Continuous auditing en de (veranderde) rol van de IAD ... - Lime Tree
Continuous auditing en de (veranderde) rol van de IAD ... - Lime Tree
Continuous auditing en de (veranderde) rol van de IAD ... - Lime Tree
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
met continuous <strong>auditing</strong> is dat continuous monitoring e<strong>en</strong> activiteit<br />
is die door het managem<strong>en</strong>t (of door door het managem<strong>en</strong>t<br />
aangewez<strong>en</strong> lijnfunctionariss<strong>en</strong>) wordt uitgevoerd. <strong>Continuous</strong><br />
monitoring is e<strong>en</strong> managem<strong>en</strong>tgedrev<strong>en</strong> proces. Bij continuous<br />
monitoring word<strong>en</strong> computertechniek<strong>en</strong> gebruikt om op e<strong>en</strong> continue<br />
basis uitzon<strong>de</strong>rlijke situaties of problem<strong>en</strong> te id<strong>en</strong>tificer<strong>en</strong>.<br />
<strong>Continuous</strong> monitoring wordt dus door <strong>de</strong><br />
eig<strong>en</strong>aar <strong>van</strong> <strong>de</strong> data uitgevoerd <strong>en</strong> is erop<br />
gericht om resultat<strong>en</strong> te rapporter<strong>en</strong>, data voor<br />
operationele beslissing<strong>en</strong> te analyser<strong>en</strong> <strong>en</strong> om<br />
specifieke acties te verricht<strong>en</strong>.<br />
<strong>Continuous</strong> monitoring wordt vervolg<strong>en</strong>s door<br />
<strong>de</strong> <strong>IAD</strong> getoetst, het managem<strong>en</strong>t kan namelijk<br />
e<strong>en</strong> belang hebb<strong>en</strong> om resultat<strong>en</strong> gunstiger<br />
voor te stell<strong>en</strong> dan dat <strong>de</strong> werkelijkheid is. Dit<br />
heet ‘audit testing of continuous monitoring’.<br />
Als al <strong>de</strong>ze continuousbegripp<strong>en</strong> tezam<strong>en</strong> in<br />
e<strong>en</strong> on<strong>de</strong>rneming goed word<strong>en</strong> toegepast, ontstaat continuous<br />
assurance.<br />
<strong>Continuous</strong> risk assessm<strong>en</strong>t<br />
E<strong>en</strong> nieuwe begrip dat el<strong>de</strong>rs in <strong>de</strong> GTAG 3 voorkomt maar<br />
(nog) niet expliciet in het conceptuele mo<strong>de</strong>l, is continuous risk<br />
assessm<strong>en</strong>t. Dit sluit nauw aan op <strong>de</strong> visie die Pricewaterhouse-<br />
Coopers heeft beschrev<strong>en</strong> in haar studierapport Internal Audit in<br />
2012*3, e<strong>en</strong> lez<strong>en</strong>swaardig stuk over <strong>de</strong> veran<strong>de</strong>ring die <strong>de</strong> <strong>IAD</strong><br />
moet doormak<strong>en</strong> wil het ‘overlev<strong>en</strong>’. Het slechts assurance<br />
gev<strong>en</strong> over cont<strong>rol</strong> monitoring <strong>en</strong> eig<strong>en</strong> cont<strong>rol</strong> assessm<strong>en</strong>ts is<br />
hiervoor onvoldo<strong>en</strong><strong>de</strong>. Wil <strong>de</strong> <strong>IAD</strong> e<strong>en</strong> goe<strong>de</strong> plaats binn<strong>en</strong> <strong>de</strong><br />
organisatie behoud<strong>en</strong> door toegevoeg<strong>de</strong> waar<strong>de</strong> te bied<strong>en</strong> aan<br />
haar stakehol<strong>de</strong>rs, dan zal ze zich tev<strong>en</strong>s moet<strong>en</strong> gaan richt<strong>en</strong> op<br />
het meer op continue basis evaluer<strong>en</strong> <strong>en</strong> zelf uitvoer<strong>en</strong> <strong>van</strong> risk<br />
assessm<strong>en</strong>ts. Het mo<strong>de</strong>l kan uitgebreid word<strong>en</strong> met e<strong>en</strong> <strong>de</strong>r<strong>de</strong><br />
pijler: op <strong>de</strong> managem<strong>en</strong>tlaag het <strong>en</strong>terprise risk managem<strong>en</strong>t <strong>en</strong><br />
op auditniveau het continuous risk assessm<strong>en</strong>t.<br />
Door continu risico’s te beoor<strong>de</strong>l<strong>en</strong> <strong>en</strong> beheersmaatregel<strong>en</strong> te<br />
audit<strong>en</strong> kan <strong>de</strong> auditor zijn onafhankelijke oor<strong>de</strong>el over <strong>de</strong> interne<br />
beheersing aan zijn belangrijkste stakehol<strong>de</strong>rs rapporter<strong>en</strong>.<br />
Managem<strong>en</strong>t Audit<br />
<strong>Continuous</strong> assurance<br />
Results of continuous <strong>auditing</strong> and continuous montoring<br />
Audit testing of CM <strong>Continuous</strong> <strong>auditing</strong><br />
<strong>Continuous</strong> montoring<br />
Figuur 1. <strong>Continuous</strong> assurance<br />
Activities, Transactions and Ev<strong>en</strong>ts<br />
Business Systems and Processes<br />
<strong>Continuous</strong> <strong>auditing</strong><br />
Overig<strong>en</strong>s l<strong>en</strong><strong>en</strong> niet alle process<strong>en</strong> zich voor <strong>de</strong>ze aanpak, het is<br />
