Audit integration moet gaan 'vliegen'
Zelfs de meest traditionele accountant vindt dat hij bij veel klanten niet meer om de computer heen kan controleren. Aan een meer op processen en IT-gerichte aanpak is dringend behoefte, omdat de gepercipieerde waarde van de controle ‘oude stijl’ afneemt. Een revolutie is nodig.
Dit artikel is verschenen in Accountant nr. 3, 2013
Bekijk alle artikelen uit dit nummer
Ivo Kouters en Age Jan van der Meer
Vier succesfactoren voor geslaagde auditrevolutie
In de praktijk van vandaag wordt voor de jaarrekeningcontrole nog veel gegevensgericht werk verricht. Jaar in jaar uit. Veelal komt dit voort uit koudwatervrees en slechte ervaringen met IT- audit in het kader van de controle. Dikke rapporten over IT general controls, waarbij de relatie met posten van de jaarrekening ver is te zoeken, dragen niet bij aan het laten‘vliegen’ van audit integration. Toch is daarmee een auditrevolutie te realiseren.
Wat is het?
Audit integration wil zeggen het toepassen van IT-audit als geïntegreerd onderdeel van de jaarrekeningcontrole. Het vertrekpunt is de procesgang van de klant. Daaruit volgen de risicoanalyse, het bijbehorende controlebouwwerk en de daaruit voortkomende controleaanpak van de accountant. Als onderdeel van het controlebouwwerk kunnen zogenaamde application controls worden getest, gevolgd door het testen van de IT general controls (logische toegangsbeveiliging, change management en continuïteit), de randvoorwaarden voor een goede werking van de application controls.
Daarnaast biedt audit integration aanvullende mogelijkheden door het toepassen van audittechnieken zoals data-analyse; het geautomatiseerd analyseren van grote hoeveelheden gegevens. Daardoor is integrale controle mogelijk, waar de ‘traditionele accountant’ uitgebreide gegevensgerichte werkzaamheden uitvoert met steekproeven.
Voordeel op drie fronten
Uiteindelijk moet audit integrationdiverse voordelen opleveren voor zowel accountant als klant:
- Efficiëntere controle en/of meer assurance
De accountant zal met name tijd besparen bij het testen van de werking van beheersmaatregelen. Grote steekproefsgewijze deelwaarnemingen zijn niet langer nodig. Application controls dekken in veel gevallen de risico's af en daarbij volstaat een enkele test. Omdat er geen risico is op menselijke fouten neemt daarbij de assurance in veel gevallen zelfs toe. Dit geldt ook voor data-analyse, waarbij met minder inspanning meer kwalitatieve informatie en dus meer zekerheid kan worden verkregen over een set gegevens. Vaak is integrale controle van de gehele populatie van transacties mogelijk, hetgeen uiter- aard meer assurance levert dan een steekproefsgewijze deelwaarneming.
- Toegevoegde waarde klant
Het beoordelen van IT-systemen en -omgevingen brengt potentiële verbeteringen aan het licht. Dit geldt zowel voor specifieke controles in de applicaties (bijvoorbeeld rekenregels) als de generieke procedurele maatregelen rondom de applicaties (bijvoorbeeld het beheer van autorisaties). Dit opent de weg naar een natuurlijke adviesfunctie, hetgeen past in de strategische koers van veel accountantskantoren.
- Toegevoegde waarde medewerkers
Omdat het werk van medewerkers van het accountantskantoor veel breder kan worden, wordt het werk interessanter. Dit werkt ook positief bij het aantrekken van toekomstige medewerkers.
Negatieve ervaringen
Bij de gemiddelde accountant leeft audit integration niet, de vele trainingen hebben er niet toe geleid dat audit integration is ‘gaan vliegen’. Negatieve ervaringen in het verleden en onbekendheid met de materie leiden tot scepsis over audit integration. Dit is verklaarbaar omdat IT-auditors gemiddeld genomen:
- als zeer duur worden ervaren;
- een technische insteek hebben met te weinig aandacht voor de processen van de klant;
- te dogmatisch zijn over in welke gevallen en hoe IT-audit moet worden ingezet voor de controle
- niet onderkennen dat bij grofweg driekwart van de mkb-klanten met audit integration geen enkel voordeel kan worden behaald;
- te weinig kennis hebben van boekhouden en de manier van controleren door een accountant, waardoor zij voor de accountant onvoldoende sparringpartner zijn;
- te solistisch bezig zijn met het afwerken van lijstjes om algemene informatie te vergaren over de IT-omgeving;
- over matige communicatieve vaardigheden beschikken;
- te laat in de controle beginnen met hun werkzaamheden;
- niet goed zijn in het overtuigen van zowel de klant als de accountant waarom bepaalde zaken moeten worden beoordeeld;
- niet goed zijn in het uitleggen wat de consequenties van uitgevoerde werkzaamheden zijn voor de werkzaamheden van de accountant.
