Skip to main content

Redactioneel

IT-audit: meer rule-based of toch risk-based?

In deze Compact staat centraal een update over corporate governance en ICT. Met name corporate governance staat de laatste tijd sterk in de belangstelling door de verschillende schandalen die we de afgelopen jaren hebben gezien. Volgens veel regelgeving die daaropvolgend is uitgegeven, dient het management zich expliciet te verantwoorden voor de opzet van en de effectieve werking van de beheersingsmaatregelen die door de onderneming zijn getroffen. Aangezien die beheersingsmaatregelen steeds meer in geautomatiseerde systemen zijn opgenomen, komt IT in beeld als belangrijk onderdeel van corporate governance. Uit een recente benchmark door KPMG rond Sarbanes-Oxley (SOX) sectie 404 in de Verenigde Staten kwamen als opvallende uitkomsten onder meer naar voren:

  • IT controls domineren de door de respondenten geïdentificeerde deficiencies (of tekortkomingen), significant deficiencies en material weaknesses die uit de SOX 404-assessments naar voren komen. Ze maken ongeveer eenderde uit van de deficiencies en een kwart van de significant deficiencies en material weaknesses.
  • Tegelijkertijd is het grootste gedeelte van de controls nog steeds handmatig en ligt het accent op controle achteraf in plaats van vóóraf. Veel testwerk op de handmatige controls is hierdoor noodzakelijk.

In de praktische implementatie van de wet- en regelgeving rond Sarbanes-Oxley en Tabaksblat blijken veel organisaties dus met het onderwerp ICT te worstelen. IT-auditors werden het afgelopen jaar veel gevraagd om als auditor hun normen nu eens duidelijk te maken en daarnaast in toenemende mate op te treden als adviseur van het management. Hier ligt duidelijk een uitdaging voor het vakgebied IT-auditing. Zijn de IT-auditors ertoe in staat deze vragen klip en klaar te beantwoorden? Geven verschillende IT-auditors eenduidige adviezen aan het management? Er is vanuit de Verenigde Staten een sterke tendens waarneembaar om meer ‘rule-based’ te gaan auditen. Een meer checklistgerichte auditbenadering dreigt. De Amerikaanse normenstelsels van COSO en CobIT komen plotseling overal naar boven. Houdt het meer ‘principle-based’ stelsel in Nederland stand? Begrippen als het testen van de werking van beheersingsmaatregelen, de samenwerking met de interne accountant of bijvoorbeeld ‘IT dependant manual controls’ lijken (opnieuw) te moeten worden uitgewerkt en de jarenlange discussie over de betekenis van de IT voor de accountantscontrole komt ook weer nadrukkelijk op de voorgrond. Uit de recente evaluatie door de SEC van de implementatie in het kader van SOX komt inmiddels naar voren dat de regels door de externe accountants niet te strikt geïnterpreteerd moeten worden. Er wordt meer ruimte geboden voor een risk-based approach; onderkend is dat met alleen maar meer steekproeven het zicht op de feitelijke beheersing ook niet beter wordt.

Voor de komende jaren liggen hier ook grote kansen voor de IT-auditor om het management te helpen de kosten van de beheersingsmaatregelen inzichtelijk te krijgen en de efficiëntie te verbeteren door meer controls in de IT op te nemen zodat minder manual controls hoeven te worden getest.

Deze uitgave van Compact biedt een overzicht van de huidige stand van zaken rond corporate governance en ICT, waarin met name ervaringen vanuit de praktijk centraal staan.

Het openingsartikel geeft een overzicht van de ontwikkelingen op corporate-governancegebied in Nederland, geeft aan wat de gevolgen zijn voor de externe accountant en stelt de wat onderbelichte rol van IT in Tabaksblat aan de orde.

Het volgende artikel behandelt de vertaling van de code-Tabaksblat naar de implementatie in de praktijk, waarin in de aanpak juist wel voldoende aandacht aan IT wordt besteed.

Dan wordt in een tweetal artikelen stilgestaan bij de samenloop tussen verschillende vormen van regelgeving en normenstelsels. Hoe kan de IT-organisatie er in de praktijk voor zorgen dat niet elke keer het wiel wordt uitgevonden?

Een speciaal artikel belicht de rol die de IT kan spelen bij het publiceren van de cijfers zelf, waarbij wordt ingegaan op de ontwikkelingen op het gebied van XBRL. Tot slot wordt in een aantal artikelen ingegaan op de praktijkervaringen rond SAS 70 en SOX en wordt een aantal fundamentele vragen in dit kader aan de orde gesteld.

Hopelijk geeft dit themanummer voldoende aanleiding om over deze vragen in alle rust tijdens of na een welverdiende zomervakantie na te denken. Het laatste woord over corporate governance en IT is hiermee zeker nog niet gezegd en naar de mening van de redactie zijn de vragen ook nog niet definitief beantwoord. Mocht u willen reageren of heeft u als lezer vanuit de eigen praktijkervaring ook iets bij te dragen aan de discussie, laat het ons weten. In een volgende Compact kunnen we dan de ontwikkelingen opnieuw belichten. Veel leesplezier!

Drs. J.J. van Beek RE RA