e<strong>en</strong> vereiste dat <strong>de</strong> auditor <strong>de</strong> on<strong>de</strong>rligg<strong>en</strong><strong>de</strong> process<strong>en</strong> goed<br />
k<strong>en</strong>t, inclusief <strong>de</strong> techniek. Er moet toegang zijn tot alle rele<strong>van</strong>te<br />
data, die met behulp <strong>van</strong> <strong>de</strong> juiste softwaretools b<strong>en</strong>a<strong>de</strong>rd kunn<strong>en</strong><br />
word<strong>en</strong>.<br />
<strong>Continuous</strong> <strong>auditing</strong> is e<strong>en</strong> welkome aanvulling<br />
op <strong>de</strong> noodzakelijke verbetering<strong>en</strong> op het<br />
gebied <strong>van</strong> beheersing <strong>van</strong> risico’s<br />
De relatie tuss<strong>en</strong> externe accountant <strong>en</strong> internal auditor<br />
Bij het uitvoer<strong>en</strong> <strong>van</strong> zijn normale auditwerkzaamhed<strong>en</strong> bepaalt<br />
<strong>de</strong> externe accountant on<strong>de</strong>r meer in welke mate hij kan steun<strong>en</strong><br />
op <strong>de</strong> werkzaamhed<strong>en</strong> <strong>van</strong> <strong>de</strong> internal auditor. Hij stelt vast wat<br />
<strong>de</strong> invloed is <strong>van</strong> <strong>de</strong> internal auditor op <strong>de</strong> cont<strong>rol</strong>eomgeving <strong>en</strong><br />
op <strong>de</strong> cont<strong>rol</strong>emaatregel<strong>en</strong>.<br />
Of <strong>de</strong> accountant in<strong>de</strong>rdaad kan steun<strong>en</strong> op <strong>de</strong>ze werkzaamhed<strong>en</strong><br />
hangt af <strong>van</strong> <strong>de</strong> mate <strong>van</strong> onafhankelijkheid <strong>van</strong> <strong>de</strong> internal<br />
auditaf<strong>de</strong>ling, <strong>de</strong> scope <strong>van</strong> <strong>de</strong> <strong>IAD</strong>, <strong>de</strong> k<strong>en</strong>nis <strong>en</strong> compet<strong>en</strong>ties<br />
<strong>en</strong> of <strong>de</strong> werkzaamhed<strong>en</strong> zorgvuldig zijn uitgevoerd. In e<strong>en</strong><br />
onlangs versch<strong>en</strong><strong>en</strong> artikel in Internal Auditor 4 staan <strong>de</strong> belangrijkste<br />
stapp<strong>en</strong> g<strong>en</strong>oemd voor <strong>de</strong> implem<strong>en</strong>tatie <strong>van</strong> continuous<br />
<strong>auditing</strong>:<br />
• vaststell<strong>en</strong> <strong>van</strong> aandachtsgebied<strong>en</strong> die on<strong>de</strong>rworp<strong>en</strong> word<strong>en</strong> aan<br />
continuous <strong>auditing</strong> (op basis <strong>van</strong> kritieke process<strong>en</strong>, beschikbaarheid<br />
<strong>van</strong> data, kost<strong>en</strong>/bat<strong>en</strong>, snelle resultat<strong>en</strong>/<strong>de</strong>monstratieproject);<br />
• vaststell<strong>en</strong> <strong>van</strong> <strong>de</strong> regels voor queries;<br />
• bepal<strong>en</strong> <strong>van</strong> <strong>de</strong> frequ<strong>en</strong>tie;<br />
• configuratie <strong>van</strong> parameters;<br />
• follow-up;<br />
• communicer<strong>en</strong> <strong>van</strong> resultat<strong>en</strong>.<br />
In het ka<strong>de</strong>r <strong>van</strong> continuous <strong>auditing</strong> heeft <strong>de</strong> internal auditor e<strong>en</strong><br />
an<strong>de</strong>re <strong>rol</strong> dan <strong>de</strong> externe accountant. De toegevoeg<strong>de</strong> waar<strong>de</strong><br />
<strong>van</strong> <strong>de</strong> internal auditor ligt in <strong>de</strong> k<strong>en</strong>nis <strong>van</strong> <strong>de</strong> ‘te audit<strong>en</strong>’ organisatie,<br />
<strong>de</strong> process<strong>en</strong>, <strong>en</strong> vooral in <strong>de</strong> gehanteer<strong>de</strong> informatiesystem<strong>en</strong>.<br />
Enerzijds kan <strong>de</strong> internal auditor werkzaamhed<strong>en</strong> verricht<strong>en</strong><br />
waar <strong>de</strong> externe accountant op kan steun<strong>en</strong> met betrekking<br />
tot zijn werkzaamhed<strong>en</strong>. An<strong>de</strong>rzijds kan <strong>de</strong> internal auditor e<strong>en</strong><br />
‘interne consultant’-<strong>rol</strong> krijg<strong>en</strong>. Vanuit <strong>de</strong> k<strong>en</strong>nis <strong>van</strong> IT-system<strong>en</strong>,<br />
risicobeheersingssystem<strong>en</strong> <strong>en</strong> performance-indicator<strong>en</strong> kan<br />
<strong>de</strong> internal auditor adviez<strong>en</strong> gev<strong>en</strong> aan het lijnmanagem<strong>en</strong>t over<br />
het inricht<strong>en</strong> <strong>en</strong> <strong>de</strong> werking <strong>van</strong> continuous monitoringsystem<strong>en</strong>.<br />
Hierbij is wel <strong>van</strong> belang om <strong>de</strong> consequ<strong>en</strong>ties voor <strong>de</strong> onafhankelijkheid<br />
<strong>van</strong> <strong>de</strong> <strong>IAD</strong> in acht te nem<strong>en</strong>.<br />
AUDIT magazine nummer 5 <strong>de</strong>cember 2008 7