Redactieraad drs. M.A. Bongers RE RA drs. H.A. Kampert RE RA drs. E. Koning RE RA CISA prof. ir. E.F. Michiels prof. dr. ir. J.A.E.E. van Nunen J.C. Vos RA H. de Zwart RE RA
Redactie M. M. Buijs RE RI drs. Th.M.J.Gerritse RE drs. W.T. Houwert RE prof. dr. G.J. van der Pijl RE drs. E.J.M Ridderbeekx RE CISA drs. R.J.Steger RE RA ir. C. L. Wauters EMEA drs. Th. Wijsman RE Eindredactie prof. dr. G.J. van der Pijl RE
Bureauredactie D. Mensink (Lensink Van Berkel Communicatie)
[email protected] Uitgever Reed Business bv Postbus 152 1000 AD Amsterdam Tel.: 020-5159222 www.reedbusiness.nl
4 Van de Redactie 5 Wat brengt ons komend jaar? Column Rainer Steger
7 ‘Machtsvraagstukken saboteren IT-projecten overheid’ Interview met Martijn van Dam
10 Continuous Auditing Willem Scheeres
18 Effectieve en efficiënte aanpak voor Japanse versie ‘Sox’ Laura Huininga, Paul Bosch en Daan Smulders
24 MIFID: zelfs bij ‘business as usual’ verandert veel Ivo Bolderhey en Floris IJpeij
34 Grid computing Wijnand Wellink
42 Een dag uit het leven van…
Abonnementen ‘De EDP-Auditor’ wordt kosteloos aan de leden van de NOREA verzonden. De abonnementsprijs voor niet-leden bedraagt voor 2006 € 80,50 excl. btw. De verzendtoeslag voor België bedraagt € 6,95 en voor de Nederlandse Antillen en overige landen € 21,55. De prijs van losse nummers is € 22,60 excl. btw.
44 Uitvoering IN ZICHT
Per jaar verschijnen 4 nummers. Een abonnement kan worden beëindigd door schriftelijk vóór 1 november van een lopend jaar op te zeggen. Bij niet-tijdige opzegging wordt het abonnement met een jaar verlengd.
50 Van de NOREA
Abonnementenadministratie en lezersservice Reed Business bv Postbus 4, 7000 BA Doetinchem Tel.: 0314-358358 Fax: 0314-358161 E-mail:
[email protected]
Copyright Het geheel of gedeeltelijk overnemen van artikelen, schema’s of tekeningen uit deze uitgave is slechts toegestaan na voorafgaande schriftelijke toestemming van de uitgever. ISSN 0929-0583
Bijdragen De redactie nodigt lezers uit een bijdrage te leveren aan ‘de EDP-Auditor’. U kunt uw bijdrage sturen naar de bureauredactie. Advertenties Reed Business Media Amsterdam Postbus 152 1000 AD Amsterdam 020 - 515 9666 www.reedbusinessmedia.nl
[email protected] Geldend advertentietarief 1-1-2007 Vormgeving Studio Putto BNO, De Rijp
3
Hans Donkers
Boekbespreking door Chantal de Vette
47 Uit de opleidingen
jaargang 16 - 2007
de EDP-Auditor Colofon ‘De EDP-Auditor’ is een uitgave van de Nederlandse Orde van Register EDP-Auditors
Inhoud
Van de redactie
Soms mag het zo wezen
N
a een typisch Hollandse zomer(vakantie) presenteren we u hierbij alweer de derde ‘EDP-Auditor’ van deze jaargang. Een groot aantal auteurs is ook dit keer weer bereid gevonden hun kennis en expertise met ons te delen. Laura Huininga, Paul Bosch en Daan Smulders maken ons wegwijs in de Japanse versie van Sox, ook wel J-Sox genoemd. Heeft u al gehoord van de nieuwe Europese wetgeving voor beleggingsondernemingen: de Markets in Financial Instruments Directive (MiFID)? Ivo Bolderhey en Floris IJpeij gaan nader op MiFID in (op welke wijze beschermt dit instrument de belegger en waardoor wordt de financiële markt meer efficiënt?) en op welke wijze de implementatie van MiFID door auditors kan worden getoetst. Maar ook de meningen van anderen, buiten onze beroepsgroep, zijn erg interessant. Zij geven altijd een andere, frisse kijk op het vakgebied. We nodigen u uit kennis te nemen van het gesprek met Martijn van Dam (Tweede Kamerlid voor de Partij van de Arbeid), die begin dit jaar werd uitgeroepen tot meest ‘digibewuste’ politicus van Nederland. Hij opent het gesprek met: ‘Wat mij altijd opvalt, is dat het voortdurend misgaat op IT gebied in de publieke sector. Dus niet enkel op een specifiek terrein.’ In het vervolg van het vraaggesprek staaft hij deze uitspraak en trekt een aantal belangrijke conclusies op het gebied van ICT en overheid. De boekbespreking ‘Uitvoering IN ZICHT’ sluit naadloos op dit vraaggesprek met Martijn van Dam aan.
Soms mag het zo wezen, de visie die Rainer Steger in de column tentoonspreidt, sluit perfect aan met het artikel van Willem Scheeres (Continuous auditing). In zijn artikel gaat hij in op dit begrip en legt uit hoe momenteel de beoordeling van de interne controlemaatregelen binnen een jaarrekeningcontrole plaatsvindt en hoe in de toekomst, middels audittools, een groot deel van de werkzaamheden gedurende de uitvoering van het bedrijfsproces, door het jaar heen, kunnen plaatsvinden. In de literatuur is de discussie over continuous audit tool verlegd van ‘kunnen we het?’ naar ‘willen we het?’. Bent u een van de eerste auditors die ook daadwerkelijk auditsoftwaretools gaan gebruiken? Na het artikel over continuous auditing is nog meer ruimte voor (toekomst)visie. GRID computing. Voor velen mogelijk nog een onbekend onderwerp. Neem kennis ervan, en bepaal zelf of het fictie of werkelijk is / wordt en welke eventuele gevolgen dit voor ons vakgebied heeft. Deze uitgave sluit af met een samenvatting van de zeer geslaagde ISACA/ NOREA IT-auditdag 2007 met als thema ‘Audit en IT-architectuur’. De redactie wenst u veel leesplezier toe!
