Accountants en IT IT Audit geïntegreerd in de controleaanpak Agenda Problemen Discussie Nieuwe aanpak 2-6-2014 2 Lessons learned www.refine-it.nl Agenda Directeur van Refine-IT B.V. Partner/aandeelhouder Visser & Visser AccountantsBelastingadviseurs Master/Postmaster Accountancy (RA) Nyenrode Executive Master IT Auditing Erasmus University Projectleider IT Integrated Audit Approach, Studierapport van NBA en NOREA Voorzitter IT Auditkring SRA, docent SRA Lid kennisgroep NBA ‘Continuous Auditing, Continuous Monitoring, Process Mining en DataAnalyse’ Vice-voorzitter Stichting Tuacc Innovatielab Auteur/docent SRA, Kluwer/Accountancynieuws AFM toetst accountants 2-6-2014 4 www.refine-it.nl AFM toetst accountants: • Rapportage 1: Big4 accountants (met eigen IT Audit afdelingen!) • Rapportage 2: OOB-kantoren, non big 4 (met eigen IT Audit afdelingen?) • Rapportage 3: Non-OOB, non SRA, NBA-kantoren (geen eigen IT Audit afdeling, maar wel ingehuurd?) • Rapportage 4: Non-OOB, SRA kantoren (geen eigen IT Audit afdeling, maar wel ingehuurd?) 2-6-2014 5 www.refine-it.nl Conclusie AFM in 4 rapportages • Accountant heeft onvoldoende kennis van IT om de organisatie goed te kunnen controleren, maar past het controleteam daar niet op aan • De AFM vindt dat het stelsel van kwaliteitsbeheersing meer moet afdwingen dat externe accountants, indien nodig, IT-deskundigen inzetten voor hun accountantscontrole; dit geldt zowel voor deskundigen die binnen de accountantsorganisatie aanwezig zijn als voor externe deskundigen. • Accountant heeft onvoldoende de beheersingsomgeving van organisatie in kaart gebracht, inclusief de relevante informatiesystemen, onderliggende infrastructuur en IT beheersprocessen • Accountant kiest daarom soms ten onrechte een sterk gegevensgerichte aanpak • In deze aanpak wordt wel impliciet gesteund op beheersingsmaatregelen in de informatiesystemen, zonder dat deze getest zijn 2-6-2014 6 www.refine-it.nl Onbegrip tussen accountant en IT Auditor 2-6-2014 7 www.refine-it.nl Discussie komt tot een hoogtepunt… 8 Aanleiding van de discussie… Age-Jan van der Meer / Ivo Kouters “In de praktijk van vandaag wordt voor de jaarrekeningcontrole nog veel gegevensgericht werk verricht. Jaar in jaar uit. Veelal komt dit voort uit koudwatervrees en slechte ervaringen met IT-audit in het kader van de controle. Dikke rapporten over IT general controls, waarbij de relatie met posten van de jaarrekening ver is te zoeken, dragen niet bij aan het laten ‘vliegen’ van audit integration. Toch is daarmee een auditrevolutie te realiseren.” 9 Niet geheel onbegrijpelijk… Dit is verklaarbaar omdat IT-auditors gemiddeld genomen: • als zeer duur worden ervaren; • een technische insteek hebben met te weinig aandacht voor de processen van de klant; • te dogmatisch zijn over in welke gevallen en hoe IT-audit moet worden ingezet voor de controle; • niet onderkennen dat bij grofweg driekwart van de mkb-klanten met audit integration geen enkel voordeel kan worden behaald; • te weinig kennis hebben van boekhouden en de manier van controleren door een accountant, waardoor zij voor de accountant onvoldoende sparringpartner zijn; • te solistisch bezig zijn met het afwerken van lijstjes om algemene informatie te vergaren over de IT-omgeving; • over matige communicatieve vaardigheden beschikken; • te laat in de controle beginnen met hun werkzaamheden; • niet goed zijn in het overtuigen van zowel de klant als de accountant waarom bepaalde zaken moeten worden beoordeeld; • niet goed zijn in het uitleggen wat de consequenties van uitgevoerde werkzaamheden zijn voor de werkzaamheden van de accountant. 10 …lokt reacties uit… Prof. Kocks “Mijn aantoonbare stelling is dat een IT auditor niets te zoeken heeft bij de jaarrekeningcontrole. De accountant is daarvoor opgeleid en niet de IT auditor.” “Het fabeltje dat voor de jaarrekeningcontrole IT audit of IT audit deskundigheid nodig is moet maar eens de wereld uit.” 11 …forse stellingnames… Frans Kersten RE RA “Mijn beeld is dan ook dat op dit moment de meeste accountants onvoldoende kennis hebben van IT. Op grond van hun gedragscode zouden ze dus een inschatting moeten maken van de impact van deze dreiging en daar passende maatregelen bij moeten nemen. Bij degenen die dan nog wel kennis bezitten, vraag ik mij af of dat voldoende is gegeven de enorme complexiteit van het huidige IT-landschap.” 