Inleiding

Een systeemgerichte controleaanpak met aandacht voor het testen van controls is al jaren sterk verankerd binnen de jaarrekeningcontrole. De IT-auditor heeft binnen de controle vaak de verantwoordelijkheid om general IT controls en applicatiecontrols te testen om zekerheid te geven over opzet, bestaan en werking van aan IT gerelateerde beheersmaatregelen.

Wij zien echter dat er sinds een aantal jaren een verschuiving plaatsvindt van het testen van beheersmaatregelen naar het meer ‘data driven’ uitvoeren van gegevensgerichte werkzaamheden om de betrouwbaarheid van de gegevensverwerking te waarborgen. Deze verschuiving heeft een grote impact op de te verwachten werkzaamheden van de accountant en IT-auditor binnen de jaarrekeningcontrole.

De afgelopen jaren zijn veel initiatieven opgestart om de data driven aanpak met inzet van data-analysesoftware ook toe te passen binnen complexe IT-omgevingen. Data-analyse en het gebruik van software krijgen langzaamaan een steeds groter aandeel binnen de jaarrekeningcontrole. De ‘traditionele’ auditaanpak maakt plaats voor meer innovatieve methoden waardoor de toegevoegde waarde van de IT-audit voor de klant toeneemt, met als doel een efficiëntere en effectievere audit uit te voeren voor de accountant ([Heij12]).

Wij verwachten dat deze ontwikkeling de komende jaren zodanig zal vorderen dat er met behulp van software bij een klant automatisch gegevensgerichte werkzaamheden op continue basis zullen worden uitgevoerd, inclusief het automatisch genereren van de jaarrekening door de klant. Voorbeelden van innovatieve toepassingen die hier reeds mee experimenteren zijn Yuki en QuickBooks Online. Onze verwachting is wel dat deze ontwikkelingen door incrementele innovaties worden geïntroduceerd in plaats van door een big-banginnovatie.

Daarom gaan we in dit artikel in op enkele innovatieve toepassingen die de afgelopen jaren hun intrede hebben gedaan in de IT-auditwereld en geven aan hoe deze verwerkt dienen te worden in de IT-auditaanpak van 2015 en verder. Vervolgens staan we stil bij de impact die deze innovaties hebben op de werkzaamheden en het profiel van de IT-auditor. We sluiten af met een blik vooruit, waarbij we de vraag beantwoorden hoe de IT-auditwereld er in de toekomst uit zal zien.

Innovaties in de IT-audit van 2015: data driven

De sterke afhankelijkheid van IT bij grote organisaties heeft ertoe geleid dat IT-auditprocedures een essentieel onderdeel zijn geworden van de jaarrekeningcontrole. Hierbij ligt de focus van de IT-auditor op het controleren van de betrouwbaarheid en continuïteit van de informatieverwerking. Zoals eerder vermeld staat voornamelijk het testen van general IT controls en applicatiecontrols centraal. De afgelopen jaren zijn er echter binnen de IT-audit verschillende innovaties geïntroduceerd die intensief gebruikmaken van data. Deze innovaties focussen niet alleen op het effectiever (kwalitatief beter) uitvoeren van traditionele IT-auditprocedures, maar ook op het efficiënter uitvoeren van werkzaamheden die de financieel auditor normaliter voor zijn rekening neemt.

In deze paragraaf gaan we eerst in op de noodzaak om te innoveren. Vervolgens gaan we in op data driven innovaties die naar onze mening de meeste impact hebben of zullen hebben op de IT-audit in 2015 en verder.

Waarom innovatie?

Wij beperken ons hier tot innovaties die de IT-auditor kan inzetten. Daarom staan wij alleen stil bij innovaties met betrekking tot de IT-auditactiviteiten binnen de jaarrekeningcontrole. Innovatie is van belang om te sturen op kosten, kwaliteit en output ([Pomp03]). Onderstaand illustreren wij hoe voor accountantsorganisaties deze aspecten onder druk staan.

Kosten

Door onder andere de verplichte kantoorroulatie en de toenemende eisen ten aanzien van de kwaliteit van de accountantscontroles, staan de kosten van de accountantscontrole onder druk. Accountants zijn daarom samen met IT-auditors op zoek naar methoden om de audit efficiënter uit te voeren en zo de controle meer te standaardiseren en de kosten te beheersen met behoud of verhoging van kwaliteit. Daarnaast kan door het efficiënter uitvoeren van de audit tijd worden bespaard die de auditor kan besteden aan bijvoorbeeld complexe reportingvraagstukken en grote verandertrajecten die binnen de klantorganisatie spelen en die impact hebben op de financiële rapportageprocessen.

