Skip to main content

Themes

Audit & Assurance

Integrated audit: een uitdaging voor de auditor?

Als gevolg van de inwerkingtreding van de Sarbanes-Oxley Act 404 (SOX 404) voor Nederlandse instellingen met een Amerikaanse beursnotering worden door de Public Company Accounting Oversight Board (PCAOB) eisen gesteld aan de werkzaamheden van de externe accountant. De externe accountant dient naast de controle van de jaarrekening tevens de verantwoording van het management te beoordelen en een eigen verklaring af te geven betreffende de effectiviteit van de ‘internal controls’ ten aanzien van de financiële verslaggeving. Grote vraag die wij ons als beroepsgroep moeten stellen is: ‘Hoe kan voorkomen worden dat de controlekosten de pan uitrijzen?’ en dus ‘Welke mogelijkheden zijn er om een efficiënte integrated controleaanpak neer te zetten bij onze klanten?’ Dit is ons inziens de uitdaging voor de komende periode. Een belangrijke voorwaarde hierbij is een intensieve samenwerking tussen de financiële accountant en de IT-auditor in een zo vroeg mogelijk stadium van de controle. Maar ook het uitwerken van een goede scoping op basis van een ‘risk based approach’ is hierbij van belang.

Inleiding

De uitdaging bij het uitvoeren van een integrated audit is het opzetten van een doordachte en efficiënte controleaanpak. Hierbij dienen aspecten zoals een deugdelijke grondslag en de hoogte van de controlekosten mede in ogenschouw te worden genomen. Het begrip integrated auditing wordt binnen de accountancy op verschillende wijzen geïnterpreteerd. In dit artikel zullen wij een nadere toelichting geven over onze definitie van integrated auditing. De eerste ervaringen van de implementatie van Auditing Standard No. 2 bij met name grote Amerikaanse ondernemingen waren niet positief, dat wil zeggen dat de controles uitgevoerd sinds de implementatie vaak niet zo effectief en efficiënt zijn uitgevoerd als bedoeld in de Auditing Standard. Dit heeft weer geleid tot hogere kosten. Het belang van het neerzetten van een effectieve en efficiënte controleaanpak integrated audit is derhalve evident en wordt in dit artikel verder uitgewerkt. Hierbij zal worden stilgestaan bij de verschillen en overeenkomsten met de reguliere jaarrekeningcontrole. Aanvullend wordt het belang van een meer geïntegreerde teamsamenstelling (financial en IT-auditor) voor het optimaliseren van de integrated audit nader toegelicht. Het artikel heeft als uitgangspunt ondernemingen waarbij een zekere mate van automatisering voor de bedrijfsvoering aanwezig is.

Inleiding integrated audit

Het begrip integrated audit

Integrated auditing is een begrip dat al enige tijd wordt gehanteerd in de praktijk wanneer verschillende auditdisciplines samenwerken of wanneer verschillende auditvormen worden gecombineerd. Denk bijvoorbeeld aan de samenwerking externe accountant met IT-auditor, of de samenwerking externe accountant met interne accountant, maar men kan ook denken aan de combinatie operational, financial en IT-audit. Door de Sarbanes-Oxley Act 404 heeft het begrip weer een betekenis extra gekregen. In deze paragraaf willen wij kort stilstaan bij het begrip integrated audit in het kader van die wet.

Artikel 404 van de Sarbanes-Oxley Act vraagt een onderzoek naar de ‘internal control over financial reporting’ door het management en de externe accountant. Sinds jaar en dag verricht de accountant onderzoek naar de financiële positie, de financiële resultaten en de kasstromen, resulterend in een periodieke verantwoording daarvan in de jaarrekening. De controle van interne beheersing kan niet los worden gezien van de controle van de jaarrekening. Op grond van de regelgeving naar aanleiding van de Sarbanes-Oxley Act dient dezelfde accountant daarom beide controles te verrichten. De combinatie van beide controles wordt de integrated audit genoemd.

Tabel 1 geeft uitgebreid het doel van de integrated audit weer.

C-2006-2-Beugelaar-t01

Tabel 1. Doel integrated audit.

Het doel van een integrated audit is te komen tot een conclusie geformuleerd door de accountant die is bedoeld om het vertrouwen van de beoogde gebruikers in bovenstaande uitkomsten te versterken ([NIVR05]).

De verantwoordelijkheden van de accountant zijn bij een integrated audit niet anders dan bij een reguliere jaarrekeningcontrole, met dien verstande dat bij de integrated audit drie conclusies geformuleerd dienen te worden in plaats van één. Figuur 1 geeft de drie conclusies (‘verklaringen’) schematisch weer ([Buur05]).

C-2006-2-Beugelaar-01

Figuur 1. Conclusies integrated audit.

Op grond van de Sarbanes-Oxley wet is in de Verenigde Staten een toezichthoudend orgaan opgericht, de Public Company Accounting Oversight Board (PCAOB). De PCAOB heeft in maart 2004 een controlestandaard uitgegeven genaamd ‘An audit of internal control over financial reporting in conjunction with an audit of financial statements’ (Auditing Standard No. 2). In deze standaard zet de PCAOB uiteen op welke wijze een integrated audit door de accountant dient te worden uitgevoerd. Volgens de PCAOB ([PCAO05a]) is een systeem van interne beheersingsmaatregelen sinds geruime tijd de fundering van het verslaggevingsproces van de onderneming alsmede van de jaarrekeningcontrole door de externe accountant. De externe accountant onderzocht in hoeverre gesteund kon worden op dit systeem om een efficiënte controle uit te voeren. Dit onderzoek was echter niet verplicht. Tevens had de externe accountant de mogelijkheid om meer arbeidsintensieve gegevensgerichte werkzaamheden te verrichten indien het systeem van onvoldoende opzet was, niet bestond of niet werkte. Echter, door de invoering van de Sarbanes-Oxley wet en Auditing Standard No. 2 is de keuzemogelijkheid voor de accountant vervallen: het onderzoeken van de opzet, het bestaan en de werking van het systeem van interne beheersingsmaatregelen is verplicht geworden, alsmede het formuleren van een conclusie daarover door zowel het verantwoordelijk management als de externe accountant. Om de werkzaamheden van de accountant onder deze verplichting zo efficiënt mogelijk in te richten heeft de PCAOB in haar Auditing Standard No. 2 de integrated audit geïntroduceerd.

Op 30 november 2005 publiceerde de PCAOB haar onderzoeksrapport naar de initiële implementatie van Auditing Standard No. 2 ([PCAO05b]). Conclusie van het onderzoek is dat de controles uitgevoerd sinds de implementatie vaak niet zo effectief en efficiënt zijn uitgevoerd als bedoeld in de Auditing Standard No. 2. De PCAOB geeft aan dat de uitdagingen zeer groot zijn geweest:

  • Tijdsdruk. De Sarbanes-Oxley wet is op 30 juli 2002 van kracht geworden. Grote Amerikaanse ondernemingen dienden vanaf 15 november 2004 aan artikel 404 te voldoen. Gezien de eisen die aan de onderneming worden gesteld, is deze doorlooptijd kort. Dat heeft tot gevolg gehad dat sommige ondernemingen nog niet gereed waren voor de integrated audit van de accountant met betrekking tot boekjaren eindigend op of na 15 november 2004.
  • Tekort aan personeel zowel bij de ondernemingen als bij de accountantskantoren.
  • Tekort aan geschoold personeel.
  • Achterstallig onderhoud aan het raamwerk van interne beheersingsmaatregelen.

