Continuous auditing en de (veranderde) rol van de IAD ... - Lime Tree
Continuous auditing en de (veranderde) rol van de IAD ... - Lime Tree
Continuous auditing en de (veranderde) rol van de IAD ... - Lime Tree
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
Drs. R. <strong>de</strong> Ruiter RE RA RO CISA<br />
<strong>Continuous</strong> <strong>auditing</strong><br />
<strong>Continuous</strong> <strong>auditing</strong>: <strong>de</strong> impact op assurance,<br />
On<strong>de</strong>r <strong>de</strong> naam Global Technology Audit Gui<strong>de</strong>s (GTAG) br<strong>en</strong>gt The Institute of Internal Auditors leidrad<strong>en</strong> uit over audit-<br />
on<strong>de</strong>rwerp<strong>en</strong> die sam<strong>en</strong>hang<strong>en</strong> met <strong>de</strong> automatisering <strong>van</strong> bedrijfsprocess<strong>en</strong>. Al in 2005 publiceer<strong>de</strong> IIA Inc.<br />
e<strong>en</strong> <strong>de</strong>r<strong>de</strong> leidraad met als titel ‘<strong>Continuous</strong> Auditing: Implications for Assurance, Monitoring and Risk<br />
Assessm<strong>en</strong>t’. Naar aanleiding <strong>van</strong> het thema <strong>van</strong> dit nummer, <strong>Continuous</strong> <strong>auditing</strong>, heeft <strong>de</strong> redactie <strong>van</strong><br />
Audit Magazine e<strong>en</strong> aantal collega’s om e<strong>en</strong> reactie gevraagd. Twee er<strong>van</strong> zijn in <strong>de</strong>ze bijdrage verwerkt.<br />
<strong>Continuous</strong> <strong>auditing</strong> als uitdaging<br />
In <strong>de</strong> <strong>de</strong>r<strong>de</strong> leidraad <strong>van</strong> het IIA is beschrev<strong>en</strong> op welke wijze<br />
het concept continuous <strong>auditing</strong> (CA) kan word<strong>en</strong> geïmplem<strong>en</strong>teerd<br />
in geautomatiseer<strong>de</strong> omgeving<strong>en</strong>. CA omvat alle method<strong>en</strong><br />
<strong>en</strong> techniek<strong>en</strong> die door auditors word<strong>en</strong> gebruikt voor het uitvoer<strong>en</strong><br />
<strong>van</strong> cont<strong>rol</strong>ewerkzaamhed<strong>en</strong> (inclusief beheersings- <strong>en</strong> risicobeoor<strong>de</strong>ling)<br />
op transacties op e<strong>en</strong> meer continue basis.<br />
Randvoorwaar<strong>de</strong><br />
Door het volg<strong>en</strong> <strong>van</strong> het beschrev<strong>en</strong> stapp<strong>en</strong>plan maakt <strong>de</strong> internal<br />
auditor optimaal gebruik <strong>van</strong> <strong>de</strong> mogelijkhed<strong>en</strong> die juist in<br />
geautomatiseer<strong>de</strong> omgeving<strong>en</strong> door IT word<strong>en</strong> gebod<strong>en</strong>. Wel<br />
moet hiervoor aan e<strong>en</strong> belangrijke randvoorwaar<strong>de</strong> zijn voldaan<br />
in <strong>de</strong> vorm <strong>van</strong> sponsorship door het managem<strong>en</strong>t. Dit is niet<br />
alle<strong>en</strong> nodig omdat het toepass<strong>en</strong> <strong>van</strong> het CA-concept kan noodzak<strong>en</strong><br />
tot het do<strong>en</strong> <strong>van</strong> aanvull<strong>en</strong><strong>de</strong> investering<strong>en</strong> in IT, maar juist<br />
ook voor het verkrijg<strong>en</strong> <strong>van</strong> directe toegang tot <strong>de</strong> geautomatiseer<strong>de</strong><br />
system<strong>en</strong> met <strong>de</strong> daarin vastgeleg<strong>de</strong> transactiegegev<strong>en</strong>s.<br />
Het managem<strong>en</strong>t is primair verantwoor<strong>de</strong>lijk voor <strong>de</strong> blijv<strong>en</strong>d<br />
