Integreer IT audit in de controleaanpak!

Anno 2015 mag men aannemen dat de tijd voorbij is dat het controleteam voor een interim controle naar de klant gaat, zonder een goed controleplan. Echter als een IT-auditor wordt ingezet, dreigt het gevaar dat er geen of onvoldoende aansluiting is tussen het auditteam en de IT-auditor. Naast het controleplan moet nog even ‘de sectie automatisering’ in het dossier worden afgewerkt. Gevolg: een onjuiste controle, inefficiënte controle of onjuiste controleverklaring.

IT in de controle is nog steeds een ondergeschoven kindje en wordt teveel gezien als een separaat onderdeel, het afwerken van een checklist. Het huidige aanbod aan controlesoftware probeert accountantskantoren in het MKB ondersteuning te geven door het aanbieden van diverse checklisten en integratie in de controle. Onvoldoende kennis van IT, de klant en van de controlesoftware leidt vaak tot onvoldoende en/of onjuiste vastleggingen en integratie van IT in de controleaanpak en -werkzaamheden. Dit kan resulteren in het steunen op data van IT terwijl er onvoldoende IT werkzaamheden zijn uitgevoerd om vast te stellen of de betrouwbaarheid van deze data voldoende is gewaarborgd. Daarnaast worden IT-auditrisico’s over het hoofd gezien.

Als er een IT-auditor wordt ingezet, zijn de uitkomsten hiervan, zonder goede communicatie met het controleteam, te weinig gericht op audit risks, maar te veel op business risks. De vertaling naar de jaarrekeningcontrole is hierdoor moeilijk te maken. De klassieke EDP-auditor en accountant spreken niet dezelfde taal en de accountant kan de bevindingen niet vertalen naar de controle.

Om een efficiënte en slimme controle uit te kunnen voeren zal de moderne IT-auditor de klant beter moeten begrijpen en denken vanuit de audit risks. De klassieke accountant dient de overstap te maken naar een IT First-audit, waarbij op de risico’s in de interne controle van het IT systeem van de cliënt de eerste focus wordt gelegd, en de daaraan gerelateerde audit risks worden vertaald naar de controleaanpak. De IT First-accountant neemt de stap om te kunnen steunen op IT en durft dan ook traditionele werkzaamheden los te laten, gewoon niet meer uit te voeren dus.

1. Inventarisatie

In wezen is een IT First-controleaanpak eenvoudig. Voor het mitigeren van auditrisico’s maakt de accountant gebruik van de interne controles die de cliënt zelf uitvoert. Een belangrijk verschil met klassieke controles is echter dat iedere controle met IT zal starten, omdat de meeste interne controles bij de cliënt in het MKB zijn geautomatiseerd en de meeste risico’s voortkomen uit de interne controles.

De controle start dus met een IT-auditor die de IT inventariseert en de mate waarin de IT een rol heeft in de interne beheersing. Dit doet de IT-auditor met de bril van de accountant op. Vanuit de deskundigheid van de IT-auditor worden de risico’s in kaart gebracht die samenhangen met het feit dat er geautomatiseerd is.

In dit stadium dient er tevens aandacht te worden besteed aan de opzet van general IT controls. Voor veel accountants is dit ‘een ver van mijn bed show’. Helaas, want de cliënt loopt namelijk veel meer risico (business risk) indien het systeem toegankelijk is via het Internet. De accountant kan hier niet omheen, omdat hierdoor ook de risico’s voor de jaarrekening (de audit risks) steeds groter worden.

Een praktische inventarisatie in het MKB moet bestaan uit een overzicht van: de IT systemen en de samenhang met de voor de audit relevante processen, de geautomatiseerde interne beheersingsmaatregelen in de processen en de risico’s die voortkomen uit de automatisering.

Het doel van de IT inventarisatie is om inzicht te krijgen in:

• De IT om te kunnen bepalen of er in opzet sprake is van voldoende interne beheersing om te kunnen steunen op de IT;

• IT risico’s die eventueel auditrisico’s kunnen zijn;

• De mogelijkheden voor het uitvoeren van gegevensgerichte werkzaamheden door inzet van data-analyse of andere tools.

2. Controleplan

Na de inventarisatie van de IT-auditor vindt er overleg plaats met de accountant: overleg over audit (inclusief IT) risico’s en de aanwezige geautomatiseerde interne controles. Samen bepalen zij verder het controleplan. Heel belangrijk is het om vast te stellen wat er met IT wordt gedaan en wat er dus niet (meer) handmatig wordt gedaan. Hier zit met name de angst bij de traditionele accountant: niet meer gegevensgericht controleren en vertrouwen op de application controls (fysiek iets vinken of vastpakken kan immers niet meer).

Deze IT First-aanpak is overigens in lijn met de voorschriften van de standaarden. Standaard 315.12 schrijft voor dat de relevante interne beheersingsmaatregelen onderzocht dienen te worden. Ook schrijven de standaarden (st. 330.8) dat de accountant toetsingen van de interne beheersingsmaatregelen dient op te zetten en uit te voeren als de accountant voornemens is gebruik te maken van deze maatregelen (omdat dat efficiënter is) of omdat de accountant dit niet op een andere manier kan controleren. Als een onderneming een hoge automatiseringsgraad heeft en er weinig sporen van interne beheersing buiten het systeem zijn, hoe kan de accountant dan nog een controle doen buiten het systeem om en zich houden aan de standaarden?