In de rubriek ‘Een dag uit het leven van’ vertelt onze NOREA bestuursvoorzitter Hans Donkers hoe een dag bij hem eruit ziet. Zo te zien zitten ook bij hem meer dan 24 uur in een dag, zijn bijdrage begint namelijk de avond ervoor al. 4 | de EDP-Auditor nummer 3 | 2007
Column
Het vakantiegevoel van een IT-auditor: wat brengt ons komend jaar? Rainer Steger
I
k weet niet waar of wanneer uw vakantiegevoel de kop op steekt, maar dit jaar waren wij er vroeg bij. Ik weet het nog goed, op nieuwjaarsdag haalden we, samen met mijn schoonouders, herinneringen op aan onze zomervakantie in Zuid-Frankrijk. Zon, een mooi huis, zwembad, heerlijk eten, wijn en veel nietsdoen… Als je kinderen hebt, is dit wat ons betreft de ideale setting om van een druk bestaan bij te komen. Ik was op nieuwjaarsdag net 24 uur terug uit Houston, waar ik de internationale conferentie van The Institute of Internal Auditors had bijgewoond. Op de conferentie heb ik met veel mensen uit een groot aantal landen gesproken over de ontwikkelingen in ons vakgebied. Nog steeds put ik veel energie uit de vijf dagen die ik in Houston was. Ik heb hier met een aantal ontwikkelingen kennis mogen maken en dit heeft mijn visie op ons vak verder gevormd. Onze daarop aansluitende vakantie in Zuid-Frankrijk heb ik goed kunnen gebruiken om bij te komen van alle hectiek en veel nagedacht over waar ik met het vakgebied komend jaar naartoe wil. Ook de recentelijk in Amsterdam gehouden internationale conferentie en de ervaringen die ik het afgelopen jaar heb opgedaan, hebben mij aanvullende input gegeven, die ik vervolgens aan de rand van ons zwembad in Zuid-Frankrijk (wat moet je anders op vakantie?) nog eens op een rij heb gezet. Graag wil ik dan ook in deze column mijn visie aan de hand van een aantal trends binnen ons vakgebied met u delen. Waarom? Omdat ik van mening ben dat het voor velen van ons nog steeds moeilijk is om aan een buiten-
staander uit te leggen wat ons beroep precies inhoudt en wat we wel of niet doen. Bent u nieuwsgierig geworden? Lees dan vooral verder! Ten eerste ben ik blij te constateren dat, na alle financiële schandalen, onze beroepsgroep een duidelijk standpunt heeft ingenomen ten aanzien van auditing en advies. De scheiding is duidelijk aanwezig bij de dagelijkse uitvoering van de werkzaamheden. Onze opdrachtgevers begrijpen dat het voor ons niet mogelijk is om hen eerst van een advies te voorzien, waarna wij dit advies, in het kader van de jaarrekeningcontrole, ook nog eens beoordelen. Dit is een totaal onwenselijke situatie. De toepassing van COSO/ERM en CobiT als basis (lees normenkader/ risicoanalyse) voor elke audit is algemeen geaccepteerd. Zowel voor de opdrachtgever als de auditor geeft dit een goed inzicht in hetgeen wordt getoetst en de wijze waarop dat gebeurt. Hiermee worden wereldwijd per controleobject voor zowel cliënt als IT-auditor de te hanteren normenkaders/risicoanalyses steeds eenduidiger. Begrippen als ‘algemeen geaccepteerde normenkaders’ behoeven daardoor niet meer te worden gebruikt. In control vraagstukken: persoonlijk vind ik de vraag naar ‘in control statements’ een goede ontwikkeling. Waarom? Omdat onderzoeken, waaronder Third Party Mededelingen en SAS70 tot een aantoonbare toegevoegde waarde voor de opdrachtgever en haar cliënten leiden. De opdrachtgever krijgt zekerheid dat hij zijn bedrijfsprocessen daadwerkelijk 5 | de EDP-Auditor nummer 3 | 2007
beheerst en zijn cliënt, die een deel van zijn bedrijfsprocessen aan de opdrachtgever heeft uitbesteed, kan op een eenvoudige wijze vaststellen dat de opdrachtgever zijn bedrijfsprocessen correct uitvoert. De ontwikkeling op dit gebied is dan ook niet te stuiten, steeds meer activiteiten worden geoutsourced en ook is er sprake van een steeds grotere ketenafhankelijkheid. Hieruit is af te leiden dat IT-auditors de komende jaren met zeer complexe bedrijfsprocessen (inclusief outsourcing) te maken krijgen en ook met de vraag van het management: ‘ben ik in control’? De belangrijkste trend die ik zie, is de volgende en deze draag ik dan ook in al mijn gesprekken met collega’s en opdrachtgevers uit. De afgelopen jaren heb ik moeten constateren dat wij als IT-auditors steeds meer beleidsmatig en procedureel naar vraagstukken keken, in plaats van ook in de diepte onderzoek uit te voeren. Hiermee wil ik zeggen dat de vraagstukken steeds complexer zijn geworden en dat alleen het beoordelen van beleid en procedures (vaak) onvoldoende zekerheid geeft. Echter, complexe vraagstukken in de diepte onderzoeken vraagt om veel kennis. Gezien het feit dat wij met een groot aantal verschillende vraagstukken te maken hebben, is het verkrijgen en onderhouden van deze kennis niet eenvoudig. Door mijn gesprekken met internationale collega’s en een stuk research ben ik tot de overtuiging gekomen dat tools de uitkomst bieden. Zo is in de praktijk gebleken dat het beoordelen van General IT Controls (GITC’s) ook met tools kunnen worden beoordeeld (denk bijvoorbeeld aan serveren netwerkinstellingen). Hiermee is
Column snel inzicht in de inrichting van deze GITC’s te verkrijgen. Het is verbazingwekkend hoeveel extra informatie een dergelijk tool voor de opdrachtgever en het onderzoek verzamelt! Het vak IT-auditing wordt hiermee steeds interessanter. Wel wil ik de volgende kanttekening plaatsen: ‘a fool with a tool is still a fool!’ Mijn insteek is dat tools informatie geven, die eerst op haar waarde moeten worden beoordeeld. Ga daarom nooit alleen op de uitkomsten van een tool af! Ik pleit daarom ook sterk voor verder onderzoek op een aantal gebieden
(onder meer GITC’s en application controls) waarbij de onderzoeksmogelijkheden - inclusief aanpakken en standaarden - worden beoordeeld. Dit draagt binnen ons vakgebied tot een meer uniforme benadering bij.
over nagedacht. Graag nodig ik u dan ook uit voor een verdere discussie met mij hierover (
[email protected]). Ik zie uw reacties graag tegemoet! ■
Ik heb hiervoor een aantal trends geschetst, die mijn visie op het vakgebied (verder) vormen. Ik verwacht dat we de komende tijd een aantal verdere ontwikkelingen gaan meemaken (onder meer de invoering van elektronische IT-audit dossiers). Misschien heeft u ook tijdens uw vakantie hier-
ADVERTE NTI E
NOREA Young Professionals Take your chance!
