Hoofdstuk 12 Betekenis van IT voor de accountantscontrole
12.1 IT in de controlestandaarden
In de controlestandaarden is over IT in de controleaanpak het volgende opgenomen:
- De accountant verwerft inzicht in de wijze waarop de controlecliënt inspeelt op IT-risico’s
- De accountant toetst de relevante interne beheersingsmaatregelen met betrekking tot de geautomatiseerde
omgeving.
- De accountant rapporteert de geconstateerde IT-bevindingen
12.1.1 Het verwerven van inzicht in de geautomatiseerde omgeving
De accountant verwerft conform Standaard 315 inzicht in de relevante informatiesystemen en de wijze waarop de
controlecliënt inspeelt op IT-risico’s.
We hanteren de volgende definitie van een IT-risico: Een risico dat voortkomt uit gebeurtenissen,
omstandigheden, handelingen of het achterwege laten van handelingen die een nadelig effect kunnen hebben op de
integriteit van informatie of de beveiliging van het IT-systeem.
Voorbeelden IT-risico’s:
- Het vertrouwen op IT-systemen die gegevens onnauwkeurig of onvolledig verwerken;
- Het vertrouwen automatiseerde interne beheersingsmaatregelen die in opzet niet toereikend zijn of worden
omzeild door de medewerkers;
- De kans dat (IT-)medewerkers ruimere toegangsrechten krijgen dan die welke zij voor het uitvoeren van hun
verantwoordelijkheden nodig hebben, waardoor functiescheiding wordt doorbroken;
- Ongeautoriseerde wijzigingen van systemen of gegevens; of
- Potentieel verlies van gegevens.
Op basis van Standaard 315 speelt de entiteit toereikend in op de relevante IT-risico’s, indien de integriteit van data
gewaarborgd is en effectieve general IT controls en application controls zijn geïmlementeerd.
General IT controls (GITC’s): zijn interne beheersmaatregelen en bestaan uit algemene beleidslijnen en procedures
die de effectieve werking van application controls ondersteunen.
Application controls: zijn specifieke interne beheersmaatregelen die transacties tot stand brengen, vastleggen of
verwerken in de geautomatiseerde omgeving.
Een application control is een IT-afhaneklijkheid voor de accountant
12.1.2 Het testen van minimale IT-beheersingsmaatregelen
Een accountant kan met alleen gegevensgerichte werkzaamheden geen voldoende en geschikte controle-informatie
verzamelen als een geld-goederenbeweging ontbreekt of de controlecliënt in hoge mate geautomatiseerd is.
Op basis van Standaard 330 is het in dat geval wel vereist om minimale IT-beheersingsmaatregelen te testen op
effectieve werking. Welke minimale maatregelen dit zijn, is afhankelijk van de controleaanpak en de daarbij
geïdentificeerde IT-afhankelijkheden.
IT-afhankelijkheden: zijn elementen in de geautomatiseerde omgeving waar de accountant tijdens zijn
controleaanpak op steunt en daarmee afhankelijk is van de betrouwbare werking van dit element.
12.1.3 Het rapporteren van IT-bevindingen
De accountant rapporteert bevindingen ten aanzien van de geautomatiseerde omgeving op basis van artikel 2:393 lid 4
BW en Standaard 260. Deze verplichting geldt overigens alleen als de accountant daadwerkelijk IT-bevindingen heeft.
12.2 De IT-geïntegreerde controleaanpak
12.2.1 Inzicht in de entiteit en haar omgeving
De accountant start de jaarrekeningcontrole met het verwerven van inzicht in de entiteit en haar omgeving.
De accountant neemt hiervoor onder meer:
- Kennis van de doelstellingen en strategieën van de onderneming
- Het gekozen stelsel voor financiële verslaggeving en
- De wijze waarop transacties in de bedrijfsprocessen worden verwerkt in de financiële administratie.
12.2.2 Risicoanalyse
De accountant identificeert risico’s op basis van het verworven inzicht in de entiteit en haar omgeving die kunnen
leiden tot een materiële afwijking in de jaarrekening.
, Risico’s worden ingeschat aan de hand van:
- Aard van het risico
- Impact en;
- De waarschijnlijkheid dat het risico zich voordoet.
