Hoofdstuk 3 Randvoorwaarden voor grote MKB-ondernemingen
3.3 Continuous auditing bij grote MKB-ondernemingen
MKB-ondernemingen verschillen van beursgenoteerde ondernemingen. Is CA bij een grote MKB-onderneming anders? Er zijn geen voorbeelden of ervaringen bekend van waarbij CA is toegepast bij niet-beursgenoteerde ondernemingen. Uit de analyse in § 3.2 kan niet worden afgeleid of CA als controletechniek mogelijk is. Veel hangt af van de schaal van de
onderneming. In het algemeen geldt: hoe groter de onderneming, des te meer de interne controle geformaliseerd is en bedrijfsprocessen geautomatiseerd. Dat is dan ook de reden dat dit onderzoekverslag zich richt op grote MKB-ondernemingen. De verwachting is dat net als bij veel beursgenoteerde ondernemingen de meeste processen internationaal via een ERP-pakket lopen en dat maakt de kans groter dat CA mogelijk is. Er is echter geen studie bekend die verschillen inzichtelijk hebben gemaakt. Wel is het zo dat een grote MKB-onderneming niet hoeft te voldoen aan SOx-wetgeving en minder aan regelgeving ten aanzien van governance. Toepassing van CA bij een MKB-onderneming zal dus praktischer en minder ingewikkeld zijn; het is aangepast aan de wensen van het management en de
accountant alleen. Dit gegeven doet echter geen concessies aan de randvoorwaarden. De omvang van de transactiestromen zullen kleiner zijn, maar het basisprincipe dat er doorlopend en controle uitgevoerd wordt, kan niet wezenlijk verschillen.
De implementatie van CA wordt in de meeste gevallen door de interne accountant gedaan 57. Die is er bij MKB-ondernemingen niet. Als tevens de IT-functie is uitbesteed maakt de
afwezigheid van een interne IT-functie het erg lastig om CA te implementeren58, zoals reeds in het raamwerk genoemd. De communicatielijnen zijn te lang, met vertraging en
kostenoverschrijding tot gevolg. De inschatting is dat bij een MKB-onderneming het een onoverkomelijke voorwaarde is als er geen interne IT-functie is. Dit wordt in de toetsing van de hypothese mede beoordeeld.
Daarom is de aanname dat de voorwaarden en de mogelijkheden voor CA bij een MKB-onderneming niet wezenlijk anders zijn dan voor een beursgenoteerde MKB-onderneming. CA kan dus toegepast worden bij een MKB-onderneming, als de minimale randvoorwaarden
aanwezig zijn.
57
Innovation and Practice of Continuous Auditing, p. 5. 58
3.4 Hypothese
De hypothese luidt: Is het haalbaar om Continuous Auditing toe te passen in het interne en externe controleproces van een grote MKB-onderneming en zo ja, onder welke
voorwaarden?
In hoofdstuk 2 zijn aan de hand van de drie deelvragen de voorwaarden genoemd die aanwezig moeten zijn om CA toe te passen:
1. Het IT-systeem moet 24 uur per dag operationeel zijn en beveiligd zijn tegen alle bedreigingen die systeem onbruikbaar kunnen maken. Tegelijkertijd moet het IT-systeem technische mogelijkheden bieden om geprogrammeerde controles in te bouwen en rapportages te genereren en te bewaren als bewijsmateriaal. Het management is hier verantwoordelijk voor en moet ervoor zorgen dat het IT-systeem in de organisatie op de juiste wijze gebruikt wordt.
2. De bedrijfsprocessen moeten in hoge mate geautomatiseerd zijn en alle registraties moeten via een ERP-pakket lopen. Het management is hier verantwoordelijk voor en moet ervoor zorgen dat het ERP-pakket in de organisatie op de juiste wijze gebruikt wordt.
3. De accountant moet kennis en ervaring hebben met het controleren van ERP-pakketten. Hij moet bereid zijn zijn controle-aanpak te baseren op de techniek en zijn controlewerkzaamheden meer te spreiden over het te controleren boekjaar. Om antwoord te kunnen geven op hypothese en om de eisen te kunnen toetsen aan de hand van een case zijn eerst alle elementen geconcretiseerd en opnieuw gerubriceerd in vijf voorwaarden. Dat zijn:
1. General IT Controls bieden voldoende waarborgen voor integriteit van de data; 2. ERP-pakket omvat hoog geautomatiseerde bedrijfsprocessen;
3. Externe accountant heeft kennis van implementatie en evaluatie CA-systeem; 4. Enterprise Risk Management als fundament intern beheersingssysteem; 5. Onafhankelijk en deskundige IT-functie als ondersteunende staffunctie;
De vijf voorwaarden zijn complementair: is een van de voorwaarden niet aanwezig en is het niet haalbaar om dit te ondervangen, is het niet mogelijk om CA toe te passen. De vijf voorwaarden worden hieronder toegelicht.
