Samenvatting Audit & Assurance
Interne Beheersing
‘Interne beheersing is een proces, dat wordt geëffectueerd door de directie, het
management en overig personeel en is ontworpen om een redelijke mate van zekerheid te
verkrijgen dat de doelstellingen in de volgende categorieën worden gehaald:
• effectiviteit en efficiency van de bedrijfsactiviteiten;
• betrouwbaarheid van financiële informatie;
• naleving van de van toepassing zijnde wet- en regelgeving.’
Later is hieraan als doelstelling toegevoegd: beveiliging van activa.
Doel van de accountantscontrole is vast te stellen of de jaarrekening geen afwijkingen van
materieel belang bevat die het getrouwe beeld ervan kunnen aantasten. Deze benadering
staat ook centraal in de risicoanalysegedachte.
De genoemde interne beheersingsmaatregelen kunnen worden ingedeeld in:
• Preventieve maatregelen (vooraf)
• Repressieve (=signalerende en correctieve) maatregelen (achteraf)
Het vaststellen van het bestaan van interne beheersingsmaatregelen:
• Dient de accountant een aantal waarnemingen te verrichten. Deze waarnemingen
worden in de praktijk aangeduid als proceduretests. Een lijncontrole is een
bijzondere vorm van een proceduretest.
• Lijncontrole: een transactie wordt door de gehele cyclus gevolgd en er wordt
vastgesteld of de eerder geïnventariseerde interne beheersingsmaatregelen in de
praktijk ook echt blijken te bestaan.
• Het aantal uit te voeren lijncontroles is doorgaans beperkt van omvang. In beginsel
volstaat een lijncontrole per proces of cyclus per boekjaar, indien er gedurende het
boekjaar geen belangrijke wijzigingen in de interne beheersing zijn opgetreden.
De betekenis van automatisering in het kader van interne beheersing:
De beoordeling van geautomatiseerde gegevensverwerking is belangrijk voor de beoordeling
van de interne beheersing.
Opzet, bestaan en werking om processen binnen een bedrijf te beoordelen
o Opzet: kijken naar het handboek van de onderneming, als dit er niet is ga je
interviews afnemen planningsfase
o Bestaan: procedure test, het proces van A tot Z meelopen (VB: lijncontrole, vier ogen
principe en functiescheiding)
o Werking: de cruciale beheersingsmaatregelen testen (die voor de accountant van
belang zijn). Door het jaar heen testen (ook in de maanden waar geen lijncontrole
heeft plaats gevonden) of het proces gewerkt heeft, door bijvoorbeeld steekproef.
Verschil steekproef en deelwaarneming:
o Steekproef: statistisch onderbouwend, als er een afwijking uit komt kan je over de
hele groep wat zeggen.
o Deelwaarneming: hetzelfde als een steekproef maar dan niet statistisch.
,Geautomatiseerde gegevensverwerking voordelen ten aanzien van effectiviteit en
doelmatigheid voor de interne beheersing (brengt ook specifieke risico’s met zich mee).
Automatisering is ondersteunend en kan de accountant en het bedrijf helpen om
functiescheiding of andere dingen af te dwingen betrouwbaarheid van
informatiestromen/gegevensverwerking. Als de gegevens betrouwbaar zijn kan je iets
zeggen over het geheel. Als automatisering niet goed is ingericht is de kans op
onbetrouwbare gegevens groter.
o Risico: automatisering niet betrouwbaar wanneer de onbevoegde toegang tot iets
hebben.
Belangrijk is de betrouwbaarheid van de geautomatiseerde gegevensverwerking,
componenten:
o De exclusiviteit van gegevens en informatie
o De integriteit van gegevens en informatie
o De controleerbaarheid van gegevens en informatie
Beoordeling van de beheersingsmaatregelen (hoort nog binnen opzet, bestaan en werking)
o General IT controls: controles om de software te beschermen, maatregelen die het
bedrijf kan/moet nemen om de programma’s te beschermen tegen ongewenste
menging.
o Application controls: geprogrammeerde controles in de programma’s zelf.
Als de general IT controls niet goed zijn ingericht dan heb je weinig zekerheid dat de
programma’s stabiel zijn. Zonder goede general IT controls maken goede application
controls niet meer uit.
