Bepaling controleaanpak

Na de voorbereidende werkzaamheden zal de accountant zijn werkzaamheden beginnen door de aanpak van de controle te bepalen. Centraal hierin staat de risicoanalyse (zie hoofdstuk 4). De volgende onderdelen zullen hierbij helpen de controlewerkzaamheden te structureren:

1. Initiële organisatiebeoordeling (par. 6.4.1); 2. Inschatting interne-beheersingsrisico (par. 6.4.2);

4. Opstellen controleplan (par. 6.4.4);

5. Opstellen planningmemorandum (par. 6.4.5). 6.4.1 Initiële organisatiebeoordeling

Bij de bedrijfsverkenning heeft de accountant reeds in grote lijnen een beeld gekregen van de onderneming. Bij het bepalen van de controleaanpak zal de accountant een gedetailleerder beeld trachten te verkrijgen. Het gaat hier dan met name om de interne organisatie van de onderneming. Het gaat hierbij om de uitwerking van de visie, missie en doelstellingen in de interne bedrijfsstructuur, de wijze waarop de ondernemingsleiding probeert te waarborgen dat gestelde doelen worden bereikt en hoe de informatie binnen de onderneming uitgewisseld wordt. De nadruk zal hierbij liggen op:

• de risicobeoordeling van de huishouding zoals die door de ondernemingsleiding wordt uitgevoerd;

• de intern gehanteerde controlemiddelen;

• de opzet van het (geautomatiseerde) informatie- en communicatieproces binnen de huishouding;

• de wijze waarop de kwaliteit van het interne-beheersingssysteem bewaakt wordt (‘monitoring’).

De accountant zal de opzet van de AO/IC toetsen, door kennis te nemen van relevante documentatie, zoals procedurehandboeken, het informatiebeveiligingsplan, systeem- en applicatiedocumentatie, stroomschema’s en door het voeren van gesprekken met verantwoordelijke functionarissen die betrokken zijn bij de gegevensverwerkende processen. Op basis van vastleggingen van richtlijnen en procedures kan worden beoordeeld of deze ook daadwerkelijk in de praktijk worden nageleefd. Daarnaast kunnen deze documenten inzicht verschaffen in de opzet en bestaan van beheersingsmaatregelen.

6.4.2 Inschatting interne-beheersingsrisico

Door inzicht te verkrijgen in de wijze waarop de onderneming de interne controle heeft ingericht, zal de accountant eventuele knelpunten sneller op kunnen sporen. Eén van de belangrijkste aandachtspunten bij e-commerce is de betrouwbaarheid van de informatie-verwerkende systemen. De beoordeling van de opzet van de administratieve organisatie en de werking van interne controlemaatregelen geven hem voor een groot deel het inzicht dat hij nodig heeft. Als de opzet is vastgesteld, wordt het bestaan van deze maatregelen getoetst. De accountant toetst dan of de formele vastlegging van het interne-beheersingssysteem in de praktijk ook daadwerkelijk wordt nageleefd. Er wordt hier vooral gelet op beheersings-maatregelen die zijn ingesteld met betrekking tot kritische processen van de onderneming, die doorgaans gerelateerd zijn aan posten van materieel belang. De accountant maakt hiervoor een inschatting van de foutgevoeligheid (onopzettelijke verstoringen) en de fraude-gevoeligheid (opzettelijke verstoringen) van de posten van materieel belang en de kritische processen. Standaarden als de Code voor Informatiebeveiliging en ITIL vormen hiervoor een goed referentiekader, zie hoofdstuk 5.

De wijze waarop de onderneming invulling geeft aan het beveiligingsbeleid heeft gevolgen voor de controlewerkzaamheden die de accountant verricht. Naarmate een onderneming meer maatregelen neemt ter beveiliging van belangrijke gegevensverwerkende processen en de juistheid en volledigheid hiervan tracht te waarborgen, zal de accountant meer zekerheid aan de hem ter beschikking gestelde informatie toe kunnen kennen. Naarmate risico’s beter door de onderneming reeds worden afgedekt, zullen de werkzaamheden van de accountant minder

gehouden dient te worden. De werkzaamheden zullen dan meer systeemgericht dan gegevensgericht uitgevoerd kunnen worden, wat aanzienlijke tijdsbesparing (en dus kostenbesparing) op zal leveren.

Naast een beoordeling van de ‘standaard’ geautomatiseerde omgeving (zie bijlage IV), kunnen de e-commercespecifieke activiteiten (processen) beoordeeld worden aan de hand van een checklist e-commerce (zie bijlage V). Zo wordt er allereerst bepaald of de internetactiviteiten materieel van aard zijn. Verder worden onder andere de AO/IC-maatregelen rondom de mailapplicatie beoordeeld en wordt de gebruikte transactiesoftware geëvalueerd, evenals een audit trail, waaruit het bestaan en de status van internettransacties opgemaakt kan worden. Daarnaast zal de accountant de (logische) toegangsbeveiliging en de mogelijkheden tot back-up en recovery van zowel systemen als gegevens beoordelen. Uiteindelijk zullen de resultaten van het onderzoek door de accountant leiden tot een conclusie over de betrouwbaarheid van de internbeheersingsmaatregelen van de e-commerceomgeving en in hoeverre er bij de controlewerkzaamheden op het stelsel van deze maatregelen gesteund kan worden.