Drie eerste voorwaarden zijn ontleend aan het raamwerk van de CICA/AICPA. De General IT Controls vormen het fundament voor een goed ERP-pakket. De General IT Controls bepalen de hygiëne van het systeem.
Alle kenmerken die te maken hebben met de processen binnen het informatiesysteem, zijn gerubriceerd onder de tweede voorwaarde: ERP-pakket. In dit pakket zitten de datastromen die object zijn van interne en externe controle.
Ook de rol van de accountant komt uit het raamwerk. Deze voorwaarde is in zoverre bijzonder, dat die buiten het domein van de onderneming ligt.
De vierde voorwaarde, Enterprise Risk Management, komt niet in het raamwerk van de CICA/AICPA voor, maar de wetenschappers zijn het er inmiddels over eens dat er een vorm van interne controle moet zijn die samenhangt met CA59.
Ook de vijfde voorwaarde komt niet in het raamwerk van de CICA/AICPA voor maar is wel noodzakelijk: zonder een aparte IT-functie is het lastig om toegang tot data te krijgen60.
59
Continuous Auditing: the auditing of the future, p. 154-155.
60
Continuous Auditing: implications for Assurance, Monitoring, and Risk Assessment, D. Coderre, publicatie GTAG, p. 18., Continuous Auditing From a Practical Perspective, p. 5.
Om de voorwaarden te toetsen aan een case zijn er op basis van de bestudeerde literatuur per voorwaarde attributen geformuleerd. De attributen worden hieronder toegelicht. In figuur 12 wordt dit samengevat.
Figuur 12: Vijf voorwaarden met 20 attributen voor CA bij MKB (eigen afbeelding)
General IT Controls
Een informatiesysteem of een ERP-pakket vervangt een groot aantal logistieke en operationele processen. Daarom is het van belang dat het systeem te allen tijde
betrouwbaar werkt en betrouwbare gegevens gevat. Daarom moeten de general controls voldoende waarborgen bieden over de juistheid, snelheid en beschikbaarheid van gegevens. In overleg met de afdeling MMC zijn de volgende GITC bepaald als de meest belangrijke voor CA. Deze vijf attributen dekken drie van de vier rubrieken zoals opgesteld door de PCAOB (zie pag. 17). De vierde rubriek Operationeel Management is buiten beschouwing gelaten omdat deze niet essentieel is voor het toepassen van CA.
Attributen Kenmerken
1. Logische
toegangsbeveiliging
Algemene architectuur van de servers; Autorisatietabellen;
2. Change Management Conversie van het ERP-pakket; De wijze waarop nadelen van doorgevoerde wijzigingen geborgd zijn;
3. Fysieke toegangsbeveiliging Beveiliging van de servers en terminals tegen brand of inbraak;
4. Back-up en Recovery Mogelijkheden om het informatiesysteem te herstellen; 5. Business Continuity Mogelijkheden om activiteiten voort te zetten na het
ERP
Er zijn veel ERP-pakketten. Soms wordt een pakket ERP (Enterprise Resource Planning) genoemd, terwijl er alleen maar de financiële administratie mee wordt gedaan. Maar voor CA geldt een holistische benadering, namelijk dat alle bedrijfsprocessen via ERP-pakket lopen. Tevens is het van belang dat het mogelijk is databases te benaderen en datastromen doorlopend te analyseren op zodanige wijze dat het bewijsmateriaal verschaft voor de jaarrekeningcontrole. Technisch gezien moet er in of op het pakket controlemodules gebouwd kunnen worden. Daarom zijn de volgende attributen geformuleerd:
6. Hoog geautomatiseerd Harde meetbare data, routinematige processen; 7. Continu toegang Dagelijks tot wekelijks;
8. Toegang tot data Data in te lezen;
9. Bewijs vast kunnen leggen Presentatie output als basis voor oordeel;
Kennis accountant
Invoering van CA stelt zowel eisen aan de onderneming als aan de accountant. Hoewel de voorwaarde kennis accountant buiten het bereik van de onderneming valt, is het wel een belangrijke voorwaarde. Als een voortvarende onderneming een vorm van CA wil invoeren, maar de betrokken accountant weet niet wat hij ermee aan moet, is implementatie maar voor de helft effectief.
