Skip to main content

Themes

Audit & Assurance

IT governance en IT compliance, de relevantie voor het accountantsberoep

Ontwikkelingen ten aanzien van compliance maken de rol en betekenis van informatietechnologie steeds zichtbaarder. De compliancedruk heeft bedrijven gedwongen om de beheersing van informatietechnologie nadrukkelijk te testen en te documenteren. Indien de accountant in het kader van de jaarrekeningcontrole optimaal de beheersingsmechanismen van de te controleren organisatie wil benutten, wordt hij geconfronteerd met IT controls. Het is zaak dat de accountant beschikt over grondige IT-kennis om te kunnen bepalen welke (delen van) IT-systemen voor de controle van belang zijn en met welke diepgang en methodieken deze adequaat kunnen worden getest. Dit artikel gaat in op ontwikkelingen omtrent informatietechnologie als onderdeel van het accountantsproduct, beschikbare tooling en de relevantie voor het accountantsberoep.[Dit artikel is gebaseerd op de rede die is uitgesproken bij de 75-jarige viering van de Accountantsopleiding aan de Universiteit van Tilburg.]

Inleiding

De laatste jaren is de compliancedruk of wellicht beter gezegd de compliance-uitdaging overal waarneembaar in organisaties. Dit geldt niet alleen voor de in de Verenigde Staten aan de beurs genoteerde bedrijven, die sinds enkele jaren direct te maken hebben met de Sarbanes-Oxley Act, maar ook voor tal van andere organisaties. In Japan is JSOX geïntroduceerd, in Nederland gelden de eisen van de code-Tabaksblat en zo kan nog wel even worden doorgegaan met het noemen van voorbeelden.

Bij al deze compliancevraagstukken wordt de rol en betekenis van informatietechnologie (IT) steeds zichtbaarder. Hoewel aarzelend gestart in het kader van Sarbanes-Oxley is toch inmiddels wel duidelijk dat relevante IT controls moeten worden gedocumenteerd en getest. In dit betoog wordt ingegaan op enkele ontwikkelingen omtrent IT als onderdeel van het accountantsproduct.

Ontwikkelingen omtrent IT als onderdeel van het accountantsproduct

In mijn inaugurele rede, uitgesproken op de Universiteit van Tilburg in 2005, stelde ik dat de accountantsvraag inzake IT zich toespitst op de zekerheden die kunnen worden ontleend aan interne controls die in en rondom IT-systemen en -infrastructuren zijn opgenomen ([Fijn05]). Deze vraag is overigens niet nieuw, al decennialang is dit een te beantwoorden vraag. Indien de accountant optimaal de beheersingsmechanismen van de te controleren organisatie wil benutten in het kader van zijn jaarrekeningcontrole, wordt hij geconfronteerd met IT controls. Deze controls manifesteren zich niet alleen in de infrastructuur, door prof. Roos Lindgreen vaker aangeduid als de kruipruimte van de IT, maar juist ook in de applicaties. Deze applicaties kunnen bestaan uit ingewikkelde ERP-systemen, front- en backofficesystemen, een mix van legacy en nieuwe systemen en vele andere variëteiten. Het is zaak dat de accountant beschikt over grondige IT-kennis om het kaf van het koren te scheiden en te kunnen bepalen welke (delen van) IT-systemen voor zijn controle van belang zijn.

De eerdergenoemde IT controls worden veelal ingedeeld in twee categorieën, namelijk de IT general controls en de application controls. Publicaties van het IT Governance Institute, die bij de introductie van Sarbanes-Oxley zijn verschenen, werken deze indeling in meer detail uit. Overigens is het jammer om te constateren dat in de praktijk het belang van de IT general controls wordt overschat en de relatie tussen de IT general controls en application controls onvoldoende wordt gelegd.

Is er een dwingende reden voor de accountant om de beheersing van IT, ook wel aangeduid als IT governance, en de IT compliance te beoordelen? Uitgangspunt is dat de registeraccountant controleert of de jaarrekening is opgesteld in overeenstemming met de algemeen aanvaarde grondslagen en voldoet aan de wettelijke bepalingen zoals opgenomen in Titel 9, BW boek 2.

