De conclusie uit de vorige paragraaf leidt, door de recente ontwikkelingen op het gebied van jaarrekening- controles en cloud computing, tot mogelijke vervolgdiscussies. Daarnaast worden op basis van het onderzoek aanbevelingen gedaan voor toepassing van de uitkomsten in de praktijk en mogelijk vervolgonderzoek. Vanwege het feit dat het onderzoek is uitgevoerd als een kwalitatief onderzoek met expertinterviews, is het niet mogelijk om de uitkomsten te generaliseren voor alle accountants en jaarrekeningcontroles. Dit is onder meer het gevolg van het beperkte aantal interviews dat is afgenomen en gebruikt. Uit de analyse van de expertinterviews blijkt echter dat een voldoende mate van saturatie is bereikt. Aanvullend kwantitatief onderzoek kan aantonen of de geldende conclusies algemeen toepasbaar zijn
Het onderzoek is specifiek toegespitst op het samenspel tussen de accountant en de IT auditor. Hierdoor zijn andere aspecten van cloud computing die mogelijk invloed hebben op de jaarrekeningcontrole niet nader belicht (dit valt buiten de reikwijdte van dit onderzoek). Hierbij moet worden gedacht aan de impact van tegenstrijdige wetgeving tussen het land van vestiging van de gecontroleerde onderneming en het land waar de cloud provider is gevestigd of het land waar de gegevens en functionaliteiten uiteindelijk zijn ondergebracht. Naar eventuele risico’s voor de jaarrekening die als gevolg van deze ontwikkelingen ontstaan, wordt tijdens de uitvoering van de jaarrekeningcontrole mogelijk geen onderzoek gedaan door zowel een accountant als een IT auditor. Dit aspect moet daarom nauwlettend in de gaten worden gehouden en verder worden onderzocht.
H o o fd stu k: 4 Con clusi e, d is cu ss ie en a an b ev elingen
Uit de literatuurstudie is gebleken dat op dit moment nog geen concrete accountantsrichtlijnen voorhanden zijn voor het inschakelen van IT auditors tijdens jaarrekeningcontroles. Nader onderzoek zou kunnen uitwijzen dat richtlijnen vanuit bijvoorbeeld de IT auditors hiervoor mogelijk aanknopingspunten bieden.
De huidige regelgeving legt de accountant geen vereisten op voor de mate van IT deskundigheid die aanwezig moet zijn bij de accountant zelf en in het team dat de werkzaamheden verricht. Een oplossing kan zijn om op het niveau van accountantsorganisaties te zorgen voor voldoende bewustwording bij de accountants en controleteams omtrent de invloed die informatietechnologie en cloud computing hebben op de jaarrekening. Enerzijds kan dit gebeuren door het aanbieden van cursussen en andere informatie. Anderzijds kan dan worden gedacht aan kantoorrichtlijnen, checklists of stroomdiagrammen op basis waarvan bepaald moet worden wat deze invloed is, en in welke mate de inschakeling van IT deskundigheid noodzakelijk is. Hierbij moet dan ook inzichtelijk worden gemaakt hoe deze deskundigheid kan worden betrokken, intern of extern, en hoe om te gaan met mogelijke discussies rondom het beschikbare budget.
Het kennisniveau rondom informatietechnologie en cloud computing van de huidige generatie accountants die verklaringen verstrekken bij jaarrekeningen kan als onvoldoende worden beschouwd. Nader onderzoek om het kennisniveau beter in kaart te brengen kan helpen om de opleiding van nieuwe accountants te verbeteren op deze gebieden. Daarnaast moet worden bekeken hoe het onvoldoende kennisniveau van de huidige generatie accountants kan worden gecompenseerd. Dit kan onder meer gebeuren door verplichte bijscholingen. Een andere manier is het opstellen van richtlijnen die de samenwerking met IT auditors reguleren. Welke aanpak, rule-based of principle-based, daarbij het beste is, kan een onderwerp van nader onderzoek zijn. Ook de vraag op welke niveau dit dan moet worden geregeld, individueel, kantoor of beroepsorganisatie, zal daarbij moeten worden onderzocht. Bij het onderzoek moeten dan zowel accountants als IT auditors worden betrokken. Hierdoor wordt dan enerzijds bij beide groepen begrip opgebouwd en anderzijds komt er duidelijkheid in de verantwoordelijkheden van de beide soorten auditors.