10. Kennis IT-audit Studie IT-audit;
11. Ervaring ERP Ervaring IT-audit, IDEA, CA, benaderen van databases;
Daarom zijn twee attributen benoemd, die voor invoering CA aanwezig moeten zijn. Deze voorwaarde wordt apart behandeld aan het slot van hoofdstuk 5.
Enterprise Risk Management
Theoretisch en technisch is het mogelijk om een systeem van CA in te voeren zonder overeenstemming met de cliënt over de invulling van de controleregels en het systeem los te zien van de interne beheersingsmaatregelen. Maar een vorm van Enterprise Risk Management is tegenwoordig niet meer weg te denken. De cliënt kan daarmee
bedrijfsrisico´s en de gevolgen daarvan vermijden of verminderen; de accountant kan dan steunen op dit interne controlesysteem. Waar nodig kan de accountant aanvullende controleregels programmeren die nodig zijn voor zijn risico-inschatting inzake de
jaarrekeningcontrole. Rezaee heeft een controlematrix opgesteld gebaseerd op COSO II, dat als model kan dienen voor een onderneming die CA wil toepassen als onderdeel van haar interne controle61. In zijn model komen vijf van de acht elementen van COSO terug. Deze vijf elementen worden als attributen opgenomen in dit onderzoek.
61
12. Interne omgeving Management moet waarborgen dat het
informatiesysteem goed gemanaged wordt in de organisatie.
13. Risico benadering Management is verantwoordelijk voor risico´s die doelen van de onderneming bedreigen.
14. Informatie en communicatie
Binnen het informatiesysteem is een financieel systeem dat alle acties en transacties near-time vast legt. De resultaten worden near-time verspreid onder de verantwoordelijke werknemers.
15. Controle maatregelen Beleid en procedures t.b.v. interne doelen,
betrouwbare financiële informatie, beveiliging van activa, compliance.
16. Bewaken Periodieke evaluatie van het interne controle systeem en het informatiesysteem
Deze voorwaarden kunnen een overlap vertonen met de andere voorwaarden die noodzakelijk zijn voor CA. Zo kunnen autorisatieprocedures onderdeel uitmaken van de attribuut Interne omgeving (12). Maar autorisatieprocedures komen ook voor bij de GITC. Het kan ook zijn dat er procedures zijn die voor CA en de jaarrekeningcontrole niet direct van belang zijn. Het hangt er van af of en hoe een onderneming een vorm van ERM heeft ingevoerd.
Onafhankelijke IT afdeling
Voor toepassing van CA moeten er controleregels worden geprogrammeerd. Ook moet de accountant doorlopend toegang hebben tot het systeem, hetzij door een controlemodule of controlesoftware op te starten, hetzij door het ontvangen van door het systeem
gegenereerde rapporten. Zonder kennis en medewerking van IT-specialisten is dit
onmogelijk. Daarnaast moeten ze onafhankelijk kunnen opereren, anders kan de accountant niet steunen op de effectieve werking van het CA-systeem. Tevens wordt met onafhankelijk bedoeld een aparte afdeling binnen de onderneming.
17. Onafhankelijk Aparte afdeling; heeft een faciliterende functie maar mag eigen keuzes maken. 18. Kennis implementatie
controlemodule
Functionarissen kunnen afzonderlijke controleregels programmeren.
19. Doorlopend rapporteren Relevante waarschuwingen en opvolgingen rapporteren aan de accountant;
20. Snel afhandelen van systeemalerts Naar gelang de aard moeten
waarschuwingen van het CA-systeem worden geanalyseerd en problemen worden
opgelost.
3.5 Samenvatting
Op basis van de bestudeerde literatuur zijn op basis van de hypothese en de deelvragen zijn vijf voorwaarden geformuleerd: General IT controls, een ERP-pakket, een deskundige accountant, ERM en een onafhankelijke IT-functie. Om de hypothese te toetsen zijn binnen deze vijf voorwaarden 20 attributen opgesteld. Deze zullen getoetst worden aan de hand van een controleplichtige, grote MKB-onderneming.