De AFM meldt in het kader van de controle van de volledigheid van de opbrengsten bovendien nog eens dat de accountant van goede huize moet komen om te kunnen onderbouwen dat dit niet systeemgericht is vastgesteld. Als een onderneming een hoge automatiseringsgraad heeft, kunt u dus alleen de opbrengsten op volledigheid controleren als u aandacht besteedt aan de application controls in het systeem. En application controls kunnen niet goed werken zonder adequate general IT controls.

Het verdient de voorkeur om het controleplan te bespreken met de cliënt. Indien IT geen grote rol heeft in de beheersing, blijkt meteen de grote toegevoegde waarde van de aanpak, want 95% van de ondernemingen zou gebaat zijn bij de inzet van IT bij interne controles. Een goed adviesmoment dus! Maar ook een moment waarop begrip rijst voor de werkzaamheden van de accountant en de kosten van de controle. Immers, indien er niet adequaat is geautomatiseerd dient er een klassieke controle plaats te vinden en zal er om het systeem heen gecontroleerd moeten worden (indien mogelijk). Indien de onderneming wel goed is geautomatiseerd, zal de controle efficiënt uitgevoerd kunnen worden: een beloning voor de inspanningen van de onderneming.

3. Systeemgerichte werkzaamheden

Op basis van het controleplan worden systeemgerichte werkzaamheden uitgevoerd. De IT-auditor voert samen met de IT First-accountant de lijncontroles uit door samen met de cliënt te zitten aan het scherm – een waarneming ter plaatse dus.

Dit is wellicht het meest krachtige maar ook het minst gebruikte controlemiddel. Accountants zijn helaas nog steeds geneigd andere controlemiddelen in te zetten. Met name de herhaling van werkzaamheden, narekenen van uitkomsten of verificatie zijn populair. Nog te veel wordt er geen toetsing gedaan van de application controls (test of control), maar wordt er vastgesteld dat een transactie goed is verwerkt (detailcontrole of substantive test). Volgens de AFM heeft u dan een onjuiste controle uitgevoerd.

Met een waarneming ter plaatse stelt u zowel het bestaan van de beheersingsmaatregel vast (test of control) maar doet u ook meteen een substantive test. En dit is echt niet moeilijk. Aan de hand van loggingbestanden stelt de IT-auditor de werking vast van de relevante IB maatregelen. Niet van slechts 25 items, maar van de hele database gedurende het hele jaar. De IT-auditor kan bij het uitvoeren van van deze werkzaamheden data-analyse als controletool gebruiken, waarbij de vastleggingen vanuit de lijncontrole prima aanknopingspunten bieden om tot een juiste en volledige analyse te komen.

4. Evaluatie en eventuele aanpassing controleplan

Na de uitvoering van de testen evalueren de IT-auditor en de accountant in hoeverre het controleplan veranderd moet worden: zijn de relevante controlemaatregelen op werking getoetst. Is er nog meer met IT te controleren of moeten/kunnen er test of controls worden uitgevoerd buiten het systeem om?

In samenwerking met de IT-auditor, test de accountant de werking van de relevante IT interne controles met behulp van bestandsanalyses. Hierbij wordt de gehele administratie ingelezen (steekproefomvang dus de hele populatie) en vindt er rapportage op uitzonderingen plaats. De IT First-accountant maakt een analyse van de uitzonderingsrapportages (effect op controle aanpak bepalen etc) en voert tenslotte de handmatige controles uit.

Indien de controleaanpak wordt gewijzigd, kan er wederom overleg met de directie van de onderneming plaatsvinden. Immers, de interne beheersing in de IT blijkt toch anders te zijn dan de directie dacht. Ook weer een mooi adviesmoment.

5. Afronding

Bij de afronding van de interim controle bepalen de accountant en IT-auditor samen wat nog moet worden uitgevoerd met de balanscontrole. Want, veel balanscontroles zijn goed uit te voeren met IT tools, zoals IDEA. Denk bijvoorbeeld aan afloop controle debiteuren of voorzieningen, beoordelen memoriale boekingen, slimme cijferanalyses (omlooploopsnelheden), voortgezette controles in het nieuwe boekjaar. Er is veel meer mogelijk dan de traditionele accountant denkt en er hoeft veel minder gedaan te worden dan de traditionele accountant doet.

De boodschap moge duidelijk zijn. De accountant moet een IT First-accountant worden en de IT-auditor een moderne IT-auditor, want alleen dan kan de controle worden uitgevoerd in overeenstemming met de standaarden en de aanwijzingen van de AFM.

Robert Johan RE CISSP, directeur / IT-auditor bij Soll-IT. Soll-IT ondersteunt accountantskantoren bij inzet van IT-audit bij de controle. Robert Johan is docent IT-audit bij het SRA .

Charles Rabe RA, partner bij Horlings Accountants tevens verantwoordelijk voor audit bij commissie vaktechniek. Docent Post Master Accountancy Nyenrode, Financial auditing. Horlings is een middelgroot MKB accountants kantoor in Amsterdam met een vergunning voor het uitvoeren van wettelijke controles. Onder begeleiding van SOLL-IT heeft Horlings Accountants in Amsterdam een aantal jaren geleden IT First ingevoerd. Mede door IT FIRST, is Horlings Accountants in de review door het SRA (namens AFM) in het najaar van 2014 met een 1 (goed) beloond.