Titelblad

More documents

Recommendations

Info

‘accounts’ inlogt in de applicatie kan een ‘tricker’ in werking gesteld worden zodat gekeken kanworden wat er met het account wordt gedaan en of het via de formele procedure verloopt.CCM voor ‘manual / IT-dependent manual controls’De bedrijfsprocessen in een geautomatiseerde omgeving worden ondersteund doorinformatiesystemen, waarbij een steeds groter deel van de interne controlemaatregelen isondergebracht in die systemen. Niet meer tekenen voor ontvangst van goederen op een papiertje,maar alles gebeurt in het systeem (ERP), is hier een voorbeeld van. Een onderneming kan nogeen stap verder gaan. Om na te gaan of de ‘controls’ in het systeem effectief zijn, kan eenonderneming gebruik maken van CCM.CCM voor ‘application controls’Volgens de regelgeving (met name van de PCAOB 35 met zijn Auditing Standard no.2 van maart2004) zijn er enkele methoden om de werking van ‘application controls’ vast te stellen. Enerzijdskan de auditor gebruikmaken van de resultaten van een gebruikerstest. Een nadeel is dat dezevaak geruime tijd geleden is uitgevoerd en moeilijk kan worden achterhaald. Anderzijds kan mende tests opnieuw uitvoeren. Een nadeel is dat hiervoor vaak een testomgeving moet wordeningericht, wat veel tijd en geld kan kosten. Een andere optie kan zijn om de programmacode telaten beoordelen. Een nadeel is dat deze code vaak complex is. In de PCAOB richtlijnen issimulatie/heruitvoering met behulp van data-analyse ook een optie om de werking van‘application controls’ vast te stellen. CCM maakt gebruik van data-analyse oplossingen en hierbijkan het gebruik van data analyse gezien worden als een ‘dual-purpose’: enerzijds wordt eenoordeel verkregen over de werking van de interne controle (bijvoorbeeld door herberekening) enanderzijds wordt tevens een beeld verkregen van de concrete uitkomsten van de controle.3.3 Invloed op de mate van zekerheid“Het is praktisch onmogelijk om de mate van zekerheid van een oordeel van een IT Audit tekwantificeren” 36 . Men maakt een onderscheidt in opdrachten gericht op het verschaffen van eenredelijke mate van zekerheid en een beperkte mate van zekerheid.Opdrachten met een redelijke mate van zekerheid zijn situaties waarin de IT-Auditor toereikendbewijsmateriaal heeft verkregen om te kunnen oordelen dat er geen materiële afwijkingen in hetproces zijn. Bij opdrachten met een beperkte mate van zekerheid heeft de IT-Auditor niet kunnenvaststellen of er materiële afwijkingen in het proces zijn.De opdrachten met een redelijke mate van zekerheid worden in de accountancy aangeduid met determen ‘audit’ en controle. De opdrachten met een beperkte mate van zekerheid wordenaangeduid met de termen ‘review’ of beoordeling.35 PCAOB: Public Company Accounting Oversight Board36 Grondslagen IT-auditing, R. Fijneman, E. Lindgreen, P. Veltman22
De elementen die van invloed zijn op de bepaling van de mate van zekerheid zijn in onderstaandetabel weergegeven.Elementen IT-auditopdrachtInvloed op mate van zekerheidBeoogde gebruikersDe mate van zekerheid moet aansluiten bij de kennis en behoefte van debeoogde gebruikers. Bij een uitgebreide kring van onbekende gebruikers(maatschappelijk verkeer) kan niet worden verwacht dat zij het verschiltussen een redelijke en een beperkte mate van zekerheid doorgronden en/ofdat een beperkte mate van zekerheid zonder meer past bij hun behoeften.Onderzoeksobject en criteria Naar mate het onderzoeksobject minder eenduidig kan worden gedefinieerdof een toetsing van de kwaliteitsaspecten minder goed mogelijk is, heeft ditinvloed op de mate van zekerheid die kan worden verschaft.BewijsmateriaalBij een onderzoek met een beperkte mate van zekerheid zal waarschijnlijk deomvang van de onderzoekswerkzaamheden minder omvangrijk zijn dan bijeen onderzoek met een redelijke mate van zekerheid.Tabel 13. De mate van zekerheid van de auditDoor de toepassing van CCM verandert er niets aan deze tweedeling. Slechts inuitzonderingsgevallen kan de auditor absolute zekerheid verschaffen. Bijvoorbeeld wanneer hetbewijsmateriaal volkomen sluitend en betrouwbaar is omdat het object van onderzoek en de tehanteren criteria volkomen eenduidig zijn en het toegepaste onderzoeksproces allesomvattendkan zijn.23
Page 7: ‘Corporate Governance’ (SOx 6 ,
Page 13 and 14: Management ResponseComprehensivemon
Page 15 and 16: Figuur 5. Concept 2 CCM en CAMen ka
Page 17 and 18: 3.Bepalen van data setsDe beschikba
Page 19 and 20: 3. Control evaluatie principesIn he
Page 21: DeelwaarnemingVoor een deelwaarnemi
Page 25 and 26: communicatie over interne beheersin
Page 27 and 28: De bovenstaande lijst is niet limit
Page 29 and 30: 4.2.1 MonitoringHet COBIT raamwerk
Page 31 and 32: 5.2 Uitwerking vragenVraag 1: Geef
Page 33 and 34: de maandcijfers op te stellen en de
Page 35 and 36: environment’, ‘Risk Assessment
Page 37 and 38: 6. Aandachtsgebieden IT auditorOp b
Page 39 and 40: Hiervoor kunnen data-analyse tools,
Page 41 and 42: Uitdagingen CCM in de praktijkEr wo
Page 43 and 44: Geraadpleegde literatuurdrs. F.J. B
Page 45 and 46: Bijlage A - CA/CCM driversBelangrij
Page 47 and 48: Bijalge C - Stappenplan implementat

Titelblad

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?