De kloof tussen accountants en IT auditors zal gedicht moeten worden om zo een goede samenwerking tot stand te brengen Educatie, begrip en kennis van elkaars professie zijn hierbij de kernbegrippen. De kennis van accountants met betrekking IT is beperkt, terwijl IT auditors vaak geen onvoldoende accountancy of bedrijfs- kundige achtergrond hebben. Een oplossing kan liggen in een toevoeging van belangrijke punten van elkaars beroep aan de opleidingen. Ook de accountantskantoren kunnen middels interne IT-auditopleiding deze kennis verhogen en zodoende een brug te slaan tussen beide beroepsgroepen.
Koopman (2010) stelt dat zowel de IT auditor als de accountant deel uitmaken van het controleteam. Desondanks komt uit de expertinterviews naar voren dat het inschakelen van een IT-auditor binnen het controle team voor een jaarrekeningcontrole, nog geen standaard is. Onderbelicht blijft of dat dit te maken heeft met de experts die allen deel uit maken van de middelgrote accountantskantoren of dat budgettaire redenen hierbij een belangrijke rol spelen.
H o o fd stu k: 4 Con clusi e, d is cu ss ie en aa n b ev elingen
Vanuit de hype hebben marketeers de vrijheid genomen om de term cloud computing te gebruiken voor marketingdoeleinden. Vanuit de definitie van cloud computing van het NIST kan worden afgeleid dat, het eenvoudig kunnen schalen van beschikbare bronnen zonder menselijke tussenkomst vanuit de aanbieder, een voorwaarde voor cloud computing is. Dit wordt ook door de Dutch Hosting Providers Association gezien als het verschil tussen hosting en cloud computing. Een duidelijke afbakening van wat onder cloud computing wordt verstaan is essentieel teneinde de samenwerking en communicatie tussen accountants en IT auditors te optimaliseren. Als beiden uitgaan van dezelfde definities kan de IT auditor de rol als klankbord op een juiste manier invullen. Beide groepen auditors zullen daarom moeten komen tot heldere gezamenlijke criteria van wat wel en wat niet wordt gezien als cloud computing.
H o o fd stu k: Biblio graf ie
BIBLIOGRAFIE
ABN AMRO. (2012, 02 27). Cloud computing groeit explosief in de zakelijke markt. Opgeroepen op 10 26, 2012, van Accountancynieuws: http://www.accountancynieuws.nl/actueel/ict/cloud-computing-groeit-explosief-in- de-zakelijke.109087.lynkx
Accorsi, R. (2011). Business process as a service: Chances for remote auditing. IEEE Computer Software and
Applications Conference. Freiburg: IEEE.
Ahrens, M. (2010). Cloud Computing and the Impact on Enterprise IT. FIS 2010 (pp. 148-155). Heidelberg: Springer-Verlag.
Armburst, M., Fox, A., Griffith, R., Joseph, A. D., Katz, R. H., Konwinski, A., et al. (2009). Above the Clouds: A
Berkeley View of Cloud Computing. Berkeley: Electrical Engineering and Computer Sciences University of
California at Berkeley.
Armburst, M., Fox, A., Griffith, R., Joseph, A. D., Katz, R., Konwinski, A., et al. (2010). A View of Cloud Computing. Communications of the ACM , 50-58.
Baarda, D., de Goede, M., & Teunissen, J. (2009). Basisboek Kwalitatief Onderzoek. Groningen/Houten: Noordhoff Uitgevers.
Bentum, J. v. (2012, september 28). Neelie Kroes formuleert Europese cloudstrategie. Opgeroepen op oktober 22, 2012, van www.computable.nl:
http://www.computable.nl/artikel/nieuws/cloud_computing/4567293/2333364/neelie-kroes-formuleert- europese-cloudstrategie.html
Beulen, E., & Van Puijenbroek, J. (2011). Aandachtspunten IT-auditor bij uitbesteding en managen van Informatietechnologie. In Handboek EDP Auditing.
Brazel, J. F. (2008). How Do Financial Statement Auditors and IT Auditors Work Together? The CPA Journal , 38- 41.
Chaput, S. R., & Ringwood, K. Cloud Compliance: A Framework for Using Cloud Computing in a Regulated World.
Chen, Y., Paxson, V., & Katz, R. H. (2010). What's New About Cloud Computing Security. Berkeley: Electrical Enginering and Computer Sciences University of California.
Chen, Z., & Yoon, J. (2010). IT Auditing to Assure a Secure Cloud Computing. 2010 6th World Congress on
H o o fd stu k: Biblio graf ie
Chow, R., Golle, P., Jakobsson, M., Shi, E., Staddon, J., Masuoka, R., et al. (2009). Controlling Data in the Cloud: Outsourcing Computation without Outsourcing Control. 16th ACM Conference on Computer and
Communications Security (pp. 85-90). Chicago: ACM.
