscontrole geworden:
de fysieke wereld van parafenlijsten en afgetekende facturen is nu onderdeel van een virtuele, papierarme wereld waarin naast werknemers ook externe stakeholders via openbaar toegankelijk internet inloggen op een gedistribueerde IT infrastructuur van het bedrijf, met in het systeem verankerde authenticatie en functiescheiding toegang krijgen tot de applicaties en data, van met elkaar geïntegreerde primaire bedrijfsprocessen, waar via geautomatiseerde IT controles (betaal)fiattering van kritische transactiestromen met hoge volumes gebeurt, en waarvan de financiële mutaties rechtstreeks het grootboek inlopen.
Er is de afgelopen 20 jaar dus nogal wat veranderd. De kans op gebreken in de controleerbaarheid van een financiële verantwoording is zeker niet afgenomen … De IT afhankelijkheid van bedrijven is enorm gestegen en daarmee is, ook voor de accountant, het belang van adequaat werkende IT controles sterk toegenomen; de jaarrekening audit krijgt een steeds grotere IT audit stempel. Daarbij zijn de elementen van onvervangbare interne controle in hoofdlijnen nog dezelfde – zoals: audit trail van primaire vastleggingen van transacties naar de financiële verantwoording, handhaving van functiescheidingen in de meest materiële transactiestromen, randvoorwaarden voor de volledigheid van contractuele rechten en verplichtingen, bewaring van de “kroonjuwelen”, waarborgen voor de continuïteit – het is de toepassing die nu in de IT wereld is verankerd en door IT controles gewaarborgd dient te worden. In termen van het jaarrekening audit risico5 (AR) = f (BR, IBR, DR): mogelijke gebreken in onvervangbare IT controles behoren nog steeds tot het interne beheers-risico (IBR); deze IT controles zijn middels systeemgerichte IT audit op werking te verifiëren, voor zover de bedrijfsprocessen materieel zijn voor de jaarrekening controle. Wat in de tijd verandert is, is het toegenomen relatieve belang van deze IT controles, binnen het samenstel van controle maatregelen waarmee de accountant zekerheid verkrijgt over de getrouwheid van een jaarrekening.
5
Van Leeuwen & Wallage - "Moderne controle-benaderingen steunen op interne beheersing", MAB maart 2002
9
Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles
1.2 Probleemstelling en onderzoeksvraag Gegeven de toegenomen relevantie van IT voor de controle van de jaarrekening mag verondersteld worden, dat de accountant en de IT auditor normen(kaders) of richtlijnen zijn aangereikt die verduidelijken hoe een (minimale) ondergrens voor de werking van onvervangbare IT controles als basis voor een deugdelijke grondslag kan worden bepaald. Dit is echter niet het geval:
niet over consequenties van niet werkende onvervangbare controles niet over onvervangbare controles in het algemeen en ook niet voor de verbijzonderde vorm van onvervangbare IT controles.
De NV COS6 kent slechts een enkele hit op de zoekopdracht “onvervangbare”, onder “COS 3810N Assurance-opdrachten inzake maatschappelijke verslagen, A 36 Systeemgerichte werkzaamheden”: “Controleopdrachten: De accountant richt zich bij controleopdrachten in eerste instantie op de opzet en het bestaan van de beleidsuitgangspunten en de beheersingsmaatregelen die de bestuur van de verslaggevende entiteit voor haar eigen functioneren hanteert ('key managerial controls') inclusief een beoordeling van de onvervangbare interne beheersingsmaatregelen. In aansluiting op het onderzoek van de 'key managerial controls' bepaalt hij in welke mate hij de opzet en het bestaan van andere interne beheersingsmaatregelen in het onderzoek betrekt.”
De NV COS kent wel meerdere hits op de zoekopdracht “general IT”, maar daarin wordt geen ondergrens behandeld, met “COS 315 Risico’s identificeren en inschatten, A103 Risico’s die voortkomen uit IT” als voorbeeld: “Het gebruik van IT is van invloed op de wijze waarop interne beheersingsactiviteiten worden geïmplementeerd. Vanuit het gezichtspunt van de accountant zijn interne beheersingsmaatregelen met betrekking tot IT-systemen effectief als ze de integriteit van de informatie en de beveiliging van de door dergelijke systemen verwerkte gegevens handhaven en ze effectieve general IT controls en application controls omvatten.”
Ook het recente studierapport van NBA, NOREA en TUACC “Jaarrekening controle in het MKB: IT audit geïntegreerd in de controle-aanpak”7, met waarin in bijlage 2 “per relevante controlestandaard (NV COS) aangegeven of daar specifieke IT-aspecten aan de orde zijn”, biedt op dit terrein geen handvat. Ook AFM8, PCAOB9 en ITGI10 beschrijven uit te voeren IT controles maar geven geen ondergrens in de werking aan, laat staan mogelijke gevolgen voor de oordeelsvorming.
6
NBA – "HRA” - Nadere voorschriften controle- en overige standaarden (NV COS)”, januari 2014 Schellevis en Van Dijk - "Jaarrekening controle in het MKB: IT audit geïntegreerd in de controleaanpak", april 2014 8 AFM - Uitkomsten onderzoek kwaliteit wettelijke controles Big 4-accountantsorganisaties, sept 2014 9 PCAOB Staff Audit Practice Alert No. 11, October 2013 10 ITGI - IT Control Objectives for Sarbanes Oxley, 2nd Edition, 2006 7
10
Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles
Formulering onderzoeksvraag Het kennelijk ontbreken van normen of richtlijnen voor het omgaan met jaarrekening assurance bij materiele gebreken in onvervangbare IT controles leidt tot de volgende probleemstelling:
Centraal in het onderzoek staat de IT auditor als de deskundige op het vakgebied en in die hoedanigheid wordt ingehuurd door de accountant. Voor een adequate beantwoording van de onderzoeksvraag zijn de volgende deelvragen geformuleerd: 1. Wat zijn onvervangbare IT controles en hoe kritisch zijn gebreken in hun werking ? 2. Welke IT controles dienen uit assurance oogpunt minimaal adequaat te werken? 3. Hoe kan de IT Auditor de bijdrage aan het reduceren van het audit risico verbeteren? De eerste deelvraag is inventariserend, de beide anderen zijn analyserend van aard.
1.3 Afbakening en definities Waar in deze afstudeeropdracht wordt gesproken over de accountant wordt bedoeld: een registeraccountant, in de functie van openbaar accountant. Waar in deze afstudeeropdracht wordt gesproken over de IT auditor wordt bedoeld: een register EDP-auditor ingeschreven bij de beroepsorganisatie NOREA. Hun gezamenlijk object van onderzoek is de controle van de jaarrekening van een willekeurige onderneming. Als referentiebedrijf is “Happy Care B.V.” gecreëerd, een bedrijf dat hoog scoort (niveau 3) op de benchmark “level of IT sophistication"11, en dat moet voldoen aan Nederlandse wetgeving. Happy Care B.V. is niet gebaseerd op een specifiek bedrijf dat in werkelijkheid zou bestaan. Het doel van de jaarrekening controle is bij te dragen aan de mate van vertrouwen dat de beoogde gebruikers stellen in de financiële overzichten. Hiertoe verstrekt de accountant een oordeel of de financiële overzichten in alle van materieel belang zijnde opzichten getrouw zijn weergegeven. De controlestandaarden12 schrijven voor dat de accountant als basis voor zijn oordeel een redelijke mate van zekerheid moet verkrijgen over de vraag of de jaarrekening als
11
Singleton - "IT Audit Basics: The Minimum IT Controls to Assess in a Financial Audit", ISACA Journal Volume 1 (part 1) & 2 (part 2) 2010 12 NBA – “HRA”- NV COS 200, januari 2014
11
Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles
geheel vrij is van een afwijking van materieel belang die het gevolg is van fraude of van fouten. Alleen dan kan de accountant een goedkeurende verklaring afgeven. Wordt de accountant geconfronteerd met onoplosbare materiële onzekerheden in de controle of onoplosbare materiële gebreken in een financiële verantwoording, dan schrijven de controlestandaarden de navolgende, beperkende controleverklaringen voor: Subjectieve of objectieve verhindering van de controle ? “Naar mijn mening is de vraag of de verhindering door de niet-adequate AO/IC objectief of subjectief is, afhankelijk van een (combinatie van een) aantal factoren. De belangrijkste zijn: 1. Omvang van het personeelsbestand … bepaalt in grote mate of een adequate functiescheiding binnen de organisatie mogelijk is … 2. De houding van de leiding … 3. De financiële positie van de onderneming. Het is mogelijk dat de verhindering blijft bestaan doordat de benodigde financiële middelen ontbreken … 4. De factor tijd. Tussen het moment waarop de leiding toezegt te reorganiseren en het moment waarop de reorganisatie is voltooid, kan een lange periode liggen …13”
Het jaarrekening audit risico of controlerisico “is het risico dat een accountant een onjuist oordeel tot uitdrukking brengt wanneer de financiële overzichten een afwijking van het materieel belang bevatten. Controlerisico is een functie van de risico’s op een afwijking van materieel belang en het ontdekkingsrisico14 ”. De accountant past risicoanalyse toe om dit audit of controlerisico te mitigeren, waarbij ik opteer voor een controleaanpak die maximaal gebruik maakt van effectieve maatregelen van interne beheersing:
13 14
Boots - "Objectieve en subjectieve verhinderingen", De Accountant juli/augustus 2003 NBA – “HRA”- NV COS Begrippenlijst, januari 2014
12
Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles
AR = f (RMM, DR) = f (BR, IBR, DR), waarbij AR = Audit of controlerisico, RMM = Risk of material misstatement, DR = detectierisico, BR = bedrijfsrisico en IBR = intern beheers-risico.
“Alleen door voldoende inzicht te verkrijgen in de strategie, omgeving (tactisch) en bedrijfsprocessen (operationeel), kan de accountant de bedrijfsrisico’s en interne beheersingsmaatregelen doorgronden. Op basis van deze kennis kan de accountant een effectieve controle uitvoeren door risico’s te onderkennen en te beoordelen op de mogelijke invloed op de jaarrekening.15 “
Tot de maatregelen van interne beheersing behoort een stelsel van IT controles gericht op het inperken van de inherente IT risico ’s van de onderneming:
IT Entity Level controles (IT SBR) = door het management geïnstitutionaliseerde vormen van aansturing en bijsturing van strategische IT doelen, vooral gericht op het optimaliseren van business alignment, veranderprojecten en GRC IT General controles & Application controles (IT PBR) = IT controles gericht op de beheersing van de reguliere procesuitvoering (tactisch/operationeel) op de kwaliteitsaspecten exclusiviteit, integriteit, controleerbaarheid en continuïteit IT User controles (IT DR) = Gedocumenteerde gebruikerscontroles op de IT output, veelal in de vorm van cijferanalyse op financiële informatie. Cijferanalyse omvat de controlemiddelen cijferbeoordeling, verbandscontrole en toetsing aan normatieve gegevens.
De interne beheersing van een onderneming bestaat – uit optiek van de accountant uit maatregelen van vervangbare en onvervangbare interne controle. Onvervangbare interne controle betreft maatregelen van interne controle die de accountant niet door eigen actie kan controleren en niet – door gegevensgerichte controle – kan vervangen. De hiertoe behorende onvervangbare IT controles worden in deze afstudeeropdracht alleen op hun vermijdbare gebreken onderzocht.
15
Van Leeuwen & Wallage - "Moderne controle-benaderingen steunen op interne beheersing", MAB maart 2002
13
Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles
1.4 Methode van onderzoek
De munitie voor het beantwoorden van de centrale onderzoeksvraag komt voort uit: 1. Literatuurstudie specifiek over het onderwerp zelf is weinig literatuur beschikbaar. De bijgevoegde literatuurlijst is juist daarom vrij lang, omdat de bouwstenen voor deze scriptie uit veel individuele bronnen komen de informele gesprekken tussendoor met ITACA docenten hebben richting gegeven aan het onderzoek en vormen als zodanig ook een belangrijke bron van informatie van hieruit heb ik een eerste versie van de scriptie geschreven met daarin een initiële beantwoording van de onderzoeksvraag met conclusies en aanbevelingen. 2. Toetsing – Enquête & interviews: de conclusies en aanbevelingen uit de literatuurstudie zijn in de maand januari 2015 in de vorm van een enquête aan een 20-tal experts – met evenwichtige representatie van RA ’s en RE ‘s – voorgelegd. de resultaten zijn vervolgens geanalyseerd en aan de groep teruggekoppeld op individuele basis zijn de conclusies via korte interviews geverifieerd. De vragenlijst met resultaten is als bijlage bijgevoegd en in hoofdstuk 5 beschreven. De methode en opbouw volgt de onderzoekaanpak van Robert K. Yin, beschreven in het boek ‘Case study research, design and methods’, 4th edition [YIN2009]:
14
Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles
De ‘Plan’ fase bevat de bepaling van de onderzoeksvragen binnen het beschreven kader, de scope, en de literatuurstudie die uitmondt in een aantal stellingen die op hun beurt aan de basis staan van voorlopige aanbevelingen. De ‘Design’ fase levert het ontwerp van een enquête om deze stellingen onder experts in het veld te toetsen. Naast aandacht voor representativiteit en motivatie van de geënquêteerden, is hierbij de keuze van de vorm van de vraagstelling van belang, waarbij het vooropgestelde doel is om een goede balans te krijgen tussen inbreng van individuele experts en – waar mogelijk - kanalisatie van antwoorden naar een overkoepelende groepsopinie over geponeerde stellingen. De ‘Prepare’ fase bestaat voornamelijk uit: 1) de keuze en de opzet van een online enquête instrument die de anonimiteit van de geënquêteerden waarborgt, en 2) een toetsing vooraf - middels test runs - ter beoordeling van de technische werking en de inhoudelijke effectiviteit van de enquête methode. Waar nodig vinden correcties in de enquête en/of procedurele opzet plaats. De ‘Collect’ fase beslaat in eerste instantie de periode van de uitvoering van de enquête, die op 2 á 3 weken geschat is. Tussentijdse response metingen – in aantallen en van inhoudelijke aard – zijn nodig voor eventuele bijsturingsacties om voorop gestelde doelen te kunnen bereiken. Hiertoe behoort onder meer het uitsturen van herinneringen om de enquête response te maximeren. De ‘Analyze’ fase bevat een detailanalyse van het profiel van de geënquêteerden en van de verkregen input op elk van de geponeerde stellingen. Deze analyse gebeurt per stelling. Afhankelijk van de verkregen feedback en de overkoepelende mening van de groep experts, zijn stellingen en daarop gebaseerde voorlopige aanbevelingen aan te passen. Deze aanpassingen zijn op zijn beurt van belang voor de inhoud van het uiteindelijke oplossingsvoorstel. Als extra kwaliteitscontrole op de voorlopige uitkomsten van de ‘Analyze’ fase vinden aanvullende (individuele) interviews met een aantal experts plaats. De omvang van de interview activiteit hangt vooral af van de uitkomsten van de analyse, met als belangrijkste graadmeter of de groep van experts de geponeerde stellingen steunen respectievelijk verwerpen. In deze terugkoppeling naar de ‘Collect’ fase krijgen de experts inzicht in de enquête uitkomsten, gemaakte analyses en voorlopige conclusies. Gesprekverslagen van deze interviews bevatten de meningen en adviezen van de experts. Deze input is op zijn beurt van belang voor de inhoud van het uiteindelijke oplossingsvoorstel. De ‘Share’ fase omvat het delen van de enquête resultaten met de geënquêteerden, het afstemmen van de correcte vastlegging van gevoerde interviews met individuele experts, het verspreiden van de scriptie aan diverse geïnteresseerden en nader te bepalen activiteiten gericht op de stimulering van wetenschappelijk onderzoek op het thema van deze afstudeeropdracht: Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles.
15
Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles
1.5 Verantwoording van de opzet Hieronder volgt een globale weergave van het vervolg van deze afstudeeropdracht. Inhoud hoofdstuk 2 In dit hoofdstuk behandel ik de eerste deelvraag van de probleemstelling: “Wat zijn onvervangbare IT controles en hoe kritisch zijn gebreken in hun werking?”:
Met verwijzing naar de jaarrekening audit van “Happy Care B.V.”, schets ik een beeld van toenemende afhankelijkheid van werkende IT controles om de betrouwbaarheid van relevante financiële data te kunnen waarborgen; ik geef aan dat de accountant met zijn controlemix van maatregelen door de computer heen moet, waarbij een adequate beoordeling van het interne beheersingsbeleid kritisch is en hiervoor IT audit expertise noodzakelijk is. Vervolgens behandel ik de dynamiek van de veranderingen in IT en verbindt deze met de bestaande verwachtingskloof tussen de gebruikersorganisatie en het IT service domein, ook om te beoordelen hoe deze dynamiek de werking van de interne beheersing, per saldo, beïnvloedt. Daarna behandel ik het controlemiddel data-analyse, dat met zijn nieuwe technieken eventuele gebreken in de IT controles zou kunnen compenseren, met al zijn mogelijkheden maar ook met de inhoudelijke beperkingen in de huidige toepassingsvormen, zowel binnen de context van een bedrijf als in de controle van de jaarrekening door de accountant en de IT auditor. Ik beëindig dit hoofdstuk met een tussenbalans waarin ik inschat wat tot op heden de respons van de accountant op gebreken in de werking van onvervangbare IT controles is, en verbindt dit met mogelijke tekortkomingen in de deugdelijke grondslag voor de controleverklaring bij de jaarrekening.
Inhoud hoofdstuk 3 In dit hoofdstuk behandel ik de tweede deelvraag van de probleemstelling: “Welke IT controles dienen uit assurance oogpunt minimaal adequaat te werken?”:
In dit hoofdstuk ga ik gedetailleerd in op specifieke IT controles in hun belang voor jaarrekening assurance. Ik verklaar een principle-based proces dat moet leiden tot deugdelijk maatwerk voor IT audit bij elke jaarrekening controle. Vervolgens behandel ik de kritische IT controles binnen de in hoofdstuk 2 beschreven structuur van “het stelsel van IT controles”: o In de organisatie van de interne beheersing van IT beschrijf ik rand voorwaardelijke basisvoorzieningen in het richten van de IT functie, met referentie naar Happy Care B.V., en behandel ik waaraan IT risico management minimaal inhoud moet geven om jaarrekening relevante, materiële gebreken in de interne beheersing te voorkomen
16
Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles
o Bij de inrichting van de IT geef ik aan welke basisvoorzieningen, met nadruk op logische toegangsbeveiliging en wijzigingsbeheer, kritisch zijn voor de jaarrekening controle o In de procesbeheersing van voor de jaarrekening relevante transactiestromen, behandel ik wanneer IT controles zo kritisch zijn dat gebreken in de werking de controlezekerheid materieel reduceren. Ik besluit het hoofdstuk met een leidraad voor een controleprogramma van onvervangbare IT controles en een conclusie over de onvervangbaarheid van IT controles voor de controleverklaring bij de jaarrekening.
Inhoud hoofdstuk 4 In dit hoofdstuk behandel ik de derde deelvraag van de probleemstelling: “Hoe kan de IT Auditor de bijdrage aan het reduceren van het audit risico verbeteren?”: (a) Ik begin dit hoofdstuk door voorwaarden voor een deugdelijke grondslag te verbinden met IT audit competenties (b) Daarna besteed ik aandacht aan “soft skills”: o door allereerst verschillen in besef en wederzijds perspectief op IT controles te beschrijven, als basisvoorwaarde voor effectief teamwerk o dit werk ik verder uit naar een audit aanpak waarin IT audit als kritisch onderdeel geïntegreerd is (c) Dan beschrijf ik een vorm van eindrapportage van de IT auditor aan de accountant die naar mijn mening beter moet voorkomen dat IT audit bevindingen niet effectief geadresseerd en opgevolgd worden Tot slot verklaar ik hoe de beroepsorganisaties (NBA, Norea) een bijdrage kunnen leveren aan de kwaliteit van IT audit binnen het bestaande raamwerk van de controlestandaarden. Hier houdt mijn literatuuronderzoek op en start de toetsing van mijn conclusies en aanbevelingen aan de experts in het veld.