Naar aanleiding van de ingeschatte risico’s bepaalt de accountant de uit te voeren werkzaamheden.
De risicoanalyse vormt daarmee de basis voor de planning en uitvoering van de controlewerkzaamheden.
12.2.3 Controleaanpak
De accountant bepaalt aan de hand van de ingeschatte risico’s de controle aanpak. Dit betreft onder andere de
controlewerkzaamheden om de geïdentificeerde risico’s te verlagen tot een aanvaardbaar niveau. Deze
werkzaamheden bestaan uit een combinatie van systeem- en gegevensgerichte werkzaamheden.
12.2.4 Identificeren en afstemmen van IT-afhankelijkheden
De accountant steunt in zijn controleaanpak op de continue betrouwbare werking van de geautomatiseerde omgeving
van de controleklant maar kan ook steunen op in het systeem ingeregelde controle-technische functiescheiding of een
automatisch afgedwongen autorisatie.
Bij een IT-geïntegreerde controleaanpak is het nodig om IT-afhankelijkheden te identificeren en vormen de basis voor de
uit te voeren IT-controlewerkzaamheden
We onderscheiden de volgende vijf categorieën IT-afhankelijkheden:
1. Functiescheiding - in de geautomatiseerde omgeving ingeregelde controle-technische functiescheiding, om
taken en bevoegdheden te splitsen over verschillende daartoe aangewezen gunctionarissen;
2. Application controls - specifieke interne beheersingsmaatregelen afgedwongen door het systeem;
3. Interfaces - geautomatiseerde koppelingen waarmee IT-systemen met elkaar kunnen communiceren;
4. Automatische berekeningen - door het systeem uitgevoerde berekeningen.
5. Rapporten - informatie afkomstig van de controleklant gegenereerd vanuit de geautomatiseerde omgeving
van de entiteit.
12.2.5 Inzicht in de geautomatiseerde omgeving
De accountant bepaalt op basis van IT-afhankelijkheden welke systemen relevant zijn voor de jaarrekeningcontrole en
verwerft inzicht in:
1. IT-organisatie
- Beoordeling via interviews en organogrammen.
- Check op bezetting, deskundigheid, ervaring en functiescheiding binnen IT.
- Verder stelt accountant vast dat er voldoende functiescheiding tussen IT-functie en de business bestaat.
Risico’s super-userrechten (zijn gebruikers met uitgebreide rechten en bevoegdheden in de geautomatiseerde
omgeving):
o Beperkt → bij geautoriseerde IT-medewerkers (super-users) (geen procesverantwoordelijkheid).
o Groot → bij businessmedewerkers.
- Verder verkrijgt accountant Inzicht in:
o Toezichthoudend orgaan op de IT-functie.
o Evaluatie en rapportage van GITC’s.
2. IT-serviceproviders (Standaard 402)
- Inzicht in diensten, processen en interne beheersingsmaatregelen bij deze providers.
- Steunen op IB-maatregelen kan via:
o De relevante IB-maatregelen bij de serviceprovider zelf te testen.
o De relevante IB-maatregelen bij de serviceprovider door een andere accountant te laten testen of
o Gebruik te maken van een rapportage van de iT serviceprovider, waarmee inzicht wordt gegeven in
de effectieve werking van de IB-maatregelen.
3. IT-landschap
- Vooral inzicht in de Relevante lagen:
o Applicatie – software bedoeld voor eindgebruikers.
o Database – opslag van applicatiedata.
o Besturingssysteem – hoofdprogramma dat applicaties laadt en uitvoerbaar maakt.
4. Inzicht in General IT Controls (GITC’s)
- Doel: later de meest efficiënte en effectieve IT-controleaanpak bepalen.
12.2.6 Risicoanalyse
De accountant bepaalt de relevante IT-risico’s voor de jaarrekeningcontrole aan de hand van het inzicht in de IT-
omgeving en de relevante IT-afhankelijkheden.
Generieke IT-risico’s
De accountant heeft aan de hand van de IT-afhankelijkheden bepaald of een applicatie relevant is voor de controle.
In dat geval zijn de volgende IT-risico’s van belang:
- Data gaat verloren als gevolg van systeemstoring of integriteitsproblemen en de data kan niet worden
hersteld of wordt beschadigd tijdens een herstelproces.