Wanneer de onderneming (delen van) het beveiligingsproces heeft uitbesteed aan externe partijen, zal de accountant in eerste instantie de beheersing van (delen van) deze processen niet goed kunnen beoordelen, aangezien dit buiten zijn controlebereik ligt. Om hier toch een inschatting van te kunnen maken, kan een onafhankelijke, gecertificeerde instantie een verklaring afgeven, waarin de juiste werking van de geleverde dienst wordt gegarandeerd. Een dergelijke verklaring wordt een Third Party Mededeling (TPM) genoemd. De accountant zal de SLA’s beoordelen op het nakomen van de gemaakte afspraken.

6.4.3 Inschatting cijferanalyserisico en bepalen controlestrategie

De accountant zal op grond van zijn bevindingen van de initiële organisatiebeoordeling en de inschatting van het interne-beheersingsrisico per proces en per post van de jaarrekening het controlerisico inschatten, waarbij de interne-beheersingsmaatregelen worden afgestemd met de risico’s per controledoelstelling. Hier kan bijvoorbeeld gedacht worden aan een gebrekkige beveiliging van de koppeling met het internet, slechte functiescheiding en de mogelijkheid van onbevoegde toegang tot persoons- en transactiegegevens van klanten, waardoor de volledigheid van de verantwoorde omzet onder druk kan komen te staan. Meer (specifieke) risico’s zijn reeds besproken in hoofdstuk 4.

Vervolgens wordt, voor zover de gegevens hiervoor beschikbaar zijn, een cijferanalyserisico uitgevoerd, bijvoorbeeld door middel van verbandscontroles. Dit is het risico dat onjuistheden van materieel belang, die niet door interne-controlemaatregelen worden ontdekt en gecorrigeerd, ook door de accountant bij de cijferanalyse worden ontdekt. Dit geldt overeenkomstig voor het deelwaarnemingsrisico.

Wanneer de accountant alle risico’s met betrekking tot de AO/IC, gekoppeld aan de kritische processen en de posten van materieel belang, in beeld heeft zal hij zijn controlestrategie kunnen bepalen. De accountant stelt dan vast of zijn controle overwegend systeemgericht dan wel gegevensgericht uitgevoerd zal worden. De conclusie van de accountant vormt de input voor het hierna op te stellen controleplan, waarin de uit te voeren werkzaamheden verder worden uitgewerkt.

6.4.4 Opstellen controleplan

kunnen worden uitgevoerd aan de hand van een ‘checklist automatisering’, zoals opgenomen onder bijlage IV. De hoofdindeling van de checklist bestaat uit:

A. (ICT-)beleid; B. logische toegangsbeveiliging; C. wijzigingen- en probleembeheer; D. testen; E. fysieke beveiliging; F. back-up en recovery.

Bovenstaande categorieën en de onderliggende aandachtspunten geven een praktische invulling van de in hoofdstuk 5 genoemde standaarden, zoals de Code voor Informatie-beveiliging en ITIL. De in hetzelfde hoofdstuk besproken controls logische

toegangs-beveiliging, wijzigingenbeheer en continuïteit (back-up en recovery) komen hier dus ook

duidelijk weer naar voren.

De initiële bevindingen van het onderzoek naar de betrouwbaarheid van de applicatie vormen de input voor het werkprogramma bij de controle van de e-commerce-processen en de hieraan gerelateerde jaarrekeningposten. Het primaire uitgangspunt hierbij is het toetsen van de getrouwheid van de volledigheid van de omzet van de internettransacties. Waar specifieke kennis is vereist van systemen en/of applicaties en de accountant deze kennis ontbeert, zal hij een deskundige, zoals een EDP/IT-auditor, in moeten schakelen. Deze zal hem bij zijn controlewerkzaamheden ondersteunen. Gezien de vele ontwikkelingen op automatiseringsgebied en de voortschrijdende digitalisering zal dit regelmatig voorkomen. Het controleplan en de werkprogramma’s kunnen bijgesteld worden tijdens de controle, mocht daar aanleiding toe zijn. Dit kan voorkomen als onverwachte controlebevindingen zich voordoen of als initiële analyses niet geheel accuraat blijken te zijn. Wanneer wijzigingen worden doorgevoerd, dienen deze vastgelegd te worden in het controledossier.

6.4.5 Opstellen planningmemorandum

Als afsluiting van de bepaling van de controleaanpak stelt de accountant wederom een planningmemorandum op, waarin zijn belangrijkste bevindingen en aandachtspunten met het oog op de uit te voeren controlewerkzaamheden worden opgenomen.