Inhoud hoofdstuk 5 In dit hoofdstuk toets ik mijn conclusies uit het literatuuronderzoek met experts in het veld, middels enquête en aangevuld met enkele interviews om mijn interpretatie van de uitkomsten te verifiëren, dit als basis voor mogelijk nieuwe inzichten en voorstellen. Inhoud hoofdstuk 6 In het afsluitende hoofdstuk kom ik tot mijn eindconclusies en aanbevelingen.
17
Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles
Deelvraag 1: Wat zijn onvervangbare IT controles en hoe kritisch zijn gebreken in hun werking? 2.1 Plaatsbepaling; Stelsel van IT controles Ik start met een model dat het stelsel van IT controles verbindt met controle objecten van de jaarrekening audit. De IT controles zijn daarbij analoog de ruime interpretatie van ISACA/ITGI16 onderverdeeld in Entity Level en Activity controls:
De controleobjecten van de jaarrekening zijn opgedeeld naar bedrijfsdomeinen:
16
De bedrijfsgebruikers (groene kolom) ontvangen vooraf overeengekomen procesinformatie uit de informatiehuishouding (gele kolom), waaruit voor interne doeleinden op periodieke en ad-hoc basis management informatie wordt samengesteld. Conform geldende regelgeving, verantwoordt het bedrijf periodiek externe financiële en overige bedrijfsinformatie, waaronder de jaarrekening In de informatiehuishouding (gele kolom) zijn de bedrijfsprocessen in ERP modules (in bruin) organisatie-breed gestandaardiseerd en in vergaande mate met de “boekhouding” (in blauw; “Treasury, Accounting & Reporting”) geïntegreerd De technische infrastructuur (blauwe kolom) dient met technisch beheer de betrouwbaarheid van applicaties, data en workflows te waarborgen. ITGI - IT Control Objectives for Sarbanes Oxley, blz 56, 2nd Edition, 2006
18
Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles
De bedrijfsdomeinen staan -voor wat betreft het product jaarrekening- met elkaar in een klant-aanbieder relatie. De kwaliteit van hun dienstverlening is sterk afhankelijk van een goed werkende IT voorziening. Die hangt op zijn beurt af van de werking van IT controles die de betrouwbaarheid van financiële data moeten waarborgen. De -voor de jaarrekening relevante- IT controles vormen op hun beurt een stelsel van IT controles, met hieronder weergegeven onderlinge samenhang:
Wat geldt voor het interne beheersingsproces dat de kwaliteit van een jaarrekening moet waarborgen, geldt evenzo voor de jaarrekening audit die op de werking van de interne beheersing steunt. Hiermee is het belang van de werking van IT controles voor de jaarrekening audit geïllustreerd. Waar de accountant in het verleden een keuze had een jaarrekening "om de computer heen" (gegevensgericht) en "door de computer" (systeemgericht) te controleren, was "om de computer" heen controleren op een zeker moment (door het gebrek aan fysiek bewijs, in de keten) geen optie meer17. Voorheen werd de financiële informatie voor een jaarrekening uit afzonderlijke bronnen samengesteld, zoals hiernaast getoond. Tegenwoordig zijn een groot deel, zo niet alle bronnen, geïntegreerd in één informatiesysteem, één controleobject. De accountant moet daarom met zijn controlemix van maatregelen door de computer, waarbij een adequate beoordeling van het interne beheersingsbeleid gericht op de werking van IT controles kritisch is.
17
Gerritse - "IT-ontwikkelingen en de IT-auditfunctie" – De IT-Auditor nummer 4 2013
19
Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles
2.2 Dynamiek; Toenemende afhankelijkheid van IT Het model “Stelsel van IT controles” bevat aan de onderkant de volgende toevoeging die refereert naar de relatie naar het ingaande en uitgaande dataverkeer met stakeholders van het bedrijf, inclusief werknemers die via vaste of mobiele datalijnen toegang willen krijgen tot applicaties en data:
Bedrijven evolueren om strategische/operationele en financiële redenen, en voor een belangrijk deel mogelijk gemaakt door internet technologie en andere IT innovaties, steeds meer van grotendeels gesloten naar gedeelde/gekoppelde informatiesystemen. Het inherent hogere risico van misbruik van applicaties en data door derden moet via IT controles worden voorkomen. Ook binnen de virtuele muren van het bedrijf is sprake van meer IT afhankelijkheid. Onder invloed van digitalisering, procesintegratie, ketensamenwerking en virtualisatie is de invloed van IT op de inhoud van primaire bedrijfsprocessen, en daarmee ook op de jaarrekening, veranderd van een ondersteunende naar een primaire, bepalende rol. Deze dynamiek van toegenomen IT afhankelijkheid is paradoxaal wanneer vergeleken met de bestaande verwachtingskloof tussen de vraag en aanbod van IT services. Aan de hand van de Happy Care case wordt dit kort toegelicht. Happy Care heeft behoorlijke stappen gemaakt in IT procesautomatisering en productinnovaties. Toch zijn problemen met de IT service delivery aan de orde van de dag; eigen ontwikkeling van applicaties zijn kostbaar en duren te lang, en dan nog zijn functionaliteiten gebrekkig. De CRM applicatie was aan het einde van de levenscyclus, ook vanwege kostendruk is een overstap gemaakt naar SaaS met Salesforce.
Ondanks deze verwachtingskloof zijn wezenlijke IT veranderingen gerealiseerd, waardoor het relatieve belang van interne beheersing van IT processen sterk is toegenomen; een verder te definiëren fundament van interne controle verankerd in IT systemen en processen is tegenwoordig een onvervangbaar onderdeel van de interne beheersing, dat de accountant op werking dient te controleren.
20
Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles
2.3 Gevolg; Onvervangbaarheid van IT controles Wat is er onder invloed van toegenomen automatisering gebeurt met de IT controles zelf ? En hoe verhoudt zich de effectiviteit van IT controles tot de dynamiek in de te controleren processen, wat is het -per saldo- resultaat gemeten in controlezekerheid ? Ter illustratie toon ik een tweetal voorbeelden uit de controle van de omzet van Happy Care (zie bijlage 1), die vervolgens ook op mogelijke elementen van onvervangbare IT controles worden geanalyseerd. Happy Care levert per jaareinde 40% van haar jaaromzet uit, bijna 10.000 scanners. Facturering gebeurt bij levering. Voor de omzet boeking is een schriftelijke leveringsacceptatie van de klant nodig. Customer operations is de verantwoordelijke afdeling. De controletolerantie van de accountant = de bruto marge van 500 scanners.
Relevante controles voor interne beheersing van deze deelprocessen van de omzet zijn hieronder samengevat, en geconstateerde leemtes zijn rood gemarkeerd:
Geautomatiseerde controles in robuuste ERP applicaties dragen sterk bij aan de interne beheersing van processen, voor zover de ondersteunende beheersorganisatie op orde is … want een keten is zo sterk als zijn zwakste schakel. Indien processen opgeknipt worden, zoals bij Happy Care, daarbij verandertrajecten niet goed doorgevoerd worden, ontstaan situaties waarin -in dit geval- de omzetverantwoording tot een probleem wordt.
1.Happy Care: Boeking van de facturering op basis van levering af magazijn: sinds de invoering van SAP (met SD en FI modules) is de procesafloop vergaand geautomatiseerd. In de applicatie opgenomen geautomatiseerde controles tussen geleverde en gefactureerde artikelen, alsmede beter inzicht in de doorlooptijd van leveringen, hebben de proceskwaliteit, gemeten in interne klachten en reclameringen van klanten en on-time shipment, verbeterd. De accountant kon tot voor kort ook steunen op het IT beheer van de applicatie inclusief change management. 2.Happy Care: Boeking omzet op basis van acceptatie van levering sinds de overgang op SalesForce SaaS eerder in het jaar, is het aantal klantenreclamaties over onjuiste en/of onvolledige leveringen sterk toegenomen. De eerste tekenen van procesvariatie werden als kinderziektes gezien, daarna bleek IT beheer nicht bij machte of niet willens – want IT gaat door een reorganisatie - om het probleem op te lossen, waarna een externe consultant werd ingeschakeld. Recente uitkomst is dat de interface van order data tussen SalesForce en SAP hapert, waardoor foutieve leveringen en facturaties gebeuren. Verder heeft de reorganisatie bij IT ertoe geleid dat belangrijke beheerstaken waaronder de logische toegangsbeveiliging rondom Customer operations niet meer op orde zijn. De omzetverantwoording is een probleem geworden.
21
Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles
Onvervangbare IT controles reiken verder dan het "klassieke" werkterrein van IT General controles; ook de werking van IT Entity Level en IT Application controles bevat – ook onder invloed van de volgende ontwikkelingen - steeds vaker elementen van onvervangbare IT controles die jaarrekening relevant zijn:
de toenemende afhankelijkheid van externe providers, zoals bij outsourcing middels cloud computing. Uit het voorbeeld van Happy Care: zonder een goed werkende -IT Application controle op de- interface tussen SalesForce SaaS en SAP is de omzetverantwoording bij een bedrijf van deze complexiteit en kritische massa mogelijk niet meer door de interne beheersorganisatie, en ook niet door de accountant, vast te stellen het "open" stellen van het informatiesysteem voor communicatie van buitenaf , zoals aan partnerships in de keten, maar ook jegens werknemers bij BYOD => adequate beheersmaatregelen moeten applicaties en data tegen misbruik beschermen. De eigen organisatie moet de vingers aan de knop houden, en de accountant daarvan middels controlebewijs kunnen overtuigen de verschuiving van controle verantwoordelijkheid van de IT service naar de gebruikersorganisatie => onder budgettaire druk worden IT beheersfuncties verkleint en waar mogelijk verantwoordelijkheden naar andere delen van de organisatie overgeheveld. Een goede risico-afweging is noodzakelijk om belangrijke IT controles niet tussen wal en schip te laten vallen of in handen te geven van gebruikers die hiervoor de expertise missen.
De vraag hoe de dynamiek in de te controleren processen, met inbegrip van de hierboven geschetste risico ‘s, zich -per saldo, gemeten in controlezekerheid- verhoudt tot de gestegen effectiviteit van vooral IT Application controles, moet situationeel -van case tot case specifiek- worden beantwoord.
2.4 Remedie; Mogelijkheden en beperkingen van dataanalyse Met een data-analyse van de orderbestanden uit SalesForce en SAP kan de accountant de interface problematiek bij Happy Care kwantificeren en een totaal omzetverschil berekenen, waarna wellicht met aanvullend controlewerk een omzetcorrectie bepaald kan worden. Deze vorm van data-analyse op transacties bestaat al decennia en biedt nog steeds een zekere meerwaarde door verbeterde audit software. De inzet van data-analyse om kwalitatieve IT audit bevindingen, vooral op het gebied van functiescheidingen, met behulp van controle-overzichten van het ERP systeem te vertalen naar kwantitatieve/financiële verschillen, krijgt recentelijk meer aandacht18. De meerwaarde komt voort uit robuustere ERP data, is zeker van belang voor de jaarrekening audit, maar slechts een aanvulling op traditioneel gedachtengoed. Niets nieuws onder de zon, dus ? 18
Pols/Schoonen-"Data-analyse als een brug tussen twee werelden" De Accountant Dec 2012
22
Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles
Vernieuwend is data-analyse met gebruik van meta-data die een ERP systeem vastlegt in event logs19 -van bijvoorbeeld een proces of een transactiecode waarmee de accountant zicht krijgt op de werking van de intern beheersing en ook de functiescheiding van een proces totaal-omspannend in kaart kan krijgen20. Verder luiden op de leest van forensic accounting geschoeide e-Discovery analyse tools innovaties in, waarbij wiskundige algoritmes op case-relevante data worden toegepast, zodat de accountant nog gerichter en efficiënter de controledoelen kan bereiken. Met deze big data tot de beschikking komt de volkomen controle weer binnen handbereik van de accountant … Is deze vorm van data-analyse dan de remedie waarmee de accountant met een volledig gegevensgerichte controleaanpak de jaarrekening kan controleren ? Het antwoord daarop is nee, gezien de navolgende belangrijke beperkingen:
Voorlopig staan nieuwe data-analyse technieken nog in hun kinderschoenen, zijn in financieel opzicht te duur, en is de business case is (nog) niet goed genoeg Van groter en blijvend belang is: data-analyse is zo goed als de kwaliteit van de brondata: - bij de ontwikkeling van standaardprogrammatuur, en nog meer bij maatwerk, krijgt het aspect controleerbaarheid in vergelijking met de andere kwaliteitsaspecten minder prioriteit21. Gevolg is dat event logs vaak nog van onvoldoende kwaliteit zijn: onvolledig, onjuist en in opzet niet gedocumenteerd - de integriteit van de brondata is alleen bij werkende onvervangbare IT controles gewaarborgd. "Of course, for this meta-information to be of value it has to be assumed that the typical user entering data into a company's IT systems lacks the super-user privileges that would enable them to subvert the controls that lead to the automatic recording of that meta-information and which safeguards it from manipulation. But that constraint is not particular to process mining, since no type of data analytics, including those in utilized in standard audit practice, can be undertaken in the absence of a basic guarantee of data integrity. 19"
Happy Care heeft niet alleen een probleem met de omzetverantwoording, maar er ontbreekt ook een fundament van interne beheersing in IT, waardoor de integriteit van de gebruikte applicaties en data in gevaar is; nader onderzoek van onvervangbare IT controles is nodig om gevolgen voor de jaarrekening te kunnen vaststellen.
19
Jans, Alles, Vasarhelyi - "The case for process mining in auditing: Sources of value added and areas of application", International Journal of Accounting Information Systems 14 2013 20 Caron & Vanthienen - "Applications of Business Process Analytics and Mining for Internal Control", ISACA Journal Volume 4 2012 21 Haasnoot-Bezverhaya - "Controleerbaarheid en kwaliteit van event logs", De IT-Auditor nummer 2 2013
23
Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles
2.5 Tussenstand; Jaarrekening assurance in gevaar De bestudeerde literatuur bevat slechts in beperkte mate specifiek onderzoek van en directe verwijzingen naar onvervangbare IT controles, en biedt dan in het algemeen weinig informatie over gevolgen voor de aanpak en de conclusie van de jaarrekening audit, enkele uitzonderingen daargelaten die dan ook de relevantie van het probleem bevestigen.22 23 24 In het recente studierapport van NBA, NOREA en TUACC25 worden compenserende maatregelen voor gebreken in IT controles benoemd, duidelijk wordt dat compensatie niet altijd mogelijk is = IT controles onvervangbaar zijn, maar de gevolgen voor de audit zijn niet verder uitgewerkt; alsof het een hete aardappel is … ?
“Een minimale set IT General controles is nodig om de toegangsbeheersing, het change management en het slechts met corporate applicaties aan de corporate database kunnen toevoegen van data, te realiseren … de logische toegangsbeheersing is ingericht op het niveau van IT General controles en van IT Application controles …De accountant moet toetsen op afwijking …Onder negatieve gevolgen valt bij de jaarrekening-controle vooral te denken aan beperkingen van de controleerbaarheid. 22 ”
Recente kwaliteitsonderzoeken van AFM naar jaarrekeningcontroles wijzen op lacunes in de controle van de interne beheersing en daarin “-De accountant heeft onvoldoende kennis van IT opgenomen IT controles; er bestaan generieke om de organisatie goed te kunnen controleren, maar past het controleteam daar niet op aan gebreken in controles van functiescheidingen -De AFM vindt dat het stelsel van (autorisatie) en op door IT gegenereerde data, en kwaliteitsbeheersing meer moet afdwingen dat externe accountants, indien nodig, IT-deskundigen specifieke cases26 roepen een beeld op van een inzetten voor hun accountantscontrole; dit geldt accountant die het relatieve belang van IT audit en zowel voor deskundigen die binnen de van werkende IT controles onderschat. 27 accountantsorganisatie aanwezig zijn als voor externe deskundigen. -De accountant heeft onvoldoende de Daarmee is de jaarrekening assurance beheersingsomgeving van organisatie in kaart in een gevaarzone beland, want: gebracht, inclusief de relevante informatiesystemen, onderliggende infrastructuur de accountant die materiële gebreken in en IT beheersprocessen onvervangbare IT controles niet ontdekt, geeft -De accountant kiest daarom soms ten onrechte mogelijkerwijs een onjuiste verklaring af bij een een sterk gegevensgerichte aanpak -In deze aanpak wordt wel impliciet gesteund op niet controleerbare verantwoording. beheersingsmaatregelen in de informatiesystemen, de accountant die materiële gebreken in zonder dat deze getest zijn”27 onvervangbare IT controles onderkent maar "compenseert" met aanvullende gegevensgerichte maatregelen, verleent met een goedkeurende verklaring mogelijkerwijs schijnzekerheid aan gebruikers van de jaarrekening.
22
Kloosterman en Snoeker - "Informatietechnologie en interne beheersing", De IT-Auditor nummer 2 2013 23 Van Bommel, Van Goor, Peek en Winterink - "De betekenis van IT-auditing voor de jaarrekeningcontrole ontrafeld!", MAB oktober 2006 24 Rabe en Johan - "IT-audit en MKB-controle", Accountancynieuws nr. 20, november 2010 25 Schellevis en Van Dijk - "Jaarrekening controle in het MKB: IT audit geïntegreerd in de controleaanpak", april 2014, tabellen 4 t/m 6 op pagina’s 44 t/m 46 26 AFM - Uitkomsten onderzoek kwaliteit wettelijke controles Big 4-accountantsorganisaties, september 2014: voorbeeld van controle cliënt H, pagina 73/74 27 Schellevis - “Financial Audit Support: integrated auditaanpak”- NOREA symposium mei 2014
24
Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles
Deelvraag 2: Welke IT controles dienen uit assurance oogpunt minimaal adequaat te werken? 3.1 Maatwerk; Gezamenlijke professionele beoordeling accountant en IT auditor In het vervolg veronderstel ik dat een IT auditor de accountant ondersteunt bij de controle van de jaarrekening. De IT auditor verifieert opzet, bestaan en werking van het stelsel van IT controles voor zover jaarrekening audit relevant:
RA
RE
Uitgangspunt voor de IT auditor is de specifieke inrichting en omgeving van de gecontroleerde en zijn financiële verantwoording; te allen tijde is - in samenspraak met de accountant - maatwerk nodig om een raamwerk van (onvervangbare) IT controles te bepalen dat adequaat de IT gerelateerde bedrijfsrisico 's afdekt die tot materiële fouten in de jaarrekening kunnen leiden. Aan het maatwerk – het IT controleprogramma - gaat een proces van gezamenlijke beoordeling van de ondernemingssituatie vooraf, met volgende complicaties: 1. De accountant en de IT auditor analyseren het stelsel van IT controles vanuit een verschillend perspectief, waaruit een verschil in aanpak resulteert; o de accountant komt van links – start met een risicoanalyse vanuit de jaarrekening, werkt dan terug (naar rechts) om met een controlemix van maatregelen, juist voldoende om zekerheid voor een oordeel te bereiken o de IT auditor komt van rechts - start bij de beoordeling van de overkoepelende architectuur, werkt dan de lagen van de infrastructuur af (naar links) vanuit het perspectief van een gebruiker die remote inlogt om na het doorlopen van een mix van IT controles toegang tot de applicatie te krijgen en de gekoppelde database te kunnen raadplegen of muteren
25
Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles
2. De accountant en de IT auditor hebben een andere interpretatie van de sterkte van IT controles, waarmee controlezekerheid te bereiken is; o de accountant hecht relatief grote waarde aan controlezekerheid uit gebruikerscontroles, uit raadpleging van documentatie en interviews met verantwoordelijke managers, en uit informatie van applicaties die één op één te vertalen zijn naar posten van de jaarrekening. Vanuit deze optiek zijn bevindingen uit IT General controles een “ver van mijn bed show” o de IT auditor legt meer nadruk op de rand voorwaardelijke beveiligings- en continuïteitaspecten van de infrastructuur, middels isolatie van domeinen, encryptie van netwerk communicatie, het voorkomen van inbreuk op toegangspaden tot applicaties en data, en ondersteunende maatregelen van IT beheer.28 3. De accountant beschikt over een uitgebreidere gereedschapskist aan controlemiddelen, en de IT auditor heeft daar niet altijd zicht op. Het gaat hier om gegevensgerichte maatregelen zoals cijferbeoordeling en verbandscontroles. 4. De accountant controleert met een materialiteitsblik, die voor de IT auditor veelal moeilijk te doorgronden is, omdat 1) de bepaling van een fouttolerantie een subjectief element kent en 2) de fouttolerantie kan variëren naar gelang welke post van de jaarrekening, of welk transactieproces, beoordeeld wordt. Conclusie: de accountant en de IT auditor zijn in een jaarrekening audit – gezien de bovenstaande verschillen - geen natuurlijke partners, maar dat laat onverlet dat de accountant IT controles dient af te dekken. De besluitvorming over het IT controleprogramma zal dan ook een trechtermodel moeten doorlopen, waarbij: - in de opstartfase (pre-audit) de wederzijds perspectieven en motieven voor geplande maatregelen open uitgewisseld worden - in alle fasen van de audit, zowel de instelling van de partners als de inhoudelijke uitvoering van de controle principle-based is - in een zo vroeg mogelijk stadium van de audit overeenstemming wordt bereikt over een minimale set van werkende IT maatregelen, binnen het stelsel van IT controles van de gecontroleerde, zonder welke de accountant geen goedkeurende verklaring bij de jaarrekening kan afgeven.