Voor meer informatie zie pagina 53 6 | de EDP-Auditor nummer 3 | 2007
Interview
Martijn van Dam: ‘Machtsvraagstukken saboteren IT-projecten overheid’ Chris Wauters en Dennis Mensink
‘Elektronische overheid? Welke elektronische overheid?’ Volgens Tweede Kamerlid Martijn van Dam (Partij van de Arbeid) functioneert de publieke sector nog niet goed genoeg, mede omdat de overheid IT onvoldoende en onjuist inzet. Een vraaggesprek met de man die begin dit jaar werd uitgeroepen tot meest ‘digibewuste’ politicus van Nederland.
Tussen het kastje en de muur De Tweede Kamerleden Martijn van Dam en Anja Timmer (beide PvdA) hebben vorig jaar een rapport uitgebracht over elektronische dienstverlening bij de overheid. Zij hebben de elektronische overheid een jaar lang onder de loep genomen en hun bevindingen gepubliceerd in het rapport ‘Tussen het kastje en de muur’. Daarin pleiten zij voor een verbod voor overheid en publieke instanties op overbodige formulieren. Bovendien willen zij verbieden dat bedrijven vragen stellen aan burgers waarvan de antwoorden al in de publieke sector bekend zijn. De bestaande ICT-mogelijkheden om informatie op te slaan moeten beter worden benut, aldus de auteurs. De media berichtten na publicatie van het rapport vooral over het vele geld dat de publieke sector over balk zou hebben gesmeten en over de constatering dat overheidslagen elkaar moedwillig tegenwerken.
U maakt zich sterk voor optimaal gebruik van IT binnen de publieke sector. Wat moet er volgens u gebeuren op IT-gebied binnen de overheid? ‘Wat mij altijd opvalt, is dat het voortdurend misgaat op ITgebied in de publieke sector. Dus niet enkel op een specifiek terrein. Denk aan de C2000, ICT bij de politie, P-Direct, de recente IT-problemen bij de Belastingdienst. Allemaal voorbeelden van IT-projecten waarbij de overheid het niet goed heeft gedaan. De situatie is sinds ik in de Kamer zit niet wezenlijk veranderd. Er zijn al veel deelonderzoeken gedaan naar IT in de publieke sector, maar een totaalbeeld naar de problematiek op dit gebied komt daaruit niet naar voren. Daarom laten we nu een onderzoek uitvoeren door de Algemene Rekenkamer naar de oorzaken van het falen van diverse IT-projecten. De Algemene Rekenkamer controleert of de uitgaven die de overheid doet rechtmatig en doelmatig zijn. Oftewel: wat mankeert de publieke sector waardoor het elke keer weer mis gaat? Een interessant onderzoek, dat het debat wellicht kan losmaken. De Rekenkamer onderzoekt losse casussen en gaat op ons verzoek op zoek naar de gemene deler.’ Wat is volgens u het probleem op IT-gebied in de publieke sector? ‘Het is eigenlijk heel eenvoudig: IT moet het gewoon doen. IT op orde brengen is bovendien helemaal niet zo moeilijk. We kunnen tegenwoordig alles bouwen wat we willen. Mensen die iets van IT weten, weten ook dat de problemen bij de publieke sector nooit echte IT-problemen zijn, maar altijd een andere oorzaak kennen. Problemen binnen de organisatie dus. Vaak spelen daarbij belangen- en machtsvraagstukken een belangrijke rol. Het delen van informatie en nieuwe systemen betekent ‘inleveren van macht’. Dit is ook zo in het bedrijfsleven. In de korte tijd die ik heb gewerkt als e-business consultant bij Philips Lighting kwam ik daar al achter. De verkoop is bij dit bedrijf – zoals bij zoveel internationale organisaties – landelijk georganiseerd. Wij wilden dat centraliseren en automatiseren. Oftewel: de kennis over klanten in een IT-database verzamelen. Het bedrijf zou hier veel voordeel van kunnen hebben, maar daardoor kwamen er wel enkele banen op de tocht te staan. En kennis is macht, dus werkten veel accountmanagers niet van harte mee. In Zuid-Europa was dat erger dan in Noord-Europa. Het feit dat men informatie niet wil prijsgeven, vertraagt de boel. En dat zie je binnen de overheid ook gebeuren.’