Kwaliteit

De kwaliteit van de jaarrekeningcontrole is tegenwoordig een veelbesproken onderwerp. Auditors zijn op zoek naar methoden die de controlewerkzaamheden effectiever maken en meer controlezekerheid opleveren. Hierdoor vindt een verschuiving plaats van het steunen op beheersmaatregelen (control-based) naar het meer integraal (gegevensgericht) uitvoeren van testactiviteiten.

Output

De jaarrekeningcontrole heeft voornamelijk betrekking op historische gegevens. Vanuit de maatschappij ontstaat echter steeds meer de wens om ook toekomstgerichte zekerheid te krijgen als het gaat om de financiële gezondheid van organisaties. Tot op heden is dit slechts beperkt verankerd in de wettelijke controletaak van de accountant. Desalniettemin kan de accountant door inzet van voorspellende analyses van meer toegevoegde waarde zijn voor ondernemingen. Denk hierbij bijvoorbeeld aan trendanalyses en het uitvoeren van efficiency benchmarks met organisaties in dezelfde industrie.

De IT-audit in 2015 en verder

In deze paragraaf staan de innovaties centraal ten aanzien van de IT-audit in 2015 en verder. Binnen de jaarrekeningcontrole voert de IT-auditor werkzaamheden uit tijdens de fasen van risk assessment en interimcontrole en bij de jaareindecontrole. Per fase van de jaarrekeningcontrole gaan wij in op de procesinnovaties die daar spelen en beschrijven wij hoe de ideale aanpak per fase eruitziet in de data driven audit van 2015 en verder.

Risk-assessmentfase

De risk-assessmentfase omvat het beoordelen van risico’s op een materiële fout in de jaarrekening door de auditor, zoals dit ook staat beschreven in de International Standard on Auditing 315 ([ISA09]). Binnen het auditproces heeft de auditor als doel dergelijke risico’s te identificeren en te beoordelen. Hij kan dit doen door het management te interviewen, audit evidence te observeren en inspecteren of analytische procedures uit te voeren ([ISA09]).

Een van de aspecten waaraan gedacht kan worden in de risk-assessmentfase is om hierbij gebruik te maken van externe data, naast de beschikbare financiële gegevens. Tegenwoordig zijn er verschillende oplossingen op de markt, zoals Bottlenose, Sprout Social en Netbase, die op basis van social-mediadata inzicht geven in het sentiment dat heerst ten aanzien van een organisatie op het internet, bijvoorbeeld over de dienstverlening en de kwaliteit van de producten. Het inzichtelijk maken van dit sentiment kan van toegevoegde waarde zijn bij de uitvoering van de risk assessment. Een goed voorbeeld is een storm aan klachten over de afhandeling van klantfacturen, wat erop kan duiden dat de kwaliteit van het facturatieproces niet goed is. Deze inzichten kunnen dus resulteren in een afweging om diepgaandere auditprocedures uit te voeren op het facturatieproces of op posten met een hoog risicoprofiel.

Interimcontrolefase

Tijdens de interimcontrolefase krijgt de auditor inzicht in de processen en ingerichte beheersmaatregelen die leiden tot financiële boekingen in het grootboek. Doorgaans vindt dit plaats door middel van het uitvoeren van lijncontroles waarin de interne beheersmaatregelen worden getest in opzet en bestaan.

Inzet van process mining

Door de inzet van process-miningsoftware kan een lijncontrole worden uitgevoerd als het gaat om een proces dat in hoge mate door een applicatie wordt gefaciliteerd. Process mining omvat het reconstrueren en analyseren van de workflow van een proces op basis van de event logging uit een applicatie ([Aals07]). De software maakt het mogelijk om de audit logging van een procesworkflow te importeren en te analyseren en uiteindelijk ook het workflowproces te reconstrueren.

Process mining wordt ingezet om te verifiëren of een proces daadwerkelijk de juiste processtappen heeft gevolgd en of excepties zijn voorgekomen die de interne controle omzeilen. Een goed voorbeeld van het toepassen van process mining is de levenscyclus van een leasecontract, zie ook figuur 1. Het proces geeft op basis van event logging weer welke statussen een contract kan hebben gedurende de levenscyclus. Dit geeft interessante bevindingen terug richting de auditor, omdat op deze manier het daadwerkelijke proces inzichtelijk wordt en vergeleken kan worden met de beoogde opzet van een proces.