General IT controls
o Back-up and recovery: data opslaan of dupliceren zodat het bijvoorbeeld tijdens een
storing niet verloren gaat.
Uitwijkmogelijkheden: bij een derde server ruimte kopen, als de server bij jou
uitvalt schakel je automatisch door naar deze server.
Noodstroom: bijvoorbeeld een extra generator
o Firewall: een systeem dat een computer of een netwerk kan beschermen tegen
misbruik van buitenaf (dat gegevens van de organisatie beschermd worden).
o Virusscanner
o Change management: hoe ga je om met de aanpassingen van het systeem het
veranderen van de programma’s, onderhoud plegen en nieuwe systemen.
o Logische toegangsbeveiliging: usernames en passwords, deze moeten voldoen aan de
geldende functiescheiding met als doel dat geen onbevoegden gegevens kunnen
lezen of wijzigen identificatie en authenticatie. ID koppelen aan autorisatietabel.
o Fysieke toegangsbeveiliging: server ruimte altijd afgesloten, beleid voor de laptops
(altijd je computer afsluiten als je weg loopt) en brandbeveiliging voor
vermindering van het risico van doorbreking van de continuïteit van de
gegevensverwerking.
, o Richtlijnen voor paswoorden: bijvoorbeeld om de zoveel tijd wachtwoord aanpassen
en eisen voor het wachtwoord.
Application controls
o Invoercontroles: autorisatie van transacties, de volledigheid van de invoer van
transacties, de validatie van ingevoerde gegevens, correctieprocedures in geval van
fouten bij het invoeren van transacties en het creëren van te corrigeren bestanden
ter opvolging door de gebruiker.
Validatiecontrole: melding bij het fout invullen
Bestaanscontrole
Volledigheidscontrole
Redelijkheidscontrole
o Verwerkingscontroles (transmissiecontroles) hebben tot doel fouten te voorkomen
en te detecteren op het moment dat transacties worden verwerkt.
o Uitvoercontroles zijn gericht op het detecteren van fouten nadat de verwerking van
transactief heeft plaatsgevonden in de geautomatiseerde systemen. Vaak worden
gebruikerscontroles op basis van signaallijsten aangestuurd.
Uitvoering IT-audit
o Als de applicaties niet zijn aangepast dan is het genoeg om 1 test te doen voor opzet,
bestaan werking (voordeel van automatisering).
o Technical audit op de automatiseringsomgeving: de IT-auditor binnen het team
beoordelen ten minste elk jaar de general IT controls om te bepalen of er gesteund
kan worden op de applicaties controls.
Auditing throug the computer: wij gaan dus steunen op de general IT controls en
applicaties controls die in het geautomatiseerde systeem zitten.
Auditing around the computer: als dit niet kan door in de computer te kijken kan er
alsnog gecontroleerd worden door buiten de computer te kijken.
Gebruikers van serviceorganisatie SLA: bedrijf maakt gebruik van een server van derden
o Dit moet goed worden ingericht, zelf verantwoordelijk voor hoe je informatie is
beveiligd ondanks dat het systeem van derden is.
o Controlestandaard 402/403 beschrijft de controleoverwegingen wanneer een entiteit
gebruikmaakt van een serviceorganisaties (steunen op de werkzaamheden van een
andere assurance provider).
o Altijd onderzoeken of de informatie die je krijgt betrouwbaar is, je kan het nooit
zomaar overnemen. Type 2 verklaring (NV COS 3402, uitleg type 1 en 2 verklaring
wordt ook verwezen NV COS 402) gekregen vaststellen van wie het komt en of
diegenen genoeg kennis had om het te ondersteunen.
Service Level agreement (SLA): hierin zijn afspraken vastgelegd met betrekking tot de
kwaliteit van de dienstverlening zoals beschikbaarheid, responstijd, helpdeskfunctie,
maximaal aantal storingen. De eigen IT-afdeling dient naar de kwaliteit te kijken.
Dit moet regelmatig gemonitord worden.