7 | de EDP-Auditor nummer 3 | 2007
Interview Waar blijkt dat uit? ‘Neem het zorgvraagstuk zoals het elektronisch patiëntendossier, waarbij IT een zeer belangrijke rol speelt. Het ministerie heeft de zorg gedecentraliseerd. De sector moet het nu zelf doen, heeft zij besloten. Maar het elektronische patiëntendossier komt niet van de grond, omdat we ook hierbij te maken hebben met een machtsprobleem. Het elektronisch patiëntendossier moet er niet komen om kosten te besparen, maar om het aantal medicatiefouten te verminderen. Op het gebied van medicatie gaan dingen fout doordat informatie niet op orde is. Daar gaan dus echt mensen door dood in dit land! Toen wij in het kader van ons boekje Tussen het kastje en de muur (zie kader vorige pagina) met specialisten en huisartsen praatten, ontdekten wij dat de artsen allemaal op hun eigen manier werkten – geregeld nog met kaartenbakken – en dat ook graag zo wilden blijven doen. De artsen hebben er dus geen enkel belang bij hun patiëntendossiers te automatiseren en zo te verbeteren. Bovendien zijn ze over het algemeen behoorlijk eigenwijs en laten zij zich niet dwingen. Ook verzekeraars hebben er geen baat bij de kosten te drukken. Dat maakt geen verschil voor hun concurrentiepositie, omdat het om kosten van de zorg in het algemeen gaat. Niemand heeft dus belang bij deze vorm van automatisering, behalve de patiënten, de burgers. Maar omdat de patiënten niet georganiseerd zijn en dus geen machtspositie hebben, gebeurt er helemaal niets. Dat het verbeteren van de zorg met behulp van IT geld oplevert, is overigens wel een prettig bijkomend feit. De kosten gaan namelijk omlaag en de kwaliteit gaat omhoog omdat er minder fouten worden gemaakt.’ Teveel mensen en partijen werken dus tegen? ‘Ja. Het gaat zoals gezegd vaak om belangen, die niet overeenkomen met het beleid. Dit organisatorische probleem, dáár moet onze aandacht naar uit gaan. In ons land blijkt het sowieso heel moeilijk om nieuwe regelgeving goed door te voeren. Zo levert de Eerste Dag Melding in ons land veel problemen op. (In Nederland moeten werkgevers sinds 1 juli 2006 bij het aannemen van personeel vóór de datum van indiensttreding een zogenoemde Eerste Dag Melding doen, red.). In België heeft de Eerste Dag Melding met de daaraan gekoppelde hoge boetes voor bedrijven die zich niet aan de regeling houden echter miljarden euro’s opgeleverd. En het voorkomt niet alleen zwartwerken, het werkt ook nog eens preventief! Regelgeving hoeft dus niet per se verlammend te werken, je kunt er ook je voordeel uithalen.’ Waar gaat het dan mis in Nederland? ‘Soms hebben bewindslieden veel te hoge ambities, vooral als het gaat om nieuw beleid. De Kamer is bijvoorbeeld slecht omgegaan met de Belastingdienst, waar men een half jaar lang elk weekend moest werken om de toeslagen tijdig de deur uit te hebben. Maar bewindslieden zouden over het algemeen veel meer ambities moeten hebben als het gaat om uitvoering van het beleid. En dan met name op het gebied van kwaliteit- en efficiencyverbetering. De cultuur in over-
Het beter functioneren van de publieke sector moet een van de belangrijkste ambities van het kabinet zijn
heidsland is echter uitvoeringsvraagstukken uit de weg gaan. Een bewindspersoon scoort op beleid, niet op uitvoering. Sterker nog: op uitvoering kan hij juist onderuitgaan. Ook op ambtelijk niveau is men risicomijdend. Er staat geen belang op als je met minder medewerkers en een kleiner budget werkt. Het leidt zelfs tot minder aanzien.’ De overheid moet slanker. Kan IT dat oplossen? ‘IT kan hiervoor zeker een belangrijk middel zijn. Ons doel moet te allen tijde zijn: een betere kwaliteit van de dienstverlening. De uitkomst kan dan ook zijn dat je met minder mensen af kunt. Maar we schieten tekort op de uitvoering. We schaven er nu overal vijf procent af, terwijl je juist gericht op beleidsambtenaren moet bezuinigen. En dan vragen beleidsdirecties zich ook nog af: wat moeten we nu niet meer doen, nu we met iets minder mensen afmoeten? Alsof je met minder beleidsambtenaren niet hetzelfde werk zou kunnen doen. In de uitvoering ligt dat duidelijk anders. Minister Brinkhorst slikte bijvoorbeeld bezuinigingen op zijn eigen ministerie met opgeheven hoofd. Daar heb ik respect voor. Als minister moet je kunnen zeggen: op mijn ministerie kan ik het met minder mensen af.’ In hoeverre bent u tevreden over de elektronische overheid? ‘Welke elektronische overheid? De PKI-dicussie (Public Key Infrastructure, red.) speelde al in de regio Eindhoven rond de millenniumwisseling, maar is er nu nog steeds niet. Alle facetten waren aanwezig en technisch was het niet moeilijk om de infrastructuur te bouwen. Via mijn werk was ik zijdelings bij de eerste proeven betrokken. We zouden eerst experimenteren en dan opschalen. Er zou een pilot plaatsvinden, maar het is er nooit van gekomen. Bij de overheid ontdekt men altijd weer een complexiteit die nodig is om een project te doen stranden. Het lef ontbreekt om echt iets op te pakken. En wat betreft DigiD? Het is een goede les geweest voor de hele publieke sector. Technisch is het nog niet volwassen – de beveiliging is niet zwaar genoeg – maar organisatorisch mogen we het wel een succes noemen. De burger kan het nu gebruiken. Beter dit dan iets groots dat niet werkt. Ik zou wel een echt elektronisch identiteitsbewijs willen hebben, zodat je geen paspoort meer nodig hebt.
8 | de EDP-Auditor nummer 3 | 2007
Martijn van Dam Ir. M.H.P. van Dam (Martijn) is lid van de Tweede Kamer sinds 30 januari 2003. Van Dam, die de Tweede Kamer binnenkwam als jongste Kamerlid, is onder meer ICT-woordvoerder van de Partij van de Arbeid. De DigiRaad riep Van Dam begin dit jaar uit tot meest digibewuste politicus van Nederland. Voor Van Dam in de Kamer kwam, was hij gemeenteraadslid (en fractievoorzitter) in Eindhoven en lid van het partijbestuur van de PvdA. Dit combineerde hij met zijn studie Technische Bedrijfskunde aan de TU Eindhoven. Tijdens zijn studie was hij onder meer werkzaam bij CEBRA (Centre for Electronic Business Research and Application), het toenmalige kenniscentrum van de TU Eindhoven op het gebied van e-commerce. Na zijn studie is Van Dam kort werkzaam geweest bij Philips Lighting als e-business consultant.