De belangrijkste waarneming ter onderbouwing van de teleurstellende conclusie van de PCAOB betreft de beperkte integratie van de controle van de jaarrekening met de controle van de interne beheersing. De PCAOB verwacht dan ook dat op basis van de opgedane ervaringen een betere integratie mogelijk moet zijn en zal leiden tot effectievere en efficiëntere accountantscontroles en daarmee ook tot lagere kosten voor de ondernemingen.

Relevante wet- en regelgeving

De Public Company Accounting Oversight Board is een private, not-for-profitonderneming, die in het kader van de Sarbanes-Oxley wet is opgericht om toezicht te houden op accountants die beursgenoteerde ondernemingen controleren, met als doel de belangen van de beleggers en het publiek te behartigen bij het opstellen van informatieve, getrouwe en onafhankelijke accountantsverklaringen. De PCAOB heeft inmiddels vier Auditing Standards uitgegeven waarvan Standard No. 2 de belangrijkste is. Belangrijk om op te merken is echter dat de PCAOB toezicht houdt op en regels uitgeeft ten behoeve van accountants. Op grond van de Sarbanes-Oxley wet is de Securities Exchange Commission (SEC) belast met het toezicht op de ondernemingen en is de SEC de instantie die regelgeving verschaft met betrekking tot de ondernemingen. Wat betreft nadere concretisering van de Sarbanes-Oxley wet heeft de SEC tot op heden diverse ‘Frequently asked questions’ en een ‘Staff Statement on Management’s report on Internal Control over Financial Reporting’ uitgegeven. Omdat deze nadere concretisering op bepaalde punten nog steeds vrij beperkt is, wordt door ondernemingen vaak ook gerefereerd aan de PCAOB Standard No. 2.

De regelgevers in de Verenigde Staten hebben verschillende categorieën ondernemingen onderkend die onderhevig zijn aan de Sarbanes-Oxley wet. Op dit moment is het zo dat buitenlandse ondernemingen (d.w.z. niet Amerikaans) met een beursnotering aan de Amerikaanse beurzen moeten voldoen aan de wet op het einde van het eerste boekjaar eindigend na 15 juli 2006.

Kosten SOX 404 compliance

De fasen van een integrated audit zijn in hoofdlijnen gelijk aan de fasen van een reguliere jaarrekeningcontrole (zie hierna). Toch blijkt uit onderzoek dat de impact op de omvang van de werkzaamheden van de accountant in uren uitgedrukt aanzienlijk is. De vier grootste accountantskantoren hebben een onderzoeksbureau gevraagd onderzoek te doen naar de accountantskosten gerelateerd aan de controle van interne beheersing ([Char05]). Het onderzoeksbureau onderzocht negentig grote Amerikaanse ondernemingen. De gemiddelde omzet van deze ondernemingen over 2004 bedroeg 8,1 miljard dollar. De gemiddelde accountantskosten bedroegen 1,9 miljoen dollar extra uit hoofde van de controle van interne beheersing. Een ander onderzoek ([Fole05]) geeft een stijging (ten opzichte van 2003) van de totale accountantskosten aan van 55 procent voor zeer grote huishoudingen tot 84 procent voor kleinere huishoudingen.

Deze toename van de accountantskosten voor de huishoudingen is uiteraard het gevolg van een toename van gewerkte uren door de accountant. Mogelijke verklaringen voor deze toename zijn:

  • Tijdsdruk: dit aspect hebben wij in de vorige opsomming reeds beschreven.
  • Steile leercurve wat betreft de vereisten van de Sarbanes-Oxley wet en de Auditing Standard voor zowel de externe accountants als het management.
  • Onvermogen om de reguliere controle te integreren met de controle van de interne beheersing: wij verwijzen naar de mogelijke oorzaken daarvoor genoemd in het onderzoeksrapport naar de initiële implementatie van Auditing Standard No. 2.

Genoemde toenames hebben betrekking op het controlejaar 2004 ten opzichte van 2003 voor Amerikaanse ondernemingen. De verwachting is dat door een betere integratie van beide controles evenals de toegenomen kennis bij zowel ondernemingen als accountants de accountantskosten ten opzichte van 2004 zullen dalen voor de onderzochte groep ondernemingen.

Controleaanpak integrated audit

Fasering integrated audit

In deze paragraaf wordt aandacht gegeven aan de uitwerking van de fasering van de integrated audit aanpak. De fasering is op hoofdlijnen weergegeven in tabel 2.

C-2006-2-Beugelaar-t02

Tabel 2. Fasering integrated audit.

Deze fasen zijn op hoofdlijnen gelijk aan de fasen van een reguliere jaarrekeningcontrole. Toch blijkt uit onderzoek dat de impact op de omvang van de werkzaamheden van de accountant, alsmede de kosten, aanzienlijk zijn. De achtergrond hiervan hebben wij in voorgaande paragrafen reeds toegelicht. In de paragrafen hierna wordt een nadere toelichting gegeven per fase.

Fase 1. Plannen van de controle

Fase 1 betreft het plannen van de controle. Tijdens deze fase evalueert de accountant het effect van een groot aantal zaken voor de opzet van zijn controle. Deze evaluatie wijkt over het algemeen niet af van de evaluatie die de accountant maakt bij een reguliere accountantscontrole. In deze fase worden onder meer op basis van geïdentificeerde ‘significant accounts’ vanuit de jaarrekening de belangrijke processen bepaald die deze ‘accounts’ voeden. Belangrijk aspect bij het plannen van de controle voor SOX 404 is het bepalen van de scope; dat wil zeggen wordt voldoende ‘coverage’ behaald bij de selectie van de geïdentificeerde ‘significant accounts’ door het selecteren van bedrijfsonderdelen en processen.

Specifieke voorschriften indien de huishouding uit meerdere onderdelen bestaat

Veelal zal de huishouding uit meerdere onderdelen bestaan. Deze onderdelen kunnen geografisch verspreid zijn, waardoor meerdere accountants bij de controle betrokken zijn. De groepsaccountant[Onder ‘groepsaccountant’ wordt verstaan de accountant die verantwoordelijk is voor het afgeven van de accountantsverklaring bij de jaarrekening van een huishouding waarin financiële gegevens van één of meer (groeps)onderdelen zijn verwerkt die door een andere accountant zijn gecontroleerd (Richtlijnen voor de Accountantscontrole, editie 2002).] bepaalt gedurende de planningsfase welke onderdelen object van onderzoek zijn en wat de reikwijdte van het onderzoek is. De overwegingen die een rol spelen bij bovenstaande bepaling in het kader van een jaarrekeningcontrole zijn minder gereguleerd dan bij een integrated audit. De Richtlijnen voor de Accountantscontrole evenals de Amerikaanse Auditing Standards geven slechts zeer beperkt voorschriften voor de bepaling van de objecten van onderzoek. De reikwijdte van het onderzoek zal veelal afhankelijk zijn van het feit of het onderdeel een statutaire jaarrekening dient te laten controleren.

