Voorafgaand aan deze analyse is vanuit de literatuur aan de hand van een drietal onderwerpen de invloed bestudeerd die cloud computing heeft op de inzet van auditors bij jaarrekeningcontroles. Hieruit zijn per (sub)onderdeel de kernbegrippen verzameld. In onderstaand conceptueel model zijn de deelvragen per onderwerp weergegeven en zijn ook de onderlinge verbanden zichtbaar gemaakt. Vervolgens zijn de kern- begrippen per onderwerp in afzonderlijke tabellen weergegeven. De kolommen in deze tabellen komen overeen met de deelvragen zoals deze per onderwerp zijn beantwoord in de literatuurstudie.
Op basis van de definitie en diverse studies kan cloud computing worden gezien als evolutie van het leverings- model van IT dienstverlening op basis van het samenvoegen van bestaande technieken. Multi-tenancy en virtualisatie zijn basiselementen van cloud computing en zorgen mede voor de mogelijkheden voor kosten- besparing en efficiënter gebruik van de beschikbare middelen.
H o o fd stu k: 2 L iteratu u rs tu d ie
Figuur 5 | Uitwerking conceptueel model
Cloud computing heeft invloed op zowel de elementen als de functies van een informatiesysteem. Het leveringsmodel bepaalt welke van de elementen (gegevens, software, infrastructuur) worden verplaatst naar de cloud dienstverlener. Ook de functies van het informatiesysteem worden beïnvloed door cloud computing. Met name de beheersingsmaatregelen komen voor een groot deel buiten het gezichtsveld van de onderneming
H o o fd stu k: 2 L iteratu u rs tu d ie
te staan. Nieuw ten opzichte van de traditionele ‘on premise’ oplossingen zijn dan ook de complexe vertrouwensrelatie met de dienstverlener.
Vanuit de literatuur zijn beveiliging, beschikbaarheid en recovery steeds terugkerende kenmerken en bedreigingen van cloud computing. Daarnaast wordt in dit verband door verschillende auteurs ook de complexe vertrouwensrelatie benoemd.
Kernbegrippen vanuit de beantwoording van de deelvragen met betrekking tot het onderwerp cloud computing.
Wat is cloud computing?
Wat is het effect van cloud computing op het informatiesysteem van een
onderneming? Wat zijn de risico’s van cloud computing?
Vervolg op uitbesteding Beveiliging Continuïteit
Delen van bronnen (multi-tenancy) Beschikbaarheid Delen reputatie
Herstel (recovery) Interfaces
Uitbesteding opslag en verwerking Complexe vertrouwensrelatie Verplaatsen beheersing
Tabel 1 | Kernbegrippen cloud computing
Toepassing van informatietechnologie heeft invloed op de focus, maar niet op het doel van de werkzaamheden van de jaarrekeningcontrole. De focus verschuift van het controleren van standen en transacties naar de onder- liggende processen en systemen. ITGC vormen hierin de beheersingsmaatregelen binnen de informatie- technologie onder het informatiesysteem. Deze zijn derhalve van belang voor de jaarrekeningcontrole. Bij cloud computing liggen deze maatregelen buiten de invloedssfeer van de onderneming. Hierdoor zal bij de jaarrekeningcontrole zekerheid moeten worden verkregen over de opzet, bestaan en werking van deze maat- regelen bij de cloud dienstverlener. Het verkrijgen van een ISAE 3402 type II rapportage is hierbij een controle- middel. De relevantie en kwaliteit van de hierin opgenomen beheersingsmaatregelen voor de jaarrekening- controle zal door de accountant moeten worden beoordeeld.
Kernbegrippen vanuit de beantwoording van de deelvragen met betrekking tot het onderwerp jaarrekeningcontrole.
Welke impact heeft informatietechnologie op jaarrekeningcontroles?
Welke impact heeft het gebruikmaken van een serviceorganisatie op jaarrekening- controles?
Wat is het effect van cloud computing binnen middelgrote ondernemingen op jaarrekeningcontroles?