Iets anders: we hebben bij de overheid niet één klantenservice, waar mensen terecht kunnen met klachten en problemen. Als het gaat om het elektronische loket wordt er gesteggeld over het design van het loket: de logo’s, de aankleding. Dat is kenmerkend voor wat er gaande is. Iedereen ziet zijn eigen dienst als het grootste goed. Eén overheidsgevoel bestaat niet. Het zijn allemaal eilanden, ook de Rijksoverheid. Om het op te lossen zou je bijvoorbeeld de éénop-één verbinding tussen ministers en ministeries los moeten koppelen. Helaas zie ik dat nog niet snel gebeuren.’ Aan welke ICT-gerelateerde beleidsdossiers moet de overheid de komende jaren hard trekken? ‘Hoe moeilijk het ook zal zijn, ik vind dat wij ons er als Kamer sterk voor moeten maken dat we bedrijven verbieden informatie op te vragen over burgers die al ergens bekend is in de publieke sector. Dat betekent dat de overheid de informatie perfect op orde moet hebben. Er ligt op dit moment een wetsvoorstel bij de Eerste Kamer dat de situatie kan verbeteren. Wordt het voorstel aangenomen, dan kunnen we overheidsinstanties die te laat reageren op verzoeken van burgers een boete opleggen. Sanctie is een instrument dat we te weinig gebruiken bij de overheid. Het wetsvoorstel leidt tot veel kritiek vanuit gemeenten, maar als we willen dat de overheid echt zijn dienstverlening verbetert
door informatie aan elkaar te koppelen, dan zou het sanctieinstrument als breekijzer kunnen dienen. Kamerleden hoeven niets te weten van IT, ze moeten organisatievraagstukken begrijpen. De Kamer moet zich zeker níet mengen in de vraag welke IT-standaard de publieke sector moet gebruiken. Wij moeten niet praten over technische oplossingen, maar over doelstellingen en resultaten. Politici moeten een instrument zien te vinden waarmee zij problemen kunnen oplossen. Vervolgens zeggen zij: dit is het probleem, dit zijn de lijnen en jij moet dit oplossen. De Ministerraad moet op dit gebied als team functioneren. Maar dan moeten de ministers het wel met elkaar eens zijn dat dáár de ambitie ligt. Het beter functioneren van de publieke sector moet een van de belangrijkste ambities van het kabinet zijn.’ Boekt de overheid wel vooruitgang? ‘Elke keer hoop ik weer dat er vooruitgang wordt geboekt, maar het gaat mij veel te langzaam. Ministers moeten eerst leiderschap tonen en door blokkades heen willen en durven breken. Er is in de publieke sector overigens sowieso een gebrek aan leiderschap, ook op het gebied van IT. Wat ik in de komende vier jaar voor elkaar hoop te krijgen met de Kamer? Ik zou het een grote mislukking vinden als het elektronische patiëntendossier er aan het einde van deze kabinetsperiode nog steeds niet is.’ ■
9 | de EDP-Auditor nummer 3 | 2007
Artikel Naar een verbeterde audit van de interne controle:
Continuous auditing Willem Scheeres
Een belangrijk deel van de accountantscontrole is gericht op het beoordelen van de opzet, het bestaan en de werking van de interne controlemaatregelen bij
In dit artikel wordt een samenvatting gegeven van een onderzoek naar de perspectieven van een tool voor het beoordelen van de interne controle omgeving die geïmplementeerd is in een ERP systeem [Scheeres, 2005].
organisaties. Dit is nog overwegend een handmatige activiteit. Doordat meer en meer bedrijfsprocessen wor-
Ontwikkelingen
den ondersteund door informatiesystemen is een
Als gevolg van de Amerikaanse Sarbanes-Oxley-wetgeving en de Nederlandse Tabaksblat-regelgeving heeft het beheer van het interne controleraamwerk de afgelopen jaren veel aandacht gekregen. Terugkijkend op deze ontwikkeling zien we dat het management van deze bedrijven – als eindverantwoordelijke voor het interne controleraamwerk – veel energie heeft gestoken in het documenteren en testen van de interne controlemaatregelen. Het management heeft expliciet moeten aangegeven wat de significante interne controlemaatregelen voor zijn organisatie zijn. Daarmee worden die maatregelen bedoeld die van essentieel belang zijn voor de audit van de jaarrekeningcontrole. Door deze nadrukkelijke keuze van het aantal controlemaatregelen is het nu mogelijk om gerichter dan voorheen een audit tool in te zetten voor het beoordelen van de interne controlemaatregelen. Als gevolg van een verschuiving van de interne controlemaatregelen naar ERP-systemen én de gevolgen van SOX en Tabaksblat mag verwacht worden dat een ‘continuous audit’ beter mogelijk is dan een aantal jaren geleden.
steeds groter deel van de interne controlemaatregelen ondergebracht in die informatiesystemen. Dit biedt de mogelijkheid om – een gedeelte van – de interne controle geautomatiseerd te testen. Hierdoor wordt het bovendien mogelijk om de interne controle (vrijwel) continu te toetsen voor een grotere zekerheid over de werking van het stelsel van interne controle.
Ing. W.G. (Willem) Scheeres RE MBA is Senior Business Developer bij Ernst & Young. In die rol bedient hij bedrijven in de sectoren transport & logistiek en de industrie. Zijn fascinatie voor continuous audit komt voort uit de mogelijkheden van de inzet van IT voor het nog efficiënter en effectiever uitvoeren van bedrijfsprocessen: ‘de partij met de laagste kosten en een goede kwaliteit heeft de meeste keuze’.
Wanneer een organisatie gebruikmaakt van een ERPsysteem, betekent dat in de meeste gevallen dat besloten is de bedrijfsprocessen beter met elkaar te integreren en te ondersteunen met IT. ERP-systemen worden cliëntspecifiek gemaakt door parameters in configuratiedatabases in te stellen. Ook de interne controlemaatregelen in een ERP-systeem worden op een overeenkomstige wijze geparametriseerd. Wanneer bijvoorbeeld voor een functionaris een inkooporderlimiet gesteld is op 400.000 euro, zal deze waarde in een bepaalde tabel worden vastgelegd. Deze parameter is daarna door een eenvoudige audittool uit te lezen en te toetsen aan een norm. Door de parameters van de significante interne controlemaatregelen gedurende het jaar stelselmatig uit te lezen en te toetsen aan een ingestelde norm, ontstaat een ‘continue’ beeld over het bestaan van de interne controlemaatregelen. Door de intervallen tussen het uitlezen te verkleinen – zodat bijvoorbeeld een paar maal per uur getoetst wordt – ontstaat er ‘in continuïteit’ een beeld over de werking van de interne controlemaatregelen. We spreken dan van ‘continuous audit’ van de interne controlemaatregelen. 10 | de EDP-Auditor nummer 3 | 2007
Continuous auditing
Het begrip ‘continuous auditing’ wordt in de literatuur te pas en te onpas gebruikt. De AICPA heeft in 1999 een rapport geschreven over de mogelijkheden van continuous auditing en een inventarisatie gemaakt van de verschillende financial audittoepassingen met de wens om daar onderzoek naar te doen. Het AICPA rapport wordt gezien als één van de standaardwerken over continuous auditing en bevat een duidelijke definitie: ‘Een methodologie waarmee (onafhankelijke) auditors een schriftelijke verklaring over een bedrijfsactiviteit kunnen afgeven op basis van een reeks controlerapporten die (bijna) gelijktijdig met het plaatsvinden van de bedrijfsactiviteit beschikbaar zijn.’ Deze definitie wordt hier overgenomen. Monitoring of auditing?