Auditing Standard No. 2 echter staat in een aparte bijlage[Appendix B van de Auditing Standard No. 2.] uitgebreid stil bij huishoudingen die uit meerdere onderdelen bestaan. De onderdelen worden in drie categorieën verdeeld:

  • onderdelen die individueel financieel significant zijn;
  • onderdelen die bijzondere risico’s met zich meebrengen;
  • onderdelen die financieel significant zijn indien samengevoegd met andere onderdelen.

Onderdelen die individueel financieel significant zijn en onderdelen die bijzondere risico’s met zich meebrengen zijn altijd object van onderzoek bij een integrated audit. Onderdelen die financieel significant zijn indien samengevoegd met andere onderdelen zijn object indien zij als groep een mogelijke materiële onjuistheid in de jaarrekening kunnen veroorzaken. Volgens de Auditing Standard No. 2 dient de accountant uiteindelijk de interne beheersingsmaatregelen over een ‘large portion’ van de activiteiten en de financiële positie van de huishouding te onderzoeken. De invulling van de begrippen ‘financieel significant’ en ‘large portion’ wordt vervolgens weer aan het ‘professional judgement’ van de groepsaccountant overgelaten.

In de praktijk wordt als leidraad vaak vijf procent van een relevant kengetal (bijvoorbeeld netto-omzet) aangehouden om de individueel financieel significante onderdelen te bepalen. Over het algemeen beschouwt men het hoofdkantoor van de huishouding als onderdeel dat individueel financieel significant is. Onderdelen die bijzondere risico’s met zich meebrengen kunnen bijvoorbeeld de financieringsmaatschappij of de interne verzekeringsmaatschappij zijn. ‘Large portion’ staat in de praktijk veelal voor zestig tot tachtig procent van de activiteiten en de financiële positie van de huishouding.

De reikwijdte van het onderzoek is afhankelijk van in welke categorie het onderdeel is ingedeeld. Bij onderdelen die individueel financieel significant zijn, dient de andere accountant bijvoorbeeld onder meer alle interne beheersingsmaatregelen met betrekking tot de relevante controledoelstellingen van alle ‘significant accounts’ te onderzoeken. De andere accountant zal bij onderdelen die bijzondere risico’s met zich meebrengen, vooral de interne beheersingsmaatregelen met betrekking tot de betreffende risico’s onderzoeken.

Overigens wijkt de definitie van ‘onderdeel’ zoals gebruikt bij de jaarrekeningcontrole niet af van de definitie zoals gebruikt in de integrated audit. Een onderdeel is over het algemeen een eenheid die afzonderlijk financiële informatie samenstelt, haar eigen administratie voert en unieke interne beheersingsmaatregelen kent ten opzichte van andere eenheden.

Onderdelen die uit meerdere fysieke locaties bestaan

Een onderdeel geselecteerd door de groepsaccountant kan uit meerdere fysieke locaties bestaan. Op deze locaties kunnen interne beheersingsmaatregelen worden uitgevoerd. In het kader van de reguliere jaarrekeningcontrole zal de accountant proberen de controle dusdanig te plannen dat hij met behulp van gegevensgerichte werkzaamheden en mogelijk het testen van enkele centrale toezichthoudende interne beheersingsmaatregelen voldoende bewijs zal vergaren.

Echter, indien interne beheersingsmaatregelen worden uitgevoerd op de diverse fysieke locaties met betrekking tot de relevante controledoelstellingen van significante jaarrekeningposten, zal de accountant in het kader van de integrated audit de werking van deze maatregelen dienen vast te stellen. Uiteraard zal ook bij een integrated audit de accountant proberen te voorkomen dat hij een groot aantal locaties dient te bezoeken, maar dat zal lastiger zijn dan bij de reguliere jaarrekeningcontrole. Uiteindelijk dient de accountant de interne beheersingsmaatregelen over een ‘large portion’ van de activiteiten en de financiële positie van de huishouding te onderzoeken.

Fase 2. Uitvoeren en evalueren van de effectiviteit van het systeem van interne beheersingsmaatregelen

Fase 2 betreft het evalueren van de werkzaamheden die de leiding van de huishouding heeft verricht ten behoeve van haar bewering betreffende de effectiviteit van het systeem van interne beheersingsmaatregelen. Tevens bevat deze fase voor de externe accountant het verkrijgen van inzicht in het systeem van interne beheersingsmaatregelen ten behoeve van de eigen uit te voeren testwerkzaamheden en evaluatie. Deze fase is specifiek voor een integrated audit. In deze fase zullen door de externe accountant derhalve ook eigen werkzaamheden worden uitgevoerd, naast het beoordelen van de door het management uitgevoerde werkzaamheden.

De werkzaamheden voor fase 2 bestaan enerzijds uit het kennisnemen van de resultaten van door het management uitgevoerde testwerkzaamheden, het verkrijgen van kennis van het systeem van de interne beheersingsmaatregelen en het uitvoeren van eigen werkzaamheden. Hiertoe wordt een aantal activiteiten uitgevoerd mede naar aanleiding van de scopebepaling vanuit fase 1. Deze activiteiten betreffen onder meer:

  • Het identificeren van de ‘Company Level Controls’ alsmede het testen van de opzet, het bestaan en de werking van deze controls.
  • Het identificeren van de ‘significant accounts’ (en toelichtingen), van de relevante controledoelstellingen en van de significante transactiestromen.
  • Het verkrijgen van kennis over de informatiesystemen, met inbegrip van de hiermee verband houdende bedrijfsprocessen, voorzover van belang voor de financiële verslaggeving.
  • Het identificeren van de onderdelen van het systeem van interne beheersingsmaatregelen waarvan de effectiviteit van zowel de opzet (inclusief bestaan) als de werking geëvalueerd dient te worden. Hieronder valt ook een onderzoek naar het stelsel van IT General Controls (algemene IT-beheersingsmaatregelen).
  • Het testen van de geïdentificeerde interne beheersingsmaatregelen in opzet, bestaan en werking, alsmede het doen van de evaluatie. Het testen van de opzet en het bestaan kan onder meer plaatsvinden door het uitvoeren van een lijncontrole.

Bij de uitvoering van bovenstaande werkzaamheden dient zoveel mogelijk gebruik te worden gemaakt van door anderen (management of bijvoorbeeld een interne accountantsdienst) reeds uitgevoerde werkzaamheden. De mate van het gebruikmaken van de werkzaamheden van anderen wordt bepaald door een aantal factoren waaronder de onafhankelijkheid en deskundigheid van deze personen.