In 2006 hebben in [Fijn06] enkele IT-auditors (Beugelaar, Van Beek, Van Toledo, Van Gils) het volgende gezegd over de positie en het belang van IT in de accountantscontrole: ‘Informatietechnologie is in de afgelopen decennia een integraal onderdeel van de bedrijfsvoering van ondernemingen geworden. Alom wordt informatietechnologie gebruikt voor de financiële administratie en in toenemende mate worden ook complete logistieke processen binnen en tussen ondernemingen aan elkaar verbonden, waardoor geen enkele papieren vastlegging meer bestaat. Voorbeelden hiervan zijn telecombedrijven of ondernemingen waar de ordervastlegging via Internet plaatsvindt. Door het ontbreken van papieren vastleggingen is het in veel gevallen niet meer mogelijk om buiten de computer om te controleren. Het is haast niet voor te stellen dat controles nog handmatig kunnen worden uitgevoerd zonder op IT-uitvoer te steunen. Denk daarbij aan de aansluiting tussen twee systemen (‘interface’). De onderneming of accountant zal willen vaststellen dat de uitvoer van het ene systeem (logistiek systeem) geheel en ongewijzigd is ingevoerd in het tweede systeem (bijvoorbeeld het grootboeksysteem). Een veelvoorkomende controle is dat beide systemen lijsten produceren die door een medewerker of accountant op elkaar worden aangesloten. Dit lijkt een handmatige controle, maar gaat er wel van uit dat de lijsten op zich juist en volledig zijn. Met andere woorden, deze handmatige controle is sterk afhankelijk van de kwaliteit van de programmatuur (in Sarbanes-Oxley termen aangeduid als IT dependent controls).’

Directies van ondernemingen hebben de afgelopen jaren veel geld geïnvesteerd in IT en steunen voor hun interne beheersing volledig op de geautomatiseerde omgevingen. Zij verwachten van hun accountant dat hij in de accountantscontrole daar ook gebruik van maakt.

Het spreekt voor zich dat het accountantsberoep zich al vele jaren bewust is van deze ontwikkelingen en werkwijzen heeft ontwikkeld om op efficiënte wijze gebruik te maken van IT in de accountantscontrole. Daarnaast heeft ook de wetgever in BW, boek 2, artikel 393, lid 4 van de accountant gevraagd te rapporteren over zijn bevindingen inzake de betrouwbaarheid en continuïteit van de geautomatiseerde gegevensverwerking. Bij financiële instellingen gaat de betrokkenheid van de accountant nog verder. In het kader van de Wet op het financieel toezicht (Wft) zijn accountants verplicht te rapporteren over betrouwbaarheids- en continuïteitsaspecten van de geautomatiseerde gegevensverwerking. Concreet stelt de Wft (AMvB 5) in artikel 22 het volgende:

‘…Belangrijk is dat de externe accountant aandacht besteedt aan IT-risico’s. De externe accountant heeft met inachtneming van zijn opdracht een eigen taak en verantwoordelijkheid terzake van de inrichting en uitvoering van zijn werkzaamheden. De toetsing door de externe accountant wordt zoveel mogelijk geïntegreerd binnen het kader van het onderzoek van de jaarrekening. Dit betekent op grond van art. 393 BW 2 dat de accountant verslag uitbrengt van zijn onderzoek aan het bestuur en de RvC. Daarin vermeldt de accountant ook zijn bevindingen met betrekking tot de bedrijfsvoering.’

Het is steeds duidelijker dat IT een kritische positie inneemt in het intern risicobeheersings- en controlesysteem. Zowel de eerder aangehaalde code-Tabaksblat als in de Verenigde Staten de SEC en de Public Company Accounting Oversight Board (PCAOB, een toezichthoudend orgaan dat door de Sarbanes-Oxley Act is ingesteld) geven regels voor toezicht op de IT-activiteiten.

Zo stelt de code-Tabaksblat in artikel III.5.4 dat de auditcommissie zich in ieder geval richt op het toezicht op het bestuur ten aanzien van de toepassingen van de informatie- en communicatietechnologie. De accountant zal in het toetsen op de naleving van de code-Tabaksblat ook met deze IT-paragraaf worden geconfronteerd.

De Amerikaanse SEC heeft voor de ondernemingen die aan de SOx-wetgeving moeten voldoen in december 2006 nieuwe draft richtlijnen uitgegeven, waarin onder meer staat:

While general IT controls ordinarily do not directly prevent or detect material misstatements in the financial statements, the proper and consistent operation of automated or IT dependent controls depends upon effective general IT controls.

Ordinarily, management should consider whether, and the extent to which, general IT control objectives related to program development, program changes, computer operations, and access to programs and data apply to its facts and circumstances. For purposes of the evaluation of ICFR, management only needs to evaluate those general IT controls that are necessary to adequately address financial reporting risks.

En in de inmiddels definitieve versie van de Auditing Standard 5 van de PCAOB staat (art 36 note):

The identification of risks and controls within IT is not a separate evaluation. Instead, it is an integral part of the top-down approach used to identify significant accounts and disclosures and their relevant assertions, and the controls to test, as well as to assess risk and allocate audit effort as described by this standard.