Onontbeerlijk vanuit complexiteit en belang NVCOS 402 Uitdaging verkrijgen inzicht
Verschuiving focus Relevantie controle Processen cloud en intern
Richtlijnen Interne maatregelen Onderliggende diensten
IT general controls Certificering Afspraken/SLA
Tabel 2 | Kernbegrippen jaarrekeningcontrole
Ten slotte is gekeken naar de inzet van IT auditors bij jaarrekeningcontroles. Hieruit komt naar voren dat IT auditors in alle fasen van een jaarrekeningcontrole inzetbaar zijn. Binnen de scope van dit referaat zijn de fasen planning en ‘control evaluation’ van belang. De uiteindelijke keuze voor het opnemen van een IT auditor in het
H o o fd stu k: 2 L iteratu u rs tu d ie
team ligt bij de verantwoordelijke accountant. Harde criteria ter ondersteuning van deze keuze ontbreken. In richtlijnen en literatuur zijn wel aanwijzingen gevonden, met name complexiteit van de IT omgeving, die de keuze beïnvloeden. De accountant wordt vanuit de richtlijnen geacht over voldoende kennis te beschikken om de invloed van geautomatiseerde informatiesystemen op de jaarrekeningcontrole te kunnen inschatten. Uit onderzoeken blijkt dat accountants risico’s voortvloeiende uit deze systemen anders inschat dan IT auditors. Andere onderzoeken wijzen uit dat accountant hun eigen kennis op IT gebied veelal overschatten.
Kernbegrippen vanuit de beantwoording van de deelvragen met betrekking tot het onderwerp accountants en IT auditors.
Hoe kunnen en worden iT auditors ingezet bij jaarrekeningcontroles?
Beschikt een accountant over voldoende kennis om de invloed van cloud computing op de jaarrekeningcontrole te beoordelen?
Welke overwegingen bepalen de inzet van de verschillende soorten auditors binnen jaarrekeningcontroles?
Accountant eindverantwoordelijk Basis voor keuze inzet IT auditor Passende competenties en capaciteiten Inventarisatie IT Vereiste vanuit richtlijnen Vaktechnische deskundigheid
Complexiteit Overschatting niveau Geen harde criteria
Test beheersingsmaatregelen Onvoldoende opleiding Complexiteit
Kennisuitwisseling Specialisme Gebruik opkomende technologie
Compenseren kennisgebrek Toenemend belang
Verschillende kennis en vaardigheden
Tabel 3 | Kernbegrippen accountant en IT auditor
Complexiteit en toenemend belang zijn begrippen die vanuit de verschillende onderdelen van de literatuur- studie naar voren komen. Vanuit complexiteit en belang kan een accountant niet meer om Informatie-
technologie heen bij de uitvoering van een jaarrekeningcontrole. Dit leidt tot een verschuiving van de focus van de werkzaamheden naar de processen, de systemen en de beheersingsmaatregelen hieromheen. Als gevolg van het verplaatsen c.q. uitbesteden van onderdelen van het informatiesysteem naar cloud computing wordt het voor de accountants complexer om het vereiste inzicht te verkrijgen in deze onderdelen van het informatie- systeem. Voor deze inventarisatie zijn kennis en vaardigheden benodigd, die door de huidige opleidings- vereisten, niet bij alle accountants aanwezig zijn. Door de inzet van IT auditors komen specifieke vaktechnische deskundigheid, kennis en vaardigheden ter beschikking van het team.
Naast het complexere inzicht in het informatiesysteem, ontstaan ook complexere vertrouwensrelaties met de aanbieders van cloud computing diensten. Bij uitbesteding van informatietechnologie moet de accountant op basis van richtlijn 402 aandacht besteden aan de serviceorganisatie waaraan is uitbesteed. Hierbij kan gebruik worden gemaakt van een ISAE3402 certificering. Deze certificering geeft zekerheid omtrent opzet, bestaan en werking van de beheersingsmaatregelen in de processen bij de dienstverlener. De accountant dient te
beoordelen of de certificering relevant is voor zijn controle. Daarnaast kunnen vanuit de certificering randvoor- waarden worden gesteld in de vorm van noodzakelijke interne beheersingsmaatregelen. Een IT auditor kan hierbij, zoals ook hiervoor beschreven, van waarde zijn als onderdeel van het team dat de werkzaamheden in het kader van de jaarrekeningcontrole uitvoert.
H o o fd stu k: 2 L iteratu u rs tu d ie
2.5 CONCLUSIE
Door het uitvoeren van een literatuurstudie zijn oorzaken en achtergronden in kaart gebracht met als doel het beantwoorden van de volgende centrale vraagstelling:
Wat is de invloed van het gebruik van cloud computing door middelgrote ondernemingen op de mate waarin IT auditors worden ingeschakeld bij de uitvoering van jaarrekeningcontroles?
TOENEMENDE COMPLEXITEIT
Op basis van het voorgaande kan worden gesteld dat de complexiteit van de beheersing van het geautoma- tiseerde informatiesysteem wordt vergroot door toepassing van cloud computing. Deze complexiteit wordt vanuit enkele richtlijnen als aanwijzing benoemd om IT auditors in te schakelen bij de werkzaamheden rondom een jaarrekeningcontrole.