28
Paans - "IT-auditor, repressief of juist preventief optreden?", Presentatie op Vurore Seminar, 18 april 2008
26
Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles
3.2 Organisatie; Basisvoorzieningen in IT en adequate respons op IT risico ‘s Op de zoektocht naar mogelijk onvervangbare IT controles is het van belang om aansluiting te houden tussen het stelsel van IT controles en het audit risk model dat aan de basis staat van de controle van de jaarrekening. Het verband tussen strategische inrichting van de interne beheersing en het controleobject, de jaarrekening, is indirect. Daarentegen hebben proces controles (de General en Application IT controles) een directe relatie met posten van de jaarrekening, hun werking is meer relevant voor het bereiken van de algemene en de IT audit doelstellingen. Zijn strategische controles volledig vervangbaar ? Voldoen werkende proces controles voor het bereiken van voldoende controlezekerheid ? Menig accountant zal –indien gedwongen tot een keuze- hierop bevestigend antwoorden, en redeneren dat het merendeel van de controledoelstellingen in theorie kunnen worden bereikt in geval van slechte strategische controles en goede procescontroles29, maar … dan moeten wel eerst juiste strategische beslissingen zijn genomen over de richting en de inrichting van de interne beheersing en de specifiek daarin opgenomen procescontroles. Daarop zal de IT auditor terecht hameren. Uit onderstaand overzicht blijkt bovendien dat het antwoord mogelijk afwijkt voor IT controles, omdat strategische en procescontroles elkaar overlappen: Strategische en procescontroles zijn complementair voor het bereiken van algemene controle-doelstellingen. Voor IT audit doelstellingen zijn strategische maatregelen eerder rand voorwaardelijk.
Bestaan er basisvoorzieningen in IT die de IT auditor mogelijk als onvervangbaar voor de controle van de jaarrekening bestempelt ?
29
Van Leeuwen & Wallage - "Moderne controle-benaderingen steunen op interne beheersing", MAB maart 2002
27
Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles
COSO 201330, en in het verlengde daarvan COBIT31, neem ik als normenkaders voor de selectie van voor de jaarrekening relevante basisvoorzieningen in IT, die op mogelijke onvervangbaarheid worden beoordeeld. Voor de details van deze beoordeling wordt verwezen naar bijlage 2A: Basisvoorzieningen in IT: Entity Level controles. Ik ga hier nu verder met een selectie van de resultaten van deze beoordeling.
De IT basisvoorzieningen 2, 6 en 9 zijn naar mijn mening onvervangbaar voor de jaarrekening audit, de andere zijn vervangbaar, met volgende motivatie: Voorwaarde voor de controleerbaarheid van IT activiteiten is dat het management van de onderneming de IT organisatie richt (2) Voor de uitvoering van IT -naar binnen toe gericht- bestaan kwalitatief goede normenkaders die weinig betrokkenheid van de bedrijfsleiding verlangen; veel van de basisvoorzieningen zijn daarom weliswaar belangrijk, maar vervangbaar In de dynamische omgeving van een bedrijf is effectief risicomanagement onvervangbaar; de IT activiteiten en controles zijn tijdig aan te passen aan externe verandereisen en aan interne proceswijzigingen. Zonder deze functie loopt IT achter de feiten aan, is sprake van onvoldoende alignment (6) Omwille van de controleerbaarheid van de jaarrekening, dient de bedrijfsleiding IT kritische processen en functies te monitoren (9). Entity Level IT controles zijn onderdeel van de algemene beheersactiviteiten voor IT. Deze controles zijn de directe verantwoordelijkheid van het management van de onderneming. Het is cruciaal dat het management hieraan zélf adequaat invulling geeft, en niet naar de CIO of de leiding van de IT Beheer organisatie afschuift.
30 31
Grant Thornton LLP – “New COSO framework links IT and business process”, summer 2014 ITGI - IT Control Objectives for Sarbanes Oxley, 2nd Edition, 2006
28
Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles
In de jaarrekening audit van Happy Care dient de IT auditor de adequate werking van basisvoorzieningen voor de overgang naar SalesForce SaaS te verifiëren: 1) de effectiviteit van het risicomanagement van het project, in opzet en uitvoering 2) het monitoren van IT beheer vanwege inherent hoger risico door de reorganisatie 3) gevolgen voor de werking van General IT controles, zijn gebreken vervangbaar ? Wanneer de IT auditor in dit traject materiële gebreken en/of onzekerheden vast stelt, is de controleerbaarheid van de jaarrekening in het geding.
3.3 General; Basisvoorzieningen in logische toegangsbeveiliging en wijzigingsbeheer De General IT controles zijn onderdeel van de procescontroles. Door IT ondersteunde procescontroles zijn van groot belang voor de jaarrekening audit. Daarbij zijn de General IT controles rand voorwaardelijk voor het bestaan, de opzet en de werking van Application IT controles. Dit geeft al een indicatie dat General IT controles onvervangbare elementen van interne beheersing kunnen bevatten. Op de zoektocht naar mogelijk onvervangbare IT controles voor de jaarrekening audit behandel ik eerst de objecten van de Technische infrastructuur van IT. Daarna ga ik in op de verschillende categorieën van beheersactiviteiten. De objecten van de Technische Infrastructuur en hun relevantie voor de jaarrekening audit worden hieronder behandeld: Het in-en uitgaande verkeer via internet raakt de buitenste schil van de infrastructuur. Bij werkende General IT controles (de binnenste schillen), zal de toegang via internet geen risico voor de jaarrekening inhouden Het operating system voert geen voor de jaarrekening relevante transactie/dataverwerking uit. Windows Active directory is (zoals bij Happy Care het geval) van belang voor de toegangscontrole (met SSO). Bij werkende General IT controles (de binnenste schillen) zal het operating system echter geen direct risico voor de jaarrekening vormen Hardware en netwerk staan relatief ver van de transacties af en vormen bij goedwerkende General IT controles geen direct risico voor de jaarrekening Het DBMS dekt centraal databasebeheer en datacommunicatie af, waarbij te onderzoeken is welke rol het DBMS heeft, welke databestanden voor welke applicaties worden gebruikt, en waar ze opgeslagen worden. De meest relevante objecten zitten in de binnenste schil, het zijn de toepassingsapplicaties en de data, omdat gebruikers hiermee de transacties genereren die in de jaarrekening uitmonden. Het risicoprofiel van applicaties is hoger bij: 1) maatwerk, versus standaard oplossingen, vanwege het aspect integriteit; 2) uitbesteed, versus in intern beheer, vanwege het aspect controleerbaarheid; 3) shared, versus intern, vanwege het aspect exclusiviteit (shared betekent -voor Happy Care- een cloud oplossing)
29
Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles
Workflow tools zorgen voor interfaces tussen applicaties, wanneer van een ERP standaard wordt afgeweken. Het risicoprofiel van een workflow is inherent hoog, omdat het maatwerk betreft en vaak grote datahoeveelheden te verwerken zijn. Welke General IT controles -op het terrein van toepassingsapplicaties en data- zijn voor de IT auditor mogelijk onvervangbaar voor de controle van de jaarrekening ? COBIT32 neem ik als normenkader, ITGI heeft uit dit normenkader op grond van relevantie voor de jaarrekening een 25-tal IT controles geselecteerd, die ik op onvervangbaarheid beoordeel. Voor de details van deze beoordeling wordt verwezen naar bijlage 2B: Basisvoorzieningen in IT: General controles, op pagina xx. Ik ga hier nu verder met een selectie van de resultaten van deze beoordeling.
32
ITGI - IT Control Objectives for Sarbanes Oxley, 2nd Edition, 2006
30
Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles
De IT basisvoorzieningen 1, 10, 11, 15, 16, 17 en 20 zijn naar mijn mening onvervangbaar voor de jaarrekening audit, de andere zijn vervangbaar, met volgende motivatie: Toepassingsprogramma’s en databases (opslag en transport) moeten, individueel en in hun rol/samenspel binnen het informatiesysteem, aan minimumeisen voor IT controles op beveiliging en integriteit voldoen, zodat aan de kwaliteitsaspecten exclusiviteit, integriteit en controleerbaarheid invulling kán worden gegeven (1) De controleerbaarheid van de jaarrekening kan niet voldoen zonder adequaat wijzigingsbeheer op kritische applicaties. Voorbeeld is het behouden van de audit trail (was => wordt) bij de overgang naar een nieuwe programma versie (10, 11) De controleerbaarheid van de jaarrekening kan niet zonder afdoende logische toegangsbeveiliging middels identificatie en authenticatie. Voorbeeld: indien het password beleid binnen een onderneming niet op orde is, kan authenticatie van individuele gebruikers slechts beperkt plaats vinden. Hierdoor is (achteraf) veelal niet meer vast te stellen of functiescheiding heeft gewerkt. Als paswoorden "publiek" bekend zijn, is niet vast te stellen of doorgevoerde mutaties door bevoegde personen zijn gebeurd, en functievermenging tot materiele fouten (en/of waarde onttrekkingen) heeft geleid (15,16,17) In voor de jaarrekening kritische (massa)processen zijn goed werkende functiescheidingen onmisbaar om materiële fouten van/door -niet geregistreerde- waarde onttrekkingen te voorkomen (20). Onder “Manage data” (COBIT DS11) heeft ITGI enkel IT controles geselecteerd die het kwaliteitsaspect continuïteit afdekken, waarbij het belang van het aspect integriteit van databases mogelijk tekort schiet; de beveiliging van kritische data vereist: Data security controles die voorkomen dat databases via ongeautoriseerde paden, om de applicaties heen, benaderd en gemuteerd worden. Conclusie uit de beoordeling is dat General IT controles onvervangbare elementen van interne beheersing bevatten. Dit heeft tot gevolg dat: General IT controles niet enkel rand voorwaardelijk te testen zijn als op de “onderliggende” Application IT controles gesteund wordt, want de IT auditor dient in de jaarrekening audit onvervangbare General IT controles dwingend op hun werking te testen ! In de jaarrekening audit van Happy Care verifieert de IT auditor het wijzigingsbeheer bij overgang naar SalesForce SaaS en basisvoorzieningen rondom de cloud applicatie, om te onderzoeken of de orderinformatie uit SalesForce voldoet voor bepaling van de SOLL positie van de omzetverantwoording. Wanneer de IT auditor ook in dit traject materiële gebreken en/of onzekerheden vast stelt, zijn de IT controles onvervangbaar en is de controleerbaarheid van de jaarrekening in het geding.
31
Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles
3.4 Applicaties; Werking van IT controles in kritische massa-processen De Application IT controles zijn onderdeel van de procescontroles. Door IT ondersteunde procescontroles zijn van groot belang voor de jaarrekening audit. Daarbij zijn de Application IT controles (steunend op werkende IT General controles) rand voorwaardelijk voor User IT dependant manual controles. Dit geeft al een indicatie dat Application IT controles onvervangbare elementen van interne beheersing kunnen bevatten. Application IT controles bestaan in vele verschijningsvormen, en dekken, elk voor de specifieke applicatie, details van individuele kwaliteitsaspecten van de informatieverwerking af die -op zich staand- grotendeels vervangbaar zijn. Voorbeeld is een Limit check op een debiteurenkrediet, dat de gebruiker ook handmatig kan vaststellen met het huidige debiteurensaldo en het orderbedrag in kwestie. Een opdeling van Application IT controles naar de fase van informatieverwerking 33 is: Input controles: gericht op juiste en volledige invoer in de applicatie; zoals checks op een veld, geldigheid, redelijkheid en teken Verwerkingscontroles: gericht op juiste en volledige verwerking van de input; zoals totaalcontroles (# in = # verwerkt), volledigheidscontrole Output controles: gericht op de juistheid en volledigheid van de output; zoals controle van verbanden, volledigheidscontrole, totaalcontrole Integriteitscontroles: gericht op de blijvende integriteit van een applicatie –zoals preventieve controle op code changes- en/of op applicatie data -monitoring in de verwerking, transport en opslag Audit trail controles: gericht op de controleerbaarheid van verwerkte transacties; zoals logging van transacties, events/verstoringen, toegangsgegevens gebruikers, veranderingen in parameterinstellingen & overkoepelend voor alle fasen: controles op de Logische toegangsbeveiliging, indien deze specifiek op applicatie niveau is bepaald. Application IT controles worden belangrijker voor de controle van de jaarrekening naarmate: de omvang en de complexiteit van de processen groter wordt, want handmatige controle is dan geen optie meer; te tijdrovend/kostbaar en te grote foutenkans de controles kritische controleverbanden afdekken, of totaal omspannend zijn, waarmee een totaal proces op efficiënte en effectieve wijze gecontroleerd of beoordeeld kan worden alternatieve controlemiddelen -zoals data analyse- niet beschikbaar of vanwege proces complexiteit niet mogelijk zijn, of niet efficiënt te realiseren zijn. 33
GTAG 8 – Auditing Application Controls, January 2009
32
Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles
Op de zoektocht naar mogelijk onvervangbare Application IT controles start ik weer bij het normenkader van COBIT34, waarin de volgende IT controle is opgenomen:
Deze IT basisvoorziening kan naar mijn mening onvervangbaar zijn: In de procesbeheersing van dynamische massa transactiestromen – vooral in de noodzakelijke verbanden van de geld- en goederenbeweging- kunnen Application IT controles zo kritisch zijn dat gebreken de controleerbaarheid van de jaarrekening kunnen beperken. Voorbeeld: een niet juist werkende 3-way match controle in het inkoopproces van een discount webwinkel – in combinatie met complexe leveringsvoorwaarden, zoals variabele prijsafspraken - kan leiden tot materiele afwijkingen in de hoeveelheden en de inkoopprijzen waartegen de voorraden in de balans gewaardeerd staan. In navolging van het geconstateerde bij General IT controles, geldt ook voor Application IT controles–indien op applicatie niveau geregeld- dat: De jaarrekening niet zonder afdoende logische toegangsbeveiliging van de applicatie middels identificatie en authenticatie kan. Voor kritische applicaties zijn werkende audit trail controles en de integriteitscontroles van de betreffende applicatie –in aanvulling op de informatie uit het wijzigingsbeheeronvervangbaar, inclusief hun logging: De controleerbaarheid van de jaarrekening kan niet voldoen zonder bewijs van blijvende werking – gedurende de controle periode- van de kritische applicatie. Conclusie uit de beoordeling is dat Application IT controles onvervangbare elementen van interne beheersing bevatten, met daarbij de kanttekening dat de inrichting van de controle sterk afhankelijk is van de specifieke inrichting en omgeving van de gecontroleerde en zijn financiële verantwoording. In de controle van de omzetverantwoording bij jaarrekening audit van Happy Care verifieert de IT auditor in hoeverre wijzigingen in de logische toegangsbeveiliging tot applicaties mogelijk bestaande functiescheidingen hebben doorbroken. Bij werkende General IT controles zijn gebreken in de toegangscontrole waarschijnlijk vervangbaar.
34
ITGI - IT Control Objectives for Sarbanes Oxley, 2nd Edition, 2006
33
Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles
3.5 Conclusie; Correlatie van onvervangbare IT controles en de controleverklaring Ik concludeerde aan het einde van het vorige hoofdstuk dat de jaarrekening assurance in een gevaarzone is beland; “een verder te definiëren fundament van interne controle verankerd in IT systemen en processen is tegenwoordig een onvervangbaar onderdeel van de interne beheersing, dat de accountant op werking dient te controleren (§2.2)” “de accountant die materiële gebreken in onvervangbare IT controles niet ontdekt, geeft mogelijkerwijs een onjuiste verklaring af bij een niet controleerbare verantwoording” óf “de accountant die materiële gebreken in onvervangbare IT controles onderkent maar "compenseert" met aanvullende gegevensgerichte maatregelen, verleent met een goedkeurende verklaring mogelijkerwijs schijnzekerheid aan gebruikers van de jaarrekening (§2.5)”. Het fundament van IT controles die uit assurance oogpunt minimaal adequaat dienen te werken – de onvervangbare IT controles – is in dit hoofdstuk onderzocht. COSO 2013, en in het verlengde daarvan COBIT, zijn daarbij als normenkaders gebruikt voor de selectie van voor de jaarrekening relevante basisvoorzieningen in IT. Resultaat van dit onderzoek is een leidraad voor een controleprogramma van onvervangbare IT controles -verdeeld naar Entity Level IT controles, General IT controles en Application IT controles- opgenomen in bijlage 3. Ik spreek hier over een leidraad, omdat het controleprogramma van onvervangbare IT controles –evenals de overige maatregelen van de controle van een jaarrekening- steeds maatwerk is gebaseerd op de specifieke inrichting en omgeving van de gecontroleerde en zijn financiële verantwoording. Het opstellen van het controleprogramma is dus een "principle-based job" die niet zonder de expertise en het professional judgement van de IT auditor kan. Indien bij uitvoering van het controleprogramma materiële gebreken in de onvervangbare IT controles worden vastgesteld, is de controleerbaarheid van -delen van- de financiële verantwoording in geding, en schrijven de controlestandaarden voor dat de accountant geen goedkeurende controleverklaring kan en mag afgeven (§1.3).