Als gevolg van deze knelpunten komen IT-auditors vaak met bevindingen die weinig of geen relevantie hebben voor de controle. De scepsis van accountants is dus vaak terecht. Anderzijds is de gemiddelde accountant niet goed op de hoogte van de mogelijkheden en beperkingen van IT-audit en heeft hij daar ook weinig tot geen affiniteit mee.
Vier succesfactoren
Erkenning van de genoemde knelpunten door zowel de IT-auditor als de accountant is het begin van de weg naar een succesvolle audit integration. Daarbij zijn de volgende vier succesfactoren cruciaal.
1. Training on the job
Vaak wordt tijdens theoretische trainingen gevraagd: ‘Geef mij nou een voorbeeld van wat het testen van application controls mij kan opleveren voor mijn controle.’ Tijdens een theoretische training kan daarop alleen een theoretisch antwoord worden gegeven. Veel beter is op praktische wijze met audit integration aan de slag te gaan: namelijk bij een concrete controle bij een concrete klant. Accountant en IT-auditor gaan samen door dossiers heen. De training on the job omvat het reviewen van een aantal dossiers van klanten die in potentie in aanmerking komen voor audit integration. Onderdeel is het bespreken van de klant en de huidige en gewenste controleaanpak met het controleteam. Daarbij wordt ook bekeken waarom in het verleden is gekozen voor een bepaalde controleaanpak. Samen kan een goede vaktechnische discussie worden gevoerd over de eventuele (on)mogelijkheden van audit integration voor de controle. Dit werkt het beste in groepen van beperkte omvang (maximaal vijf mensen).
Doel is om de meerwaarde van audit integration te laten zien voor zowel klant als controleteams. De herkenbaarheid en het begrip bij de accountant zijn bij zo'n aanpak veel groter, omdat de waarde en consequenties voor zijn werkzaamheden concreet zichtbaar worden. Ook kan worden ingezoomd op het analyseren van uitzonderingsgevallen, wat vaak kan leiden tot verbetervoorstellen voor de klant.
2. IT-auditor moet weten wat accountant doet
Een IT-auditor hoeft geen volledige opleiding tot accountant te volgen, maar de basisprincipes moeten wel bekend zijn. Zo blijken veel IT-auditors bijvoorbeeld het verband tussen de interim- en eindejaarscontrole niet te begrijpen, waardoor hun toegevoegde waarde beperkt is. Kennis van procesgerichte aanpak en het doel hiervan met betrekking tot de cijfers, is dus van groot belang. Daarmee is de IT-auditor niet alleen een sparringpartner voor de accountant, maar is hij tevens in staat om te analyseren waar de controle efficiënter kan en te helpen bij het hanteren van een procesgerichte aanpak, wat veel accountants lastig vinden.
Daarnaast moet de IT-auditor, net als de accountant, over branchekennis beschikken. Elke branche heeft zijn specifieke risico's en bijzonderheden. Branchekennis zorgt ervoor dat de gehanteerde aanpak snel en efficiënt ook bij andere klanten kan worden toegepast. Op dit moment hebben veel IT-auditors vooral ervaring met grote verzekeraars en bankinstellingen: Dat is een heel andere wereld dan die van het midden- en kleinbedrijf, met zijn autodealers, handelshuizen, transportondernemingen etc.
3. IT-auditor vanaf dag één actief betrokken
Accountants schakelen de IT-auditor vaak zo laat mogelijk in bij de controle, als ze dat überhaupt al doen. De (financiële) motivering dat dit leidt tot minder bestede (en betaalde) uren, is weinig doordacht. Door vanaf het begin betrokken te zijn bij het team kan de IT-auditor juist meedenken over de controleaanpak en kan vroegtijdig een efficiëntieslag worden behaald.
De IT-auditor heeft hier zelf ook een belangrijke verant- woordelijkheid. Hij moet geen afgeleide van het team zijn, maar proactief samenwerken met het controleteam. De accountant zit niet te wachten op een IT-auditor die graag uren schrijft en een kunstje doet.
4. Beter communiceren
Op het gebied van communicatie valt voor accountants en IT-auditors veel te leren. In de praktijk blijkt dat klanten het nakomen van afspraken en snel terugbellen zien als een welkome verrassing. Maar ook binnen teams wordt slecht gecommuniceerd. Dit is niet alleen slecht voor het groepsgevoel, maar ook voor de klant. Die krijgt namelijk afwijkende informatie en is ontevreden.
Door goed te communiceren en ook de overige drie succesfactoren strikt aan te houden, kan de IT-auditor gedurende de hele controle van toegevoegde waarde zijn. Daarmee verdwijnt automatisch de perceptie dat een IT-auditor ‘alleen maar duur is’.
Er is niets op tegen om de voordelen daadwerkelijk intern te benoemen, als compliment aan het volledige controleteam dat de juiste keuzes worden gemaakt.