BEPERKTE KENNIS ACCOUNTANTS
Vanuit de bestuurde literatuur kan worden geconcludeerd dat de kennis van informatietechnologie bij
accountants beperkt is. De vraag kan dat ook worden gesteld of deze voldoende voor het onderkennen van het gebruik van cloud computing en het inschatten van eventuele effecten op de jaarrekeningcontrole.
Het gebruik van cloud computing door een onderneming, bij delen van het informatiesysteem die relevant zijn voor de gecontroleerde jaarrekening, maakt het voor de accountant noodzakelijk om een IT auditor op te nemen in het controleteam gedurende de fasen planning en “control evaluation” van de jaarrekeningcontrole. De conclusie en achtergronden zoals hiervoor beschreven worden in het volgende hoofdstuk onderzocht door de volgende onderwerpen voor te leggen aan de verschillende soorten deskundigen uit het werkveld van jaarrekeningcontroles in het midden- en kleinbedrijf. Bij cloud computing zijn dit (1) het effect op het infor- matiesysteem en daarmee in samenhang (2) het effect op de jaarrekeningcontrole. Heeft de toenemende complexiteit invloed op het informatiesysteem en de jaarrekeningcontrole. Voor de teamsamenstelling komen aan de orde (1) het kennisniveau van accountants. Daarnaast is (2) de inzet van IT auditors een onderwerp van de interviews. Hierbij wordt gevraagd naar de overwegingen om IT auditors in te zetten en de mate waarin de inzet plaatsvindt.
H o o fd stu k: 3 E xp ertin terv ie w s
3 EXPERTINTERVIEWS
In dit hoofdstuk worden de resultaten beschreven van de interviews met deskundigen uit het werkveld van jaarrekeningcontroles in het midden- en kleinbedrijf. Baarda et al. (2009) beschrijven een aantal stappen die doorlopen moeten worden, teneinde te komen tot een kwalitatief onderzoek. Deze stappen zijn toegelicht in de in hoofdstuk 1 beschreven methodologie.
De experts zijn ieder afzonderlijk, face-to-face geïnterviewd. In december 2012 zijn de eerste interviews afgenomen met een RA, een RA RE en een RE. In de augustus/september 2013 is een tweede reeks interviews afgenomen met eveneens een RA, een RA RE en een RE. In totaal zijn daarmee van iedere groep deskundigen twee experts geïncludeerd in het onderzoek.
De interviews zijn semigestructureerd afgenomen op basis van een onderwerpenlijst. Deze onderwerpenlijst is opgesteld op basis van de uitkomsten van de in hoofdstuk 2 beschreven literatuurstudie. Na een korte intro- ductie van het onderzoek en het doel van het interview, zijn een viertal onderwerpen de revue gepasseerd. Schematisch ziet de indeling van de interviews er als volgt uit:
Onderwerp Sub onderwerpen
Inleiding
Cloud computing Effect op informatiesysteem Jaarrekeningcontrole
Team Kennis accountant Inzet IT auditors
Praktijk
Toekomstverwachting
Tabel 4 | Onderwerpen interviews
De onderwerpen praktijk en toekomstverwachting zijn toegevoegd om een beeld te vormen van de huidige en verwachte inzet van cloud computing in het MKB.
De interviews zijn gestart met de inperking dat cloud computing wordt toegepast voor delen van het informatiesysteem, die van belang zijn voor de jaarrekening.
De interviews zijn, na toestemming van de geïnterviewde, opgenomen. Deze registratie is na afloop volledig getranscribeerd, waarbij de letterlijke tekst van het interview volledig is uitgeschreven. De deelnemers hebben nadien de uitwerking van het interview ontvangen ter verificatie. Hierop zijn geen opmerkingen terug-
ontvangen.
In het vervolg van dit hoofdstuk zullen de resultaten van de interviews per onderwerp worden weergegeven. Hierbij wordt het onderwerp eerst kort toegelicht, waarna de conclusies uit de interviews worden
H o o fd stu k: 3 E xp ertin terv ie w s
weergegeven. De onderbouwing van deze conclusies wordt weergegeven in de vorm van citaten uit de interviews.
3.1 CLOUD COMPUTING
Het eerste onderdeel van de interviews gaat over de jaarrekening en cloud computing. Hoe kijken de geïnterviewden, vanuit de verschillende invalshoeken, naar deze aspecten.
