Gevolgen voor de accountant

De wijze waarop de onderneming, op basis van risicoanalyse, het informatiebeveiligings-beleid ten uitvoer brengt, heeft gevolgen voor de controlewerkzaamheden die de accountant verricht in het kader van de jaarrekeningcontrole. Naarmate een onderneming meer interne controlerisico af weet te dekken, kan de accountant méér zekerheid omtrent de juistheid en volledigheid van de gepresenteerde informatie toekennen, dan wanneer de onderneming maar weinig aandacht aan risicobeheersing besteedt.

In het algemeen zal de accountant de jaarrekeningcontrole beginnen door de AO/IC van de onderneming te beoordelen en vervolgens zelf een risicoanalyse uit te voeren. Dit is noodzakelijk om de controle efficiënt en doelgericht in te kunnen richten. Bij zijn voorbereidende werkzaamheden neemt de accountant kennis van de missie, doelstellingen en strategie van de onderneming, alsmede de kritieke succesfactoren om die strategie te realiseren. Op basis van deze informatie bepaalt de accountant de posten van materieel belang en de controledoelstellingen. Vervolgens maakt hij een analyse van het interne controlerisico en het accountantscontrolerisico. Doel van deze analyse is het verkrijgen van inzicht in de risico’s met betrekking tot de kritische bedrijfsprocessen en in hoeverre interne beheersingsmaatregelen deze risico’s tegengaan, aan de hand van de criteria beschikbaarheid, exclusiviteit, integriteit, doelmatigheid, controleerbaarheid en doeltreffendheid. De accountant zal opzet, bestaan en werking van de administratieve organisatie en interne controle van de onderneming toetsen en beoordelen. Door dit inzicht kan de accountant een inschatting maken van het risico op fouten van materieel belang in de jaarrekening en in welke mate aanvullende controles noodzakelijk zijn.

In figuur 1 wordt de relatie weergegeven tussen de jaarrekeningcontrole en de rol die interne beheersingsmaatregelen hierin spelen. De controlerende accountant bepaalt vanuit de balans en resultatenrekening de posten van materieel belang (hier weergegeven als de significante posten) en op grond daarvan de kritische processen met betrekking tot deze posten. De accountant is in het bijzonder geïnteresseerd in de beheersing van deze processen, om een oordeel te kunnen geven omtrent de getrouwheid van de gepresenteerde cijfers in de balans en resultatenrekening, met name de vermogenspositie en het resultaat. Bij e-commerce is de beheersing van de internetomgeving van de onderneming cruciaal. De accountant zal extra aandacht besteden aan de wijze waarop de onderneming de bedrijfsprocessen op dit specifieke terrein beheerst en hoe de onderneming het risicobeleid ten opzichte van deze processen heeft ingericht en uitvoert. De accountant zal dit in belangrijke mate doen door de werking van interne controlemaatregelen te beoordelen. In een automatiseringsomgeving gaat de aandacht hierbij grotendeels uit naar de IT general controls (in figuur 1: ITGC) en de application controls. Door middel van een adequaat wijzigingenbeheer, toereikende logische toegangs-beveiliging, continuïteit van de geautomatiseerde gegevensverwerking, het testen van de verschillende onderdelen van de automatiseringsomgeving -zowel van de IT-infrastructuur en systemen als van de procedures- en de fysieke beveiliging van de informatiesystemen, wordt de beheersing van de kritische bedrijfsprocessen en de betrouwbaarheid van de transactiegegevens, alsmede de werking van de application controls, zoveel mogelijk gewaarborgd. Een juiste en ongestoorde werking van zowel de automatiserings- als de informatieprocessen is een essentiële voorwaarde voor de beheersing van de kritische bedrijfsprocessen en de betrouwbaarheid van de transactiegegevens. De bevindingen van de risicoanalyse zoals die door de onderneming zelf is uitgevoerd, zijn dan ook van cruciaal belang voor de opzet van de interne controlestructuur en de in te voeren beheersings-maatregelen. Wanneer de accountant middels testprocedures de juiste werking van de

IC-maatregelen heeft geconstateerd, kan hij grotendeels volstaan met systeemgerichte controles. Daarbij mag de accountant er bij gecertificeerde standaardsoftwarepakketten vanuit gaan dat wanneer de invoer juist geschiedt, de berekeningen correct uitgevoerd zullen worden. Voorbeelden van deze pakketten zijn SAP, Exact en Navision. Wanneer maatregelen echter onvoldoende houvast bieden omtrent de juistheid van de te controleren posten, zal de accountant meer gegevensgerichte controlewerkzaamheden uit moeten voeren.

Figuur 1. De relatie tussen de jaarrekeningcontrole en interne controle

Het voorgaande geldt in principe voor elke onderneming met geautomatiseerde gegevens-verwerking, ongeacht of de onderneming zich met internetactiviteiten bezighoudt. Een onderneming met een internetverbinding loopt echter een verhoogd risico. De bedreigingen voor en door de internetactiviteiten -zeker in het geval van transacties via e-commerce- zijn legio en kunnen een grote negatieve invloed hebben op de effectiviteit van IC-maatregelen en daarmee de beheersing van kritieke processen en de opslag en verwerking van de transactiegegevens, zoals weergegeven in figuur 1. Het belang van een grondige risicoanalyse wordt hierdoor flink vergroot. In samenhang hiermee zijn aanvullende testen van de IT general controls en de application controls noodzakelijk, om eventuele ‘lekken’ in de beveiliging op te sporen. Naarmate de effectiviteit van de interne controle daalt en daardoor het interne controlerisico hoger uitvalt, zullen er in het algemeen meer gegevensgerichte controlewerkzaamheden moeten worden uitgevoerd. De focus van de controle zou dan verschuiven van systeemgerichte naar gegevensgerichte werkzaamheden. Aangezien een e-commerceomgeving (vrijwel) geheel is geautomatiseerd, is het echter haast onmogelijk om gegevensgerichte controles uit te voeren. De accountant is dus aangewezen op de systeemgerichte controles en zal zijn controle derhalve systeemgericht moeten inrichten en uitvoeren. Om de e-commerceomgeving te kunnen beoordelen -en op grond daarvan uitspraken te kunnen doen over de beheersing van de internetactiviteiten- is vaak wel enige deskundigheid van de accountant vereist. Heeft hij onvoldoende kennis op dit gebied, dan zal hij specialisten in moeten schakelen, die hem assisteren bij zijn analyse.

In het volgende hoofdstuk worden beheersingsmaatregelen van de internetomgeving verder besproken.

Uit de risicoanalyse van de accountant zullen dikwijls aanbevelingen voortvloeien met betrekking tot de interne beheersingsstructuur van de organisatie. Indien daarin belangrijke zwakke plekken zitten dan krijgen deze bijzondere aandacht. Eventuele zwakke plekken worden gemeld aan de rechtstreeks betrokkenen. Zo nodig worden de uitkomsten voorgelegd aan de directie van de organisatie. De belangrijkste bevindingen worden opgenomen in een

‘management letter’ (zie hoofdstuk 6) en besproken met de Raad van Bestuur en/of de Raad

5. BEHEERSINGSMAATREGELEN INTERNETOMGEVING