In de afgelopen jaren is de rol van informatietechnologie in de accountantscontrole steeds belangrijker geworden. De Sarbanes-Oxley wetgeving maar ook SAS 70 vereist dat een oordeel wordt afgegeven over de interne beheersing inclusief de geautomatiseerde beheersingsmaatregelen. Er is hierdoor meer inzicht ontstaan in de relatie tussen algemene computercontroles en applicatiecontroles, de te testen algemene computercontroles, testfrequenties en de consequenties van geconstateerde ‘IT deficiencies’. Mede door SOx is duidelijk geworden dat een efficiënte en effectieve inzet van de IT-auditor nog de nodige aandacht vergt van de accountant en de IT-auditor zelf. De accountant dient een heldere vraagstelling te ontwikkelen richting de IT-auditor. De IT-auditor van zijn kant moet beter begrijpen welke controlerisico’s de accountant wil hebben afgedekt in de jaarrekeningcontrole en in SOx 404 teneinde samen met de accountant een efficiënte en effectieve aanpak te kunnen vaststellen. De aandacht lijkt zich hierdoor meer en meer te verschuiven van het uitsluitend beoordelen van algemene computercontroles naar applicatiecontroles.
Met het thema ‘IT in the external audit’ van deze Compact gaan we in op een aantal ontwikkelingen op ons vakgebied. Naast een beschouwing van Rob Fijneman over de noodzaak van beoordeling van de IT in de accountantscontrole staan we stil bij de status van compliance voor organisaties die aan de Sarbanes-Oxley wetgeving moeten voldoen. Marco Francken geeft zijn visie ‘back to basics’ over de nieuwe PCAOB Auditing Standard 5 (AS5) en de mogelijkheden voor een risicogebaseerde aanpak en andere testmethodieken.
Mark Meuldijk, Marc Broskij en Daniël Neeteson delen met ons hun ervaringen in de samenwerking met accountants en geven een visie op de belangrijke kritische succesfactoren. Daartoe behoort in elk geval een geïntegreerd controleteam van IT-auditors en accountants.
Herman van Gils neemt de relatie tussen algemene computercontroles en applicatiecontroles nog eens onder de loep. Interessant is zijn visie op de directe en indirecte algemene computercontroles in het kader van de jaarrekeningcontrole.
Laurens van der Perk en Paul Kromhout gaan in op de diverse soorten applicatiecontroles en het op een praktische wijze testen van dit type controles. In het artikel van Peter Paul Brouwers, Brigitte Beugelaar en Martijn Berghuijs wordt fact-finding met behulp van data-analyse verder uitgewerkt en van praktische voorbeelden voorzien.
Peter Kornelisse geeft zijn visie op het nut en de noodzaak om in het kader van de jaarrekeningcontrole naast het beoordelen van de controlemaatregelen ook de daadwerkelijke inrichting van de technische IT-beveiliging te beoordelen, alsmede op de manier waarop dat zou moeten gebeuren.
Organisaties vragen tegenwoordig te kust en te keur SAS 70-rapporten aan, maar is het wel altijd nodig? In het artikel van Sander van Bellen, Jan Hoogstra en Marco Francken wordt een handreiking gegeven in welke situatie een dergelijk rapport in het kader van de jaarrekening relevant is en waaraan dat moet voldoen, alsmede welke alternatieven voorhanden zijn.
Tot slot beschrijft Joost Groosman de verschillen tussen SOx en SAS 70. In de praktijk worden SAS 70 en SOx vaak gelijkgeschakeld, maar er zijn wel degelijk verschillen. Joost voert ons op een inzichtelijke wijze door de materie heen.
Ik wens u veel leesplezier en inspiratie.