Chung, M. (2011). Orchestrating the New Paradigm. Amstelveen: KPMG.
Cloud Security Alliance. (2009). Security Guidance for Critical Areas of Focus in Cloud Computing v2.1. Cloud Security Alliance.
Cloud Security Alliance. (2010). Top Threats to Cloud Computing v1.0. Cloud Security Alliance.
Commisie Eindtermen Accountancy. (2012). Eindtermen theoretische accountantsopleiding. Amsterdam: CEA. Curtis, M. B., Jenkins, J. G., Bedard, J. C., & Deis, D. R. (2009). Auditors' Training and Proficiency in Information Systems: A Research Synthesis. Journal of Information Systems , 79-96.
Du, H., & Cong, Y. (2010). Cloud Computing, Accounting, Auditing, and Beyond. The CPA Journal , 66-70. Gill, R. (2011). Why Cloud Computing Matters to Finance. Strategic Finance , 43-47.
Haeberlen, A. (2010). A Case for the Accountable Cloud. ACM SIGOPS Operating Systems Review , 52-57. Jonker, R. (2007). IT-auditing Third Party Mededelingen en SAS 70-onderzoeken. Almere: Sdu Uitgevers. Khajeh-Hosseini, A., Sommerville, I., Bogaerts, J., & Teregowda, P. (2011). Decision Support Tools for Cloud Migration in the Enterprise. To appear in IEEE CLOUD 2011 .
Ko, R. K., Lee, B. S., & Pearson, S. (2011). Towards Achieving Accountability, Auditability and Trust in Cloud Computing. Communications in Computer and Information Science , 432-444.
Leimeister, S., Böhm, M., Riedl, C., & Krcmar, H. (2010). The Business Perspective of Cloud Computing: Actors, Roles and Value Networks. ECIS 2010 Proceedings (p. paper 56). München: Association for Information Systems.
Mell, P., & Grance, T. (2009, juli 10). NIST Definition of Cloud Computing. Opgeroepen op januari 23, 2011, van NIST: http://www.nist.gov/itl/cloud/upload/cloud-def-v15.pdf
Meuldijk, A., Broskij, M., & Neeteson, D. (2007). Accountant en IT-auditor - Samenwerking in de praktijk.
Compact , 7-14.
MKB Nederland. (2012, 10 23). MKB loopt nog niet warm voor cloud computing. Opgeroepen op 10 26, 2012, van Accountancynieuws: http://www.accountancynieuws.nl/actueel/ict/mkb-loopt-nog-niet-warm-voor-cloud- computing.116013.lynkx
H o o fd stu k: Biblio graf ie
Mollema, K. Y. (2008). Akoepedie voor auditors? Afscheidsrede uitgesproken op 18 januari 2008. Rotterdam: Erasmus School of Accounting & Assurance.
Morsy, M. A., Grundy, J., & Müller, I. (2010). An Analysis of The Cloud Computing Security Problem. Proceedings
of APSEC 2010 Cloud Workshop. Sydney.
Motahari-Nezhad, H. R., Stephenson, B., & Singhal, S. (2009). Outsourcing Business to Cloud Computing
Services: Opportunities and Challenges. Palo Alto: HP Laboratories.
Nederlandse Orde van Accountants-Administratieconsulenten (NOvAA). (2002). De AA in een (kleinschalig)
geautomatiseerde omgeving. Den Haag: Nederlandse Orde van Accountants-Administratieconsulenten
(NOvAA).
Neff, T. (2011). Cloud Computing's Not-So-Silver Lining. Complianceweek , 48-49.
Nicolaou, C. A., Nicolaou, A. I., & Nicolaou, G. D. (2012). Auditing in the Cloud: Chanllenges and opportunities.
The CPA Journal , 66-70.
NIST. (2011). Cloud Computing Security Impediments and Mitigations List v.9. NIST. NIvRA. (2010). Handleiding Regelgeving Accountancy. Amsterdam: NIvRA.
Null, C. (2011, januari 4). 9 Goede voornemen voor het MKB. Opgeroepen op januari 23, 2011, van Computerworld: http://computerworld.ml/article/12526/9-goede-voornemens-voor-het-mkb.html Pumphrey, L., & Trimmer, K. (2005, 01 17). The Impact of Enterprise Systems on Audits of Small Entities. Opgeroepen op 06 23, 2011, van http://ssrn.com:
http://papers.ssrn.com/sol3/papers.cfm?abstract_id=649843
Rietschoten, v. P. (2011). Cloud Computing en de rol van de accountant. Wolk of Dolk. Accountant , 16-18. Ristenpart, T., Tromer, E., Shacham, H., & Savage, S. (2009). Hey, you, get off my cloud: exploring information leakage in third-party compute clouds. Proceedings of the 16th ACM comferance on Computer and
communications security (pp. 199-212). Chicago: ACM.