12.1 IT in de controlestandaarden
In de controlestandaarden is over IT in de controleaanpak het volgende opgenomen:
- De accountant verwerft inzicht in de wijze waarop de controlecliënt inspeelt op IT-risico’s
- De accountant toetst de relevante interne beheersingsmaatregelen met betrekking tot de geautomatiseerde
omgeving.
- De accountant rapporteert de geconstateerde IT-bevindingen
12.1.1 Het verwerven van inzicht in de geautomatiseerde omgeving
De accountant verwerft conform Standaard 315 inzicht in de relevante informatiesystemen en de wijze waarop de
controlecliënt inspeelt op IT-risico’s.
We hanteren de volgende definitie van een IT-risico: Een risico dat voortkomt uit gebeurtenissen,
omstandigheden, handelingen of het achterwege laten van handelingen die een nadelig effect kunnen hebben op de
integriteit van informatie of de beveiliging van het IT-systeem.
Voorbeelden IT-risico’s:
- Het vertrouwen op IT-systemen die gegevens onnauwkeurig of onvolledig verwerken;
- Het vertrouwen automatiseerde interne beheersingsmaatregelen die in opzet niet toereikend zijn of worden
omzeild door de medewerkers;
- De kans dat (IT-)medewerkers ruimere toegangsrechten krijgen dan die welke zij voor het uitvoeren van hun
verantwoordelijkheden nodig hebben, waardoor functiescheiding wordt doorbroken;
- Ongeautoriseerde wijzigingen van systemen of gegevens; of
- Potentieel verlies van gegevens.
Op basis van Standaard 315 speelt de entiteit toereikend in op de relevante IT-risico’s, indien de integriteit van data
gewaarborgd is en effectieve general IT controls en application controls zijn geïmlementeerd.
General IT controls (GITC’s): zijn interne beheersmaatregelen en bestaan uit algemene beleidslijnen en procedures
die de effectieve werking van application controls ondersteunen.
Application controls: zijn specifieke interne beheersmaatregelen die transacties tot stand brengen, vastleggen of
verwerken in de geautomatiseerde omgeving.
Een application control is een IT-afhaneklijkheid voor de accountant
12.1.2 Het testen van minimale IT-beheersingsmaatregelen
Een accountant kan met alleen gegevensgerichte werkzaamheden geen voldoende en geschikte controle-informatie
verzamelen als een geld-goederenbeweging ontbreekt of de controlecliënt in hoge mate geautomatiseerd is.
Op basis van Standaard 330 is het in dat geval wel vereist om minimale IT-beheersingsmaatregelen te testen op
effectieve werking. Welke minimale maatregelen dit zijn, is afhankelijk van de controleaanpak en de daarbij
geïdentificeerde IT-afhankelijkheden.
IT-afhankelijkheden: zijn elementen in de geautomatiseerde omgeving waar de accountant tijdens zijn
controleaanpak op steunt en daarmee afhankelijk is van de betrouwbare werking van dit element.
12.1.3 Het rapporteren van IT-bevindingen
De accountant rapporteert bevindingen ten aanzien van de geautomatiseerde omgeving op basis van artikel 2:393 lid 4
BW en Standaard 260. Deze verplichting geldt overigens alleen als de accountant daadwerkelijk IT-bevindingen heeft.
12.2 De IT-geïntegreerde controleaanpak
12.2.1 Inzicht in de entiteit en haar omgeving
De accountant start de jaarrekeningcontrole met het verwerven van inzicht in de entiteit en haar omgeving.
De accountant neemt hiervoor onder meer:
- Kennis van de doelstellingen en strategieën van de onderneming
- Het gekozen stelsel voor financiële verslaggeving en
- De wijze waarop transacties in de bedrijfsprocessen worden verwerkt in de financiële administratie.
12.2.2 Risicoanalyse
De accountant identificeert risico’s op basis van het verworven inzicht in de entiteit en haar omgeving die kunnen
leiden tot een materiële afwijking in de jaarrekening.
, Risico’s worden ingeschat aan de hand van:
- Aard van het risico
- Impact en;
- De waarschijnlijkheid dat het risico zich voordoet.