Over de begrippen continuous auditing en continuous monitoring bestaat bij collega auditors enige verwarring [Warren,2003]. De Global Technology Audit Guide (GTAG) [2005] van de IIA brengt klaarheid in de discussie door uit te gaan van de onafhankelijkheid en het eigenaarschap van de gebruiker van een evaluatietool. GTAG stelt dat continuous auditing wordt uitgevoerd door (internal/ external) auditors en continuous monitoring wordt uitgevoerd door het management. De keuze voor de benaming van continuous audit of continuous monitoring is dan ook afhankelijk vanuit welke functie een evaluatietool wordt ingezet. De auteur werkt voor een accountantsorganisatie en spreekt dan ook over continuous auditing. Full-scope continuous audit?
Voor het auditen van een onderneming moeten vele activiteiten worden uitgevoerd. Vanuit de financial audit zijn deze activiteiten ten behoeve van het financial statement onder te verdelen in het auditen van ‘top management transactions’ en het auditen van ‘business transactions’ (zie figuur 1). Top management transactions betreffen niet-routinematige activiteiten die door het top management zelf worden uitgevoerd. Een voorbeeld is de aan- of verkoop van bedrijven. Door hun niet-routinematige karakter vallen deze transactions buiten de reikwijdte van het geautomatiseerde deel van het interne controle raamwerk. Om een volledige continuous audit uit te voeren zullen in principe alle activiteiten die de financial auditor uitvoert geautomatiseerd moeten worden. Omdat de niet-routine-
matige activiteiten niet zijn ondergebracht in een informatie systeem, is het niet mogelijk om deze geautomatiseerd te testen. Een full-scope continuous audit is vooralsnog niet realistisch. Een minder complexe toepassing voor een continuous auditing tool is het monitoren van het interne controleraamwerk. Het interne controleraamwerk van een organisatie is relatief statisch van aard, omdat de interne controlemaatregelen vaak gerelateerd zijn aan de processen en procedures van de organisatie en als gevolg daarvan niet vaak veranderen. Een toepassing voor het beoordelen van de interne controlemaatregelen lijkt dus een prima eerste stap in het verkennen van de mogelijkheden van een continuous audit. Economische realiteit continuous audit tool In de laatste 15 jaar zijn verschillende onderzoeken uitgevoerd om na te gaan of continuous auditing technisch en theoretisch haalbaar is [Vasarhelyi,1991 Daigle,2000 Rezaee,2002 Searcy,2003 Warren,2003]. Deze onderzoeken hebben geleid tot het inzicht dat de technische en theoretische haalbaarheid van continuous auditing geen onderwerp van discussie meer is; ‘we kunnen het’. De discussie is verlegd van ‘kunnen we het?’ naar ‘willen we het?’. De vraag is dan ook of het economisch haalbaar is om een continuous auditing toepassing te gebruiken voor de evaluatie van het interne controleraamwerk ten behoeve van de jaarrekeningcontrole. Economisch haalbaar wil zeggen dat de besparingen die gerealiseerd kunnen worden door een deel van de interne controlemaatregelen geautomatiseerd te testen opwegen tegen de investeringen die nodig zijn om een continuous tool te bouwen en te gebruiken. De ervaring met continuous auditing in de praktijk is nog marginaal. Dit komt onder meer door de hoge implementatiekosten die mede een gevolg zijn van de multidisciplinaire kennis die nodig is om een continuous auditing project op te starten. De specialisten moeten gedetailleerde kennis hebben op het gebied van financial auditing, interne controle, audit software en verschillende modules van ERPsystemen. Naast deze kennis moeten de specialisten ook over voldoende overtuigingskracht beschikken om resources los te krijgen om de audit tool van de grond te tillen. Het ontwikkelen van een continuous auditing toepassing is immers alleen zinvol als het economisch haalbaar is.
0LAATS VAN HET INTERNE CONTROLE RAAMWERK 4OP MANAGEMENT TRANSACTIONS &INANCIAL 3TATEMENT "USINESS TRANSACTIONS )NTERNE CONTROLE RAAMWERK
Figuur 1
De kosten die nodig zijn om een continuous audit toepassing bij een organisatie in te richten en te beheren worden vooral bepaald door de (tijds)inspanning die de financial en IT-auditor moeten leveren ten behoeve van de audit. Vooral voor het operationele gebruik geldt dan: ‘Hoe meer IT-controls significant zijn in een proces, des te kostbaarder wordt de toepassing’. Elke extra IT-control vereist extra aandacht en dus geld, zowel in de analysefase als in de implementatiefase.
11 | de EDP-Auditor nummer 3 | 2007
Voor het terugverdienen van de investeringen in een continuous audit beheertool kan bij accountantskantoren gebruik gemaakt worden van de economische praktijk om investeringen te verdelen over meerdere jaarrekeningcontroles. Investeringen in tools voor gebruik bij meerdere cliënten zijn dus eerder economisch haalbaar. Vanwege de benodigde kennis én de economische haalbaarheid zou mogen worden verwacht dat accountantskantoren de lead nemen om te investeren in de evaluatie van de interne controlemaatregelen met behulp van continuous audit tools. Naast het economische motief is ook de kwaliteit van de audit van belang. Doordat de interne controlemaatregelen met kortere intervallen worden getoetst aan een norm, kan ook met meer zekerheid een uitspraak worden gedaan over het bestaan en de werking van de interne controlemaatregelen. Een continuous audit toepassing heeft hierdoor een positieve invloed op de kwaliteit van de audit. De investeringen zijn dan ook gedeeltelijk te verantwoorden met een verbetering van de kwaliteit van de audit. Het onderzoek In het onderzoek is gekeken of auditors behoefte hebben aan een effectievere en efficiëntere methode voor het geautomatiseerd auditen van het interne controle raamwerk en of er belemmeringen zijn om over te gaan op een geautomatiseerde aanpak. In het onderzoek stonden daarom de volgende twee vragen centraal: • Is er vanuit de audit business behoefte om op een effectievere en efficiëntere manier het interne controle framework geautomatiseerd te testen? • Wat zijn de hindernissen die genomen moeten worden voordat een continuous auditing toepassing voor de evaluatie van het interne controle framework kan worden geïmplementeerd?