Het begrip cloud computing en de breedte van dit begrip zijn, weliswaar in wisselende mate, bekend bij alle geïnterviewden.
RA 1 “… alleen data in de cloud staat of ook de applicaties.”
RE RA 1 “… cloud en alle varianten die er in zitten…”
RE RA 2 “Met name dan de multi tenancy zijn… Dat is dan mijn grootste onderscheid.“
RE 1 “Cloud computing heel verschillende facetten zeg maar je hebt een public cloud je hebt een private cloud je hebt hybride cloud.”
Het gebruik van cloud computing door de gecontroleerde zal door de accountant worden opgemerkt in de planningsfase van de controle.
RA 1 “… met de screening die we doen natuurlijk. Je brengt de informatietechnologie in kaart. De algemene beheersingsmaatregelen. Dan loop je aan tegen het feit dat er dingen buiten het bedrijf worden verwerkt of opgeslagen. In de cloud.”
Over het gegeven of accountants in staat zijn om dit te achterhalen en op een juiste wijze in te passen in de controleaanpak wordt getwijfeld door zowel de IT auditors als de accountants. Een accountant zou deze kennis wel moeten hebben om eventuele risico’s voor de jaarrekening te onderkennen en op basis daarvan een IT auditor te kunnen bevragen en/of aan te sturen.
RA 1 “De vraag is heb je de kennis? Ik denk in negen van de tien gevallen niet.”
RA 2 “dan zal die (NV, kennis van een gemiddelde accountant) in de meeste gevallen niet toereikend zijn om iets met cloud computing te doen.”
RA RE 1 “… de praktijk van alle dag is dat accountants misschien nog wel redelijk worden opgeleid met wat IT kennis maar dat in ieder geval vrij snel vergeten ...”
RA RE 2 “Zal mede persoonsafhankelijk zijn denk ik he. Uiteindelijke zal iedereen zijn eigen beperkingen moet kennen.”
H o o fd stu k: 3 E xp ertin terv ie w s
RE 1 “Nou ik denk dat een gemiddelde accountant die kennis niet heeft. Is mijn ervaring. Maar hij zou het wel tot op zekere hoogte moeten hebben.”
Bij de bedrijfsverkenning is het van belang om te achterhalen waarom is gekozen voor cloud computing en voor de betreffende aanbieder. En vervolgens welke vragen en eisen zijn gesteld aan de aanbieder. Is de klant zich bewust van beveiligingsissues rondom cloud computing.
RE RA 1 “… ik vind dat ook een discussie die je als accountant vooraf met je klant hoort te hebben. Waarom heb je A voor outsourcing gekozen en B waarom precies voor deze partij. En welke vragen en eisen heb je aan hen gesteld zodat je uiteindelijk uitkomt bij dit soort oplossingen”
De risico’s van cloud computing worden door de IT auditor anders benoemd dan door de accountants. Naast het continuïteitsaspect van cloud computing worden door de IT auditor ook juridische en technische aspecten benoemd.
RE 1 “enerzijds juridisch anderzijds technisch. Je krijgt ook met nieuwe juridische aspecten te maken bij cloud.”
RE RA 2 “… issue daarin is de privacy issue wat er doorheen speelt.”
De IT auditors benadrukken het standaard zijn van de applicaties zoals die vanuit de cloud worden afgenomen.
RE 2 “Daarnaast is denk ik ook een gevolg van cloud computing dat je werkt met standaardsoftware over het algemeen want er staat gewoon een applicatie in ook een versie in de cloud en daar moet je het mee doen. “
RE RA 2 “Misschien zelfs wel later omdat je juist de software uit de kraan standaard standaard standaard standaard grote install base kunnen juist overwegingen zijn om de IT risico’s sterk gemitigeerd worden.”
Doordat de beheeractiviteiten bij cloud computing buiten de organisatie komen te liggen, worden deze activiteiten wellicht beter uitgevoerd dan wanneer deze in eigen beheer worden uitgevoerd. De activiteiten worden standaard en procesmatig uitgevoerd. Op zich zit hierin geen verschil tussen outsourcing en cloud computing. Het specifieke van cloud computing zijn de andere vormen van contracten tussen aanbieder en afnemer.
RE RA 1 “Dus principieel gezien voor dit soort bedrijven kan het zo zijn dat de beheersingsomgeving in absolute termen verbeterd omdat mensen hun rol kunnen pakken in het procesmatig beheren van of infrastructuur of software of beide afhankelijk van de vorm van cloud.”