In onderstaande subparagrafen wordt kort ingegaan op een aantal specifieke activiteiten in de integrated audit.

Company Level Controls

‘Company Level Controls’ zijn te omschrijven als interne beheersingsmaatregelen die betrekking hebben op de onderneming als geheel in plaats van op specifieke processen, transacties en/of systemen. De Auditing Standard No. 2 geeft aan dat het COSO-raamwerk ([Coso]) geschikt is, maar ook ‘Guidance on Assessing Control’ van het Canadese instituut (CICA) en het ‘Turnbull-rapport’ opgesteld door het Engelse instituut (ICAEW) zijn geschikt bevonden. Een dergelijke verplichting voor de leiding om een raamwerk te kiezen en toe te passen is specifiek voor ondernemingen die onderhevig zijn aan integrated audits. De accountant dient de keuze en toepassing te betrekken in zijn onderzoek.

Het COSO-raamwerk neemt ook in de reguliere jaarrekeningcontrole een belangrijke plaats in als raamwerk voor de accountant om de effectiviteit van de interne beheersing te toetsen. Deze beoordeling is een standaardonderdeel van de reguliere jaarrekeningcontrole. Ook veel internationaal opererende ondernemingen zullen een algemeen aanvaard raamwerk als het COSO-raamwerk hanteren. Toch is de expliciete eis in Auditing Standard No. 2 nieuw en een punt waarop de integrated audit afwijkt van de reguliere jaarrekeningcontrole.

Indien het COSO-raamwerk is gekozen voor het beoordelen van de effectiviteit van de interne beheersing, betreft het vooral de vier componenten: beheersingsomgeving, risico-inschattingsproces, informatiesysteem en de communicatie, alsmede het toezicht op de werking van de beheersingsmaatregelen. Het identificeren, begrijpen en evalueren van de opzet en het bestaan van deze beheersingsmaatregelen is bij een integrated audit het startpunt van het onderzoek. Het dwingt de accountant tot een top-down benadering. De reden hiervoor is dat de effectiviteit van deze beheersingsmaatregelen doorgaans veel impact heeft voor het stelsel van beheersingsmaatregelen op proces-, transactie- of applicatieniveau. De uitkomst van de eerdergenoemde evaluatie heeft daardoor invloed op de verdere bepaling van de aard, de tijdsfasering en de omvang van de controlewerkzaamheden. In het kader van een integrated audit is het identificeren, begrijpen en evalueren van de opzet en het bestaan van deze beheersingsmaatregelen in geen enkel geval voldoende. Ook de effectieve werking van de interne beheersingsmaatregelen dient te worden vastgesteld, inclusief de ‘Company Level Controls’.

Identificatie van te testen interne beheersingsmaatregelen

In deze subparagraaf wordt stilgestaan bij de invulling van de activiteiten voor de tweede tot en met vierde bullet. In de praktijk hebben wij gezien dat ondernemingen veel tijd en energie hebben moeten steken in het identificeren van de processtappen, risico’s en significante beheersingsmaatregelen (‘key controls’). Veelal kwam dit voort uit het feit dat duidelijke procesbeschrijvingen niet aanwezig waren of verouderd waren, dan wel onvoldoende kennis aanwezig was hoe processen daadwerkelijk worden uitgevoerd binnen de organisatie en welke ‘key controls’ aanwezig zijn om de risico’s te beheersen. Ook hebben wij geconstateerd dat in hooggeautomatiseerde omgevingen, door gebrek aan kennis en ervaring binnen de organisatie, significante beheersingsmaatregelen ten onrechte als handmatige beheersingsmaatregelen zijn geïdentificeerd. Dit heeft als gevolg dat de ‘sample size’ voor het testen van de werking van een handmatige beheersmaatregel kan oplopen tot dertig à zestig keer testen.

C-2006-2-Beugelaar-02

Figuur 2. Typen beheersingsmaatregelen.

In figuur 2 trachten wij te benadrukken dat verschillende typen beheersingsmaatregelen geïdentificeerd kunnen worden, te weten ‘application controls’, ‘manual controls’ en ‘IT general controls’. De verantwoordelijkheid voor de uitvoering van deze beheersingsmaatregelen is in de praktijk op verschillende plaatsen binnen de organisatie belegd. Het beheer van de technische IT-infrastructuurcomponenten (besturingssysteem, netwerk en databasemanagementsysteem) is veelal belegd binnen een IT-rekencentrum. Het beheer van de bedrijfsprocessen en de applicaties wordt veelal uitgevoerd binnen de operationele bedrijfsafdelingen. Het uitvoeren en testen van de verschillende typen beheersingsmaatregelen vindt derhalve door verschillende disciplines plaats binnen de klantorganisatie, hetgeen ook gevolgen heeft voor de uitvoering van het werk bij de externe accountantskantoren. Een dergelijke aanpak vraagt om een teamsamenstelling waarbij IT-auditors en financial auditors betrokken zijn.

Bij de uitvoering van de integrated audit is het verplicht om een systeemgerichte controleaanpak te hanteren. De algemene IT-beheersingsmaatregelen zijn derhalve onderwerp van onderzoek zodra de accountant steunt op beheersingsmaatregelen uitgevoerd door een applicatie en/of zodra de accountant gebruikmaakt van rapporten uit een IT-applicatie. Het onderzoek dat de accountant vervolgens verricht naar de opzet, het bestaan en de werking van de algemene IT-beheersingsmaatregelen wijkt bij een integrated audit niet af van de reguliere jaarrekeningcontrole. Belangrijker nog is om te onderkennen dat ook de ‘application controls’ getest moeten worden. In de praktijk zien wij dat hier nog een verbetering in aangebracht dient te worden voor wat betreft de invulling ervan.

Ten behoeve van een effectieve en efficiënte integrated-auditaanpak zijn wij van mening dat bij de bepaling van de relevante ‘key controls’ aan de bedrijfsprocessenzijde een samenwerking tussen financial en IT-auditor onontbeerlijk is. Dit mede ter bepaling en herkenning van de juiste mix aan ‘application controls’ en ‘manual controls’. Een organisatie die in belangrijke mate gebruikmaakt van geautomatiseerde systemen en de daarin opgenomen geprogrammeerde controles ter ondersteuning van de voor haar financiële rapportage belangrijke processen, kan efficiencyvoordelen realiseren in de mate van uit te voeren testwerkzaamheden.