34
Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles
Deelvraag 3: Hoe kan de IT Auditor de bijdrage aan het reduceren van het audit risico verbeteren? 4.1 Deugdelijke grondslag; Noodzaak van IT audit competenties Nu dat de materie van onvervangbare IT controles inhoudelijk behandeld is, wordt het tijd voor een opkikkertje 35 : "Ondertussen staat de IT-wereld in brand (a), stappen onze cliënten massaal in IAAS, PAAS, SAAS-webtoepasingen en worden ERP-pakketten verdrongen door Apps. Webtoepassingen blijken helaas vaak uiterst kwetsbaar te zijn. Banken worden stilgelegd en hun imago wordt geschaad door DDOS-attacks. De klap van Diginotar dreunt nog steeds na en de overheid maakt zich terecht grote zorgen over de veiligheid van systemen. Bedrijven en instellingen zijn massaal gehackt en regelmatig komt in het nieuws dat gevoelige bestanden op straat liggen. Systemen zijn zo lek als een mandje en de basisfunctiescheidingen blijken in de ICT-realiteit helemaal niet te bestaan (b) … Stel dat ICT binnen organisaties de laatste twintig jaar twintig keer relevanter is geworden. Hoeveel meer ruimte is er binnen de accountantscontrole gekomen om serieus aandacht te geven aan IT door een deskundige? (c) … Ondertussen zijn de bevindingen van IT-auditors nog steeds niet goed te vertalen naar de impact op de jaarrekeningcontrole (d) … "
Met dit citaat wil ik een brug maken naar de noodzaak van IT audit competenties om tot een deugdelijke grondslag voor de controleverklaring bij de jaarrekening te komen: (a) Niet alleen is de invloed van IT op de inhoud van primaire bedrijfsprocessen, en daarmee ook op de jaarrekening, veranderd van een ondersteunende naar een primaire, bepalende rol, maar zoals hierboven geschetst is IT zelf een risico factor van belang geworden36, een reden temeer om expertise -van de IT auditor- in te schakelen om het inherent risico van IT voor de jaarrekening te beoordelen (b) De IT realiteit is object van de jaarrekening audit geworden, waarbij verificatie van onvervangbare IT controles -onder meer- zekerheid geven over de werking van kritische functiescheidingen (c) In haar meest recente audit heeft de AFM37 met enige regelmaat geconstateerd dat de accountant steken liet vallen in het verkrijgen van een deugdelijke grondslag voor IT audit bewijs. Deze vaststelling is geen verrassing voor de doorsnee IT auditor, en tegelijk ernstig gezien de groeiende relevantie van IT. => Naar mijn mening dient de inschakeling van een IT auditor bij de controle van de jaarrekening van een “IT-afhankelijk” bedrijf (zie voetnoot 11) niet aan de individuele accountant overgelaten worden, maar dient door het NBA vanwege reductie/beheersing van het audit risico verplicht te worden. (d) Op basis van dit voorstel behandel ik in de volgende paragrafen vooral het “hoe” in de samenwerking tussen accountant en IT auditor bij de controle van de jaarrekening, met als overkoepelend doel een reductie van audit risico. 35
Matto - "IT-auditors en accountants, een 'wicked problem'", De Accountant april 2013 Singleton - "The Core of IT Auditing", ISACA Journal Volume 6 2014 37 AFM - Uitkomsten onderzoek kwaliteit wettelijke controles Big 4-accountantsorganisaties, sept 2014 36
35
Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles
4.2 Teamwerk; Besef en begrijpen van wederzijds perspectief De bijdrage van de IT auditor heeft naast het aspect van IT expertise en kennisoverdracht ("wat") een belangrijke tactische component ("hoe") die moet voorkomen dat zijn controle bevindingen onvoldoende gelag (met g) vinden. De samenwerking tussen IT auditor en accountant dient in beide opzichten (dus "wat" en "hoe") te verbeteren en dat in combinatie draagt bij aan reductie van het audit risico. Eerder beschreef ik de verschillende perspectieven die de accountant en de IT auditor hebben op het stelsel van IT controles (§3.1), kort samengevat: 1.
2.
3. 4.
De accountant heeft een andere kijk op het stelsel van IT controles, “komt van links”, start met een risicoanalyse vanuit de jaarrekening, de IT auditor “komt van rechts”, start met de overkoepelende structuur van het informatiesysteem De accountant beoordeelt de sterkte van IT controles anders, hecht relatief grote waarde aan gebruikerscontroles en uit informatie van applicaties die één op één te vertalen zijn naar posten van de jaarrekening, neigt naar een meer gegevensgerichte aanpak (“zelf checken”) De accountant beschikt over een uitgebreidere gereedschapskist aan gegevensgerichte controlemiddelen, en de IT auditor heeft daar niet altijd zicht op De accountant controleert met een materialiteitsblik, die voor de IT auditor moeilijk te doorgronden is, want 1) deels subjectief karakter 2) varieert per post van de jaarrekening.
Andere factoren die een hypotheek op de samenwerking leggen zijn: 5. 6.
De accountant is de wettelijke bevoegde om een controleverklaring af te geven = ”leading” De accountant is de budgethouder van de jaarrekening audit; inhuur van deskundigen -zoals de IT auditor- gaat waarschijnlijk ten koste van eigen verdiensten 7. De IT auditor behoort binnen de grotere accountantskantoren tot een minderheid die zich moet confirmeren aan het gedachtengoed van de belangrijkste stakeholder, de accountant 8. De accountant en de IT auditor zijn onder druk van de markt(specialisatie) uit elkaar gegroeid; er bestaat een wederzijdse expertise gap 9. De accountant heeft op jaarrekening audit gebied niet meer de innovatie voorsprong van weleer; de audit is door gebrek aan investeringen in vernieuwingen een commodity product geworden 10. De accountant staat onder maatschappelijke druk, heeft andere “bouwplaatsen”.
Op zoek naar opties voor verbetering van de samenwerking bestaan twee sporen: Focus op hard skills -zoals expertise, procedures, tools- als succesfactoren voor IT audits38. Deze benadering sluit aan op de wederzijdse expertise gap. Nadruk op soft controls waarbij gedragsverbeteringen van management en medewerkers de belangrijkste succesfactor zijn39, aansluitend op de vaststelling dat “taal”- en cultuurverschillen aan de basis liggen van soms moeizame samenwerking40”. Deze benadering sluit aan op het verschil in perspectief. Een combinatie van deze twee sporen -voor de jaarrekening audit- is het doel. 38
Havelka, Merhout - "Internal information technology audit process quality: Theory development using structured group processes", International Journal of Accounting Information Systems 14, 2013 39 Baarslag – “Soft controls: harde dobber voor IT-managers?”, Tijdschrift Informatie, aug 2013 40 Bakker - "Venus en Mars", De Accountant juli/augustus 2013
36
Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles
4.3 Jaarrekening audit proces; Naar een geïntegreerde aanpak Van belang is te onderkennen dat de samenwerking tussen de accountant en de IT auditor op verschillende niveaus tot stand moet komen, tussen: de partners in de jaarrekening audit (“de leiding”): hun samenwerking is rand voorwaardelijk voor de uitvoering. Helaas bestaan op dit niveau ook de meeste blokkades, van politieke, financiële en andere aard. Faciliterende maatregelen vanuit de kwaliteitsbeheersing en-bewaking kunnen hier uitkomst bieden hun uitvoerende controleteams (“de uitvoering”): mijn ervaring is dat op dit niveau veel minder blokkades bestaan, en succesvolle samenwerking veel meer afhangt van de kwaliteit van de audit aanpak, lees een goede integratie van IT audit in de jaarrekening audit, en planmatige uitvoering met de juiste processturing. Een handboek schrijven over het “hoe” van een geoptimaliseerde samenwerking is niet meer nodig; het eerder aangehaalde studierapport van NBA, NOREA en TUACC41 beschrijft in de vorm van een ThinkChart een proces dat per fase van het audit proces een afstemming tussen de accountant en de IT auditor kent, waarbij mijn stelling is: de kwaliteit van de jaarrekening controle en - als essentieel onderdeel daarvan - de kwaliteit van de samenwerking tussen de IT auditor en de accountant is gebaat bij een geïntegreerd audit proces, waarbij de interactie in de driehoek IT auditor-accountant-klant betere controleinformatie, en daarmee betere controlezekerheid oplevert gedurende en verspreid over het boekjaar. In deze aanpak is IT Audit een geïntegreerd onderdeel van een controle-aanpak, waarbij de IT auditor minimaal de werking van onvervangbare IT controles verifieert. Een geïntegreerde aanpak van de jaarrekening audit biedt naast kwaliteitsverbetering ook mogelijkheden voor: Vernieuwing van de traditionele jaarrekening audit; door middel van het volledig benutten van het potentieel van IT audit, met gebruik van data-analysetechnieken, audit scripts, en het inspelen op continue audit en monitoring technieken; Onderzoek naar mogelijke nieuwe vormen van assurance bij de jaarrekening en andere financiële verantwoordingen, die in een maatschappelijke behoefte voorzien. Naar het motto: Innovatie is voorsprong.
41
Schellevis en Van Dijk - "Jaarrekening controle in het MKB: IT audit geïntegreerd in de controleaanpak", april 2014
37
Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles
4.4 IT audit Rapportage; Met een minimum volwassenniveau van IT controles In een geïntegreerde audit vinden rapportages over IT audit werkzaamheden gedurende iedere fase van de jaarrekening audit plaats. Bij effectieve tussentijdse samenwerking bevat de eindrapportage van de IT auditor geen verrassingen. Die eindrapportage dient dan vooral de documentatie van de deugdelijke grondslag. Het slotstuk is een schriftelijke rapportage over de IT audit bevindingen –ook in hun onderlinge samenhang- uitmondend in conclusies voor (onderdelen van) de jaarrekening audit. Om effectief te kunnen zijn, moet deze eindrapportage aan voorwaarden voordoen: Maatwerk; de rapportering moet aansluiten op de overeengekomen scope en specifieke aandachtspunten zoals vooraf en gedurende de audit overeengekomen Structuur; de rapportering moet uit voor de accountant herkenbare elementen bestaan, die aansluiten op de overeengekomen risicoanalyse en controle aanpak Vertaling; de bevindingen moeten – op basis van overeengekomen criteria vertaald kunnen worden naar mogelijke gevolgen voor de jaarrekeningaudit Eenduidigheid; de conclusie van de IT auditor moet eenduidig en voldoende dwingend zijn, om opvolging door de accountant zeker te stellen. Hoe kan aan deze rapportagevoorwaarden vorm worden gegeven ? Het gaat denk ik om het vinden van een goede balans tussen: professional judgement als leidraad voor audit beslissingen en gedetailleerde IST-SOLL metingen (“niet meten = niet weten”) als beslissingsbasis. Het meten en rapporteren van volwassenheidsniveaus van IT controles -op basis van een op COBIT geschoolde tool, aangepast aan aspecten van de jaarrekening auditbiedt hier mogelijk uitkomst, van waaruit ik met het volgende voorstel kom: De rapportage van de IT auditor aan de accountant bevat een volwassenheidsmeting gebaseerd op de werking van de voor de financiële verantwoording relevante IT controles, met per primair (sub)proces een weergave van de relevante Entity Level, General en Application controles, in hun onderlinge opzet en samenhang (SOLL) en werking (IST) gemeten. De volwassenheidsmeting bevat bovendien per primair (sub)proces een ondergrens die de onvervangbare IT controles vertegenwoordigt. Een score beneden deze ondergrens impliceert dat de IT auditor vanuit zijn oogpunt de controleerbaarheid van - een aspect van - de jaarrekening in twijfel trekt. Een op deze leest geschoeide, robuuste rapportage met een duidelijk oordeel van de IT auditor - vanuit zijn optiek - legt de bal en de noodzaak van adequate opvolging bij de accountant. Dit kan het duwtje in de rug zijn dat beter waarborgt dat de accountant waar nodig nog aanpassingen in de uitvoering van of de rapportage over de jaarrekening controle doorvoert.
38
Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles
4.5 Conclusie; Appel aan beroepsorganisaties De beroepsorganisaties NBA, NOREA, en de leidinggevende representanten van de leden vervullen een voorbeeldfunctie en moeten het boegbeeld zijn van vooruitgang. Daarbij hoort dat belangrijke interne afstemmingsproblemen tijdig geadresseerd en opgelost worden, zodat beide beroepsgroepen zich in nauwe samenwerking volledig op de dienstverlening aan het maatschappelijk verkeer kunnen richten. Gezamenlijke studierapporten42 leveren daaraan een belangrijke bijdrage ! Maar er is nog veel werk aan de winkel: De beroepsorganisaties moeten gezamenlijk inhoud geven aan een twee sporenbeleid gericht op verbetering van de samenwerking tussen de accountant en de IT auditor, dit beleid is rand voorwaardelijk voor verbetering van de uitvoering. Dit beleid adresseert zowel harde als zachte elementen van de samenwerking, waarbij onder meer aan de orde komen: (d) Voortgezette educatie die elke accountant op een basisniveau van IT expertise brengt en ieder van de samenwerkende partijen helpt hun culturele verschillen beter te begrijpen en daarmee te kunnen overbruggen (e) Maatregelen binnen het bestaande raamwerk van de controlestandaarden die een bijdrage leveren aan de kwaliteit van de jaarrekening audit: A. Verduidelijken van de toepassing van controlestandaarden bij vaststelling van materiële gebreken in de onvervangbare IT controles, inclusief de gevolgen daarvan voor de strekking van de controleverklaring bij de jaarrekening (actie NBA en NOREA) (zie §3.6) B. Verplichten van de inschakeling van een IT auditor bij de controle van de jaarrekening van een “IT-afhankelijk” bedrijf (actie NBA), vanwege beheersing en reductie van het audit risico (zie §4.1) C. Sturend en ondersteund beleid maken – middels richtlijnen, handreikingen, publicaties, bijeenkomsten - gericht op het wegnemen van belemmeringen in de onderlinge samenwerking (actie NBA en NOREA) (zie §4.2) D. Idem als C, maar dan vaktechnische ondersteuning aan de vernieuwing van de jaarrekening audit met een sterke, geïntegreerde IT Audit component (zie §4.3) E. Nadere regels stellen aan de rapportage door de IT auditor aan de accountant voor wat betreft de inhoud en vorm van een dergelijke IT audit rapportage, en voor adequate opvolging door de accountant (actie NOREA en NBA) (zie §4.4). Deze rand voorwaardelijke beleidsmaatregelen scheppen een kader waarin de positie van de IT Auditor wordt versterkt, waarbij met “rechten” ook “verplichtingen “ komen, die bij deugdelijke omzetting zullen bijdragen tot reductie van het audit risico in de controle van de jaarrekening.
42
Schellevis en Van Dijk - "Jaarrekening controle in het MKB: IT audit geïntegreerd in de controleaanpak", april 2014
39
Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles
5.1 Enquête; Aanpak van het praktijkonderzoek In dit hoofdstuk toets ik mijn conclusies uit het literatuuronderzoek met experts in het veld, middels enquête en aangevuld met enkele interviews om mijn interpretatie van de uitkomsten te verifiëren, dit als basis voor mogelijk nieuwe inzichten en voorstellen. De enquête is begin 2015 gehouden onder 20 docenten van de IT Audit opleiding aan de Vrije Universiteit Amsterdam, met volgende insteek: 25 open vragen in de vorm van stellingen met keuzeantwoorden en toevoeging van een open antwoordoptie, om een goede balans te krijgen tussen inbreng van individuele expertise – het primaire doel van de enquête - en kanalisatie van antwoorden naar een groepsopinie over geponeerde stellingen gebruik van een online tool (Socrative), onder waarborging van de anonimiteit van de geënquêteerde; startdatum 21 januari, na 3 weken op 10 februari afgesloten van de aangeschreven docenten zijn er 2 RA, 7 RE, 9 RA RE en 2 met andere titel. Nagenoeg de helft van de aangeschreven experts heeft de enquête ingevuld. De enquête details – met vragen en antwoorden - zijn in bijlage 4 opgenomen. Uit de antwoorden op de inleidende vragen (1 t/m 8) is in hoofdlijnen het profiel van de geënquêteerden te herleiden:
laag - urgent - hoog
Perspectief: de spreiding (zie tabel) voldoet aan het profiel van de Perspectief van RA geënquêteerden aangeschreven groep, het is een evenwichtige mix van accountants RE en IT auditors ander 10% Expertise en betrokkenheid: de geënquêteerden geven aan over 40% 50% voldoende expertise over het onderwerp te beschikken, een groot deel van de aangeschreven groep is zeer ervaren en daarom niet meer beroepshalve betrokken bij jaarrekening audits Motivatie en noodzaak van verandering: het onderwerp scoort Belang/urgentie van het onderwerp hoog op belang en urgentie (zie tabel), de groep bevestigd het dwingend verband tussen controleerbaarheid van de jaarrekening 63% en de strekking van de controleverklaring, en verder valt de beoordeling van de huidige kwaliteit van de samenwerking tussen 37% NBA en NOREA - als het gaat om de deugdelijke grondslag van de jaarrekening audit - laag uit; al deze scores zijn een indicatie dat laag - belangrijk - hoog de geënquêteerden gemotiveerd zijn om inbreng te leveren Definitie van onvervangbare interne controle: een meerderheid van de geënquêteerden onderschrijft mijn definitie, en beoordeelt het onderwerp daarmee vanuit dezelfde uitgangsbasis, terwijl een minderheid andere invalshoeken heeft die van belang zijn om het onderwerp gedifferentieerd te blijven beoordelen.
Het op deze basis verkregen profiel van de geënquêteerden voldoet in grote lijnen aan randvoorwaarden om een goede inbreng over het onderwerp te mogen verwachten.
40
Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles
5.2 Stellingen; Analyse van feedback De inbreng van experts op geponeerde stellingen uit het literatuuronderzoek is hieronder weergegeven, waarbij voor elke stelling een referentie is opgenomen naar de pagina die naar de uitgebreide context van het behandelde onderwerp verwijst. Stelling 1. De IT afhankelijkheid van bedrijven is het afgelopen decennium enorm gestegen en daarmee is, ook voor de accountant, het belang van adequaat werkende IT controles sterk toegenomen; de jaarrekening audit krijgt een steeds grotere IT audit stempel. (zie pagina 8)
Afgezien van één expert die IT audit als een vervangbaar deel van de controle van de jaarrekening ziet, zijn alle geënquêteerden het met deze stelling eens. Stelling 2. De accountant moet in de jaarrekening audit van een "IT-afhankelijk bedrijf" met zijn controlemix van maatregelen dóór de computer, waarbij een adequate beoordeling van het interne beheersingsbeleid gericht op de werking van IT controles kritisch is. (zie pagina 17)
Een meerderheid beaamt deze stelling, en daarbij geeft géén van de experts aan dat een gegevensgerichte controle aanpak altijd mogelijk is. De kritiek van enkele experts richt zich op het gebruik van de ouderwetse terminologie “dóór de computer” (“hoe gaat dat in de cloud ?”) en het ouderwetse onderscheid in controle-aanpak tussen systeemgerichte en gegevensgerichte controle (“grenzen vervagen”) => naar mijn mening raakt deze kritiek niet de kern van de stelling. Stelling 3. Algemene maatregelen van IT beheersing zijn te splitsen in: 1) Entity Level IT controles waarvoor het management (team) verantwoordelijk is en 2) General IT controles waarvoor de operationele leiding van IT Beheer verantwoordelijk is. (zie pagina 12, pagina 16)
Een meerderheid beaamt deze stelling. Eén van de experts geeft terecht aan dat een deel van de verantwoordelijkheid van General IT controles - bijvoorbeeld de monitoring van specifieke transacties - bij Business IT gelegd kan zijn. Stelling 4. In een dynamische omgeving met sterke "IT afhankelijkheid" is effectief IT risicomanagement onvervangbaar om materiele fouten in de jaarrekening -door het niet tijdig aanpassen van IT activiteiten en procescontroles- te voorkomen. (zie pagina 26)
Een meerderheid beaamt deze stelling, en daarbij geeft géén van de experts aan dat IT risicomanagement vervangbaar is. Eén van de experts geeft aan dat IT risico management breder gaat dan wat de accountant nodig heeft => mijn repliek is dat de accountant alleen jaarrekening relevante facetten beoordeelt. Een andere expert geeft aan dat materiële fouten in de jaarrekening ook met waarderingsvraagstukken (lees: schattingsposten) samenhangen => daar ben ik het mee eens maar deze bron van fouten is geen onderdeel van de scope van deze afstudeeropdracht.