Romney, M. B., & Steinbart, P. J. (2003). Accounting Information Systems. New Jersey: Pearson Education. Saripalli, P., & Walters, B. (2010). QUIRC: A Quantitative Impact and Risk Assessment Framework for Cloud Security. 2010 IEEE 3th Int. Conf. on Cloud Computing (pp. 280-288). IEEE.
Schop, E. (2010, juni 24). Automatiseringsgids. Opgeroepen op januari 23, 2011, van Automatiseringsgids: http://www.automatiseringgids.nl/markt-monitor/nederland/2010/25/cloud-computing-populair-in- nederland.aspx
H o o fd stu k: Biblio graf ie
Selby, D. D. (2010). Do Auditors Adjust Their Audit Plans Accordingly When They Encounter Material
Automated Control Weaknesses? 7th International Conference on Enterprise Systems, Accounting and Logistics, (pp. 182-195). Rhodes Island, Greece.
Shivakumar, B., & Raju, T. (2010). Emerging Role of Cloud Computing in Redefining Business Operations. Global
Management Review , 48-52.
Singleton, T. (2007). Emerging Technical Standards on Financial Audits. Information Systems Control Journal . SRA. (2010). SRA-Controlemethodiek IT-Auditing (Concept). Nieuwegein: SRA.
SRA Vaktechniek. (2010). SRA Controleaanpak en Automatisering. Nieuwegein: SRA Vaktechniek.
Teunissen, H. (2009, mei 9). Cloud Computing for Dummies. Opgeroepen op augustus 8, 2011, van Slideshare: http://www.slideshare.net/haroldteunissen/cloud-computing-for-dummies-8246956
van Bommel, S., van Goor, M., Peek, L., & Winterink, J. (2006). De betekenis van IT-auditing De betekenis van IT-auditing ontrafeld! MAB , 487-493.
van Bommel, S., van Goor, M., Peek, L., & Winterink, J. (2006). De betekenis van IT-auditing voor de jaarrekeningcontrole ontrafeld! MAB , 487-493.
Vaquero, L. M., Rodero-Merino, L., Caceres, J., & Lindner, M. (2009). A break in the clouds: towards a cloud definition. ACM SIGCOMM Computer Communication Review , 50-55.
Verschuren, P., & Doorewaard, H. (2005). Het ontwerpen van een onderzoek. Nijmegen: Lemma.
Yang, D. C., & Guan, L. (2004). The evolution of IT auditing and internal control standards in financial statement audits. Managerial Auditing Journal , 544-555.
H o o fd stu k: Bijlag en
BIJLAGEN
A LIJST GEBRUIKTE AFKORTINGEN
AA Accountant-Administratieconsulent
AIS Accounting Information System
CAAT’s Computer Assisted Audit Tools
ERP Enterprise Resource Planning
HRA Handleiding Regelgeving Accountancy
ISAE3402 International Standards on Assurance Engagements richtlijn 3402
IT Informatietechnologie
ITGC Information Technology General Controls
NVCOS Nadere Voorschiften Controle en Overige Standaarden
RA Registeraccountant
RE Register EDP auditor
SAAS Software-as-a-Service
H o o fd stu k: Bijlag en
B LIJST GEINTERVIEWD EN
Deze bijlage is niet bedoeld voor openbaarmaking.
RA 1 Drs. Bart van der Heijden RA
Govers Accountants/Adviseurs
RA 2 Drs. Mascha Hoeks RA
Govers Accountants/Adviseurs
RE RA 1 Drs. Wilco Schellevis
Visser & Visser / Refine-IT SRA IT Auditkring
Integrated Audit Approach NBA/NOREA
RE RA 2 Drs. Lucas Vousten RA RE
Joanknecht & Van Zelst SRA IT Auditkring
RE 1 Robert Johan RE
Horlings Soll-IT SRA IT Auditkring
Integrated Audit Approach NBA/NOREA
RE 2 Lars Hoogendijk MSc RE CISA
C.W.A. (Niels) Vogels MSc
Aanvullende opdracht
U n i v e r s i t e i t v a n A m s t e r d a m | A I T A P