Leren van Toezicht

'De laatste twee letters van audit zijn niet voor niks IT'

Het Platform Leren van Toezicht brengt accountantsorganisaties, toezichthouders, tuchtrechters en NBA bij elkaar. Doel: bevindingen uit het toezicht vertalen naar praktische lessen voor kwaliteitsverbetering. Recent werd het onderwerp IT in de audit besproken, met name gebaseerd op bevindingen van de AFM. "Een accountant kan geen audit uitvoeren zonder te weten waar gesteund wordt op informatie uit IT systemen."

Eric Bosman en Irene Kramer

Kenmerkend voor het platform is dat gesproken wordt over concrete, casusoverstijgende onderwerpen, die door een aantal deelnemers samen met de NBA worden voorbereid. Tijdens de vierde bijeenkomst van het platform, eind 2017, werd gesproken over de gevolgen voor de controle als general IT-controls niet effectief zijn. Ook ging het over de kritische samenwerking tussen externe accountant en IT-auditor. Naast vertegenwoordigers van AFM, Raad voor Toezicht, het Adviescollege Beroepsreglementering, NBA-bestuur, NOREA en verschillende accountantsorganisaties waren ook IT-auditors aanwezig.

Terugkerende AFM-bevindingen

Onvoldoende vastgestelde betrouwbaarheid van de bij de controle gebruikte informatie is één van de meest voorkomende en aanhoudende tekortkomingen in het reguliere onderzoek van de AFM. De effectieve werking van de interne beheersing rondom IT-systemen (general IT controls) is een belangrijk aandachtspunt bij die betrouwbaarheid.

'De externe accountant heeft onvoldoende aandacht voor de gevolgen van het niet-steunen op general IT-controls en de vertaling naar extra uit te voeren werkzaamheden.'

In een aantal gevallen heeft de accountant de effectieve werking van de general IT-controls van het systeem niet of onvoldoende vastgesteld. Wat toezichthouders ook regelmatig zien is dat de externe accountant onvoldoende aandacht heeft voor de gevolgen van het niet (kunnen of willen) steunen op general IT-controls en de vertaling naar extra uit te voeren werkzaamheden. Want die zijn er altijd, als general IT-controls niet effectief zijn. Accountants mogen die extra werkzaamheden niet te makkelijk weg rationaliseren, bijvoorbeeld door te redeneren dat de betrokken medewerker er geen belang bij heeft rapporten te manipuleren.

General IT controls niet effectief - vier mogelijke dilemma's

  • Door gebrek aan kennis onvoldoende inzicht in IT in de audit
  • Belang van een robuuste dialoog
  • Adresseren in planningsfase: geen audit zonder IT-afhankelijkheden
  • Betrouwbaarheid van rapportages vraagt controlewerkzaamheden

Gebrek aan kennis van accountants en onvoldoende inzicht in IT in de audit wordt door de meeste van de deelnemers aan het platform herkend als één van de oorzaken. Met andere woorden: de accountant is op dit gebied soms nog onbewust onbekwaam. Maar het gaat niet alleen over kennis en inzicht; gedrag is ook een belangrijke component, benadrukten enkele deelnemers.

Robuuste dialoog

Ook bij het plannen gaat het te vaak niet goed. "IT in de audit is geen sluitstuk, maar juist het begin", werd gesteld tijdens de platformbijeenkomst. Het gecontroleerde bedrijf is vaak verder met ontwikkelingen in de IT dan in de IT-control. De interne IT-beveiliging laat vaak te wensen over. Dat zou zelfs zo zijn bij opkomende ondernemingen zoals webshops, die zich  vooral op de buitenkant richten met hun IT, maar aan de binnenkant tekortschieten. Daar moet de accountant of IT-auditor oog voor hebben, is de gedeelde mening van het platform. "Het banksaldo van een ondernemer is geen goede graadmeter om te beoordelen of je in control bent."

'IT in de audit is geen sluitstuk, maar juist het begin.'

Accountants en IT-auditors moeten strenger worden, ze staan nu nog te veel toe aan ondernemers. Er zou vaker een robuuste dialoog ("een eufemisme voor een rottig gesprek") gevoerd moeten worden met de klant. In de recent gepubliceerde gedeelde oorzakenanalyse van de big four wordt het voeren van een robuuste dialoog op cruciale momenten bij de klant vermeld als een belangrijke driver voor het leveren van controlekwaliteit. Het uitvoeren van toereikende werkzaamheden moet gaan boven het halen van deadlines en commerciële overwegingen. Gebrek aan kennis, kunde, steun en tijd maken het wellicht lastig zo’n robuuste dialoog te voeren.

IT-auditor & externe accountant: kritische samenwerking

Een andere veel voorkomende toezichtbevinding is dat werkzaamheden van anderen, waarvan gebruik is gemaakt in de controle, onvoldoende zijn geëvalueerd. Hoe de samenwerking met anderen ook is vorm gegeven: de externe accountant is altijd eindverantwoordelijk voor het vormen van een oordeel over de jaarrekening als geheel. Hij of zij moet evalueren of uit de werkzaamheden, uitgevoerd door bijvoorbeeld de IT-auditor, voldoende en geschikte controle-informatie is verkregen. Daarmee kan de IT-auditor gezien worden als "de onderliggende partij", maar deze moet zich niet zomaar "als een kostenpost" laten inhuren door de externe accountant. Beide partijen hebben daarin een rol te spelen.