41
Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles
Stelling 5. Gegeven de toegenomen relevantie van IT voor de controle van de jaarrekening zijn normen (kaders) of richtlijnen nodig die verduidelijken hoe een (minimale) ondergrens voor de werking van onvervangbare IT controles als basis voor een deugdelijke grondslag kan worden bepaald. (zie pagina 9, pagina 23)
Een meerderheid beaamt deze stelling. Eén van de experts redeneert vanuit de optiek dat gegevensgerichte controle lacunes in de IT controles kan vervangen. Een andere expert is van mening dat de huidige COS voldoen => mijn mening: zie paragraaf 1.2. Stelling 6. De inschakeling van een IT auditor bij de controle van de jaarrekening van een “ITafhankelijk” bedrijf dient niet aan de individuele accountant overgelaten worden, maar dient door het NBA vanwege reductie/beheersing van het audit risico verplicht te worden. (zie pagina 33)
Slechts één expert is het met deze stelling eens, 4 experts vinden dat de huidige COS voldoet, en 3 andere experts hebben de volgende mening: Inschakeling van een CISA kan voldoen in plaats van een IT auditor => dat begrijp ik, maar ik vind het gevaarlijk om deze inschatting aan de accountant over te laten, want mogelijk ontbreekt daarvoor de IT expertise. Het kan zo zijn dat jaarrekening relevante risico ’s op andere manieren beheerst worden dan middels IT, dit is in samenspraak tussen klant, accountant en IT auditor af te stemmen => dat geldt niet voor onvervangbare IT controles Gezien ook de bevindingen van AFM lijkt het noodzakelijk dat bij een jaarrekeningcontrole verplichte consultatie van de IT audit deskundigheid dient plaats te hebben en bovendien moet worden toegezien op de adequate naleving van dergelijke afspraken => mee eens, dit voorstel neem ik over. Stelling 7. Omwille van de controleerbaarheid van de jaarrekening dient de bedrijfsleiding IT kritische processen en beheersfuncties (zoals systeembeheerders, superusers) te (laten) monitoren. (zie pagina 26)
In hun beantwoording geven 2 experts aan dat de bedrijfsleiding dit uit bedrijfsbelang moet doen, en niet voor de accountant => mee eens, daarom vindt ik het een onvervangbare interne controle. Met deze aanvulling beaamt een meerderheid deze stelling. Eén expert geeft aan dat de inrichting van de controle situationeel is en zekerheid vaak door combinaties van controlemaatregelen wordt verkregen => mee eens, maar deze vorm van monitoring hoort daar dan wat mij betreft altijd bij. Een andere expert geeft aan dat de audit trail een monitoring mechanisme is => wat mij betreft is de audit trail slechts een SOLL positie, niet een garantie voor de IST situatie, waarschijnlijk doelt de expert hier op software die tot doel heeft de audit trail te waarborgen. In dat geval is de software een controlemiddel voor de accountant.
42
Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles
Stelling 8. De controleerbaarheid van de jaarrekening kan niet zonder adequaat wijzigingsbeheer op kritische applicaties, bijvoorbeeld bij de overgang naar een nieuwe toepassing. (zie pagina 29)
In de beantwoording geeft één expert aan dat de bedrijfsleiding dit uit bedrijfsbelang moet doen, en niet voor de accountant => mee eens, daarom vindt ik het een onvervangbare interne controle. Met deze aanvulling beaamt een meerderheid deze stelling. Een andere expert benadrukt het belang van adequaat wijzigingsbeheer door te stellen dat ook niet-materiële wijzigingen tot manipulatie van data en systeemfunctionaliteit kunnen leiden, en deze derhalve tot de scope moeten behoren => dit vind ik moeilijk te beoordelen, voor beoordeling van de onvervangbaarheid van IT controles lijkt me de controleerbaarheid van materiële wijzigingen voldoende. Stelling 9. Data-analyse is zo goed als de kwaliteit van de brondata. De integriteit van de brondata is alleen bij werkende onvervangbare IT controles gewaarborgd. (zie pagina 21)
3 experts zijn het met deze stelling eens, één expert meent dat IT controles vervangbaar zijn, en 4 andere experts sluiten zich met aanvullende argumentatie hierbij aan, die erop neer komt dat data-analyse - ook bij gebreken in onvervangbare IT controles – minstens een indicatie kan geven over de kwaliteit van de brondata => dat komt bij mij over als “het paard achter de wagen spannen”; de noodzaak van basis hygiëne in de bron waaruit de data afkomstig zijn, lijkt mij onvermijdelijk. Ik meen in de antwoorden te lezen dat dit besef ook aanwezig is, en dat de stelling te stellig is geformuleerd. Daarom zal ik de stelling nuanceren. Stelling 10. In de procesbeheersing van dynamische massa transactiestromen – vooral in de noodzakelijke verbanden van de geld- en goederenbeweging- kunnen Application IT controles zo kritisch zijn dat gebreken de controleerbaarheid van de jaarrekening kunnen beperken. (zie pagina 31)
Een meerderheid beaamt deze stelling. Uit de antwoorden interpreteer ik dat 2 experts aangeven dat deze IT controles veelal door data-analyse vervangen kunnen worden. Stelling 11. De kwaliteit van de jaarrekening controle en - als essentieel onderdeel daarvan – de kwaliteit van de samenwerking tussen de IT auditor en de accountant is gebaat bij een geïntegreerd audit proces. (zie pagina 35)
Een meerderheid beaamt deze stelling. Eén expert voegt toe dat subspecialisaties van het beroep van IT auditor (zoals een CISA) ook deze rol kunnen vervullen.
43
Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles
Stelling 12. De rapportage van de IT auditor aan de accountant dient een volwassenheidsmeting te bevatten gebaseerd op de werking van de voor de financiële verantwoording relevante IT controles, met per primair (sub)proces een weergave van de relevante Entity Level, General en Application controles, in hun onderlinge opzet en samenhang (SOLL) en werking (IST) gemeten. De volwassenheidsmeting bevat bovendien per primair (sub)proces een ondergrens die de onvervangbare IT controles vertegenwoordigt. Een score beneden deze ondergrens impliceert dat de IT auditor vanuit zijn oogpunt de controleerbaarheid van een aspect van – de jaarrekening in twijfel trekt. (zie pagina 36)
Alle experts geven impliciet aan dat de vertaling van resultaten van de IT audit naar de jaarrekening audit een probleem is. 2 experts zijn het geheel met de stelling eens, 3 experts menen dat volwassenheidsmetingen van IT controles het probleem niet oplossen, en 3 andere experts vermelden het volgende: één expert geeft aan dat IT controles vervangbaar zijn => niet mee eens een andere expert onderschrijft de noodzaak van meer effectieve rapportage, maar is niet overtuigd dat volwassenmetingen voldoende zijn en de laatste expert trekt de effectiviteit van de beschreven metingen in twijfel, omdat alleen een afwijking tussen bestaan en opzet van beheersmaatregelen beschreven zou zijn => ik denk dat de afwijzing van de stelling mede voortkomt uit twijfels over de effectiviteit van volwassenheidsmetingen (zie ook de COBIT 5 discussie). Ik zal dit element uit de stelling halen en vervangen door een bestaande (sub)procesmeting. Stelling 13. De beroepsorganisaties NBA en NOREA moeten gezamenlijk inhoud geven aan een beleid gericht op verbetering van de samenwerking tussen de accountant en de IT auditor, dit beleid is rand voorwaardelijk voor verbetering van de uitvoering. (zie pagina 37)
Een meerderheid beaamt deze stelling. Eén van de experts geeft aan dat verbetering vooral uit de cultuur moet komen => mee eens. Een andere expert vindt dat het beleid ook op zijn uitvoering gecontroleerd moet worden, bijvoorbeeld door de AFM => dat kan, maar moet je het zover laten komen ? Stelling 14. Een leidraad voor een controleprogramma van onvervangbare IT controles telkens in overleg met de accountant aan te passen op de specifieke inrichting en omgeving van de gecontroleerde en zijn financiële verantwoording- is van meerwaarde. (zie pagina 32)
Een meerderheid beaamt deze stelling. Eén expert geeft hier aan dat IT controles vervangbaar zijn => niet mee eens. Een andere expert vindt dat risicoanalyse bepaalt wat de ondergrens is van IT controles => niet mee eens, voor de inrichting van de jaarrekening audit is het onderscheid onvervangbare-vervangbare IT controles maatgevend voor de controleerbaarheid, en daarmee voor de strekking van de controleverklaring.
44
Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles
Stelling 15. De 10 gekozen IT controles zijn als ondergrens een goede leidraad voor een controleprogramma van onvervangbare IT controles. (zie pagina 55)
Een meerderheid beaamt deze stelling. Eén expert benadrukt dat de controle situationeel in te richten is => mee eens, daarom is dit enkel een leidraad. Een andere expert vindt dat een leidraad door een breder gremium beoordeeld moet worden, met het beschermen van data – los van de gekozen technologie (IT inrichting) – als basis => mee eens.
5.3 Interviews; Verificatie van de interpretatie Met een aantal experts heb ik – individueel - aanvullende interviews gevoerd, waarvan de samenvattingen in bijlage 5 staan. Telkens ging het in deze interviews om: 1) feedback op het literatuuronderzoek – om nieuwe ideeën/meningen te verzamelen en 2) interpretatie van de enquêteresultaten – om uitkomsten/conclusies te verifiëren. Uit deze interviews komen in hoofdzaak de volgende – door experts ingebrachte – aanvullende punten: A. Over onvervangbaarheid van IT controles: De feitelijke onvervangbaarheid van IT controles is situationeel te beoordelen en complex, en het inzicht in en de mening van de gecontroleerde over de kwaliteit van de beheersing van een bedrijfsproces doet er vaak toe Gebreken in onvervangbare IT controles leiden “in de praktijk niet zo snel” tot een bevestigende conclusie, omdat compensatie in de specifieke situatie – naar mening van de accountant - nog vaak mogelijk is. Ontbreekt echter een basis hygiëne in de werking van IT controles, dan moet dit consequenties moeten hebben voor de strekking van de controleverklaring In de praktijk is de kwaliteit van brondata voor data-analyse veelal bij benadering afdoende vast te stellen (“gaten in de kaasschijven mogen elkaar niet overlappen”), maar een basis “hygiëne” niveau in onvervangbare IT controles blijft voorwaarde. B. Over de samenwerking tussen de accountant en de IT auditor: Verplichte inschakeling van een IT auditor bij de jaarrekening audit van een ITafhankelijk bedrijf gaat te ver; verplichte IT audit consultatie is afdoende, en wordt binnen de big 4 ook in werkprocessen afgedwongen, waarbij meer aandacht nodig is voor de kwalitatieve invulling van de consultatie omdat de feitelijke samenwerking nog kwalitatief onvoldoende is De toegevoegde waarde van extra lijstjes/richtlijnen/rapporten mag niet worden overschat, de uitvoering van procedures/processen en de culturele aspecten zijn zeker van even groot belang. Deze punten worden meegewogen in de probleemoplossing.
Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles
5.4 Resultaten; Nieuwe inzichten, nieuwe voorstellen ? De nieuwe inzichten uit de enquête en aanvullende interviews zijn hieronder vertaald in aanpassingen op enkele stellingen: Stelling 6 - aangepast. De inschakeling van een IT auditor bij de controle van de jaarrekening van een “ITafhankelijk” bedrijf dient niet aan de individuele accountant overgelaten worden, maar verplichte consultatie van een IT auditor en adequate naleving van gemaakte afspraken binnen het stelsel van kwaliteitscontrole dienen door het NBA vanwege reductie/beheersing van het audit risico verplicht te worden.
Deze aanpassing sluit aan op al bestaande werkpraktijk, met die aanvulling dat de effectiviteit door een (interne) kwaliteitsinstantie te controleren is. Stelling 9 - aangepast. Data-analyse is zo goed als de kwaliteit van de brondata. De integriteit van de brondata is veelal alleen bij werkende onvervangbare IT controles gewaarborgd, uitzonderingssituaties daargelaten waarin de accountant/IT auditor het restrisico moet meewegen in de bewijskracht die aan de data-analyse wordt ontleend.
Met deze nuancering wordt denk ik recht gedaan aan de waarde die data-analyse toe kan voegen aan de jaarrekening audit.
IB doel
ITC
ITC
ITC
Rating Werking
IB maatregel Boeking omzet op basis
Rating Planning
Hiernaast is ter illustratie een voorbeeldrapportage weergegeven: Het betreft de audit van Happy Care op de boeking van de omzet op basis van acceptatie van de levering door de klant. Hierbij is vastgesteld dat de interface van order data tussen SalesForce en SAP hapert, met foutieve leveringen, facturaties en omzetverantwoording tot gevolg. Voor de IT audit controles 1 en 8 rapporteert de IT auditor dat de controleerbaarheid van de omzet gevaar loopt. Voor controlemaatregel 5 is aanvullend (gegevensgericht) werk nodig, want de ITC zijn onverwacht gebrekkig.
Onvervangbare elementen
Stelling 12 - herschreven. De rapportage van de IT auditor aan de accountant dient per primair (sub)proces een kwantitatieve meting van de werking van IT controles te bevatten, waarbij onderscheiden wordt tussen de verwachting – uit de planning fase = de basis voor de overeengekomen controle aanpak (de SOLL positie) – en de feitelijke werking – uit de uitvoering van de audit (de IST positie) - van: 1. Als onvervangbaar aangemerkte IT controles (de ondergrens) 2. Als vervangbaar aangemerkte IT controles Een score beneden de ondergrens impliceert dat de IT auditor vanuit zijn oogpunt de controleerbaarheid van - een aspect van - de jaarrekening in twijfel trekt.
Juistheid
45
X X
3 3 2 2 3 3 2 3 2 2
1 3 2 2 2 3 2 1 2 2
van acceptatie van # 1 2 3 4 5 6 7 8 9 10
Categorie Entity Entity General General General General General Application Application User
ITC = IT Controles
levering Risico-mitigatie van SaaS omgeving SOC Audit van SaaS vaststellingen Autorisatie van SaaS orders Toegang tot SaaS orderbestand Beveiliging van SAP klantenbestand Integriteit van SaaS orderbestand Integriteit van SAP leveringsbestand Interface van SaaS naar SAP SD Omzetboeking bij leveringen Analyse van foutmeldingen klanten Rating ITC planning: 1) Niet op steunen 2) Op steunen & vervangbaar 3) Op steunen & onvervangbaar
Samen met de reeds geformuleerde stellingen vormen deze aanpassingen het raamwerk voor het oplossingsvoorstel.
X X
Rating ITC werking: 1) Niet/beperkt 2) Deels, met gebreken 3) Goed
46
Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles
6.1. Deelvragen; Beantwoording en verbeteringsvoorstellen De deelvragen zijn per hoofdstuk van het literatuuronderzoek beantwoord en daar in verbeteringsvoorstellen uitgewerkt. Deze verbeteringsvoorstellen zijn in hoofdstuk 5 aan de meningen van experts getoetst en waar nodig aangepast. Deelvraag 1: Wat zijn onvervangbare IT controles en hoe kritisch zijn gebreken in hun werking? – behandeld in hoofdstuk 2 (pagina 16-22) (a) Voor de jaarrekening relevante IT controles vormen een stelsel van Entity Level, General, Application en User IT controles, die in een onderlinge samenhangende werking de betrouwbaarheid van financiële data waarborgen (2.1) (b) Door toegenomen IT afhankelijkheid van bedrijven is het relatieve belang van interne beheersing van IT processen sterk toegenomen; tegenwoordig is een fundament van interne controle verankerd in IT systemen en processen een onvervangbaar onderdeel van de interne beheersing. Bij materiële gebreken in de werking van deze onvervangbare IT controles is de jaarrekening niet of beperkt controleerbaar (2.2) (c) Onvervangbare IT controles reiken verder dan het "klassieke" werkterrein van General IT controles; ook de werking van Entity Level IT en Application IT controles bevat steeds vaker elementen van onvervangbare IT controles die jaarrekening relevant zijn (2.3) (d) Voortschrijdende IT in data-analyse biedt de accountant mogelijkheden om gerichter en efficiënter de controledoelen te bereiken. Als belangrijke beperking geldt dat data-analyse maar zo goed is als de kwaliteit van de brondata. De integriteit van deze brondata is veelal alleen bij werkende onvervangbare IT controles gewaarborgd (2.4 en aanpassing in 5.4) (e) De accountant die materiële gebreken in onvervangbare IT controles niet ontdekt, geeft mogelijkerwijs een onjuiste verklaring af bij een niet controleerbare verantwoording. De accountant die materiële gebreken in onvervangbare IT controles onderkent maar "compenseert" met aanvullende gegevensgerichte maatregelen, verleent met een goedkeurende verklaring mogelijkerwijs schijnzekerheid aan gebruikers van de jaarrekening (2.5). Deelvraag 2: Welke IT controles dienen uit assurance oogpunt minimaal adequaat te werken? – behandeld in hoofdstuk 3 (pagina 23-32) (a) De IT auditor ondersteunt de accountant bij de controle van de jaarrekening. De IT auditor verifieert opzet, bestaan en werking van het stelsel van IT controles voor zover jaarrekening audit relevant (3.1) (b) Uitgangspunt voor de IT auditor is de specifieke inrichting en omgeving van de gecontroleerde en zijn financiële verantwoording; te allen tijde is - in samenspraak met de accountant - maatwerk nodig om een raamwerk van (onvervangbare) IT controles te bepalen dat adequaat de IT gerelateerde bedrijfsrisico 's afdekt die tot materiële fouten in de jaarrekening kunnen leiden (3.1)
47
Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles
(c) Door inherente verschillen in perspectief tussen de accountant en de IT auditor, zal de besluitvorming over het IT controleprogramma een trechtermodel doorlopen, waarbij in een zo vroeg mogelijk stadium van de audit overeenstemming moet worden bereikt over een minimale set van werkende IT maatregelen, binnen het stelsel van IT controles van de gecontroleerde, zonder welke de accountant geen goedkeurende verklaring bij de jaarrekening kan afgeven (3.1) (d) Het fundament van IT controles die uit assurance oogpunt minimaal adequaat dienen te werken – de onvervangbare IT controles – is onderzocht. COSO 2013, en in het verlengde daarvan COBIT, zijn daarbij als normenkaders gebruikt voor de selectie van voor de jaarrekening relevante basisvoorzieningen in IT. Resultaat van dit onderzoek is een leidraad voor een controleprogramma van onvervangbare IT controles -verdeeld naar Entity Level IT controles, General IT controles en Application IT controles - opgenomen in bijlage 3 (dit is het resultaat van 3.2-3.4) (e) Indien bij uitvoering van het controleprogramma materiële gebreken in de onvervangbare IT controles worden vastgesteld, is de controleerbaarheid van delen van- de financiële verantwoording in geding, en schrijven de controlestandaarden voor dat de accountant geen goedkeurende controleverklaring kan en mag afgeven (3.5). Deelvraag 3: Hoe kan de IT Auditor de bijdrage aan het reduceren van het audit risico verbeteren? – behandeld in hoofdstuk 4 (pagina 33-37) (a) IT audit competenties zijn van toenemend belang voor een deugdelijke grondslag voor de controleverklaring bij de jaarrekening, en hier laat de accountant steken vallen. De IT auditor is opgeleid om deze lacune in expertise op te vangen. Waar mogelijk dient de IT auditor zich actief in te schakelen bij de controle van de jaarrekening van een “IT-afhankelijk” bedrijf (4.1) (b) De samenwerking tussen IT auditor en accountant dient te verbeteren, met een "wat" en een "hoe" component, dat in combinatie draagt bij aan reductie van het audit risico. De IT auditor dient zich bewust te zijn van verschillen in perspectief en via gerichte voortgezette educatie te werken aan overbrugging van vakinhoudelijke en culture verschillen (4.2) (c) De kwaliteit van de jaarrekening controle en - als essentieel onderdeel daarvan - de kwaliteit van de samenwerking tussen de IT auditor en de accountant is gebaat bij een geïntegreerd audit proces. In deze aanpak is IT Audit een geïntegreerd onderdeel van een controle-aanpak, waarbij de IT auditor erop toeziet dat minimaal de werking van onvervangbare IT controles wordt geverifieert (4.3) (d) Een robuuste rapportage met een duidelijk oordeel van de IT auditor - vanuit zijn optiek - legt de bal en de noodzaak van adequate opvolging bij de accountant. Dit kan het duwtje in de rug zijn dat beter waarborgt dat de accountant waar nodig nog aanpassingen in de uitvoering van of de rapportage over de jaarrekening controle doorvoert (4.4).
