EDP-audit, I(C)T-audit of beter: Information Risk Management. Niet slechts de informatie- en communicatietechnologie ontwikkelt zich, ook degenen die zich beroepsmatig met de beoordeling van de kwaliteit ervan bezighouden ondergaan dagelijks een evolutie. Information Risk Management (IRM) wordt nu een begrip.
In dit nummer van Compact wordt IRM met name geplaatst in het kader van de accountantscontrole. De invloed van ICT op de interne beheersing en op de accountantscontrole neemt toe. Konden accountants ogenschijnlijk nog aan de kwaliteitsaspecten van ICT voorbijgaan, na de millenniumwende – en wie herinnert zich de Y2K-problematiek niet meer – lijkt dat echt tot de controleaanpak van de vorige eeuw te behoren. Vandaar dat de redactie schrijvers heeft uitgenodigd om accountants bij de hand te nemen en te leiden door en langs onomkeerbare ontwikkelingen.
Het is dan goed IRM strategisch te positioneren. Collega Van Gils neemt de controleaanpak ‘bij de horens’ en geeft aan dat reeds in de strategiefase van de accountantscontrole de inbreng van de IRM-auditor nodig is. Immers, vastgesteld zal moeten worden of en zo ja, in welke mate in de controle wordt gesteund op kwaliteitsaspecten verankerd in de ICT-organisatie.
De auteurs Jonker en Van Langen werken het onderwerp verder uit door te schetsen hoe financial auditor en EDP-auditor dan dienen samen te werken. De nadruk ligt dan in het bijzonder op het verzamelen van controlebewijs door de EDP-auditor. Duidelijke afspraken over reikwijdte, diepgang en fasering van de EDP-auditwerkzaamheden zijn nodig, al was het maar om te voorkomen dat de laatste nagenoeg het gehele controlebudget opsoupeert. Op de vraag of dat wellicht noodzakelijk zou zijn, wordt begrijpelijkerwijze niet ingegaan.
In dit nummer wordt vervolgens ingegaan op benchmarking van de ICT controls door mevrouw E. van Sommeren en de heer J.C. de Boer. De beide auteurs putten uit een rijke ervaring, waardoor zij in staat zijn na een toelichting op begrip en gebruik van benchmarking praktijkgevallen te bespreken. De presentatie van de resultaten in zogenaamde spinnenwebben (spidergraphs) wordt door management als een eye opener gezien en wordt zeer gewaardeerd.
Beoordeling van uitsluitend de ICT-organisatie kan niet voldoende zijn om de jaarrekening van een organisatie te kunnen controleren. De accountant zal zich ten minste een oordeel moeten vormen over de processen. Mevrouw M. Koedijk beschrijft daarom in haar artikel de Business Process Analysis-methodiek in het kader van de jaarrekeningcontrole en wel – na een korte toelichting van de methodiek – aan de hand van een praktijktoepassing. De cliënt VIB NV, een vastgoedbeleggingsmaatschappij, stond haar toe heel concreet de procesketen vastgoedbeheer te presenteren. In de schema’s in het artikel treft u het resultaat van de audit aan.
Was in het vorige artikel sprake van een BPA-audit, de auteur Meuldijk beschrijft in het artikel van zijn hand de rol van de accountant in ERP-implementatieprojecten (de System Integration Controls-methode). Het is voor de accountant niet slechts van belang nu de jaarrekening te kunnen controleren, maar dat ook nog te kunnen nadat nieuwe systemen zijn geïmplementeerd. Wat is er dan logischer dan de accountant een methode aan te reiken zodat hij in staat is op een gestructureerde en proactieve wijze ICT-beheersmaatregelen te beoordelen tijdens of – eventueel – na implementatie van ERP-systemen.
Een vreemde eend in de bijt van dit nummer lijkt wellicht het artikel van de hand van collega’s De Haas en Van Beek inzake ontwikkelingen op het gebied van e-assurance. Echter, niets is minder waar. Het gebruik van het World Wide Web door organisaties neemt hand over hand toe. De IRM-auditor is bij uitstek in staat de accountant de helpende hand te bieden wanneer ‘e’ haar intrede doet in te controleren organisaties. In het bijzonder besteden zij dan ook aandacht aan het WebTrust-zegel en de WebTrust-audit, een nieuwe dienstverlening onder de vlag van IRM.
Tot slot beschrijft collega Fijneman in kort bestek ICT-ontwikkelingen en permanente educatie voor accountants. Na zijn gedegen proefschrift, waarover reeds elders werd gepubliceerd en waarin een common body of knowledge voor accountants met betrekking tot ICT werd gedefinieerd, waagt hij het nu de reeds afgestudeerden een spiegel voor te houden.
Het kan niet anders of dit nummer van Compact moet de accountant na lezing ervan aanleiding geven zijn IRM-collega’s (verder) in te schakelen.