Nog veel belangrijker is het echter om de concrete voordelen ook naar de klant te communiceren. De eeuwige vraag bij klanten blijft immers wat een controle ‘toevoegt’. Bij een accountant die vanuit zijn natuurlijke adviesrol kan bijdragen aan verbeteringen voor de klant is het antwoord volstrekt duidelijk.
Wat is nu de conclusie?
In een economisch klimaat waarin budgetten onder druk staan en klanten makkelijk van accountant wisselen, moeten accountants zich van hun collega's onderscheiden. Met vaktechnische kennis alleen is geen klant te overtuigen, de accountant moet ook aan de business-zijde een steentje bij kunnen dragen. Dat maakt audit integration een geschikt middel om in te zetten.
Naast een efficiënter uitgevoerde controle kan audit integration bijdragen aan een betere interne beheersing van risico's en grondige inhoudelijke analyses van bedrijfsdata. Voordeel voor de accountant én voor de klant dus. Het mes snijdt aan twee kanten.
Als audit integration goed wordt uitgevoerd kan de term meteen vervallen. Er is dan geen onderscheid tussen IT- en accountantscontrole, maar audit integration is een blijvend onderdeel van de jaarrekeningcontrole nieuwe stijl. Sterker het is jaarrekeningcontrole nieuwe stijl.
Noot
Ivo Kouters en Age-Jan van der Meer zijn werkzaam bij KoutersVanderMeer, bureau voor prestatieverbetering (www.koutersvandermeer.nl). De afgelopen jaren zijn zij binnen diverse organisaties bezig geweest met vraagstukken over cultuur en gedrag in de wereld van IT-audit en accountancy.
Succesverhalen
Vanuit onze praktijk een aantal aansprekende voorbeelden waarbij de toegevoegde waarde van audit integration voor zowel klant als accountant evident is.
Bij een variëteit aan bedrijven is een fundamenteel andere controle-aanpak gerealiseerd door terug te gaan naar de basis: de kernprocessen van de klant. Vanuit deze gedachte is regelmatig geconstateerd dat het controleteam onnodige en tijdrovende ‘ouderwetse’ beheersmaatregelen bedacht en testte, terwijl de klant op basis van IT al op een veel modernere wijze zijn beheersing had ingericht.
Zo is er onder andere voor gezorgd dat kon worden gesteund op een geautomatiseerd aangestuurde partieel-roulerende inventarisatie in plaats van (zoals voorheen) een integrale telling van de voorraad. Ook hebben wij door three-way-match in een aantal applicaties (application controls) op basis van een lijncontrole zekerheid verkregen rondom het inkoopproces, terwijl hiervoor in voorgaande jaren een uitvoerige deelwaarneming werd uitgevoerd.
Bij een aantal autodealershebben wij ondersteund bij de controle, zodat het voor het eerst mogelijk was de volledige geld-goederen-beweging inzichtelijk maken. Dit is doorgaans lastig, omdat de controle-technische functiescheiding tussen in- en verkoop vaak ontbreekt en registratie dus niet gedegen plaatsvindt. Denk hierbij aan de waardebepaling van tweedehands auto's die worden ingeruild en het al dan niet boeken van kosten voor rijklaar maken.
Gebruikmakend van data beschikbaar bij externe partijen, zoals de importeur en de Rijksdienst voor het Wegverkeer, is door data-analyse de volledige voertuigbeweging aangesloten met de verantwoording in de financiële administratie. Data-analyse heeft op deze manier enorm bijgedragen aan de effectiviteit en efficiëntie van de controle.
Bij een aantal productiebedrijvenis door data-analyse op de verkoopzijde van het bedrijfsproces de controle-inspanning van bijna twee dagen teruggebracht tot nog geen twee uur. Omdat een uitspraak wordt gedaan over de integrale betrouwbaarheid van dit proces, in plaats van te steunen op een arbeidsintensieve deelwaarneming, is de mate van zekerheid bovendien aanzienlijk toegenomen.
Gerelateerd
NOREA onderzoekt rol IT-auditor bij duurzaamheids-informatie
NOREA, de beroepsvereniging van IT-auditors, heeft recent een position paper gepubliceerd over audits van duurzaamheidsinformatie. De organisatie vraagt om te reageren...
Zijn kinderen online veilig?
De IT-auditor vervult een preventieve rol in onze digitale samenleving om het algemeen belang te dienen.
NOREA publiceert manifest over digitale weerbaarheid en verslaggevingsstandaard voor IT-beheersing
NOREA, de beroepsorganisatie van IT-auditors, heeft recent een manifest uitgebracht dat moet bijdragen aan de digitale weerbaarheid van de samenleving. Ook is een...
NOREA: Ziekenhuizen gaan gebukt onder toenemende auditlast
Ziekenhuizen hebben te maken met een toenemende auditlast, blijkt uit onderzoek van NOREA.
Het is geen populaire mening, maar accountants zijn ook maar mensen
Het moet afgelopen zijn met het idee dat een individuele accountant alles maar moet kunnen. Het maakt de accountant blind en komt de kwaliteit van de controle niet...