48
Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles
6.2. Probleemstelling; Oplossingsvoorstel in samenvatting Het kennelijk ontbreken van normen of richtlijnen voor het omgaan met jaarrekening assurance bij materiele gebreken in onvervangbare IT controles leidde tot de volgende probleemstelling (1.2):
Kern van de probleemoplossing is een leidraad voor een controleprogramma van onvervangbare IT controles, verdeeld naar Entity Level, General en Application IT controles (opgenomen in bijlage 3). Deze leidraad is door de IT auditor -in overleg met de accountant- te vertalen naar de specifieke inrichting en omgeving van de gecontroleerde en zijn financiële verantwoording. Naast de vakinhoudelijke component is verbetering van de samenwerking tussen de accountant en de IT auditor een belangrijk verbeterpunt, met een "wat" en een "hoe" component. De IT auditor dient hier zélf aan bij te dragen, meer invloed uit te oefenen, maar kan niet zonder actieve ondersteuning van de beroepsorganisaties. De beroepsorganisaties NBA en NOREA moeten gezamenlijk inhoud geven aan een twee sporenbeleid gericht op verbetering van de samenwerking tussen de accountant en de IT auditor, dit beleid is rand voorwaardelijk voor verbetering van de uitvoering. Dit beleid adresseert zowel harde als zachte elementen van de samenwerking, waarbij onder meer de volgende oplossingselementen aan de orde komen: 1. Verduidelijking van de toepassing van controlestandaarden bij vaststelling van materiële gebreken in de onvervangbare IT controles, inclusief de gevolgen daarvan voor de strekking van de controleverklaring bij de jaarrekening. 2. Invoering van verplichte consultatie van de IT auditor bij de jaarrekening controle van een IT-afhankelijk bedrijf en adequate naleving van gemaakte afspraken binnen een stelsel van kwaliteitscontrole 3. Regels te stellen aan inhoud en vorm van de jaarrekening audit rapportage door de IT auditor aan de accountant, en voor adequate opvolging door de accountant. 4. Voortgezette educatie te organiseren die elke accountant op een basisniveau van IT expertise brengt en die ieder van de samenwerkende partijen helpt hun culturele verschillen beter te begrijpen en daarmee te kunnen overbruggen 5. Sturend en ondersteund beleid te maken gericht op het wegnemen van belemmeringen in de onderlinge samenwerking 6. Vaktechnische vernieuwing van de jaarrekening audit op weg te brengen met een sterke, geïntegreerde IT audit component. Deze rand voorwaardelijke beleidsmaatregelen scheppen een kader waarin de positie van de IT Auditor wordt versterkt en omzetting zal bijdragen tot reductie van het audit risico in de controle van de jaarrekening.
49
Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles
Nawoord De accountants en IT auditors die deze scriptie gelezen hebben, moeten vastgesteld hebben dat dit geen opfriscursus onvervangbare interne controle naar het motto “oude wijn in nieuwe zakken”” is geweest. Nieuw is bijvoorbeeld mijn stelling dat General IT controles dwingend te toetsen zijn in de controle van de jaarrekening van een IT-afhankelijk bedrijf. Dit is één van de directe gevolgen van een dynamiek van rap veranderende omgevingsrisico’s, veelal onder invloed van IT ontwikkelingen, waarop de gecontroleerde adequaat moet reageren. We zien die trend ook terug in recente publicaties43. Ik ben nieuwsgierig naar de toegevoegde waarde van de scriptie. Wat zullen de meningen van accountants en IT auditors over de scriptie zijn ? En wat is dan mijn repliek (=>) ? Hier alvast een voorproefje … Aan accountants en IT auditors die: vertrouwen op het nut van de voortschrijdende techniek in data-analyse zeg ik: controleer de basis hygiëne in IT controles, bouw geen kastelen op drijfzand menen dat het concept van onvervangbare IT controles ouderwets is en niet relevant voor de cloud-omgeving zeg ik: kijk naar de casus Happy Care, de invulling van onvervangbare IT controles verandert maar de noodzaak ervan niet geen energie willen steken in betere onderlinge samenwerking zeg ik: dat doe je niet voor je zelf, dat ben je verschuldigd aan het maatschappelijke verkeer. Ik zal echter niet op elke vraag een passend antwoord hebben, en zie mezelf ook niet als expert. Die rol ligt bij de experts in het veld. Ik hoop dat de beroepsgroepen dit “vergeten” thema weer oppakken en dat verder onderzoek zal gaan plaatsvinden naar bijvoorbeeld het grensvlak tussen vervangbare en onvervangbare IT controles of de rapportage van IT auditor aan de accountant, met het doel de deugdelijke grondslag van de controleverklaring te verbeteren. Ik hoop dat bij verder onderzoek en in probleemoplossingen gebouwd wordt op het “leger” van opgeleide IT auditors, want effectieve inzet van hun IT expertise lijkt me een “low hanging fruit”.
Hartelijk dank voor uw aandacht.
43
Voorbeelden van Security.nl: “Aanval op Sony is ongeëvenaard misdrijf” – 7 december 2014, “Netwerkinbraak kost Home Depot al 43 miljoen dollar” – 27 november 2014
50
Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles
Literatuurlijst Onvervangbare interne controle: 1.Blokdijk - "De effectiviteit van de systeemgerichte aanpak in de accountantscontrole", MAB maart 2001 2.Blokdijk - "De toetsing van de werking van de interne controle", MAB december 2002 + naschrift De Koning 3.Kloosterman en Snoeker - "Informatietechnologie en interne beheersing", IT-Auditor nummer 2 2013 4.Presentatie Elsas - "Continuous Auditing", 29 mei 2013 Symposium Statistical Auditing 5.Presentatie De Swart - "Hans Blokdijk: (pro)motor Statistical Auditing", 29 mei 2013 Symposium Statistical Auditing 6.Presentatie Van Zuijlen - "Gebruik /misbruik van wiskundige modellen in auditing, waaronder de Stringer-bound", 29 mei 2013 Symposium Statistical Auditing 7.NIVRA Geschrift 64 - "Electronic Data Interchange, beheersing en controle", 1995 8.Frielink, Van Kollenburg, Van Dijk - "Leerboek Accountantscontrole", 2004 9.Boots - "Objectieve en subjectieve verhinderingen", De Accountant juli/augustus 2003 10.Van Leeuwen & Wallage - "Moderne controle-benaderingen steunen op interne beheersing", MAB maart 2002 11.Van Leeuwen, Wallage & Emanuels - " Internal control volgens Sarbanes-Oxley, Overzicht en praktische betekenis", MAB juli/augustus 2004 12.Mollema - "Auditrisico, meer dan ooit een issue!", MAB december 2003 & januari/februari 2004 13.Eimers - "Het Audit Risico Model is springlevend!", MAB maart 2006 14.De Koning - "Beoordeling van de interne controle in het kader van de accountantscontrole", MAB juni 2002 15.Van Leeuwen - "Onvoldoende aandacht voor de interne controle op ICT", MAB juni 2012 Financial Audit Quality 16.AFM - Rapport algemene bevindingen kwaliteit accountantscontrole en kwaliteitsbewaking, 1 september 2010 17.AFM - Prikkels voor kwaliteit accountantscontrole, een verkenning, 6 oktober 2011 18.AFM - Rapport naar aanleiding van AFM-onderzoek naar kwaliteit accountantscontrole en stelsel van kwaliteitsbeheersing en -bewaking bij negen OOB-vergunninghouders, 21 maart 2013 19.AFM - Uitkomsten onderzoek kwaliteit wettelijke controles Big 4-accountantsorganisaties, 25 september 2014 20.PCAOB Staff Audit Practice Alert No. 11, October 2013 21.Hoogendoorn - "Materialiteit", MAB juni 2011 IT Controls framework 22.ITGI - IT Control Objectives for Sarbanes Oxley, 2nd Edition, 2006 23.ITGI - IT Control Objectives, 2000 24.ITGI - IT Assurance Guide, 2007 25.Grant Thornton LLP - "New COSO framework links IT and business process", summer 2014 26.KPMG brochure - The Road to Transition: COSO’s Internal Control 2013 – Integrated Framework 27.NOREA Studierapport 3 - "Raamwerk voor ontwikkeling normenstelsels en standaarden, een facilitair instrument bij de beroepsuitoefening", December 2002 28.Singleton - "IT Audit Basics: The Minimum IT Controls to Assess in a Financial Audit", ISACA Journal Volume 1 & 2 2010 29.Singleton - "The Core of IT Auditing", ISACA Journal Volume 6, 2014 30.Jacobs - "IRMA - Attributen in plaats van identiteiten", De IT-Auditor nummer 1 2013 IT-Audit Proces 31.Schellevis en Van Dijk - "Jaarrekening controle in het MKB: IT audit geïntegreerd in de controle-aanpak", april 2014 32.Schellevis - "Financial Audit Support: integrated auditaanpak" - NOREA symposium mei 2014 33.Van Bommel, Van Goor, Peek en Winterink - "De betekenis van IT-auditing voor de jaarrekeningcontrole ontrafeld!", MAB oktober 2006 34.Rabe en Johan - "IT-audit en MKB-controle", Accountancynieuws nr. 20, november 2010 35.Paans - "IT-auditor, repressief of juist preventief optreden?", Presentatie op Vurore Seminar, 18 april 2008 36.Verkuijlen/Folkers - "Geautomatiseerde informatiesystemen en informatiebeveiliging in het MKB, Goed huisvaderschap volgens de IT-auditor", ITACA Scriptie 31 oktober 2007 37.Bootsma/Knuiman - "Embedded testing binnen IT General Controls", ITACA Scriptie 15 april 2008 38.Olislagers - "Auditscripts in de praktijk", De IT-Auditor nummer 2 2013
51
Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles
Literatuurlijst (vervolg)
39.NOREA - "De IT-Auditor in 2020", IT-Auditor nummer 4 2013 40.Gerritse - "IT-ontwikkelingen en de IT-auditfunctie", Deel I - IT-Auditor nummer 4 2013 41.Van der Pijl & Nuijten - "Over dilemma’s en complexiteit", IT-Auditor nummer 3 2013 42.Havelka, Merhout - "Internal information technology audit process quality: Theory development using structured group processes", International Journal of Accounting Information Systems 14 (2013) 43.GTAG 8 - Auditing Application Controls, January 2009 Data-Analyse & Process Mining 44.Caron & Vanthienen - "Applications of Business Process Analytics and Mining for Internal Control", ISACA Journal Volume 4 2012 45.Pols/Schoonen - "Data-analyse als een brug tussen twee werelden" , De Accountant Dec 2012 46.Haasnoot-Bezverhaya - "Controleerbaarheid en kwaliteit van event logs", De IT-Auditor nummer 2 2013 47.Jans, Alles, Vasarhelyi - "The case for process mining in auditing: Sources of value added and areas of application", International Journal of Accounting Information Systems 14 2013
Big Data 48.Bakker - "Hoe groot wordt big data ?", De Accountant Maart 2014 49.Setty & Bakhshi - "What Is Big Data and What Does It Have to Do With IT Audit?", ISACA Journal Volume 3 2013
Continuous Auditing/Monitoring 50.Chan, Vasarhelyi - "Innovation and practice of continuous auditing", International Journal of Accounting Information Systems 12 (2011) 51.Vasarhelyi, Alles, Kuenkaikaew, Littley - "The acceptance and adoption of continuous auditing by internal auditors: A micro analysis", International Journal of Accounting Information Systems 13 2012 52.Cangemi - "From Continuous Auditing to Continuous Monitoring—You Should Be the Champion", ISACA Journal Volume 4 2012 53.Vasarhelyi/Romero/Kuenkaikaew/Littley - "Adopting Continuous Auditing/Continuous Monitoring in Internal Audit", ISACA Journal Volume 3 2012 Audit Integratie en Samenwerking 54.Matto - "Wicked Problems: IT auditors en accountants: the fiction of Audit Integration", presentatie @ de VU Amsterdam, 27 september 2013 55.Van der Pijl - "Jammer", De IT-Auditor nummer 4 2013 56.Bakker - "Venus en Mars", De Accountant juli/augustus 2013 57.Koopmans - "RA en RE: samenwerking gaat niet vanzelf", De Accountant juli/augustus 2010 58.Baarslag - "Soft controls: harde dobber voor IT-managers ?", tijdschrift Informatie, augustus 2013
Onderzoek methodologie 59. Yin – “Case Study Research Design and Methods”, 2009
52
Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles
Bijlage 1 Referentiebedrijf “Happy Care B.V.” Activiteiten: Happy Care B.V. verkoopt scanners voor medisch gebruik aan haar Nederlandse clientèle in de private en publieke sector (verhouding 50/50). Het aanbod van scanners is groot; van hand-held tot stand-alone, met diverse kwaliteiten sondes, met klantspecifieke features inclusief software tools. De bruto verkoopprijs van een scanner bedraagt tussen de 5.000€ en 50.000€. Kortingen op bruto prijzen hangen af van: ordergrootte gestaffeld in €, klantengroep, klantenbranche en specifieke verkoopacties in samenhang met de levenscyclus van het product. De totale verkoop in 2014 wordt op 25.000 scanners geschat, met een gemiddelde prijs van 10.000€ per scanner. De publieke sector koopt traditioneel laat in, waardoor de omzet van het 4e kwartaal hoog is; ongeveer 40% van de jaaromzet. De scanners en sondes worden bij een beperkt aantal preferred suppliers in Oekraïne en India in US dollars ingekocht, op een centraal depot in Nederland geassembleerd, daar op kwaliteit gecontroleerd en als complete pakketten door externe distributeurs aan klanten afgeleverd. Voor productontwikkeling werkt Happy Care met de preferred suppliers en geselecteerde klanten in een open innovatie-model samen. Het management team bestaat uit de algemeen directeur en de verantwoordelijke managers van de hoofd -en ondersteunde functies (zie hieronder), in totaal een team van tien. Het totaal aantal werknemers ligt rond de 300. Kernprocessen:
Primaire functies: - Verkoop - Marketing & Product - Inkoop & Magazijn - Assemblage & Controle - Customer Operations Secundaire functies: - IT - Finance - Juridische zaken - Personeelszaken
Belangrijkste bedrijfsrisico ‘s:
Invloed op inrichting IT:
-Isolatie klanten database -Isolatie productspecificaties -Verificatie van compliance
Verlies van klanten(gegevens) aan concurrentie Lekken van productspecificaties naar concurrentie Reputatieschade in omgang met publieke klanten
53
Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles
Financiële performance: De resultaten van Happy Care staan door teruglopende publieke investeringen onder druk. De prognose voor 2014 is licht positief met een stabiel winstniveau. Dit ondanks reorganisatiekosten van 0.5M voor de IT afdeling, door uitbesteding van de ondersteuning van CRM, dat sinds het 4e kwartaal op SalesForce SaaS draait. Materialiteit: de accountant heeft de controletolerantie voor de jaarrekening 2014 op 7 ½ % van het resultaat vastgesteld, dat is 1.4M€. Dat is het equivalent van de gemiddelde bruto marge uit de verkoop van ongeveer 500 scanners dat de accountant wil gebruiken voor de controle van de omzet (afgerond op 5M€). Opzet IT infrastructuur:
De cloud-applicatie SalesForce dekt het gehele CRM proces af tot en met order creatie. Met de cloud provider zijn afspraken gemaakt omtrent beveiliging van klantendata tegen misbruik van derden (met firewall), die echter nog niet op werking zijn getest. SAP Workflow (WF) is de interface tussen SalesForce en SAP, hierover master- en transactiedata gesynchroniseerd. De WF is onvoldoende getest, waardoor order data niet volledig overkomen naar SAP. De cloud-applicatie InnoCentive dekt productontwikkeling af, waarbij in een open innovatie model met derden wordt samengewerkt. Met de cloud provider en de gezamenlijke partners zijn afspraken gemaakt over de beveiliging van product specificaties. Specificaties van bestaande producten blijven bij Happy Care. De logische toegang tot de programma’s gebeurt gestaffeld, via Active Directory in Windows en aanvullend voor kritische applicaties en data in SAP/Oracle.
54
Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles
Bijlage 2A Basisvoorzieningen in IT: Entity Level controles Basisvoorzieningen in de IT Controleomgeving: 1. Tone at the top; het relatieve belang van een stelsel van IT controles dient onderkent en onderschreven te worden 2. Richten van de IT organisatie; de opzet kent afgebakende verantwoordelijkheden die recht doen aan functiescheiding (inclusief de scheiding van ontwikkelen productieomgeving), kritische beheersfuncties zijn adequaat bemant 3. Classificatie van systemen en informatie; systemen en data zijn naar belang op kwaliteitsaspecten geclassificeerd en geïsoleerd 4. Toegang tot systemen en data; een netwerk van identiteit- en toegangscontroles beschermt voor ongeautoriseerde raadpleging en mutatie van data 5. Overig informatiebeleid; spelregels voor medewerkers met de omgang met systemen en data, inclusief de uitwisseling met de buitenwereld, beperken onregelmatigheden Basisvoorzieningen in de IT Risicoanalyse: 6. Formaliseren van IT governance, adresseren van hoge IT risico ‘s; tijdig worden belangrijke IT bedreigingen uit veranderingen in de interne (via andere functies) en externe omgeving ontdekt en afgedekt Basisvoorzieningen in de IT controles: 7. Richten van IT Activity controleplan; het coherent geheel van applicatie-specifieke en algemene beheersmaatregelen zorgt voor toereikende proces controles, met duidelijk afgebakende verantwoordelijkheden voor gebruikers- en de IT service organisatie voor de inrichting en handhaving/monitoring van applicatiecontroles Basisvoorzieningen in Informatie en communicatie: 8. IT en security training; medewerkers worden tijdig getraind op voor hun functie en taken benodigde IT expertise Basisvoorzieningen in Monitoring: 9. Monitoren van kritische interne IT processen & functies; een controlefunctie voert namens het management periodieke audits die de belangrijkste beheerrisico ’s tijdig adresseren 10. Monitoren van uitbesteed werk: een controlefunctie voert namens het management periodiek audits uit op de naleving van overeengekomen afspraken in de SLA.
Jaarrekeningrisico: 1. Minder controle verhoogt kans op materiële fouten 2. Lage graad van organisatie maakt effectief toezicht moeilijk, controle niet mogelijk ? 3. Waardeverlies niet gereflecteerd in de balans 4. Data manipulatie van materieel belang 5. Data manipulatie van materieel belang (externe bron) Jaarrekeningrisico: 6. Transactie verwerking of controle onjuist, materiële fouten Jaarrekeningrisico: 7. Posten van de jaarrekening die niet voldoende afgedekt zijn door IT controles verhoogt kans op materiële fouten Jaarrekeningrisico: 8. Verkeerde procedures met onjuiste transacties Jaarrekeningrisico: 9.Superuser manipuleert controleerbaarheid van audit trail 10. Continuïteit van processen, verlies van data
Als afwezig op Entity level, onvervangbaar ? 1. Zonder juiste cultuur wordt het moeilijk, maar de uitvoering kan nog steeds aan minimumeisen voldoen 2. “Zelfregulering” op basis van COBIT of ander erkend normenkader is in theorie mogelijk, kan in theorie ook met te weinig middelen, maar de controleerbaarheid van activiteiten komt al gauw in geding 3. De uitvoeringsniveau kan nog aan minimumeisen voldoen; mogelijke schade is veelal gering 4. Identiteit- en toegangscontroles kunnen in de procescontroles (bijvoorbeeld in Windows Active Directory) worden afgedekt 5. Zonder spelregels wordt het moeilijk, maar de uitvoering kan toch aan minimumeisen voldoen. Met procescontroles en user controles kan het risico beperkt worden Als afwezig op Entity level, onvervangbaar ? 6. Overkoepelend risicomanagement is van belang, de IT component van verandering moet tijdig in de uitvoering, in procescontroles, worden verwerkt Als afwezig op Entity level, onvervangbaar ? 7. Zonder een overkoepelend controleplan wordt het lastig, maar “zelfregulering” op basis van COBIT of ander erkend normenkader is in theorie mogelijk, kan in theorie ook zonder Entity level sturing nog voldoen aan minimumeisen van IT controles. User controles kunnen risico verder reduceren Als afwezig op Entity level, onvervangbaar ? 8. Op uitvoeringsniveau kunnen voldoende procescontroles en expertise aanwezig zijn om individuele/groepsfouten op te vangen Als afwezig op Entity level, onvervangbaar ? 9. Deze activiteit hoort omwille van onafhankelijkheid op Entity level plaats te vinden, en speelt een centrale rol binnen het stelsel van IT controles 10. De betreffende proces eigenaren kunnen deze controle zelf doen, en goed opgezette SLA ’s hoeven niet tot problemen te leiden
55
Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles
Bijlage 2B Basisvoorzieningen in IT: General controles (1/2) Acquire and maintain application software: 1. The organization has a system development life cycle (SDLC) methodology, which includes security and processing integrity requirements of the organization. 2. The SDLC methodology includes requirements that information systems be designed to include application controls that support complete, accurate, authorized and valid transaction processing. 3. To maintain a reliable environment, IT management involves users in the design of applications, selection of packaged software and the testing thereof. 4. The organization acquires/develops application systems software in accordance with its acquisition, development and planning process. Enable Operations: 5. The organization has policies and procedures regarding program development, program change, access to programs and data, and computer operations, which are periodically reviewed, updated and approved by management. 6. The organization develops, maintains and operates its systems and applications in accordance with its supported, documented policies and procedures. Install and Accredit Solutions and Changes: 7. A testing strategy is developed and followed for all significant changes in applications and infrastructure technology, which addresses unit, system, integration and user acceptance-level testing so that deployed systems operate as intended. 8. Interfaces with other systems are tested to confirm that data transmissions are complete, accurate and valid. 9. The conversion of data is tested between their origin and their destination to confirm that the data are complete, accurate and valid. Manage Changes: 10. Requests for program changes, system changes and maintenance (including changes to system software) are standardized, logged, approved, documented and subject to formal change management procedures. 11. Emergency change requests are documented and subject to formal change management procedures. 12. Controls are in place to restrict migration of programs to production by authorized individuals only.