, Communicatie over tekortkomingen in de interne beheersing
Verschil management letter en accountantsverslag: management letter is naar aanleiding
van de interimcontrole dus over de opzet, bestaan en werking. Het accountantsverslag is van
de jaarrekening.
De accountant is op grond van artikel 2:393 lid 4 BW verplicht om in het aan toezichthouders
en bestuur uitgebrachte accountantsverslag ten minste melding te maken van zijn
bevindingen inzake de betrouwbaarheid en continuïteit van de geautomatiseerde
gegevensverwerking, voor zover die uit de jaarrekeningcontrole voortvloeien. Ook indien hij
geen bevinden ter zake heeft, dient hij dit te rapporteren.
Toepassing van procesgerichte controle
De te volgen structuur bij de controle ziet er als volgt uit:
o Controledoelstellingen richting: bij de NVCOS 315 A190 daar staan alle doelstellingen
richtingen.
o A-stroom: winst-en-verlies rekening
o B-stroom: balans
o Debet kant: nauwkeurigheid
o Credit kant: volledigheid
o Risico inschatting
o Beoordeling van de interne beheersing
o Cijferanalyse: een cijferanalyse houdt in dat de accountant de financiële informatie
van de onderneming vergelijkt met overige informatie (vergelijkende cijfers,
vergelijken met de norm) Verband controles: geld goederenverbetering, bèta
formule
o Overige gegevensgerichte controlewerkzaamheden: facturen bekijken,
eigendomsacte bekijken of als er investering is gedaan wat de kostprijs is.
o Bijzonderheden
NV COS 330 algemene risico’s
Randvoorwaarden:
o Automatisering
o Functiescheiding voor opzet, bestaan en werking
o Richtlijn en begroting: begroting is een norm en deze heb je nodig om bij de
cijferbeoordeling iets mee te doen. De richtlijnen zijn een soort
beheersingsmaatregelen.
Routinematige handelingen: een handeling die meerdere malen in het jaar in een proces
voortkomen/gebeuren interne controle.
Niet routinematige handelingen: voor posten met een niet routinematige handeling wordt
gekozen voor een gegevensgerichte controle. Voorbeeld: voorzieningen
Interne Beheersing
‘Interne beheersing is een proces, dat wordt geëffectueerd door de directie, het
management en overig personeel en is ontworpen om een redelijke mate van zekerheid te
verkrijgen dat de doelstellingen in de volgende categorieën worden gehaald:
• effectiviteit en efficiency van de bedrijfsactiviteiten;
• betrouwbaarheid van financiële informatie;
• naleving van de van toepassing zijnde wet- en regelgeving.’
Later is hieraan als doelstelling toegevoegd: beveiliging van activa.
Doel van de accountantscontrole is vast te stellen of de jaarrekening geen afwijkingen van
materieel belang bevat die het getrouwe beeld ervan kunnen aantasten. Deze benadering
staat ook centraal in de risicoanalysegedachte.
De genoemde interne beheersingsmaatregelen kunnen worden ingedeeld in:
• Preventieve maatregelen (vooraf)
• Repressieve (=signalerende en correctieve) maatregelen (achteraf)
Het vaststellen van het bestaan van interne beheersingsmaatregelen:
• Dient de accountant een aantal waarnemingen te verrichten. Deze waarnemingen
worden in de praktijk aangeduid als proceduretests. Een lijncontrole is een
bijzondere vorm van een proceduretest.
• Lijncontrole: een transactie wordt door de gehele cyclus gevolgd en er wordt
vastgesteld of de eerder geïnventariseerde interne beheersingsmaatregelen in de
praktijk ook echt blijken te bestaan.
• Het aantal uit te voeren lijncontroles is doorgaans beperkt van omvang. In beginsel
volstaat een lijncontrole per proces of cyclus per boekjaar, indien er gedurende het
boekjaar geen belangrijke wijzigingen in de interne beheersing zijn opgetreden.
De betekenis van automatisering in het kader van interne beheersing:
De beoordeling van geautomatiseerde gegevensverwerking is belangrijk voor de beoordeling
van de interne beheersing.