Bij onze klanten kunnen zich situaties voordoen waarbij een ‘application control’ geïmplementeerd is die geldt voor elke gedane transactie. Een voorbeeld hiervan is een controle op een verkooptransactie waarbij de betalingstermijn van dertig dagen wordt overschreden. Het systeem zorgt ervoor dat dit gesignaleerd wordt zodat het aanmaningsproces gestart kan worden en dat een eventuele voorziening voor oninbare debiteuren wordt getroffen. Ten behoeve van het testen van deze geprogrammeerde applicatiecontrole kan het draaien van een systeemquery en het beoordelen van de systeemparameter een testtechniek zijn. Hiermee kan worden vastgesteld of de ‘application control’ functioneert. Wanneer tevens is vastgesteld dat de IT general controls ten aanzien van met name ‘program changes’ en ‘access to programs and data’ effectief zijn zodat de geprogrammeerde controle niet ongeautoriseerd aangepast kan worden, dan volstaat een test (deelwaarneming) van één. Ook behoeft deze niet jaarlijks getest te worden, maar kan worden volstaan met ‘benchmarking’ en het jaarlijks vaststellen dat de IT general controls voor met name ‘program changes’ en ‘access to programs and data’ voor deze geautomatiseerde applicatiecontrole effectief zijn en getest worden. Tevens dient de auditor vast te stellen dat de geprogrammeerde controle inhoudelijk niet gewijzigd is ten opzichte van de laatste keer dat deze getest is. Dit zien wij als onderdeel van het change-managementproces.

Geautomatiseerde applicatiecontroles kunnen onder meer bestaan uit calculaties, boekingsschema’s naar jaarrekeningposten, het genereren van (verschillen)rapportages, en het signaleren van geprogrammeerde systeemsettingoverschrijdingen (stuurparameters). Het testen van deze controles kan bijvoorbeeld plaatsvinden door het herberekenen of opnieuw aanleveren van een transactie en nagaan of de resultaten kloppen.

Een belangrijk verschil tussen de integrated audit en de reguliere jaarrekeningcontrole betreft de situatie dat in een reguliere controle de accountant kan besluiten om bijvoorbeeld om een applicatie heen te controleren. In geval van de integrated audit dient de accountant zich ook een opinie te vormen over de effectiviteit van belangrijke applicatiecontroles en deze derhalve ook te testen.

Testen van de geïdentificeerde beheersingsmaatregelen

De accountant heeft ten behoeve van de uitvoering van het testen van de opzet, het bestaan en de werking verschillende testtechnieken ter beschikking, zoals het doen van interviews, het doen van waarnemingen ter plaatse, het uitvoeren van cijferbeoordeling en verbandscontroles, het uitvoeren van een lijncontrole, het beoordelen van ontvangen documentatie en het draaien van systeemqueries met behulp van auditsoftware. Deze testtechnieken zijn in een integrated audit hetzelfde als bij een reguliere jaarrekeningcontrole. Derhalve ook hier ‘niets nieuws onder de zon’.

Ook voor wat betreft het testen van de opzet, het bestaan en de werking en de te nemen aantallen steekproeven geldt dat voor de integrated audit wordt aangehaakt bij de reeds bestaande richtlijnen voor de reguliere jaarrekeningcontrole.

Waar wij wel een voordeel zien ten opzichte van de reguliere jaarrekeningcontrole is het feit dat het management onder SOX 404 zelf ook testwerkzaamheden uitvoert, waar de externe accountant onder bepaalde voorwaarden gebruik van mag maken. Dit betekent een besparing aan testinspanning voor de externe accountant.

Ten aanzien van de evaluatie van de testwerkzaamheden wordt in het kader van de integrated audit de bewering door de leiding van de huishouding betreffende de effectiviteit van het systeem van interne beheersingsmaatregelen beoordeeld en wordt door de externe accountant ‘The auditors’ opinion on effectiveness of ICoFR’ verstrekt.

Fase 3. Planning en uitvoering van gegevensgerichte werkzaamheden

Waarom deze fase in een integrated audit? Het onderzoeken van de opzet, het bestaan en de werking van het systeem van interne beheersingsmaatregelen is toch verplicht geworden? Klopt, maar het doel van een integrated audit is te komen tot meer dan alleen een conclusie met betrekking tot het systeem van interne beheersingsmaatregelen. Ook de financiële positie, de financiële resultaten en de kasstromen zijn object van onderzoek. Indien het systeem niet effectief is in opzet of werking kunnen aanvullende gegevensgerichte werkzaamheden nodig zijn om toereikend controlebewijs in het kader van de reguliere jaarrekeningcontrole te verzamelen.

Van belang in dit kader is het feit dat de jaarrekening betrekking heeft op een boekjaar. De bewering betreffende de effectiviteit van het systeem van interne beheersingsmaatregelen door management en accountant heeft echter betrekking op de situatie per einde boekjaar. Dat betekent dat het systeem gedurende een periode van het jaar niet effectief kan zijn geweest, maar het management deze ineffectiviteit gerepareerd kan hebben per einde boekjaar, waardoor zowel haar bewering als de bewering van de externe accountant goedkeurend kan zijn.

Ondanks het feit dat het onderzoek naar het systeem van interne beheersingsmaatregelen verplicht is, zal de externe accountant altijd beperkte gegevensgerichte werkzaamheden verrichten in het kader van de controle van de jaarrekening. Voorbeelden van dergelijke werkzaamheden zijn het verrichten van afsluitende cijferbeoordeling en het aansluiten van de jaarrekening op de saldibalans.

Conclusie is dat de gegevensgerichte werkzaamheden worden uitgevoerd ten behoeve van de reguliere jaarrekeningcontrole, en niet in het kader van het systeem van interne beheersingsmaatregelen.

Fase 4. Komen tot een conclusie

Een effectief systeem van interne beheersingsmaatregelen verkleint in belangrijke mate de kans op menselijke fouten, verkeerde beslissingen, het doelbewust omzeilen van beheersingsmaatregelen door werknemers en managers en het zich voordoen van onvoorziene omstandigheden. Het kan echter in geen geval absolute zekerheid bieden tegen het niet realiseren van ondernemingsdoelstellingen, noch kan het alle onjuistheden van materieel belang, verlies, fraude en overtredingen van wetten of regels voorkomen. Het systeem kan volgens COSO als effectief worden beschouwd als het management en de leiding een redelijke zekerheid hebben dat:

  • zij op de hoogte zijn van de mate waarin de operationele doelstellingen van de onderneming zijn bereikt;
  • de gepubliceerde financiële rapportages betrouwbaar zijn opgesteld;
  • de organisatie zich houdt aan de van toepassing zijnde wetgeving en regels.

Interne beheersing is een proces, zoals blijkt uit de definitie van COSO. In dit proces moet de onderneming vaststellen dat de interne beheersingsmaatregelen qua opzet, bestaan en werking adequaat en effectief zijn. De mate van adequaatheid is echter een staat waarin het proces verkeert op een bepaald moment in de tijd. Om te bepalen of het systeem effectief gewerkt heeft gedurende het gehele boekjaar zal er op meerdere momenten een evaluatie moeten plaatsvinden. Dit houdt in dat een adequaat en effectief systeem van interne beheersingsmaatregelen procedures omvat die ervoor zorgen dat onder andere de belangrijke tekortkomingen of zwakke punten in het systeem worden gemeld.