Naar aanleiding van de ingeschatte risico’s bepaalt de accountant de uit te voeren werkzaamheden.
De risicoanalyse vormt daarmee de basis voor de planning en uitvoering van de controlewerkzaamheden.
12.2.3 Controleaanpak
De accountant bepaalt aan de hand van de ingeschatte risico’s de controle aanpak. Dit betreft onder andere de
controlewerkzaamheden om de geïdentificeerde risico’s te verlagen tot een aanvaardbaar niveau. Deze
werkzaamheden bestaan uit een combinatie van systeem- en gegevensgerichte werkzaamheden.
12.2.4 Identificeren en afstemmen van IT-afhankelijkheden
De accountant steunt in zijn controleaanpak op de continue betrouwbare werking van de geautomatiseerde omgeving
van de controleklant maar kan ook steunen op in het systeem ingeregelde controle-technische functiescheiding of een
automatisch afgedwongen autorisatie.
Bij een IT-geïntegreerde controleaanpak is het nodig om IT-afhankelijkheden te identificeren en vormen de basis voor de
uit te voeren IT-controlewerkzaamheden
We onderscheiden de volgende vijf categorieën IT-afhankelijkheden:
1. Functiescheiding - in de geautomatiseerde omgeving ingeregelde controle-technische functiescheiding, om
taken en bevoegdheden te splitsen over verschillende daartoe aangewezen gunctionarissen;
2. Application controls - specifieke interne beheersingsmaatregelen afgedwongen door het systeem;
3. Interfaces - geautomatiseerde koppelingen waarmee IT-systemen met elkaar kunnen communiceren;
4. Automatische berekeningen - door het systeem uitgevoerde berekeningen.
5. Rapporten - informatie afkomstig van de controleklant gegenereerd vanuit de geautomatiseerde omgeving
van de entiteit.
12.2.5 Inzicht in de geautomatiseerde omgeving
De accountant bepaalt op basis van IT-afhankelijkheden welke systemen relevant zijn voor de jaarrekeningcontrole en
verwerft inzicht in:
1. IT-organisatie
- Beoordeling via interviews en organogrammen.
- Check op bezetting, deskundigheid, ervaring en functiescheiding binnen IT.
- Verder stelt accountant vast dat er voldoende functiescheiding tussen IT-functie en de business bestaat.
Risico’s super-userrechten (zijn gebruikers met uitgebreide rechten en bevoegdheden in de geautomatiseerde
omgeving):
o Beperkt → bij geautoriseerde IT-medewerkers (super-users) (geen procesverantwoordelijkheid).
o Groot → bij businessmedewerkers.
- Verder verkrijgt accountant Inzicht in:
o Toezichthoudend orgaan op de IT-functie.
o Evaluatie en rapportage van GITC’s.
2. IT-serviceproviders (Standaard 402)
- Inzicht in diensten, processen en interne beheersingsmaatregelen bij deze providers.
- Steunen op IB-maatregelen kan via:
o De relevante IB-maatregelen bij de serviceprovider zelf te testen.
o De relevante IB-maatregelen bij de serviceprovider door een andere accountant te laten testen of
o Gebruik te maken van een rapportage van de iT serviceprovider, waarmee inzicht wordt gegeven in
de effectieve werking van de IB-maatregelen.
3. IT-landschap
- Vooral inzicht in de Relevante lagen:
o Applicatie – software bedoeld voor eindgebruikers.
o Database – opslag van applicatiedata.
o Besturingssysteem – hoofdprogramma dat applicaties laadt en uitvoerbaar maakt.
4. Inzicht in General IT Controls (GITC’s)
- Doel: later de meest efficiënte en effectieve IT-controleaanpak bepalen.
12.2.6 Risicoanalyse
De accountant bepaalt de relevante IT-risico’s voor de jaarrekeningcontrole aan de hand van het inzicht in de IT-
omgeving en de relevante IT-afhankelijkheden.
Generieke IT-risico’s
De accountant heeft aan de hand van de IT-afhankelijkheden bepaald of een applicatie relevant is voor de controle.
In dat geval zijn de volgende IT-risico’s van belang:
- Data gaat verloren als gevolg van systeemstoring of integriteitsproblemen en de data kan niet worden
hersteld of wordt beschadigd tijdens een herstelproces.