Opzet, bestaan en werking om processen binnen een bedrijf te beoordelen
o Opzet: kijken naar het handboek van de onderneming, als dit er niet is ga je
interviews afnemen planningsfase
o Bestaan: procedure test, het proces van A tot Z meelopen (VB: lijncontrole, vier ogen
principe en functiescheiding)
o Werking: de cruciale beheersingsmaatregelen testen (die voor de accountant van
belang zijn). Door het jaar heen testen (ook in de maanden waar geen lijncontrole
heeft plaats gevonden) of het proces gewerkt heeft, door bijvoorbeeld steekproef.
Verschil steekproef en deelwaarneming:
o Steekproef: statistisch onderbouwend, als er een afwijking uit komt kan je over de
hele groep wat zeggen.
o Deelwaarneming: hetzelfde als een steekproef maar dan niet statistisch.
,Geautomatiseerde gegevensverwerking voordelen ten aanzien van effectiviteit en
doelmatigheid voor de interne beheersing (brengt ook specifieke risico’s met zich mee).
Automatisering is ondersteunend en kan de accountant en het bedrijf helpen om
functiescheiding of andere dingen af te dwingen betrouwbaarheid van
informatiestromen/gegevensverwerking. Als de gegevens betrouwbaar zijn kan je iets
zeggen over het geheel. Als automatisering niet goed is ingericht is de kans op
onbetrouwbare gegevens groter.
o Risico: automatisering niet betrouwbaar wanneer de onbevoegde toegang tot iets
hebben.
Belangrijk is de betrouwbaarheid van de geautomatiseerde gegevensverwerking,
componenten:
o De exclusiviteit van gegevens en informatie
o De integriteit van gegevens en informatie
o De controleerbaarheid van gegevens en informatie
Beoordeling van de beheersingsmaatregelen (hoort nog binnen opzet, bestaan en werking)
o General IT controls: controles om de software te beschermen, maatregelen die het
bedrijf kan/moet nemen om de programma’s te beschermen tegen ongewenste
menging.
o Application controls: geprogrammeerde controles in de programma’s zelf.
Als de general IT controls niet goed zijn ingericht dan heb je weinig zekerheid dat de
programma’s stabiel zijn. Zonder goede general IT controls maken goede application
controls niet meer uit.
General IT controls
o Back-up and recovery: data opslaan of dupliceren zodat het bijvoorbeeld tijdens een
storing niet verloren gaat.
Uitwijkmogelijkheden: bij een derde server ruimte kopen, als de server bij jou
uitvalt schakel je automatisch door naar deze server.
Noodstroom: bijvoorbeeld een extra generator
o Firewall: een systeem dat een computer of een netwerk kan beschermen tegen
misbruik van buitenaf (dat gegevens van de organisatie beschermd worden).
o Virusscanner
o Change management: hoe ga je om met de aanpassingen van het systeem het
veranderen van de programma’s, onderhoud plegen en nieuwe systemen.
o Logische toegangsbeveiliging: usernames en passwords, deze moeten voldoen aan de
geldende functiescheiding met als doel dat geen onbevoegden gegevens kunnen
lezen of wijzigen identificatie en authenticatie. ID koppelen aan autorisatietabel.
o Fysieke toegangsbeveiliging: server ruimte altijd afgesloten, beleid voor de laptops
(altijd je computer afsluiten als je weg loopt) en brandbeveiliging voor
vermindering van het risico van doorbreking van de continuïteit van de
gegevensverwerking.
, o Richtlijnen voor paswoorden: bijvoorbeeld om de zoveel tijd wachtwoord aanpassen
en eisen voor het wachtwoord.
Application controls
o Invoercontroles: autorisatie van transacties, de volledigheid van de invoer van
transacties, de validatie van ingevoerde gegevens, correctieprocedures in geval van
fouten bij het invoeren van transacties en het creëren van te corrigeren bestanden
ter opvolging door de gebruiker.
Validatiecontrole: melding bij het fout invullen
Bestaanscontrole
Volledigheidscontrole
Redelijkheidscontrole
o Verwerkingscontroles (transmissiecontroles) hebben tot doel fouten te voorkomen
en te detecteren op het moment dat transacties worden verwerkt.
o Uitvoercontroles zijn gericht op het detecteren van fouten nadat de verwerking van
transactief heeft plaatsgevonden in de geautomatiseerde systemen. Vaak worden
gebruikerscontroles op basis van signaallijsten aangestuurd.