Een belangrijk verschil tussen de reguliere jaarrekeningcontrole en de integrated audit is de periode van effectieve werking. De accountant verricht bij een jaarrekeningcontrole systeemgerichte werkzaamheden indien zijn risico-inschatting mede omvat een verwachting ten aanzien van de effectieve werking van de interne beheersingsmaatregelen of indien het uitvoeren van uitsluitend gegevensgerichte werkzaamheden geen toereikende controle-informatie oplevert ([NIVR05b]). Deze werkzaamheden worden zodanig uitgevoerd dat de accountant zekerheid verkrijgt omtrent de doorlopende werking van de maatregelen gedurende de verslaggevingsperiode. Echter, in het kader van een controle van interne beheersing zoals opgenomen in de Sarbanes-Oxley wet is het vaststellen van de werking op een bepaald moment van belang. Dat moment is het einde van de verslaggevingsperiode (voor Nederlandse huishoudingen meestal 31 december). Het gaat dus om een momentopname.

Dat betekent dat tekortkomingen geconstateerd door de leiding en/of accountant gedurende de verslaggevingsperiode mogelijk nog gerepareerd kunnen worden en dus geen invloed kunnen hebben op de uiteindelijke accountantsverklaring (inzake de interne beheersing). Bij een reguliere jaarrekeningcontrole zal de accountant bij belangrijke tekortkomingen overgaan op gegevensgerichte werkzaamheden of de strekking van zijn accountantsverklaring aanpassen.

Ondanks het feit dat de controle van interne beheersing zich beperkt tot een momentopname dienen de interne beheersingsmaatregelen wel een bepaalde periode te bestaan en te werken. De lengte van deze periode is afhankelijk van de aard en de frequentie van de maatregel. Als stelregel voor de lengte wordt veelal genomen een dusdanige periode dat de accountant in staat is zijn minimale steekproefomvang te waarborgen.

Tekortkomingen in de interne beheersing

Een tekortkoming bestaat indien de opzet, het bestaan of de werking van een interne beheersingsmaatregel onder normale omstandigheden het management of personeel niet in staat stelt onjuistheden tijdig te voorkomen of te ontdekken. Tijdens diverse fasen van de controle kan de accountant tekortkomingen in de interne beheersing constateren. Gedurende het evalueren van de effectiviteit van de werking van het systeem van interne beheersingsmaatregelen kan de accountant ook uitzonderingen tegenkomen. Een uitzondering doet zich voor indien tijdens de evaluatie van de deelwaarneming blijkt dat een interne beheersingsmaatregel niet werkt zoals bedoeld is. Onder bepaalde voorwaarden is de deelwaarneming uit te breiden om toch te kunnen concluderen dat de maatregel effectief werkt, maar over het algemeen dient de accountant te concluderen dat er sprake is van een tekortkoming.

De Auditing Standard No. 2 kent drie varianten van tekortkomingen:

  • tekortkomingen;
  • significante tekortkomingen;
  • ‘materiële tekortkomingen’ (‘material weaknesses’).

De ernst van de geconstateerde tekortkoming is afhankelijk van de mogelijkheid dat de tekortkoming leidt tot een onjuistheid in de jaarrekening. Bij een controle van interne beheersing is de mogelijkheid van onjuistheden van belang en niet of zich daadwerkelijk onjuistheden hebben voorgedaan. Om de accountant te ondersteunen bij zijn inschatting van de ernst van de geconstateerde tekortkoming hebben de negen grootste Amerikaanse accountantskantoren een raamwerk ontwikkeld ([Fram04]). Dit raamwerk geeft beslissingsbomen voor de volgende bevindingen:

  • Geconstateerde uitzonderingen: wanneer is er sprake van een tekortkoming?
  • Geconstateerde tekortkomingen op proces- en transactieniveau: wanneer is er sprake van een significante tekortkoming of zelfs van een ‘material weakness’?
  • Geconstateerde tekortkomingen betreffende de algemene IT-beheersingsmaatregelen: wanneer is er sprake van een significante tekortkoming of zelfs van een ‘material weakness’?
  • Geconstateerde tekortkomingen betreffende interne beheersingsmaatregelen die betrekking hebben op de huishouding als geheel: wanneer is er sprake van een significante tekortkoming of zelfs van een ‘material weakness’?

Behalve genoemd raamwerk bevat de Auditing Standard No. 2 zelf enkele omstandigheden waarin sprake is van minstens een significante tekortkoming, mogelijk zelfs een ‘material weakness’. Voorbeelden van dergelijke omstandigheden zijn het herstel van fouten in de jaarrekening (na vaststelling van de jaarrekening), het ontdekken van een materiële onjuistheid in de concept-jaarrekening door de accountant, en ineffectief toezicht op de externe verslaggeving door het Audit Committee.

Alle geconstateerde tekortkomingen dienen door de leiding van de huishouding en door de accountant beoordeeld te worden op hun ernst. Deze beoordeling vindt plaats per tekortkoming, maar ook gecombineerd. Ter illustratie: de accountant kan meerdere significante tekortkomingen hebben geconstateerd die individueel bezien niet zullen leiden tot de reële mogelijkheid dat een materiële onjuistheid in de jaarrekening niet wordt voorkomen of geconstateerd. Indien deze significante tekortkomingen bijvoorbeeld allemaal samenhangen met interne beheersingsmaatregelen die de volledigheid van de omzet waarborgen, is er mogelijk wel sprake van een ‘material weakness’. Opgemerkt dient te worden dat deze beoordeling pas behoeft te worden gemaakt naar de situatie aan het einde van de verslaggevingsperiode. Tekortkomingen geconstateerd gedurende het jaar hoeven daarom niet beoordeeld te worden op hun ernst.

De accountant dient alle geconstateerde tekortkomingen te rapporteren aan de leiding van de huishouding met uitzondering van tekortkomingen die reeds door anderen (bijvoorbeeld de interne accountantsdienst) zijn gerapporteerd aan de leiding. Alle significante tekortkomingen en ‘material weaknesses’ moeten door de accountant gerapporteerd worden aan de leiding alsook aan het Audit Committee.

Concept-jaarrekeningen

In voorgaande subparagraaf hebben wij opgemerkt dat het ontdekken van een materiële onjuistheid in een concept-jaarrekening door de accountant gezien wordt als minstens een significante tekortkoming, mogelijk zelfs een ‘material weakness’. Bij de reguliere jaarrekeningcontrole werken de accountant en de leiding tijdens de jaarafsluiting vaak nauw samen. De accountant voert zijn werkzaamheden vaak uit op de concept-jaarrekening en koppelt zijn bevindingen zo snel mogelijk terug aan de leiding. Ook vinden vaak discussies tussen de accountant en de leiding plaats over de implementatie van nieuwe verslaggevingsregels. Ontstaat nu een probleem bij de integrated audit? De PCAOB heeft bovenstaande ook herkend en heeft door middel van een ‘Q&A’ aangegeven, dat enige vorm van informatie-uitwisseling tussen de leiding en de accountant mogelijk moet zijn. De leiding dient bij elk concept aan te geven in hoeverre het concept afronding nadert, welke beheersingsmaatregelen nog niet hebben gefunctioneerd en welk doel het concept voor de accountant heeft. Door dergelijke communicatie vanuit de leiding geeft zij aan het proces van de totstandkoming van de jaarrekening te beheersen. Het is en blijft de leiding die verantwoordelijk is voor de totstandkoming van de jaarrekening.