Jaarrekeningrisico: 1. Materiele fouten in de jaarrekening door gebreken in IT controles of interfaces 2. Materiele fouten in de jaarrekening door het ontbreken van applicatie controles 3. Hogere foutenkans door lagere kwaliteit van transactieverwerking 4. Hogere foutenkans door lagere kwaliteit van transactieverwerking Jaarrekeningrisico: 5. Hogere foutenkans door onjuiste of onvolledige transactieverwerking en het mogelijk ontbreken van benodigde informatie 6. Hogere foutenkans door het niet naleven van procedures Jaarrekeningrisico: 7. Materiële fouten in de jaarrekening doordat verwerkingsfouten in gewijzigde programma ‘s niet ontdekt zijn 8. Materiële fouten door aansluitingsverschillen 9. Materiële fouten in de jaarrekening door migratieverschillen Jaarrekeningrisico: 10. Materiële fouten in de jaarrekening door ongecontroleerde wijziging van programma’s 11. Materiële fouten door ongecontroleerde wijziging 12. Materiële fouten door ongeautoriseerde wijziging
Als afwezig, onvervangbaar ? 1. Voldoet niet zonder aandacht voor de integriteit van programma´s 2. Massa transacties vereisen werkende geautomatiseerde controles op de input en verwerking van data 3. Geen probleem zolang de basisfunctionaliteit voldoet en user controles plaatsvinden 4. Geen probleem zolang de basisfunctionaliteit voldoet en user controles plaatsvinden Als afwezig, onvervangbaar ? 5. Een minder gestructureerde aanpak kan desondanks aan minimumeisen voldoen, voorop gezet dat de eindcontrole materiële fouten afdekt 6. Een minder gestructureerde aanpak kan desondanks aan minimumeisen voldoen Als afwezig, onvervangbaar ? 7. Fouten kunnen achteraf gecorrigeerd worden, bovendien kan het aantal programma wijzigingen beperkt zijn 8. Fouten kunnen achteraf gecorrigeerd worden 9. Fouten kunnen achteraf gecorrigeerd worden, hoeven niet materieel te zijn Als afwezig, onvervangbaar ? 10. Geen controle op wijzigingen maakt de jaarrekening niet controleerbaar 11. Geen controle beperkt de controleerbaarheid 12. Inhoudelijk check op de migratie is mogelijk
56
Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles
Bijlage 2B Basisvoorzieningen in IT: General controles (2/2) Manage Third-party Services: 13.A regular review of security and processing integrity is performed by third-party service providers Ensure Systems Security: 14. An information security policy exists and has been approved by an appropriate level of executive management. 15. Procedures exist and are followed to authenticate all users of the system (both internal and external) to support the existence of transactions. 16. Procedures exist and are followed to maintain the effectiveness of authentication and access mechanisms (e.g., regular password changes) 17. Procedures exist and are followed relating to timely action for requesting, establishing, issuing, suspending and closing user accounts. (Include procedures for authenticating transactions originating outside the organization.) 18. A control process exists and is followed to periodically review and confirm access rights. 19. IT security administration monitors and logs security activity at the operating system, application and database levels and identified security violations are reported to senior management. 20. Controls relating to appropriate segregation of duties over requesting and granting access to systems and data exist and are followed. Manage the Configuration: 21. Application software and data storage systems are properly configured to provision access based on the individual’s demonstrated need to view, add, change or delete data. Manage Problems and Incidents: 22.IT management has defined and implemented an incident and problem management system such that data integrity and access control incidents are recorded, analyzed, resolved in a timely manner and reported to management. Manage Data: 23. Management has implemented a strategy for cyclical backup of data and programs. 24. The restoration of information is periodically tested. Manage Operations: 25. Management has established, documented and follows standard procedures for IT operations, including job scheduling and monitoring and responding to security and processing integrity events.
Jaarrekeningrisico: 13. Materiële fouten van service providers Jaarrekeningrisico: 14. Materiële fouten door tekort aan beveiliging 15. Data manipulatie door onbekenden, waardoor beperkingen in de audit trail 16. Data manipulatie door onbekenden, waardoor beperkingen in de audit trail 17. Data manipulatie door onbekenden of door vertrekkende werknemers, beperkingen in audit trail 18. Materiële fouten door tekort aan beveiliging 19. Data manipulatie buiten de normale toegangspaden om die tot materiële fouten in de jaarrekening leidt 20. Materiële fouten door tekort aan functiescheiding in kritische processen Jaarrekeningrisico: 21. Materiële fouten door te ruime toegangsregeling tot kritische applicaties en data Jaarrekeningrisico: 22. Materiële fouten door niet of te late reactie op inbreuk op bestaande procedures Jaarrekeningrisico: 23. Relevant verlies van jaarrekening data 24. Continuïteitsrisico Jaarrekeningrisico: 25. Materiële fouten door niet of te late reactie op fouten in de transactie verwerking
ITGC afwezig, onvervangbaar ? 13. User controles (op bijv. payroll) kunnen voldoende zijn ITGC afwezig, onvervangbaar ? 14. Zonder policy kan nog aan minimumeis worden voldaan 15. Werking van authenticatie procedures in kritisch voor de controleerbaarheid 16. Werking van authenticatie procedures in kritisch voor de controleerbaarheid 17. Mutatiecontrole achteraf kan mogelijk niet effectief zijn doordat logging informatie is gewist 18. De uitvoering zelf kan aan de procedures voldoen 19.Reguliere procescontroles en user controles op kritische data kunnen dit risico afdoend beperken 20. Werken functiescheiding is voor kritische processen een basisvereiste ITGC afwezig, onvervangbaar ? 21. Reguliere procescontroles en user controles op kritische applicaties en data kunnen dit risico afdoend beperken ITGC afwezig, onvervangbaar ? 22. Bestaande procedures voor data integriteit en toegangsregeling kunnen afdoende zijn ITGC afwezig, onvervangbaar ? 23. Veelal een kwestie van tijd, evt. uitstel van jaarrekening 24. Management letter punt ITGC afwezig, onvervangbaar ? 25. Bestaande procedures voor data integriteit en toegangsregeling kunnen afdoende zijn
57
Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles
Bijlage 3 Controleprogramma van onvervangbare IT controles Dit is een leidraad voor een controleprogramma van onvervangbare IT controles verdeeld naar Entity level IT controles, General IT controles en Application IT controles. Deze leidraad is door de IT auditor -in overleg met de accountant- te vertalen naar de specifieke inrichting en omgeving van de gecontroleerde en zijn financiële verantwoording.
Controleerbaarheid
Continuiteit
Procedures (opzet, bestaan en werking gecombineerd) Stel vast dat het management (team) de IT organisatie zodanig gericht heeft dat IT verantwoordelijkheden juist afgebakend zijn, 1 Entity-level recht wordt gedaan aan eisen van functiescheiding (inclusief scheiding tussen ontwikkeling en productie), en kritische beheersfuncties adequaat zijn bemand Beoordeel de inrichting van IT governance op geadresseerde IT risico 's uit de interne en externe omgeving, de tijdigheid van daarop 2 Entity-level aansluitende risico mitigatie planning, en toets de effectiviteit van gedane interventies Toets de adequate monitoring van kritische IT processen en functies 3 Entity-level door een controlefunctie die namens het management periodieke audits uitvoert, en de effectiviteit van gedane interventies Stel vast dat kritische componenten van de IT architectuur 4 General waaronder toepassingsprogramma’s en databases- aan minimum eisen van beveiliging, integriteit en controleerbaarheid voldoen Controleer de effectiviteit van wijzigingsbeheer -inclusief de 5 General naleving van vastgestelde procedures- op belangrijke veranderingen in de productie omgeving Verifieer de effectiviteit van identificatie en authenticatie 6 General procedures voor de logische toegangsbeveiliging op kritische toepassingsprogramma’s en databases Stel de werking van procedures vast die voorkomen dat kritische 7 General databases via ongeautoriseerde paden, om de applicaties heen, benaderd en gemuteerd worden. Controleer procedures gericht op de handhaving van kritische 8 General functiescheidingen Stel (na een change) de werking vast van voor de jaarrekening 9 Applicatie relevante geprogrammeerde controles in massa transactiestromen Beoordeel de uitkomsten van audit trail -en de integriteitscontroles 10 Applicatie gericht op de blijvende werking van kritische applicaties
IT audit doelstelling
Integriteit
No. Categorie
(leidraad)
Exclusiviteit
Controleprogramma van onvervangbare IT controles
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
58
Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles
Bijlage 4 Enquête; Resultaten Inleidende samenvatting van de scriptie: NIVRA geschrift 64 (1995) verbindt de controleerbaarheid van de jaarrekening met de werking van onvervangbare “EDI” controles; aan materiële gebreken zijn dwingend conclusies te verbinden voor de accountantsverklaring (nu: controleverklaring). In de afgelopen 20 jaar zijn de toepassingen van IT binnen ondernemingen expansief gegroeid, en daarmee ook het relatieve belang van IT controles binnen het samenstel van controle maatregelen waarmee de accountant zekerheid verkrijgt over de getrouwheid van een jaarrekening. De beroepsorganisaties hebben aan de registeraccountant (RA) en IT auditor (RE) in de tussentijd geen verdere normen(kaders) of richtlijnen aangereikt die verduidelijken hoe een (minimale) ondergrens voor de werking van onvervangbare IT controles als basis voor een deugdelijke grondslag kan worden bepaald. => De probleemstelling van de afstudeeropdracht luidt daarom: “Welke onvervangbare IT controles dienen minimaal adequaat te werken om een hieruit resulterende beperking in de verklaring bij de jaarrekening (van een willekeurige onderneming) te vermijden, en hoe kan de IT auditor in dit kader bijdragen aan reductie van het audit risico ? “ Centraal in het onderzoek staat de IT auditor als de deskundige op het vakgebied en in die hoedanigheid wordt ingehuurd door de accountant. Recente kwaliteitsonderzoeken van AFM naar jaarrekeningcontroles wijzen op lacunes in de controle van de interne beheersing en daarin opgenomen IT controles. De jaarrekening assurance is vanwege ontoereikende respons van de accountant op gebreken in de werking van mogelijk onvervangbare IT controles in een gevaarzone beland. De zoektocht naar mogelijk onvervangbare IT controles krijgt gestalte aan de hand van een stelsel van IT controles – verdeeld in Entity Level, General, Application en User controles - en het audit risk model dat aan de basis staat van de controle van de jaarrekening. COSO 2013, en in het verlengde daarvan COBIT (ITGI), worden daarbij als normenkaders gebruikt voor de selectie van voor de jaarrekening relevante basisvoorzieningen in IT. Het resultaat van dit onderzoek is een leidraad voor een controleprogramma van onvervangbare IT controles (onderaan verkort weergegeven), dat uit 10 geselecteerde IT controles bestaat die steeds als maatwerk gebaseerd op de specifieke inrichting en omgeving van de gecontroleerde en zijn financiële verantwoording zijn toe te passen. Tot slot volgt een appel aan de beroepsorganisaties om met een aantal rand voorwaardelijke beleidsmaatregelen, waaronder 1) verduidelijken van de omgang met onvervangbare IT controles in de COS 2) verplichte inschakeling van de IT auditor in IT relevante jaarrekening audits 3) formalisering van de IT audit rapportage, een kader te scheppen waarin de positie van de IT Auditor wordt versterkt, die bij deugdelijke omzetting zullen bijdragen tot reductie van het audit risico in de controle van de jaarrekening. =========================================== Leidraad voor een controleprogramma van onvervangbare IT controles: 1. Stel vast dat het management (team) de IT organisatie zodanig gericht heeft dat IT verantwoordelijkheden juist afgebakend zijn, recht wordt gedaan aan eisen van functiescheiding (inclusief scheiding tussen ontwikkeling en productie), en kritische beheersfuncties adequaat zijn bemand 2. Beoordeel de inrichting van IT governance op geadresseerde IT risico 's uit de interne en externe omgeving, de tijdigheid van daarop aansluitende risico mitigatie planning, en toets de effectiviteit van gedane interventies 3. Toets de adequate monitoring van kritische IT processen en functies door een controlefunctie die namens het management periodieke audits uitvoert, en de effectiviteit van gedane interventies 4. Stel vast dat kritische componenten van de IT architectuur –waaronder toepassingsprogramma’s en databasesaan minimum eisen van beveiliging, integriteit en controleerbaarheid voldoen 5. Controleer de effectiviteit van wijzigingsbeheer -inclusief de naleving van vastgestelde procedures- op belangrijke veranderingen in de productie omgeving 6. Verifieer de effectiviteit van identificatie en authenticatie procedures voor de logische toegangsbeveiliging op kritische toepassingsprogramma’s en databases 7. Stel de werking van procedures vast die voorkomen dat kritische databases via ongeautoriseerde paden, om de applicaties heen, benaderd en gemuteerd worden. 8. Controleer procedures gericht op de handhaving van kritische functiescheidingen
59
Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles
9. Stel (na een change) de werking vast van voor de jaarrekening relevante geprogrammeerde controles in massa transactiestromen 10. Beoordeel de uitkomsten van audit trail -en de integriteitscontroles gericht op de blijvende werking van kritische applicaties.
Inleidende vragen van de enquête: De experts hebben de inleidende vragen – met hun toevoegingen onder “=>” - als volgt beantwoord : Inleiding 1.Met betrekking tot de inleidende samenvatting van de scriptie: A) De context is nu duidelijk B) Bij belangrijke onduidelijkheden svp contact opnemen via
[email protected]
9 0
100% -
Inleiding 2.Bent u beroepshalve betrokken bij jaarrekening audits ? A) ja, in directe verantwoording B) ja, indirect via beroepsopleiding of anders C) nee
3 1 5
33% 11% 56%
Inleiding 3.Vanuit welk perspectief beoordeeld u de probleemstelling ? A) vanuit de optiek van een registeraccountant B) vanuit de optiek van een IT auditor C) geen van beide specifiek
4 5 1
40% 50% 10%
Inleiding 4.Definitie: Onvervangbare interne controle betreft maatregelen van interne controle die de accountant niet door eigen actie kan controleren en niet – door gegevensgerichte controle – kan vervangen. Het gaat hier om de controleerbaarheid van de jaarrekening. Bent u het eens met deze definitie ? A) ja 5 63% B) nee, aan te passen naar … 3 37% terug naar klassieke definities - deze zijn en blijven goud waard nee, het woord onvervangbare ziet op waarborgen vooraf. Als ze er niet zijn, kan nagegaan worden of het risico zich daadwerkelijk heeft voorgedaan. Dus laatste deel definitie (gegevensgericht) niet mee eens. Kan wel kijkend of er materialisatie van de risico's heeft plaatsgevonden. Bijvoorbeeld autorisatie bij betalingen niet in orde. Achteraf is wel vast te stellen (maar kan uit oogpunt bedrijf te laat zijn) of er onrechtmatig gelden zijn verdwenen. De huidige definitie laat ruimte open voor het uit-scopen van maatregelen die verbonden zijn aan een volledig geautomatiseerd proces waarbij de maatregel niet technisch van aard is (bijv. governance en andere organisatorische IT gerelateerde maatregelen). Een betere definities is wat mij betreft "maatregelen gerelateerd aan de beheersing van risico's, waarbij de beheersing van deze risico’s niet gegevensgericht vastgesteld kan worden (bijv. door verregaande automatisering)", waarbij de focus ligt op het beheersen van risico's i.p.v. een focus op maatregelen. Inleiding 5.Hoe beoordeelt u uw huidige expertise op het onderwerp onvervangbare interne controle ? A) goed 5 63% B) voldoende 3 37% C) matig 0 -
60
Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles
Inleiding 6. Vindt u dat er een dwingend verband behoort te zijn tussen de mate van controleerbaarheid van de jaarrekening en de strekking van de controleverklaring ? A) ja 6 75% B) nee 2 25% (één van de nee-stemmers) er is meer dan alleen de mate van controleerbaarheid (bijvoorbeeld voldoen aan relevante wet- en regelgeving in de ruimste zin - bijvoorbeeld naleving WNT) Inleiding 7.Hoe relevant vind u de probleemstelling van deze scriptie voor de huidige kwaliteitsdiscussie van/over de accountantscontrole ? A) belangrijk, urgent 5 B) belangrijk, niet urgent 3 C) niet belangrijk 0
63% 37% -
Inleiding 8.Hoe beoordeeld u de huidige kwaliteit van de samenwerking tussen NBA en NOREA als het gaat om de deugdelijke grondslag van de jaarrekening audit ? A) goed 0 B) voldoende 1 12% C) matig 7 88%
Stellingen: De inbreng van experts op geponeerde stellingen uit het literatuuronderzoek - met hun toevoegingen onder “=>” - is als volgt: Stelling 1. De IT afhankelijkheid van bedrijven is het afgelopen decennium enorm gestegen en daarmee is, ook voor de accountant, het belang van adequaat werkende IT controles sterk toegenomen; de jaarrekening audit krijgt een steeds grotere IT audit stempel. Bent u het met deze stelling eens ? A) ja 6 75% B) nee, want IT audit is een vervangbaar onderdeel van de controle van 1 12% de jaarrekening C) andere mening, svp beschrijven* 1 12% (andere mening) Dit is sterk afhankelijk van de organisatie die geaudit wordt (bijv. de bakker om de hoek ondergaat andere veranderingen dan grote corporate organisaties). Wel neemt de waarschijnlijkheid toe dat IT een meer significante rol speelt bij de jaarrekeningcontrole.
Stelling 2. De accountant moet in de jaarrekening audit van een "IT-afhankelijk bedrijf" met zijn controlemix van maatregelen dóór de computer, waarbij een adequate beoordeling van het interne beheersings- beleid gericht op de werking van IT controles kritisch is. Bent u het met deze stelling eens ? A) ja, een systeemgerichte controle-aanpak van relevante IT audit aspecten is 3 33% voor een deugdelijke grondslag nodig B) ja, maar alleen omdat een systeemgerichte controle-aanpak van 2 22% relevante IT audit aspecten de meest efficiënte aanpak is C) nee, een gegevensgerichte aanpak is altijd mogelijk 0 D) andere mening, svp beschrijven* 4 44% Klassieke onderscheid systeemgericht - gegevensgericht vervalt juist in omgevingen met hoge automatiseringsgraad. Als control goed is kun je met moderne hulpmiddelen perfect volkomen gegevensgericht controleren omdat het mogelijk is om alle transacties beet te pakken Het concept past niet op de huidige situatie van outsourcing, paas/saas en cloud toepassingen. Na analogie van through the computer zou dit thans luiden: hoe ga je door de cloud, of met de cloud of rond de cloud?