H o o fd stu k: 3 E xp ertin terv ie w s
RA 1 “… dat een andere beheersingsmaatregelen overneemt. Bijvoorbeeld backup of beveiliging. Kijk als dat in andere handen ligt dan zul je denk ik moeten kijken naar wat er afgesproken is, je sla. … Naar wie dat doet en als dat een ander doet dan kijk je contractuele en ervaringen denk ik.”
RE RA 1 “Kijk in cloud heb je andere vormen van dat soort contracten maar uiteindelijk gaat het erom dat er delen van beheersprocessen buiten de onderneming plaatsvinden en dat de onderneming als het goed en dat is natuurlijk het probleem één vaak een zakelijke verhouding heeft gevonden om, om te gaan met de outsourcingspartner.”
RE RA 2 “Hier komt het multi tenancy verhaal nog overheen en dat kan het iets complexer maken, maar in wezen denk ik dat het verschil niet zo heel groot is. Ik denk dat het belangrijkste verschil is dat het buiten de deur staat. Dat dat het belangrijkste onderscheid is, …”
De IT auditors merken hierbij op dat door het uitbesteden van beheertaken aan de cloudleverancier, de uitbestedende partij niet verlost is van alle beheertaken en verantwoordelijkheden.
RE 2 “Wat bij de klant blijft is vooral het functioneel applicatiebeheer. Dus bijvoorbeeld het inrichten van de bevoegdheden in de pakketten, het instellen van een passwordpolicy, parameters instellen van de van de applicatie…”
RE RA 2 “Je hebt altijd nog je eigen change management procedure in de zin van in en uit diensttreders bijvoorbeeld.”
3.2 TEAMSAMENSTELLING
Tweede onderwerp tijdens de interviews was de rol van de IT auditor tijdens het proces van een jaarrekening- controle indien gebruik wordt gemaakt van cloud computing. De verschillende soorten auditors benoemen het feit dat de rol en mate van inzet binnen het controleteam wordt bepaald door de verantwoordelijke
accountant. Op basis van de tijdens de planningsfase verkregen informatie en gemaakte risicoanalyse bepaald deze of een IT auditor wordt ingeschakeld.
RA 1 “Ik denk dat als jij zelf de inschatting al hebt nou dit is een hoog-geautomatiseerd bedrijf met een bijvoorbeeld dingen in de cloud dat je hem inderdaad al in de planningsfase bij het opstellen van de risicoanalyse zou moeten betrekken.”
RA 2 “… als het belang voor de organisatie cq voor de jaarrekening of de betrouwbaarheid de continuïteit in het geding is, dan heb je wat mij betreft een grote rol van zo’n IT auditor en andersom …”
RE RA 1 “Maar ik vind dat de eindverantwoordelijke accountant er in ieder geval op moet toezien dat dit voldoende scherp wordt in de planningsfase. En ik vind dat je ook van de accountant mag verwachten
H o o fd stu k: 3 E xp ertin terv ie w s
dat het moment dat hij ziet dat er wijzigingen zitten of dat er cloud vraagstukken spelen dat hij beseft waar zijn kennis ophoudt en welke kennis hij moet inhuren.”
RE RA 2 “zal mede persoonsafhankelijk zijn denk ik he. Uiteindelijke zal iedereen zijn eigen beperkingen moeten kennen. Ongedeelde verantwoordelijkheid voor de accountant. Die zal moeten bepalen …”
RE 1 “… accountant die is altijd leidend in het proces en hij moet genoeg kennis hebben om risico’s in te kunnen zien van bijvoorbeeld de cloud om op basis daarvan aan te kunnen geven wat verwacht ik nu van een IT auditor wat die moet gaan doen.”
In de planningsfase ziet de RE een rol voor IT auditors als klankbord voor de accountant, ongeacht het gebruik van cloud computing. Ook de RA en de RE RA zien een IT auditor als klankbord die tijdens onder meer de planningsfase kan worden geconsulteerd.
RE RA 1 “Het liefst gewoon een RE heel dicht bij waarbij je ook kan zeggen bij die klant hoe zit dat ook al weer precies wat moet ik op letten weet je nog wat.”
RE 1 “als ik de rol van de IT auditor zie in de jaarrekeningcontroleproces even los van cloud computing dan is dat in eerste instantie om samen met de accountant te klankborden over IT risico’s en
consequenties daarvan voor de jaarrekeningcontrole. In een vroeg stadium.”
De inzet van IT auditors is afhankelijk van de specifieke situatie. De RE RA geeft aan dat bij een relatie met één