Bij het testen van interne beheersmaatregelen biedt process mining goede ondersteuning. Een belangrijke control die met process mining kan worden getest is de effectiviteit van de werking van het vierogenprincipe. Op basis van event logging maakt process mining inzichtelijk welke processtappen door welke medewerker op welk tijdstip zijn uitgevoerd. De auditor krijgt hierdoor inzicht in het mogelijk doorbreken van functiescheiding en daarmee dus in de werking van het vierogenprincipe.

Figuur 1. Process-miningoutput.

In ons voorbeeld is het van belang dat:

• leasecontracten onderhevig zijn aan het vierogenprincipe voordat ze aan de klant worden verstuurd;
• contracten getekend retour zijn ontvangen voordat ze worden geactiveerd;
• contracten geen afwijkende statusopvolging kennen in de contractadministratie.

Uit de process-miningactiviteiten die zijn uitgevoerd blijkt dat alle contracten opeenvolgend de status ‘initialized’ en ‘completed’ hebben gehad, die zijn toegekend door twee verschillende gebruikers (vierogenprincipe, gebruikers zijn niet zichtbaar in figuur 1). Daarnaast blijkt dat er geen contracten zijn geactiveerd die niet ondertekend retour waren ontvangen. Voor vijf contracten blijkt echter wel dat daaraan ten onrechte de status ‘terminated’ is toegekend. Deze laatste vijf contracten zouden door de auditor nader bekeken moeten worden.

Door deze data driven methode toe te passen tijdens de interimcontrole krijgt de auditor meer inzicht in de structuur, opzet en excepties van de processen en de werking van de daarin getroffen beheersmaatregelen. De resultaten van de process-mininganalyse geven richting aan het gesprek van de accountant met de organisatie en vormen de input voor meer gegevensgerichte werkzaamheden.

Geautomatiseerd toetsen van general IT controls

Tevens zien we mogelijkheden om het testen van general IT controls meer geautomatiseerd uit te voeren in het geval van controls die met software kunnen worden getest. We noemen enkele belangrijke voorbeelden:

• Het automatisch uitlezen en analyseren van configuratie-instellingen van operating-system- of databaseservers, bijvoorbeeld op instellingen voor wachtwoordvereisten.
• Process mining op het change-managementproces in de servicedesk-registratiesoftware (bijvoorbeeld ServiceNow). Hierbij verifieert de auditor of een change de juiste stappen in het proces (verzoek, registratie, autorisatie, ontwikkeling, test, goedkeuring, promotie naar productie) in de juiste sequentie heeft doorlopen en zal het verdere onderzoek gericht zijn op de uitzonderingen.
• Het inzetten van software om functiescheiding te testen in opzet, bestaan en werking op basis van role-based-accessprincipes. De auditor analyseert de role-based-accessconfiguratie van het systeem, toetst of deze configuratie voldoet aan bepaalde business rules en rapporteert automatisch welke excepties er zijn geïdentificeerd ten aanzien van functiescheiding. Deze automatische toetsing voert de auditor periodiek uit om ook een beeld te krijgen van de werking van de beheersmaatregel. Indien gewenst kan deze analyse worden aangevuld met een can-do/did-do-analyse, waarbij in het geval van onterechte autorisaties ook eventueel misbruik van deze autorisaties kan worden gesignaleerd.

Jaareindecontrole

Voor de posten binnen de jaarrekeningcontrole waarvoor tijdens de interimactiviteiten onvoldoende controlezekerheid is verkregen over het kunnen steunen op de beheersmaatregelen, zijn gegevensgerichte werkzaamheden door de auditor noodzakelijk. De auditor voert deze gegevensgerichte werkzaamheden uit op basis van data-analyse, waarbij de totale populatie wordt gecontroleerd in plaats van dat deelwaarnemingen worden gebruikt. De accountant kan er ook op voorhand al voor kiezen om niet te steunen op het stelsel van interne beheersmaatregelen.