61
Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles
Een IT-afhankelijk bedrijf wil niet zeggen dat de beheersingsmaatregelen rond het tot stand komen van de jaarrekening sterk op IT steunen. Bv de maand abonnementen van Spotify zijn mijn inziens makkelijk aan de hand standenregister en steekproeven te contoleren. De indeling systeemgericht versus gegevensgericht is een kunstmatig onderscheid ingegeven door efficiëntie. Beoordeling van intern beheersingsbeleid vergt combinatie.
Stelling 3. Algemene maatregelen van IT beheersing zijn te splitsen in: 1) Entity level IT controles waarvoor het management (team) verantwoordelijk is en 2) General IT controles waarvoor de operationele leiding van IT Beheer verantwoordelijk is. Bent u het met deze stelling eens ? A) ja, niets nieuws onder de zon, en zo functioneert het normaliter ook in de 2 25% praktijk B) ja, specifiek nadruk leggen op de verantwoordelijkheden van het 3 37% management (team) is nodig, zoals lacunes uit de praktijk leren C) nee, want ... svp beschrijven 3 37% Achterhaalde concepten die niet in de huidige tijd van outsourcing, cloud passen en in een situatie dat een compleet bedrijf digital is Ik vind dit onderscheid onnodig ingewikkeld General IT controles zijn niet per definitie belegd bij de operationele leiding van IT Beheer, in sommige gevallen (denk bijvoorbeeld aan het monitoren van batch-jobs) kan dit ook bij de business belegd zijn.
Stelling 4. In een dynamische omgeving met sterke "IT afhankelijkheid" is effectief IT risicomanagement onvervangbaar om materiele fouten in de jaarrekening -door het niet tijdig aanpassen van IT activiteiten en procescontroles- te voorkomen. Bent u het met deze stelling eens ? A) ja, maar niet generiek, dus afhankelijk van de specifieke omstandigheden 5 62% van de gecontroleerde B) dat kan, maar het is niet waarschijnlijk omdat de fouten in de meeste 0 gevallen vastgesteld en gecorrigeerd kunnen worden C) nee, deze maatregelen zijn ook in een sterk geautomatiseerde omgeving 0 per definitie vervangbaar D) andere mening, svp beschrijven 3 37% Achterhaalde concepten die niet in de huidige tijd van outsourcing, cloud passen en in een situatie dat een compleet bedrijf digital is Onderkennen IT risico hoort bij het risico management van de onderneming en ligt bij de (informatie) security officer, en is veel breder dan wat een accountant nodig heeft. Verband IT activiteiten / proces controles --> materiele fout in de jaarrekening verondersteld causaliteit. In de jaarrekening zien wij twee type fouten: Transactie gerelateerde fouten Overige -- waarderingsvraagstukken, wetgeving
Stelling 5. Gegeven de toegenomen relevantie van IT voor de controle van de jaarrekening zijn normen (kaders) of richtlijnen nodig die verduidelijken hoe een (minimale) ondergrens voor de werking van onvervangbare IT controles als basis voor een deugdelijke grondslag kan worden bepaald. Bent u het met deze stelling eens ? A) ja, hier is een inhaalslag te maken 6 75% B) nee, de huidige COS voldoen 1 12% C) andere mening, svp beschrijven 1 12% Twee redenen: (1) soms kan gegevensgericht efficiënter zijn voor de controle (niet voor het bedrijf zelf) en (2) belangrijk is waar risico's worden gelopen als onvervangbare IT controles niet op orde zijn. Zou vanaf processen etc redenen richting IT controles en niet vanuit IT controles naar processen.
62
Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles
Stelling 6. De inschakeling van een IT auditor bij de controle van de jaarrekening van een “ITafhankelijk” bedrijf dient niet aan de individuele accountant overgelaten worden, maar dient door het NBA vanwege reductie/beheersing van het audit risico verplicht te worden. Bent u het met deze stelling eens ? A) ja, een richtlijn voorkomt praktijksituaties waarin de accountant het 1 12% belang van de IT werkelijkheid niet voldoende in de controle betrekt B) nee, de huidige COS voldoen 4 50% C) andere mening, svp beschrijven 3 37% Nee, het gaat om deskundigheid en niet om de kwalificatie een RA met voldoende IT kennis is ook toereikend respectievelijk een CISA kan de accountant in deze ook goed ondersteunen. Inschakeling IT auditor is niet altijd belangrijk afhankelijk van de kennis van de RA. Gezien ook de bevindingen van AFM lijkt het noodzakelijk dat bij een jaarrekeningcontrole verplichte consultatie van IT audit deskundigheid dient plaats te hebben en bovendien moet worden toegezien op de adequate naleving van dergelijke afspraken Een richtlijn beschrijft een voorkeur maar geen verplichting. Daarnaast kan het zo zijn de, voor de jaarrekening relevante risico's, op andere manieren beheerst worden dan middels IT. Idealiter vindt de afstemming van de controle plaats met zowel de klant, de accountant als de IT auditor opdat er geen vertekend beeld ontstaat omtrent de relevantie van de IT Audit. Stelling 7. Omwille van de controleerbaarheid van de jaarrekening dient de bedrijfsleiding IT kritische processen en beheersfuncties (zoals systeembeheerders, superusers) te (laten) monitoren. Bent u het met deze stelling eens ? A) ja, een monitoring proces is nodig, want een audit trail kan achteraf 4 50% gemanipuleerd worden B) nee, want ook monitoring biedt geen garantie voor het voorkomen van 0 manipulatie van de audit trail C) nee, want dergelijke risico’s kunnen door de accountant met andere 0 controlemiddelen worden afgedekt D) andere mening, svp beschrijven 4 50% Nee, niet omwille van de controleerbaarheid van de jaarrekening, maar uit eigen belang voor de bedrijfsvoering. Zou raar zijn dat je het alleen voor de accountant doet. Als je dat doet, is het de vraag of de accountant goed bezig is De monitoring is deel van het bedrijfsproces en is ten behoeve van het bedrijfsproces niet ten behoeve van de accountant. Dit laatste is een afgeleide. Antwoord A is te stellig en dat geldt ook voor B. Immers de jaarrekeningcontrole kent een stelsel van controlemaatregelen en er is niet generiek vast te stellen welke combinatie in een individueel geval toereikend is. Ofwel garanties zijn er niet maar door combinaties van maatregelen kan enige zekerheid worden verkregen Een audit trail IS een monitoring mechanisme. De wijze waarop de audit trail wordt toegepast als detectieve controle (periodieke controle v.s. directe alarmering zoals bij een Security Information & Event Management oplossing) kan wel onderwerp zijn van discussie (immers, bij directe alarmering is er geen tijd voor manipulatie van de audit trail mits de communicatiekanalen ook gemanipuleerd zijn).
Stelling 8. De controleerbaarheid van de jaarrekening kan niet zonder adequaat wijzigingsbeheer op kritische applicaties, bijvoorbeeld bij de overgang naar een nieuwe toepassing. Bent u het met deze stelling eens ? A) ja, niet materiele wijzigingen uitgezonderd 4 50% B) nee, wijzigingen in de programmatuur kunnen achteraf geverifieerd 0 worden C) nee, wijzigingen kunnen achteraf vanuit de geproduceerde data 0 gegevensgericht gecontroleerd worden D) andere mening, svp beschrijven 4 50%
63
Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles
it depends … Welke organisatie doet nog zelf zijn applicaties ontwikkelen? Want daar gaat dit concept vanuit. Nee dus Wijzigingbeheer is deel van het bedrijfsproces en is ten behoeve van het bedrijfsproces; niet ten behoeve van de accountant. Dit laatste is een afgeleide. Ook niet materiele wijzigingen kunnen leiden tot manipulatie van data en systeemfunctionaliteit, ik zou deze derhalve niet buiten scope plaatsen. Stelling 9. Data-analyse is zo goed als de kwaliteit van de brondata. De integriteit van de brondata is alleen bij werkende onvervangbare IT controles gewaarborgd. Bent u het met deze stelling eens ? A) ja, in hoofdlijnen mee eens 3 37% B) nee, want IT controles zijn vervangbaar 1 12% C) andere mening, svp beschrijven 4 50% Er zijn methoden om kwaliteit brondata vast te stellen - afhankelijk omgeving Nee, belangrijk de data aan te sluiten op bijv totalen jaarrekening. Daarnaast als de onvervangbare IT controles niet geborgd zijn kan data analyse indicaties geven of er toch wel of niet iets aan de hand is. Dat is de kracht van data analyse. De eerste stap van data analyse is ook op basis van de data de kwaliteit ervan vast stellen De integriteit van brondata kan mogelijk gegevensgericht vastgesteld worden of middels benchmarking met externe bronnen. Stelling 10. In de procesbeheersing van dynamische massa transactiestromen – vooral in de noodzakelijke verbanden van de geld- en goederenbeweging- kunnen Application IT controles zo kritisch zijn dat gebreken de controleerbaarheid van de jaarrekening kunnen beperken. Bent u het met deze stelling eens ? A) ja, omdat de omvang van de fouten nadien mogelijk niet bepaald kan 5 62% worden, bijvoorbeeld als mutaties niet reproduceerbaar zijn of functiescheidingen niet gewerkt hebben B) nee, fouten kunnen haast altijd achteraf bepaald en gecorrigeerd worden, 1 12% en het restrisico is veelal acceptabel C) andere mening, svp beschrijven 2 25% Ze zijn kritisch voor de beheersing van het bedrijfsproces, de controleerbaarheid van de jaarrekening is daarvan een afgeleide In dit geval kunnen veelal data analyses toegepast worden om vast te stellen of er daadwerkelijke impact is. Stelling 11. De kwaliteit van de jaarrekening controle en - als essentieel onderdeel daarvan - de kwaliteit van de samenwerking tussen de IT auditor en de accountant is gebaat bij een geïntegreerd audit proces. Bent u het met deze stelling eens ? A) ja, vooraf, tijdens en in de afrondende fase van de jaarrekening audit is 7 88% een goede samenwerking belangrijk B) nee, de accountant huurt gericht in, de IT auditor is een normale 0 leverancier en die wordt verder niet in de jaarrekening controle betrokken C) andere mening, svp beschrijven 1 12% Let op subspecialisaties Stelling 12. De rapportage van de IT auditor aan de accountant dient een volwassenheidsmeting te bevatten gebaseerd op de werking van de voor de financiële verantwoording relevante IT controles, met per primair (sub)proces een weergave van de relevante Entity Level, General en Application controles, in hun onderlinge opzet en samenhang (SOLL) en werking (IST) gemeten. De volwassenheidsmeting bevat bovendien per primair (sub)proces een ondergrens die de onvervangbare IT controles vertegenwoordigt. Een score beneden deze ondergrens impliceert dat de
64
Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles
IT auditor vanuit zijn oogpunt de controleerbaarheid van - een aspect van – de jaarrekening in twijfel trekt. Bent u het met deze stelling eens ? A) ja, een op deze leest geschoeide, robuuste rapportage verschaft de 2 25% accountant beter inzicht in de vertaling naar gevolgen voor de jaarrekening audit B) nee, volwassenheidsmetingen van IT controles per primair (sub)proces 3 37% lossen niets op C) nee, er is geen probleem in de vertaling van IT audit findings, dus zo'n 0 rapportage is niet nodig D) andere mening, svp beschrijven 3 37% Nee, omdat deze stelling suggereert dat onvervangbare IT controles onvervangbaar zijn voor accountant en bedrijf en dat de accountant hierop altijd gebruik van moet maken. Is niet zo, zoals eerder aangegeven ABC zijn niet direct mijn voorkeur als vereiste standaard. Noodzaak bestaat evenwel om als IT auditor zodanig te rapporteren dat accountants in staat zijn gevolgen te trekken en te overzien welke acties nodig zijn. Of daarbij volwassenheidsmetingen nodig zijn is de vraag Volgens mij beschrijft deze stelling geen volwassenheidsniveau (capability maturity model) maar een afwijking tussen opzet en bestaan van het raamwerk van beheersmaatregelen. De huidige stelling kan ertoe leiden dat significante risico's mogelijk foutief gepresenteerd worden.
Stelling 13. De beroepsorganisaties NBA en NOREA moeten gezamenlijk inhoud geven aan een beleid gericht op verbetering van de samenwerking tussen de accountant en de IT auditor, dit beleid is rand voorwaardelijk voor verbetering van de uitvoering. Bent u het met deze stelling eens ? A) ja 5 56% B) nee, niet nodig 2 22% C) andere mening, svp beschrijven 2 22% Beleid is prima maar moet vooral in de cultuur komen Een beleid is niet afdoende, er dient ook een controlerende functie uitgeoefend te worden op de naleving van beleid. Lijkt mij eerder iets voor de AFM.
Stelling 14. Een leidraad voor een controleprogramma van onvervangbare IT controles -telkens in overleg met de accountant aan te passen op de specifieke inrichting en omgeving van de gecontroleerde en zijn financiële verantwoording- is van meerwaarde. Bent u het met deze stelling eens ? A) ja, de bepaling en verificatie van een minimum ondergrens in de werking 6 75% van IT controles is van belang voor de strekking van de controleverklaring B) nee, die ondergrens van onvervangbare IT controles bestaat niet, want ze 1 12% zijn vervangbaar C) andere mening, svp beschrijven 1 12% Ik begrijp de 'minimum ondergrens in de werking van IT controles' niet. De meeste organisaties auditen tegenwoordig 'risk based'. Dit betekent dus dat als er een uitzondering is vastgesteld in de werking van een IT controle, de organisatie blootgesteld is aan een significant risico (anders hoeven we de IT controle namelijk niet te toetsen).
Stelling 15. De 10 gekozen IT controles zijn als ondergrens een goede leidraad voor een controleprogramma van onvervangbare IT controles. Bent u het met deze stelling eens ? A) ja, in hoofdlijnen akkoord 5 62% B) nee, want IT controles zijn vervangbaar 0 C) andere mening, svp beschrijven 3 37% Meerdere wegen die naar Rome leiden - te generiek is niet goed Zoals eerder aangegeven, gaan de 10 stellingen uit van een computer in eigen huis en dus van voor veel organisaties achterhaald concept. Daarnaast geldt het ook niet voor gehele digitale
65
Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles
organisaties. De 10 gekozen IT controles zijn 20e eeuws en niet 21e. Is dus geen stap vooruit maar terug. Ik denk dat een dergelijk vraagstuk door een breder gremium beoordeeld moet worden. Echter zie ik al wel direct een aantal IT controles die te specifiek gemaakt zijn o.b.v. technologie. Bijv. het gaat om het beschermen van data, ongeacht via welke technologie deze data gemanipuleerd kan worden (gerelateerd aan de 'database' IT controle).
Afsluiting: De inbreng van experts op afsluitende vragen is als volgt: Afsluiting 1. Heeft u vragen in deze enquête gemist, die naar uw mening relevant zijn ? A) nee 4 B) andere opmerkingen 2 Zoals eerder aangegeven niet teveel content en context in vragen stoppen Ben benieuwd naar de verdere conclusies en aandachtspunten
67% 33%
Afsluiting 2. Welke aanvullende of afsluitende opmerkingen heeft u ? A) geen 3 50% B) andere opmerkingen 3 50% Ik ontvang graag een exemplaar van je afstudeeropdracht. Succes met afronden Ik vind het een heel leuk onderzoek. Ik denk dat het van toegevoegde waarde was geweest een 5 of 7 likert scale te gebruiken. Succes met het referaat.
66
Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles
Bijlage 5 Aanvullende interviews; Samenvattingen Interview met expert 1: Datum en locatie: 13 februari 2015, te Amsterdam Aanwezig: expert, student en scriptiebegeleider Duur: 90 minuten (10.30-12.00 uur) Aanpak en inhoud: 1) feedback op het literatuuronderzoek 2) interpretatie van de enquêteresultaten (conform bijlage 4) Expert is een ervaren RA RE, een voormalig big 4 IT audit partner. Samenvatting van discussiepunten: De expert brengt een 2-tal aandachtspunten op die op het literatuuronderzoek betrekking hebben. Na “=>” staan de resultaten van de gezamenlijke discussie: 1. Onvervangbaarheid van IT controles is situationeel te beoordelen, en leidt “in de praktijk niet zo snel” tot een bevestigende conclusie, omdat compensatie nog vaak mogelijk is. => in de groepsdiscussie wordt dit punt beaamd voor zover de gecontroleerde de inrichting van de IT controles adequaat vooraf op risico’s heeft beoordeeld. In dat geval is vaak een minimum niveau van IT controles en een vangnet aanwezig om gebreken in de werking van de interne controle te kunnen compenseren. 2. De accountant dient te onderzoeken/begrijpen waarom de gecontroleerde geen probleem in vastgestelde lacunes in IT controles ziet, de mening van de gecontroleerde over de kwaliteit van de beheersing van een bedrijfsproces doet er in de praktijk vaak toe. => uit de groepsdiscussie komt de beamende conclusie dat een zekere nuancering door de accountant van het belang van vooral General IT controles situationeel nodig kan zijn voor zover de gecontroleerde kan staven dat daaraan verbonden risico’s acceptabel zijn voor de jaarrekening assurance. Over de resultaten van de enquête heeft de expert volgende mening, met achter => mijn reactie: Verplichte IT audit consultatie is afdoende, en wordt binnen de big 4 ook in de werkprocessen afgedwongen => toch hapert het inhoudelijk (zie AFM audits) Inzet door een accountant van een CISA bij een jaarrekening audit – in plaats van een IT auditor (RE) - kan ook voldoen => kan de accountant dit goed beoordelen ? De kwaliteit van brondata voor data-analyse is veelal bij benadering afdoende vast te stellen (“gaten in de kaasschijven moeten elkaar dan overlappen”) => een basis “hygiëne” niveau in onvervangbare IT controles blijft nodig De toegevoegde waarde van een volwassenheidsmeting van IT controles is nog niet duidelijk => begrijpelijk, dit punt is verder uit te werken.
67
Jaarrekening assurance bij materiële gebreken in onvervangbare IT controles
Interview met expert 2: Datum en locatie: 20 februari 2015, te Amsterdam Aanwezig: expert en student Duur: 90 minuten (16.00-17.30 uur) Aanpak en inhoud: 1) inleiding over het literatuuronderzoek 2) interpretatie van de enquêteresultaten (conform bijlage 4) Expert is een ervaren RA RE, momenteel in de functie van IT auditor. Samenvatting van discussiepunten: De expert brengt de volgende punten op (na “=>” staat mijn repliek): 1. Over onvervangbaarheid van IT controles: de expert schat in dat een lijst van onvervangbare IT controles kort is, daarop staan dan: IT controles voor handhaving van functiescheiding, audit trail controles voor de handhaving van data integriteit en General IT controles gericht op de blijvende werking van de kritische applicaties. De expert meent ook dat deze onvervangbare General IT controles dwingend op hun werking te testen zijn in de jaarrekening audit van een “IT-afhankelijk bedrijf” => deze controles staan op de lijst, de leidraad is breder opgezet - met Entity Level IT controles - waarbij altijd de specifieke situatie/risico’s van de gecontroleerde bepalend zijn voor te verrichten audit werkzaamheden. 2. Over de samenwerking tussen de accountant en de IT auditor: de expert vindt dat de accountant zélf de automatisering in de jaarrekening audit moet meenemen, bestaande lacunes dient te verbeteren en daarvoor over een betere basisbagage aan IT kennis moet gaan beschikken. Voor aanvullende technische audit huurt de accountant in. Dat kán een IT auditor zijn, naar gelang de benodigde expertise. De expert is geen voorstander van uitbreiding van de rol en verantwoordelijkheden van de IT auditor => kwaliteitsverbetering lijkt belangrijk & urgent, maar het voorstel van de expert is niet op korte termijn om te zetten. Naar mijn mening is de inzet van de expertise van reeds opgeleide IT auditors een passend alternatief. 3. Over de toegevoegde waarde van een leidraad voor een controleprogramma van onvervangbare IT controles: de expert is hierover sceptisch; een leidraad kan nuttig zijn, maar mag geen afvinklijstje worden omdat praktische toepassing toegesneden moet zijn op de specifieke situatie/risico ‘s van de gecontroleerde => mee eens, maar ik zie geen alternatief om onvervangbare IT controles beter op de kaart van de accountant te krijgen.