12 …principiele stellingnames… Jan Matto IT-auditors onderzoeken de ICT-werkelijkheid. Een werkelijkheid die bestaat uit samenhangende systeemlagen en componenten. Veelal in netwerken verbonden. In deze ICT-werkelijkheid geldt grofweg dat de zwakste schakel de sterkte van de gehele keten bepaalt. Een risico-analytische benadering gebaseerd op relevantie van data en jaarrekeningposten past hier niet binnen. De gelaagde en genetwerkte ICT-werkelijkheid raakt immers alle data en alle jaarrekeningposten. IT is van vitaal belang voor de bedrijfsvoering en inmiddels voor de gehele maatschappij. Bedrijven en overheidsorganisaties onderkennen deze risico's en vragen IT-auditors rechtstreeks om assurance. Accountants kunnen vervolgens steunen op rapportages van deze IT-auditors, die niet geremd zijn door doelfixatie en scopevernauwing vanuit de financial audit. Een bijkomend voordeel: ITauditkosten vallen weg binnen de jaarrekeningcontrole. Een bijzonder gevaar van audit integration is dat de accountant zijn maatschappelijke en economische problemen exporteert naar de IT-auditor en meer assurance in het IT-domein claimt 13 dan dat hij ooit kan waarmaken. …verzuchting… Pieter de Kok “Ik smacht naar het Tuacc (ism anderen) MKB IT Audit stuk:) Hiernaast algemene observatie: maken de discussie wel erg ingewikkeld hoor. Mijn hemel. We hebben Audit (mooiste vak), we hebben IT Audit (volgens vele ook een mooi vak) en we hebben een raakvlak rondom de jaarrekening, gemene deler, wat, iets van 10% (iets in het midden). Er zijn genoeg accountants die dat al prima onderkennen, prima met elkaar samenwerken in het veld. Je kan linksom (systeemfocus: itgc, application ) of rechtsom (gegevensgericht obv oa totaalverbandcontroles, in combi met analyse exceptions, lekken, ruis etc). Uiteindelijk kom je op zelfde punt uit. Je spart met IT audit m/v en klaar. Vervolgens gaat die IT auditor weer 90% van energie steken in andere prachtige dingen die geen verband houden met die achterhaalde jaarrekeningcontrole.” 14 …en oplossingen… Fouk Tsang “IT auditing is niet het doekje voor het bloeden dat de accountant veel te weinig kennis heeft van IT. Schakel de IT auditor in als echte deskundige met zijn eigen verantwoordelijkheid. En de accountant zal zelf terug moeten naar de collegebanken voor een verplichte meerjarige studie over ICT.” 15 Tijd voor een stap vooruit! 2-6-2014 16 www.refine-it.nl IT geintegreerde controleaanpak voor het MKB 2-6-2014 17 www.refine-it.nl Studierapport (lang verwacht, toch gekomen) NBA TUACC 2-6-2014 18 NOREA www.refine-it.nl Studierapport IT Integrated Audit Approach • Publicatie in juni 2014 • Product van een groep bevlogen vrijwilligers van zowel RA als RE bloedgroep • Gericht op het concreet verder brengen van de dagelijkse auditpraktijk en daarmee ook klanten van deze praktijken Ambitie: een bescheiden, maar concrete en echte stap verder! 2-6-2014 19 www.refine-it.nl Opbouw van het studierapport K E RN ELEMEN T EN VE R DUIDELIJK IN GEN • Integrale uitwerking • Grote lijn in een thinkchart • Referenties naar de NV Cos • Voorbeelden en tips in aparte kaders • Uitwerking van: • Documentatie • Communicatie • Voorbeeldvastleggingen • Ondersteunende lijsten of checklists Gericht op het integreren van IT in de controleaanpak van de controlerend accountant in de (grote) MKB-praktijk Gericht op analyseren en integreren van benodigde IT-kennis in het team, al dan niet via een IT Auditor 2-6-2014 21 www.refine-it.nl 2-6-2014 22 www.refine-it.nl 2-6-2014 23 www.refine-it.nl 2-6-2014 24 www.refine-it.nl Lessons learned 2-6-2014 25 www.refine-it.nl Planning • Integreer IT-kennis al voor de start in het team • Neem de tijd voor risicoanalyse, discussie en bepalen controle-aanpak • Plan vroegtijdig IT gerelateerde werkzaamheden in bij teamlid en klant 2-6-2014 26 www.refine-it.nl Ken je klant • Weet exact hoe alle relevante processen lopen, ook door het systeem heen • Weet hoe de beheersing van IT wel (of niet) geregeld is • Documenteer dit concreet en duidelijk 2-6-2014 27 www.refine-it.nl Wat moet ik doen aan die General It Controls? • Altijd in relatie met de ITcontrols • Geen zelfstandig object van controle • Opzet, bestaan en werking • Tekortkomingen moeten altijd terugvertaald (kunnen) worden naar gevolgen voor de jaarrekeningcontrole 2-6-2014 28 www.refine-it.nl IT Integrated Audit Approach: 2 smaken IT FIR ST A A NPA K D ATA F I R S T A A NPA K • Goede analyse van processen, systemen, data, IT-omgeving en general IT controls • Goede analyse van processen, systemen, data, IT-omgeving en general IT controls • Controls in systemen zijn leidend voor de aanpak • Datasets en datastromen zijn leidend voor een gegevensgerichte aanpak • Nadruk op werkende general IT controls • General IT controls zijn alleen randvoorwaardelijk voor de gehanteerde data 2-6-2014 29 www.refine-it.nl Bedankt voor uw aandacht! 2-6-2014 30 www.refine-it.nl