Daarmee is IT governance en compliance als specifiek aandachtspunt een feit. Jammer is wel dat naar aanleiding van de Auditing Standard 2 van de PCAOB de IT general controls in de praktijk soms als een doel op zich worden gezien, hetgeen de eerder vermelde praktijkproblemen kan versterken. Primair zouden juist de application controls moeten worden beoordeeld en in het verlengde daarvan de relevante general IT controls. De bovenstaande eerste alinea van de SEC proposal geeft dat nu goed weer.

Wat betekent dit alles nu voor het accountantsberoep?

IT als object van onderzoek bij vele organisaties is voor de controlerend accountant een realiteit. Op welke wijze moet hij dit invullen? Het is bekend dat in de praktijk deze problematiek soms wordt uitbesteed aan een IT-auditor. Zoals wellicht bekend is het uitbesteden van een onduidelijke situatie meestal niet bevorderlijk voor de kwaliteit van de invulling. De accountant zal zelf moeten definiëren welke IT controls kritisch zijn in het kader van de jaarrekeningcontrole en vervolgens, waar nodig, in overleg treden met een expert, de IT-auditor, om hem te helpen bij het beoordelen van deze IT controls. Dit vergt proces- en IT-kennis op het juiste niveau, voorwaar een blijvende uitdaging in de zich continu veranderende IT-wereld.

Tot op heden zijn in dit betoog de ontwikkelingen omtrent IT als object van onderzoek centraal gesteld. Ter afsluiting wil ik graag enkele opmerkingen maken over IT als hulpmiddel bij de uitvoering van de jaarrekeningcontrole. Ik wil het dan niet hebben over hulpmiddelen bij het vastleggen van de dossiers maar juist over IT-middelen om audit evidence te vergaren.

Decennia terug spraken we al over auditsoftware, waarbij meestal deze hulpmiddelen waren en zijn gericht op het gegevensgericht vaststellen van de kwaliteit van de financiële gegevens. Ik ben ervan overtuigd dat we in het accountantsberoep een omwenteling zullen zien naar tool based auditing, juist gericht op het vaststellen van de kwaliteit van IT controls. Dit vraagstuk is feitelijk al langer aan de orde bij het gebruik van ERP-systemen. Deze systemen leveren controlerapportages op, die ook een basis bieden voor de werkzaamheden van de accountant. Met name door de invloed van de compliance wet- en regelgeving, die de focus heeft verlegd van ‘show me’ naar ‘prove me’, is dit verder versterkt. De kwaliteit van controls en ook IT controls moet op continue basis aan te tonen zijn. Dit vereist monitoring van IT-systemen, processen en controls. Leveranciers spelen hierop in. Momenteel zijn er al diverse producten voorhanden waarmee de kwaliteit van de IT controls zowel op applicatie- als op infrastructuurniveau (de kruipruimte) kan worden gedocumenteerd, getest en continu bewaakt. Op applicatieniveau kunnen de voor de jaarrekeningcontrole relevante proces controls in ‘rule books’ of ‘control catalogs’ worden vastgelegd. De tool stelt vervolgens vast of deze controls, denk daarbij aan functiescheidingen, integriteitcontroles, waarschijnlijkheidscontroles en dergelijke correct zijn geïmplementeerd en ook blijvend juist functioneren. Exception exports worden indien van toepassing opgeleverd.

Hiermee is een zeer krachtig middel geïntroduceerd om audit evidence te vergaren en verandert de jaarrekeningcontrole qua uitvoering. Ook voor het testen van de general IT controls zijn tools beschikbaar.

De aanpak verandert of is al veranderd. De beschikbare tools veranderen en vereisen IT-kennis voor het gebruik van deze tools. Dit alles moet de accountant in zijn bagage hebben, niet alleen vanuit veranderingen in wet- en regelgeving, maar hopelijk ook vanuit een inherent kwaliteitsbesef. Interessant is dat in 2006 de International Accounting Education Board van de IFAC een concept Practice Statement heeft uitgegeven over Information Technology voor Professional Accountants. Dit is een bewerking van de sinds 1995 bestaande Education Guideline IEG11. In de kern beschrijft deze Practice Statement de kennis benodigd bij accountants om zowel IT te gebruiken, maar juist ook om IT te beoordelen. De accountant als IT-expert of minimaal als degene die de IT-auditspecialisten kan aansturen en beoordelen. Een mooie gedachte, zeker, maar naar mijn mening ook de harde realiteit.

Literatuur

[Fijn05] Prof. dr. R.G.A. Fijneman RE RA, IT-auditing: grenzeloos of gelimiteerd?, inaugurele rede Universiteit van Tilburg, april 2005.

[Fijn06] Prof. dr. R.G.A. Fijneman RE RA, prof. dr. E.E.O. Roos Lindgreen RE en drs. K.H.G.J.M. Ho RE RA (red.), IT-auditing in de praktijk, juli 2006.