Geautomatiseerde reconciliaties

Een goed voorbeeld van een gegevensgerichte procedure is de reconciliatie tussen het grootboeksysteem en een contractsysteem, waarbij de administratie integraal op contractniveau wordt aangesloten op basis van volledige data-extracten uit deze systemen. Voor de auditor is het hierbij van belang de volledigheid en de juistheid van de cijfers uit het grootboeksysteem vast te stellen. Geautomatiseerde reconciliaties (zie ook tabel 1) helpen de auditor door middel van voorgeprogrammeerde query’s om aansluitingen automatisch uit te voeren en daarmee efficiencyvoordelen te behalen. Daarnaast biedt deze innovatie de auditor de mogelijkheid om nog beter te focussen op geïdentificeerde verschillen.

Tabel 1. Voorbeeld van output van geautomatiseerde reconciliaties.

Portfolio analytics

De auditor kan zijn gegevensgerichte procedures uitbreiden met portefeuilleanalyses op de bronsystemen. Deze portefeuilleanalyses geven de auditor een overzicht van de producten die een klant voert/verkoopt en van de mogelijke risico’s die daarmee samenhangen, zoals een verhoogde exposure in een specifiek klantsegment. Deze procedures worden echter vaak handmatig uitgevoerd door de auditor. Door deze portfolio analytics te automatiseren kan de auditor tijdens de jaarrekeningcontrole opnieuw efficiencyvoordelen benutten. Wij hebben in figuur 2 resultaten opgenomen van portfolio analytics op een portefeuille met termijndeposito’s. Het doel van de analyse is om inzicht te krijgen in de spreiding van de portfolio en afwijkende rentepercentages te identificeren; dit betreffen analyses op ultimo[Met ultimo boeksaldo wordt hier het saldo per de laatste dag van de rapportageperiode bedoeld.] boeksaldi en rente-inkomsten en de daarmee samenhangende verhouding per productlabel. Figuur 2 geeft per product(label) weer wat het uitstaande saldo is en wat de rente-inkomstenstroom is die het genereert. Opvallend in deze analyse is product(label) 4, dat een hoog uitstaand saldo vertegenwoordigt met een relatief lage rente-inkomstenstroom. De contracten onder label 4 zouden door de auditor nader bekeken moeten worden.

Figuur 2. Geautomatiseerde portfolio analytics als onderdeel van gegevensgerichte werkzaamheden.

Trend analytics

Tevens heeft de auditor een belangrijke taak om risico’s te identificeren door financiële cijfers te vergelijken met die van perioden daarvoor. Dit gebeurt als onderdeel van de risicoanalyse op jaarbasis, maar kan met behulp van data-analyse ook worden uitgevoerd op maand- of kwartaalbasis om specifieke trends gedurende het rapportagejaar te identificeren en de impact op de auditaanpak te kunnen bepalen. Figuur 3 is een voorbeeld van een cijfermatige vergelijking van opeenvolgende kwartalen waarbij de trend in het aantal contracten en uitstaand saldo van een leningadministratie in kaart is gebracht. Hiermee krijgt de auditor een beeld van de volatiliteit van de administratie, wat in figuur 3 aanleiding geeft om de trendbreuk tussen kwartaal 3 en kwartaal 4 nader te onderzoeken.

Figuur 3. Trendanalyses van een leningportfolio.

Veranderingen voor de IT-auditor, accountant en auditee

De eerder beschreven innovaties vragen ook aanpassingen van de IT-auditor, de auditee en de accountant. In deze paragraaf gaan we hier nader op in. Daarnaast staan we ook stil bij een aantal uitdagingen waar de IT-auditor zich voor gesteld ziet bij het toepassen van een data driven IT-auditaanpak.

Bovenstaande ontwikkelingen leiden ertoe dat de eisen aan zowel de kennis als de competenties van de IT-auditor zullen veranderen. Enerzijds is er behoefte aan sterke generalisten die de complexe ketens overzien en sterk ontwikkelde sociale en communicatieve competenties hebben. Anderzijds is er behoefte aan specialisten die op deelterreinen hun waarde laten zien als het gaat om inzet van software en toepassing van data-analyse ([Huls13]). De specialistische IT-auditor zal kennis moeten hebben van datamodellen, analysesoftware en programmeertalen zoals SQL. Dit zijn geen standaardkennisgebieden die een IT-auditor tijdens zijn studie meekrijgt. Daarnaast zullen bepaalde werkzaamheden uit de interimcontrole verschuiven naar de IT-auditor. De generalisten zullen hierop in moeten springen door meer kennis te ontwikkelen over de jaarrekeningcontrole en de relevante risico’s, systemen en processen. Nauwere samenwerking met de accountant is hierbij een vereiste.