Ook discussies betreffende de implementatie van nieuwe verslaggevingsregels zijn bij een integrated audit niet verboden. Maar wederom is het van groot belang duidelijk te communiceren waarom het belangrijk is dat de accountant er door de leiding bij wordt betrokken.

Meerdere verklaringen

Zoals aangegeven in het begin van dit artikel is het doel van de integrated audit drieledig. De accountant verstrekt naar aanleiding van zijn werkzaamheden ook drie verklaringen. In de eerste plaats de reguliere accountantsverklaring betreffende de uitkomsten van zijn werkzaamheden in het kader van de controle van de jaarrekening. Deze verklaring verandert niet door de integratie met de controle van interne beheersing.

Daarnaast geeft de accountant zijn oordeel met betrekking tot zijn werkzaamheden betreffende de bewering door de leiding van de huishouding in de jaarrekening. Deze bewering door de leiding betreft de effectiviteit van het systeem van interne beheersingsmaatregelen. Tot slot beoordeelt de accountant ook zelf de effectiviteit van het systeem van interne beheersingsmaatregelen en geeft zijn oordeel hieromtrent. De verklaringen met betrekking tot de controle van interne beheersing worden gecombineerd tot één verklaring. Het is ook mogelijk de verklaring naar aanleiding van de controle van de jaarrekening te combineren en één accountantsverklaring op te nemen in de overige gegevens.

Bewering door de leiding van de huishouding

De bewering door de leiding bevat een aantal verplichte elementen. De leiding dient expliciet aan te geven dat zij verantwoordelijk is voor het opzetten en onderhouden van een effectief stelsel van interne beheersingsmaatregelen. Ten behoeve van het beoordelen van de effectiviteit dient de leiding een raamwerk te kiezen. Het gekozen raamwerk wordt door de leiding opgenomen in haar bewering. Uiteraard dient de leiding de uitkomsten van haar beoordeling betreffende de effectiviteit van het systeem van interne beheersingsmaatregelen op te nemen. De leiding dient bij het verwoorden van de uitkomsten expliciet aan te geven of het systeem effectief was. De leiding mag niet concluderen dat het systeem effectief was indien zij één of meer ‘material weaknesses’ heeft geconstateerd. Tot slot dient de bewering van de leiding aan te geven dat de accountant die de jaarrekening heeft gecontroleerd, ook een verklaring heeft verstrekt met betrekking tot de bewering door de leiding.

Verklaring accountant betreffende de bewering door de leiding van de huishouding

De accountant dient het beoordelingsproces van de leiding van de huishouding betreffende de effectiviteit van het systeem van interne beheersingsmaatregelen te begrijpen en te evalueren. De accountant stelt vast dat:

  • de leiding een selectie heeft gemaakt van de interne beheersingsmaatregelen die zij dient te testen ter onderbouwing van haar bewering;
  • de leiding een selectie heeft gemaakt van de onderdelen relevant voor haar evaluatie;
  • de leiding een geschikt raamwerk heeft gekozen voor het beoordelen van de effectiviteit van de interne beheersing;
  • de leiding de opzet en het bestaan van de door haar geselecteerde interne beheersingsmaatregelen heeft vastgesteld;
  • de leiding de werking van de door haar geselecteerde interne beheersingsmaatregelen heeft vastgesteld door middel van toereikende werkzaamheden;
  • de leiding de door haar geconstateerde tekortkomingen heeft geëvalueerd en heeft gerapporteerd aan de accountant;
  • de geconstateerde tekortkomingen in overeenstemming zijn met de bewering betreffende de effectiviteit van het systeem van interne beheersingsmaatregelen.

Zoals gebruikelijk bestaat de verklaring van de accountant uit een aantal verplichte onderdelen.

Verklaring accountant naar aanleiding van zijn bevindingen betreffende de effectiviteit van het systeem van interne beheersingsmaatregelen

De werkzaamheden die de accountant verricht in het kader van de controle van interne beheersing zijn hiervoor geschetst. Op grond van deze werkzaamheden kan de accountant tekortkomingen hebben gesignaleerd. De leiding van de huishouding mag niet oordelen dat het systeem effectief was indien zij één of meer ‘material weaknesses’ heeft geconstateerd. Dit geldt ook voor de accountant.

Onderdelen accountantsverklaring controle van interne beheersing

Op grond van de Auditing Standard No. 2 bestaat de accountantsverklaring naar aanleiding van de controle van de interne beheersing uit een aantal verplichte onderdelen. Sommige van deze onderdelen zijn gelijk aan de verplichte (of standaard-) onderdelen van de accountantsverklaring naar aanleiding van de jaarrekeningcontrole. Daardoor is het mogelijk om één gecombineerde accountantsverklaring op te stellen. De volgende verplichte onderdelen zijn als afwijkend te beschouwen:

  • Reikwijdteparagraaf: deze paragraaf bevat een verwijzing naar de algemeen aanvaarde richtlijnen met betrekking tot de controle van interne beheersing: de regelgeving van de PCAOB.
  • Definitieparagraaf: deze paragraaf geeft aan wat de accountant verstaat onder ‘internal control over financial reporting’.
  • Beperkingenparagraaf: de accountant dient een paragraaf op te nemen waarin hij aangeeft dat – door haar aard – ‘internal control over financial reporting’ mogelijk niet onjuistheden voorkomt of signaleert. Ook bevat deze paragraaf de opmerking dat de conclusies niet naar de toekomst geprojecteerd kunnen worden.
  • Oordeelparagraaf: deze paragraaf bevat twee oordelen met betrekking tot de situatie op einde van het boekjaar.
  • Toelichtende paragraaf: indien de verklaring naar aanleiding van de jaarrekeningcontrole elders is opgenomen, is de accountant verplicht een verwijzing op te nemen naar die verklaring. Vervolgens dient de accountant eenzelfde toelichtende paragraaf op te nemen aan het einde van zijn verklaring naar aanleiding van de jaarrekeningcontrole verwijzend naar de verklaring betreffende de controle van interne beheersing.

Alle verklaringen dienen op dezelfde datum ondertekend te worden.

Samenvatting

De eerste ervaringen met de controleaanpak integrated audit bij met name grote Amerikaanse ondernemingen laten een toename van de controlekosten zien. Een belangrijke oorzaak die hieraan ten grondslag ligt is het feit dat een beperkte integratie van de controle van de jaarrekening met de controle van de interne beheersing heeft plaatsgevonden.