/NDERZOEKSGROEP EN RESPONDENTEN !ANTAL )NTERNAL )4 AUDITOR
)4 AUDITOR
&INANCIAL AUDITOR
2ESPONDENTEN
Continuous auditing in de praktijk
Begrijpen auditors continuous auditing? Van de 154 auditors die hebben meegedaan aan het onderzoek geeft 40 procent (62) aan (figuur 3) dat ze redelijk tot volledig bekend zijn met het concept continuous auditing. 60 Procent (91 auditors) van de respondenten heeft nog onvoldoende zicht op de betekenis van continuous auditing. Onder de respondenten die praktijkervaring hebben opgedaan bevinden zich drie financial auditors. We kunnen hieruit concluderen dat, terwijl continuous auditing wel enige bekendheid heeft, er nog maar weinig financial auditors zijn die er in de praktijk ervaring mee hebben. Verwacht mag daarom worden dat het voor auditors lastig is om continuous audittoepassingen op hun waarde te beoordelen en organisaties te overtuigen van nut en noodzaak ervan. Continuous audittoepassingen moeten zich kennelijk eerst nog bewijzen voordat brede acceptatie haalbaar is. #ONTINUOUS AUDITING BEKENDHEID EN ERVARING !ANTAL
0ERCENTAGE !ANTAL
6OLLEDIG
&INANCIAL AUDITOR
2EDELIJK
'EEN
%NIGSZINS
)4 AUDITOR
)NTERNAL )4 AUDITOR
.IET
"EKENDHEID 6RAAG
*A
%RVARING
&UNCTIE
"ENT U BEKEND MET HET CONCEPT CONTINUOUS AUDITING
6RAAG
(EEFT U PRAKTIJK ERVARING MET CONTINUOUS AUDITING
!NALYSE
2ESPONDENTEN MET ERVARING GECATEGORISEERD PER FUNCTIE I
Figuur 3
Beperkt gebruik auditsoftware
Een tool voor een continuous audit is een vorm van auditsoftware: het gaat om een specifieke functionaliteit ten behoeve van de audit. Ook voor auditsoftware geldt dat auditors er in hun praktijk betrekkelijk weinig gebruik van maken. Informatie hierover is te vinden in figuur 4. Het blijkt dat slechts 50 procent van de respondenten bij de jaarrekeningcontrole gebruik maakt van audit software en slechts 37 procent dat doet bij de beoordeling van de interne controle. In dit licht bezien is de beperkte ervaring die auditors met continuous audit hebben misschien niet eens zo bijzonder.
0OPULATIE
Figuur 2
Het onderzoek is uitgevoerd in het voorjaar van 2005 door middel van een on-line survey die is uitgezet onder 370 personen met een auditfunctie: financial auditors, IT-Auditors en internal auditors. In totaal hebben 154 auditors de survey ingevuld, hetgeen een response geeft van 42 procent.
De auditor is bij de aanwezigheid van een ERP systeem in principe in de gelegenheid om met behulp van audittools analyses te maken van processen of transacties. Vanuit accountancy-organisaties wordt veel inspanning gedaan om het analyseren van data te stimuleren om zo concrete evidence te verkrijgen. De percentages uit figuur 4 van auditors die audittools gebruiken bij de jaarverslagcontrole (50 procent), respectievelijk bij de beoordeling van de interne controle (37 procent) zijn beduidend lager dan het percentage
12 | de EDP-Auditor nummer 3 | 2007
'EBRUIK VAN AUDIT SOFTWARE
van 71 procent (zie figuur 5) dat in z’n werk te maken heeft met een ERP-systeem. Het lijkt er dus op dat de mogelijkheden om audittools in te zetten als de organisatie met een ERP-systeem werkt, onvoldoende benut worden.
0ERCENTAGE 6RIJWEL ALTIJD
*AARVERSLAG
)NTERNE #ONTROLE
'EREGELD
!F EN TOE
.EE 7EET NIET
6RAAG
-AAKT UW ORGANISATIE GEBRUIK VAN AUDIT SOFTWARE ZOALS !#, )$%! OF EIGEN PROGRAMMATUUR TIJDENS DE CONTROLE WERKZAAMHEDEN TBV HET JAARVERSLAG
6RAAG
-AAKT UW ORGANISATIE GEBRUIK VAN AUDIT SOFTWARE ZOALS !#, )$%! OF EIGEN PROGRAMMATUUR BIJ DE BEOORDELING VAN DE )NTERNE #ONTROLE MAATREGELEN
Figuur 4
'EBRUIKTE %20 SYSTEEM EN AUDIT ERVARING !ANTAL
0ERCENTAGE
3!0 2
0EOPLESOFT
/RACLE &INANCIALS
%XACT 'LOBE
RESPONDENTEN
NVT
#ODA .AVISION
JAAR
*$ %DWARDS
JAAR
"AAN
!XAPTA
!NDERS
JAAR
'EEN 7EET NIET
JAAR
%20 GEBRUIK
!UDIT ERVARING
-AAKT UW ORGANISATIE OF DE ORGANISATIE WAAR U UW VOORNAAMSTE WERKZAAMHEDEN VERRICHT GEBRUIK VAN mmN VAN DE VOLGENDE %NTERPRISE 2ESOURCE 0LANNING %20 SOFTWAREPAKETTEN
6RAAG
6RAAG
(OEVEEL JAREN ERVARING HEEFT U IN AUDIT FUNCTIES
Figuur 5
)NZET VAN AUDIT SOFTWARE 'EEN MENING
0ERCENTAGE
'EDEELTELIJK 6OLLEDIG MEE MEE EENS EENS
0ROCES EIGENAAR
'EDEELTELIJK 6OLLEDIG MEE MEE ONEENS ONEENS
$ATA
)NFORMATIE
)NTERNET
Uit vorenstaande kan voorzichtig worden geconcludeerd dat auditors weinig gebruik maken van auditsoftware tools voor de beoordeling van de interne controle terwijl de mogelijkheden er wel zijn. Wanneer men zelf geen praktische ervaring heeft met auditsoftwaretoepassingen, is het niet eenvoudig om anderen van het nut en de noodzaak te overtuigen. Indien auditsoftware de audits efficiënter en effectiever kan maken zal er naast de technische aspecten speciale aandacht moeten worden besteed aan het stimuleren van financial auditors om continuous auditing tools toe te passen in de praktijk. De wens tot verandering
Het management is verantwoordelijk voor het opstellen van een ‘in-control statement’. Sarbanes-Oxley en Tabaksblat verlangen dat de financial auditor hierover een verklaring afgeeft. Dit impliceert dat de financial auditor voldoende evidence in handen wil krijgen om deze verklaring met overtuiging te kunnen afgeven. Het is dus geen vreemde gedachte dat de financial auditor, al dan niet samen met de internal auditor, behoefte zal hebben aan auditsoftware waarmee opzet, bestaan en werking van de interne controlemaatregelen op een onafhankelijke wijze én in continuïteit kan worden vastgesteld. Het moet efficiënter
6RAAG "IJ HET GEBRUIK VAN AUDIT SOFTWARE IS HET GEMAKKELIJK OM DE PROCESEIGENAAR TE OVERTUIGEN TOEGANG TE VERLENEN TOT DE BENODIGDE DATA DE BENODIGDE DATA UIT HET )4 SYSTEEM TE KRIJGEN DE GEWENSTE INFORMATIE UIT DE ONTVANGEN DATA TE VERKRIJGEN DE PROCESEIGENAAR TE OVERTUIGEN TOEGANG TE GEVEN TOT DE DATA VIA EEN BEVEILIGDE INTERNET VERBINDING
Figuur 6
Behalve de aanwezigheid van een ERP-systeem en het bieden van de mogelijkheid tot het uitvoeren van een continuous audit is het ook belangrijk om vast te stellen of de auditor problemen verwacht bij de toegang tot de data. Dit levert in de praktijk nogal eens een probleem op omdat bedrijfsgegevens vaak als zeer vertrouwelijk worden gezien. In figuur 6 is te zien dat 55 procent van de respondenten denkt de proceseigenaar te kunnen overtuigen toegang tot de vereiste data te verlenen. Wordt gevraagd om dit te doen via een beveiligde internet verbinding, dan is dit nog maar 27 procent.