Bovendien zal het gebruik van tooling ertoe moeten leiden dat de traditionele werkzaamheden nader tegen het licht gehouden worden. Audit manuals zijn vaak nog gebaseerd op de traditionele control-based controleaanpak en bieden daardoor geen goede guidance hoe om te gaan met de data driven controleresultaten. In het aanpassen van de audit manuals zal ook de accountant een grote rol moeten spelen.

Daarnaast ligt er een taak voor de IT-auditor om de accountant te overtuigen van de betrouwbaarheid van de uitgevoerde analyses, dit om te voorkomen dat de accountant tegelijkertijd nog manuele/traditionele controlewerkzaamheden uitvoert die hetzelfde risico afdekken. Een goede communicatie en een goede verdeling van de werkzaamheden zijn dus van belang. Tevens zal de IT-auditor afspraken moeten maken met de accountant over het documenteren van bevindingen. De ervaring leert dat bij de data driven aanpak vaak uitzonderingen worden geconstateerd, al dan niet terecht. Deze uitzonderingen zullen moeten worden onderzocht en verklaard. Van tevoren goed nadenken over wat de doelstelling van de analyse is, is daarbij essentieel om een berg aan uitzonderingen te voorkomen. De IT-auditor zal moeten investeren in standaardisering van onder meer query’s op bepaalde processen. Standaardisatie is een mogelijke oplossing om de startinvestering te verlagen, omdat de investering dan voor meerdere klanten bruikbaar is, en om te waarborgen dat de analyses efficiënt en effectief bij meerdere klanten toepasbaar zijn. Dit verlaagt de drempel om innovatieve methoden toe te passen.

Naast de accountant zal ook de auditee zelf mee moeten veranderen. Vandaag de dag wordt veelal gesteund op het ‘three lines of defense’-model dat klantorganisaties hanteren met betrekking tot de interne beheersing en het mitigeren van risico’s. Binnen de auditaanpak voor de jaarrekeningcontrole wordt hier dankbaar gebruik van gemaakt om de inzet van de externe auditor te verminderen. Echter, binnen het ‘three lines of defense’-model bij de klantorganisatie wordt vaak nog een control-based aanpak gehanteerd die niet aansluit bij de data driven aanpak zoals hier geschetst. In de ideale situatie verandert de klant de aanpak van zijn risk-managementafdeling en interne auditafdeling mee naar een ‘continuous monitoring’-opzet.

Tot slot moeten de IT-auditor, de accountant en de auditee rekening houden met wet- en regelgeving met betrekking tot het gebruik van data. De IT-auditor en de accountant komen bij een data driven aanpak in aanraking met vertrouwelijke en privacygevoelige informatie terwijl de privacywetgeving steeds strenger wordt. Ook het gebruik van (big) data heeft zijn beperkingen vanuit de wetgeving als de data worden ingezet voor toepassingen waarvoor de data oorspronkelijk niet zijn vergaard. De IT-auditor en de accountant zullen deze wetgeving dus moeten verankeren in het beleid en de procedures inzake de toepassing van data driven controleactiviteiten.

Blik vooruit

In dit artikel hebben wij onze visie op de IT-audit van 2015 gegeven. Duidelijk is dat de IT-audit binnen de jaarrekeningcontrole meer data driven wordt. Deze trend is enerzijds aangewakkerd door technologische mogelijkheden en anderzijds door de neiging naar een efficiëntere en effectievere jaarrekeningcontrole. Daarbij wordt het gebruik van tooling binnen de IT-audit steeds volwassener en worden procescontroles en general IT controls steeds vaker geautomatiseerd getest.

Wij voorspellen dat de data driven aanpak binnen de jaarrekeningcontrole over een paar jaar niet meer weg te denken is. Een belangrijke trend die zich gaat inzetten is het installeren van tooling en software bij de klant zelf, waarbij de klant zelf aan monitoring en data-analyse doet. De IT-auditor zal zich, samen met de klant, meer bezighouden met de configuratie van deze software en wordt door de software voorzien van standaardrapportages en automatisch gegenereerde jaarrekeningcontroles die als audit evidence zullen worden gebruikt. Wellicht is deze toekomstschets redelijk optimistisch, maar een jaarrekeningcontrole zal niet meer zonder een data driven IT-audit kunnen.