Het doel van een integrated audit is te komen tot een conclusie geformuleerd door de accountant die is bedoeld om het vertrouwen van de beoogde gebruikers van de jaarrekening te versterken. De verantwoordelijkheden van de accountant zijn bij een integrated audit niet anders dan bij een reguliere jaarrekeningcontrole, met dien verstande dat bij de integrated audit drie conclusies geformuleerd dienen te worden in plaats van één.

Bij de uitvoering van de controleaanpak integrated audit staat het stelsel van interne beheersingsmaatregelen centraal. Een onderzoek naar de opzet, het bestaan en de werking van dit stelsel vormt een verplicht onderdeel van de integrated audit, alsmede het formuleren van een conclusie hierover. Dit is een belangrijk verschil ten opzichte van de reguliere jaarrekeningcontrole. Voorheen had de accountant nog de keuzemogelijkheid, in de planningsfase, om in geval van een in opzet onvoldoende stelsel van beheersingsmaatregelen de keuze te maken om meer arbeidsintensieve gegevensgerichte controlewerkzaamheden uit te voeren. In het kader van een integrated audit is deze keuze niet toegestaan.

De fasen van een controleaanpak integrated audit zijn in hoofdlijnen gelijk aan de fasen van een reguliere jaarrekeningcontrole. Voor wat betreft de fase van planning van de integrated audit geldt dat voor SOX 404 de scope bepaald dient te worden; dat wil zeggen wordt voldoende ‘coverage’ behaald bij de selectie van ‘significant accounts’ door het selecteren van de bedrijfsonderdelen en de processen. Binnen de Auditing Standard No. 2 zijn specifieke voorschriften opgenomen ter bepaling van de scope en reikwijdte van de werkzaamheden; bijvoorbeeld als de onderneming uit meerdere onderdelen en/of fysieke locaties bestaat. De richtlijnen bij een reguliere jaarrekeningcontrole ter bepaling van de scope en reikwijdte zijn minder gereguleerd dan bij een integrated audit. Ten behoeve van een doordachte efficiënte controleaanpak integrated audit zien wij voordelen in het hebben van nadere voorschriften ter bepaling van de scope van de werkzaamheden. Het op een doordachte en onderbouwde wijze bepalen van de scope en reikwijdte draagt bij aan een deugdelijke grondslag en een effectieve en efficiënte controleaanpak.

De fase uitvoeren en evalueren van de effectiviteit van het systeem van interne beheersingsmaatregelen is een specifieke fase voor de integrated audit, in die zin dat in deze fase bij uitstek gestreefd moet worden naar het behalen van efficiencyvoordelen tussen de reguliere jaarrekeningcontrolewerkzaamheden en de SOX 404-werkzaamheden. Een belangrijk voordeel als gevolg van SOX 404 is dat het management ook testwerkzaamheden uitvoert ten aanzien van het stelsel van interne beheersingsmaatregelen. Bij de uitvoering van de werkzaamheden door de externe accountant dient waar mogelijk gebruik te worden gemaakt van de door anderen (management of bijvoorbeeld interne accountantsdienst) reeds uitgevoerde werkzaamheden. De mate van gebruikmaken van de werkzaamheden van anderen wordt bepaald door een aantal factoren, waaronder de onafhankelijkheid en de deskundigheid van deze personen.

Een ander belangrijk aspect in deze fase wordt gevormd door het identificeren van de juiste ‘key controls’. In de praktijk hebben wij geconstateerd dat in hooggeautomatiseerde omgevingen, door gebrek aan kennis en ervaring binnen de organisatie, significante beheersingsmaatregelen ten onrechte als handmatige beheersingsmaatregelen zijn geïdentificeerd. Dit heeft tot gevolg dat bij een meerdagelijkse handmatige beheersingsmaatregel de ‘sample size’ kan oplopen tot wel zestig keer testen. Als de beheersingsmaatregel steunt op een ‘application control’, is een test met een ‘sample size’ van één voldoende. Uiteraard dienen in aanvulling hierop wel de IT general controls, en met name de onderdelen ‘Access to programs and data’ en ‘Program changes’, getest te worden. Wij verwachten dat met name op dit onderdeel nog efficiency in de controleaanpak bereikt kan worden door het op een kritische wijze beoordelen van de geïdentificeerde ‘key controls’. Diversiteit in disciplines binnen het controleteam is hierbij van belang.

Een fase die specifiek wordt uitgevoerd ten behoeve van de jaarrekeningcontrole betreft het plannen en uitvoeren van gegevensgerichte werkzaamheden. Als het systeem van interne beheersingsmaatregelen niet effectief is in opzet of werking kunnen aanvullende gegevensgerichte werkzaamheden nodig zijn om toereikend controlebewijs in het kader van de jaarrekeningcontrole te verzamelen. Deze fase zal derhalve altijd door de accountant worden uitgevoerd. Ook als het systeem van interne beheersingsmaatregelen wel effectief bevonden is, zullen altijd beperkte gegevensgerichte werkzaamheden worden uitgevoerd.

Ter afronding van de werkzaamheden zal de externe accountant een conclusie formuleren. De aard van de te verstrekken conclusie wordt bepaald door het al dan niet gesignaleerd hebben van tekortkomingen (waaronder significante en materiële tekortkomingen). De weging van de tekortkomingen behoeft pas gemaakt te worden aan het einde van de verslaggevingsperiode. Uiteindelijk zal de accountant naar aanleiding van de uitgevoerde werkzaamheden een drietal verklaringen verstrekken in tegenstelling tot één verklaring in geval van een reguliere jaarrekeningcontrole.

Literatuur

[Buur05] Drs. P.A. Buur RE RA, drs. J.J. van Beek RE RA en drs. H.G.Th. van Gils RE RA, Invloed SOX op de rol van de IT-auditor, Compact 2005/2.

[Char05] Charles River Associates, Sarbanes-Oxley 404 Costs and Remediation of Deficiencies: Estimates from a sample of Fortune 1000 companies, April 2005.

[Coso] Internal Control – Integrated Framework, by the Committee of Sponsoring Organizations (COSO) of the Treadway Commission.

[Fole05] Foley & Kardner LLP, The Cost of being Public in the era of Sarbanes-Oxley, June 2005.

[Fram04] A Framework for Evaluating Control Exceptions and Deficiencies, Version 3, December 20, 2004.

[NIVR05a] NIVRA, Paragraaf 7 en 8, Stramien voor assurance-opdrachten, Richtlijnen voor de Accountantscontrole editie 2005.

[NIVR05b] Paragraaf 22, Richtlijn voor de Accountantscontrole 315, Editie 2005.

[PCAO05a] PCAOB, Policy Statement regarding implementation of Auditing Standard No. 2, PCAOB Release No. 2005-009, May 16, 2005.

[PCAO05b] PCAOB, Report on the initial implementation of Auditing Standard No. 2, PCAOB Release No. 2005-023, November 30, 2005.