goe<strong>de</strong> werking <strong>van</strong> het interne beheersingssysteem. I<strong>de</strong>aliter<br />
richt zij voor het kunn<strong>en</strong> drag<strong>en</strong> <strong>van</strong> <strong>de</strong>ze verantwoor<strong>de</strong>lijkheid<br />
e<strong>en</strong> proces in <strong>van</strong> continuous monitoring (CM), waarbij voor alle<br />
transacties wordt vastgesteld of <strong>de</strong>ze voldo<strong>en</strong> aan <strong>de</strong> interne cont<strong>rol</strong>edoelstelling<strong>en</strong>.<br />
Het managem<strong>en</strong>t verkrijgt op <strong>de</strong>ze wijze <strong>de</strong><br />
zekerheid dat het interne beheersingssysteem goed functioneert<br />
<strong>en</strong> dat in het geval <strong>van</strong> afwijking<strong>en</strong> escalatie kan word<strong>en</strong> voorkom<strong>en</strong><br />
door in te grijp<strong>en</strong>.<br />
Omgekeerd ev<strong>en</strong>redige relatie<br />
Tuss<strong>en</strong> CM <strong>en</strong> CA bestaat e<strong>en</strong> omgekeerd ev<strong>en</strong>redige relatie.<br />
Wanneer het proces <strong>van</strong> CM door het managem<strong>en</strong>t op e<strong>en</strong> a<strong>de</strong>-<br />
AUDIT magazine<br />
nummer 5 <strong>de</strong>cember 2008<br />
24<br />
quate wijze is ingericht <strong>en</strong> naar behor<strong>en</strong> functioneert dan hoeft<br />
het proces <strong>van</strong> CA niet met e<strong>en</strong>zelf<strong>de</strong> diepgang te word<strong>en</strong> uitgevoerd<br />
door internal audit. Volstaan kan word<strong>en</strong> met e<strong>en</strong> review<br />
<strong>van</strong> het proces <strong>van</strong> monitoring <strong>en</strong> <strong>de</strong> behan<strong>de</strong>ling <strong>van</strong> <strong>de</strong> gesignaleer<strong>de</strong><br />
afwijking<strong>en</strong>.<br />
Indi<strong>en</strong> het managem<strong>en</strong>t zelf <strong>de</strong> bedrijfsprocess<strong>en</strong> nauwelijks<br />
monitort wordt <strong>de</strong> cont<strong>rol</strong>e-inspanning <strong>van</strong> <strong>de</strong> internal auditor<br />
ev<strong>en</strong>redig groter, zoals gevisualiseerd is in figuur 1 uit <strong>de</strong> leidraad.<br />
Deze red<strong>en</strong>ering past binn<strong>en</strong> <strong>de</strong> huidige opvatting<strong>en</strong><br />
omtr<strong>en</strong>t <strong>de</strong> taakver<strong>de</strong>ling tuss<strong>en</strong> het managem<strong>en</strong>t <strong>en</strong> Internal<br />
Audit <strong>en</strong> <strong>de</strong> daarop gebaseer<strong>de</strong> systeemgerichte cont<strong>rol</strong>eb<strong>en</strong>a<strong>de</strong>ring<strong>en</strong>.<br />
Het toepass<strong>en</strong> <strong>van</strong> het CA-concept is ge<strong>en</strong> gemakkelijke opgave.<br />
De leidraad spreekt over uitdaging<strong>en</strong> <strong>en</strong> over overige condities<br />
waaraan moet word<strong>en</strong> voldaan. E<strong>en</strong> voorbeeld hier<strong>van</strong> is dat het<br />
bedrijfsproces in voldo<strong>en</strong><strong>de</strong> mate moet word<strong>en</strong> begrep<strong>en</strong> voor<br />
Managem<strong>en</strong>t Response<br />
Compreh<strong>en</strong>sive<br />
monitoring of internal<br />
cont<strong>rol</strong>s<br />
Little monitoring<br />
of cont<strong>rol</strong>s<br />
Reduced<br />
effort<br />
Significant<br />
effort/greater<br />
resources<br />
Audit Effort<br />
Figuur 1. De cont<strong>rol</strong>e-inspanning <strong>van</strong> <strong>de</strong> internal auditor