Accountant & IT-auditor: een kritische samenwerking - vier mogelijke dilemma's

  • Kennisgebrek aan beide kanten
  • Partijen zoeken elkaar te laat op
  • Samen optrekken bij de klant
  • Mars en Venus: taal- en cultuurverschillen

Meer samen doen

Ook hier gaat het om gebrek aan kennis en het elkaar al voor het plannen van de controle opzoeken: "Doe dat in april, en niet pas in november." Over het algemeen hebben accountants te weinig kennis van IT in de audit en IT-auditors te weinig kennis over hoe hun uitkomsten naar de werkzaamheden in de jaarrekeningcontrole worden vertaald. Grotere kantoren sturen daarom een aantal van hun externe accountants bijvoorbeeld naar post-master opleidingen op het gebied van IT in de audit.

Als de IT-audit separaat wordt aangestuurd van de rest van het controleproces, zien jonge accountants pas als ze controleleider worden de samenwerking met die IT-auditor. En moeten ze dat op dat moment nog helemaal leren. "Learning together on the job" is het devies, met de controle als die 'job'. Samenwerking tussen beide teams, samen de gesprekken voeren bij de gecontroleerde organisatie, samen zaken begrijpen. Dan leer je ook elkaars taal spreken: waarom schrijf je dat nou zo op?

Budget of beschikbaarheid?

Maar hoe werkt dat voor een kleinere kantooromgeving, waar soms maar een paar uur van een IT-auditor gebudgetteerd zijn? Aan dat samen optrekken hangt ook een prijskaartje, hoewel de meeste platformdeelnemers ervan overtuigd zijn dat dat leidt tot efficiëntie later in het controleproces, en/of tot betere controles. "In gevallen is er sprake van een budgetprobleem, maar ook het beschikbaarheidsprobleem komt voor: dat er geen goede IT-auditor te vinden is voor een controle."

'De IT-auditor moet zich niet zomaar "als een kostenpost" laten inhuren door de externe accountant.'

De meeste platformdeelnemers herkennen de specifieke kennis en vaardigheden die nodig zijn om IT-werkzaamheden te verrichten voor de controle en samen te werken of deel uit te maken van een controleteam. "Eigenlijk gaan IT-audit en IT-advies niet goed samen", werd tijdens de jongste bijeenkomst gesteld, al was niet iedereen het daarmee eens. Een aantal kantoren heeft de ophanging van IT-audit in hun organisaties daarom aangepast, bijvoorbeeld door die als integraal onderdeel van de financial audit aan te sturen.

Oplossingsrichting

Behalve over mogelijke oorzaken van toezichtbevindingen over IT in de audit, spraken de deelnemers aan het platform ook over mogelijke oplossingen. Die zitten in aanpassingen in de opleiding: in iedere RA- en AA-praktijkstage een verplicht en inhoudelijk IT-onderzoek eisen bijvoorbeeld. Of voor ervaren accountants een (verplichte) training IT in de audit en/of een urennorm voor IT in de audit, zoals het controlerend beroep die kent voor kwaliteitsuren.

Maar ook in een andere manier van het werk van de IT-auditor en accountant organiseren, zoals hierboven beschreven. "Eigenlijk moeten we het hele instrumentarium wat we hebben gebruiken om dit hardnekkige probleem te adresseren." In de NBA-bestuursvisie wordt digitalisering als ontwikkeling met impact voor het beroep benoemd. "En daar past IT-vermijdingsgedrag niet in."

De NBA wil het gesprek hierover voortzetten. Bijvoorbeeld over welke afwegingen externe accountants in de controlepraktijk maken, als het gaat om het vertalen naar werkzaamheden van niet-effectieve general IT-controls of bevindingen van IT-auditors. De platformdeelnemers willen zich inzetten voor zo’n integrale agenda, waar opleiding, handreikingen en casusgesprekken hun plaats hebben en waar accountants (NBA) en IT-auditors (NOREA) samen optrekken. Dat hebben ze bijvoorbeeld ook in 2014 gedaan met vernieuwingsbeweging TUACC, in een mkb-publicatie over IT-audit geïntegreerd in de controleaanpak.

Eric Bosman is senior adviseur beleidscommunicatie en Irene Kramer is secretaris van het Platform Leren van toezicht bij de NBA.

Gerelateerd

reacties

Reageren op een artikel kan tot drie maanden na plaatsing. Reageren op dit artikel is daarom niet meer mogelijk.

Aanmelden nieuwsbrief

Ontvang elke werkdag (maandag t/m vrijdag) de laatste nieuwsberichten, opinies en artikelen in uw mailbox.

Bent u NBA-lid? Dan kunt u zich ook aanmelden via uw ledenprofiel op MijnNBA.nl.