Uitvoering IT-audit
o Als de applicaties niet zijn aangepast dan is het genoeg om 1 test te doen voor opzet,
bestaan werking (voordeel van automatisering).
o Technical audit op de automatiseringsomgeving: de IT-auditor binnen het team
beoordelen ten minste elk jaar de general IT controls om te bepalen of er gesteund
kan worden op de applicaties controls.
Auditing throug the computer: wij gaan dus steunen op de general IT controls en
applicaties controls die in het geautomatiseerde systeem zitten.
Auditing around the computer: als dit niet kan door in de computer te kijken kan er
alsnog gecontroleerd worden door buiten de computer te kijken.
Gebruikers van serviceorganisatie SLA: bedrijf maakt gebruik van een server van derden
o Dit moet goed worden ingericht, zelf verantwoordelijk voor hoe je informatie is
beveiligd ondanks dat het systeem van derden is.
o Controlestandaard 402/403 beschrijft de controleoverwegingen wanneer een entiteit
gebruikmaakt van een serviceorganisaties (steunen op de werkzaamheden van een
andere assurance provider).
o Altijd onderzoeken of de informatie die je krijgt betrouwbaar is, je kan het nooit
zomaar overnemen. Type 2 verklaring (NV COS 3402, uitleg type 1 en 2 verklaring
wordt ook verwezen NV COS 402) gekregen vaststellen van wie het komt en of
diegenen genoeg kennis had om het te ondersteunen.
Service Level agreement (SLA): hierin zijn afspraken vastgelegd met betrekking tot de
kwaliteit van de dienstverlening zoals beschikbaarheid, responstijd, helpdeskfunctie,
maximaal aantal storingen. De eigen IT-afdeling dient naar de kwaliteit te kijken.
Dit moet regelmatig gemonitord worden.
, Communicatie over tekortkomingen in de interne beheersing
Verschil management letter en accountantsverslag: management letter is naar aanleiding
van de interimcontrole dus over de opzet, bestaan en werking. Het accountantsverslag is van
de jaarrekening.
De accountant is op grond van artikel 2:393 lid 4 BW verplicht om in het aan toezichthouders
en bestuur uitgebrachte accountantsverslag ten minste melding te maken van zijn
bevindingen inzake de betrouwbaarheid en continuïteit van de geautomatiseerde
gegevensverwerking, voor zover die uit de jaarrekeningcontrole voortvloeien. Ook indien hij
geen bevinden ter zake heeft, dient hij dit te rapporteren.
Toepassing van procesgerichte controle
De te volgen structuur bij de controle ziet er als volgt uit:
o Controledoelstellingen richting: bij de NVCOS 315 A190 daar staan alle doelstellingen
richtingen.
o A-stroom: winst-en-verlies rekening
o B-stroom: balans
o Debet kant: nauwkeurigheid
o Credit kant: volledigheid
o Risico inschatting
o Beoordeling van de interne beheersing
o Cijferanalyse: een cijferanalyse houdt in dat de accountant de financiële informatie
van de onderneming vergelijkt met overige informatie (vergelijkende cijfers,
vergelijken met de norm) Verband controles: geld goederenverbetering, bèta
formule
o Overige gegevensgerichte controlewerkzaamheden: facturen bekijken,
eigendomsacte bekijken of als er investering is gedaan wat de kostprijs is.
o Bijzonderheden
NV COS 330 algemene risico’s
Randvoorwaarden:
o Automatisering
o Functiescheiding voor opzet, bestaan en werking
o Richtlijn en begroting: begroting is een norm en deze heb je nodig om bij de
cijferbeoordeling iets mee te doen. De richtlijnen zijn een soort
beheersingsmaatregelen.
Routinematige handelingen: een handeling die meerdere malen in het jaar in een proces
voortkomen/gebeuren interne controle.
Niet routinematige handelingen: voor posten met een niet routinematige handeling wordt
gekozen voor een gegevensgerichte controle. Voorbeeld: voorzieningen