Uit figuur 7 is af te leiden dat de beoordeling van de interne controle bij organisaties nog valt te verbeteren. 87 procent van de respondenten is van mening dat de efficiency in de beoordeling van de interne controle moet worden verbeterd en 77 procent vindt dat dit ook voor de effectiviteit geldt. Bij auditors bestaat dus de wens om de evaluatie van het interne controle raamwerk te verbeteren. Dit is niet verbazingwekkend, omdat grote delen van het beoordelingsproces nog (vrijwel) handmatig zijn. Naar aanleiding van Sarbanes-Oxley is veel energie gestoken in het vastleggen van het interne controleraamwerk. Automatisering kan de evaluatie van dit raamwerk efficiënter maken.
13 | de EDP-Auditor nummer 3 | 2007
)NTERNE CONTROLE EVALUATIE ACTIVITEITEN 0ERCENTAGE
6OLLEDIG ONEENS 'EDEELTELIJK ONEENS
'EEN MENING
'EDEELTELIJK EENS
6OLLEDIG EENS
%FFICIENCY
%FFECTIVITEIT
6RAAG (ET IS NOODZAKELIJK OM DE EFFICIENCY VAN DE BEOORDELING VAN DE INTERNE CONTROLE TE VERBETEREN 6RAAG (ET IS NOODZAKELIJK OM DE EFFECTIVITEIT VAN DE BEOORDELING VAN DE INTERNE CONTROLE TE VERBETEREN
Figuur 7
interne controlemaatregelen gevraagd wordt (figuur 8, vraag 3). 93 Procent van de respondenten wil in antwoord op deze vraag elk kwartaal de interne controlemaatregelen testen. Belangrijk bij de interpretatie van deze gegevens is dat de vraagstelling expliciet spreekt van geautomatiseerd testen. De respondent zal door de vraagstelling veronderstellen dat het geautomatiseerd testen daadwerkelijk ook mogelijk is. De stijging van 43% (vraag 1, n=152) naar 92 procent (vraag 3, n=66) geeft aan dat het voor de auditor ook een kwestie is van de mogelijkheden zien en begrijpen. Kennelijk willen auditors wel met een hogere frequentie testen wanneer hun duidelijk wordt gemaakt dat geautomatiseerd testen inderdaad mogelijk is. Blijkt het geautomatiseerd testen van de interne controlemaatregelen mogelijk te zijn dan wil het overgrote deel van de auditors daar gebruik van maken. Versnelling accountantsverklaring
Bovenal bevordert het echter de effectiviteit van de controle door bijvoorbeeld zes keer per uur geautomatiseerd een interne controlemaatregel aan een norm te toetsen, in plaats van handmatig éénmaal per jaar. Ander gedrag
De wens tot verandering is aanwezig, maar slechts 43 procent van de ondervraagden (figuur 8, vraag 1) geeft aan de interne controlemaatregelen vaker dan één keer per jaar te willen testen. De andere 57 procent voelt hier weinig voor. Dit betekent dat de noodzaak niet wordt onderkend, of dat men denkt dat het geautomatiseerd testen van de interne controlemaatregelen niet mogelijk is of te veel tijd en geld zal gaan kosten. Van de respondenten die wel vaker dan een keer per jaar de interne controlemaatregelen willen testen geeft nog steeds 48% aan dat het voldoende is om slechts eenmaal per kwartaal te testen (figuur 8, vraag 2). Het is interessant om te zien dat slechts 8 procent van mening is dat de interne controlemaatregelen op dagbasis getest moeten worden, terwijl dat percentage opeens omhoog gaat naar 26 procent wanneer expliciet naar de werking van de
Door het geautomatiseerd testen van de interne-controlemaatregelen kan een deel van de controlewerkzaamheden efficiënter verlopen en is de mogelijkheid aanwezig om het tijdsinterval tussen einde boekjaar en het publiceren van het jaarverslag te verkorten. Van de ondervraagden vindt 72 procent dat het tijdsinterval tussen einde boekjaar en de publicatie van het jaarverslag korter moet (zie figuur 9). De productietijd van het jaarverslag zou volgens 86 procent van de ondervraagden idealiter korter dan één maand moeten zijn en 22 procent vindt dat deze productietijd korter dan één dag zou moeten zijn. 8 procent van de ondervraagden vindt minder dan één uur noodzakelijk. 62 procent van de respondenten ziet in de nabije toekomst de noodzaak van een on-line jaarverslag in dat de actuele financiële situatie van de organisatie weerspiegelt.
'EWENSTE VERSNELLING ACCOUNTANTSVERKLARING 0ERCENTAGE 6OLLEDIG EENS
6ERKORTEN INTERVAL
'EDEELTELIJK EENS
'EDEELTELIJK ONEENS 6OLLEDIG ONEENS
'EEN MENING
'EDRAGSVERANDERING BIJ TESTEN INTERNE CONTROLE 0ERCENTAGE 7EET NIET .EE
N
N
*A
4ESTEN VAKER DAN X PER JAAR 6RAAG
+WARTAAL
-AAND
7EEK
&REQUENTIE