Tussentijdse controles

Bij de bepaling van de controleaanpak kan de accountant tot de conclusie komen dat de controlewerkzaamheden dermate omvangrijk zijn, dat het wenselijk is de controle reeds tijdens het lopende boekjaar te beginnen. Door een interim-controle uit te voeren, meestal vlak voor het einde van het boekjaar, wordt de omvang van de eindejaarscontrole na balansdatum aanmerkelijk verkleind.

Bij deze tussentijdse controle ligt de nadruk op de beoordeling van de AO/IC en daarmee samenhangend de betrouwbaarheid van de registratie van de financiële en bedrijfsprocessen. Opzet, bestaan en werking van administratieve organisatie en interne controlemaatregelen zijn bij uitstek geschikt om reeds vóór de daadwerkelijke jaarrekeningcontrole te beoordelen. Het doel van deze controles is dan ook om vast te stellen hoe de AO/IC-maatregelen waarborgen dat de jaarcijfers juist en volledig zijn en niet materieel afwijken van de werkelijkheid en in hoeverre de accountant gebruik kan maken van systeemgerichte controles. Waar dit niet het

De werkzaamheden bij tussentijdse controles bestaan uit: 1. Systeemgerichte controles (par. 6.5.1);

2. Tussentijdse cijferanalyse (par. 6.5.2);

3. Tussentijdse gegevensgerichte controle (par. 6.5.3); 4. Tussentijdse evaluatie tolerantie en risico (par. 6.5.4); 5. Rapportering tussentijdse controle (par. 6.5.5).

Wanneer de accountant het niet nodig acht om tussentijdse controles uit te voeren (bijvoorbeeld vanwege de geringe omvang van de onderneming), betekent dit niet dat genoemde werkzaamheden achterwege gelaten kunnen worden. Deze zullen dan in de eindejaarscontrole geïntegreerd moeten worden.

6.5.1 Systeemgerichte controles

De accountant ontkomt er bij zijn controle niet aan om systeemgericht te werk te gaan. Zelfs wanneer de controle overwegend gegevensgericht zal zijn, zal hij toch de werking van de interne organisatie en de daarop betrekking hebbende beheersingsmaatregelen moeten toetsen. Hoe meer de accountant zijn controle systeemgericht uit zal voeren, des te meer ‘evidence’ zal hij moeten geven om aan te kunnen tonen dat deze keuze gerechtvaardigd was. Vooral bij hooggeautomatiseerde bedrijfsprocessen als e-commerce zal de interne beheersing van immens belang zijn en daarmee evenredig de focus op systeemgerichte controles door de accountant. Hier wordt dan ook uitgebreid bij stilgestaan.

Om de kritische processen zo optimaal mogelijk te kunnen beheersen is interne controle onmisbaar voor de onderneming. De bevindingen van de risicoanalyse van de onderneming zijn dan ook van cruciaal belang voor de opzet van de interne controlestructuur en de te hanteren beheersingsmaatregelen. Wanneer de accountant middels proceduretesten de juiste werking van interne beheersingsmaatregelen heeft geconstateerd, kan hij voor een groot deel steunen op systeemgerichte controles.

Bij e-commerce zullen vooral de processen die te maken hebben met de beheersing van de internetomgeving van belang zijn. Het belangrijkste proces van een B2C e-commerce-omgeving is het geautomatiseerde verkoopproces, dat via een koppeling met het internet wordt uitgevoerd. Transacties tussen -onzichtbare- klanten en het geautomatiseerde verkoopsysteem dienen optimaal beheerst te worden door de onderneming. De accountant zal extra aandacht besteden aan de wijze waarop de onderneming deze bedrijfsprocessen beheerst en hoe de onderneming het risicobeleid ten opzichte van dit processen heeft ingericht en in de praktijk uitvoert. Daarbij richt de accountant zich, zoals reeds in hoofdstuk 5 is besproken, in grote mate op het wijzigingenbeheer, logische toegangsbeveiliging en continuïteits-maatregelen. De door de onderneming getroffen maatregelen zullen voornamelijk bestaan uit het inzetten van de IT general controls en de application controls (zie hoofdstuk 4). Deze controls zullen er op zijn gericht de transacties tussen consument en onderneming op een ongestoorde en discrete wijze te laten verlopen. De accountant zal zich bij toepassingen van e-commerce nadrukkelijk richten op de softwarematige beveiliging van de systemen en (externe) informatiestromen die gekoppeld zijn aan het internet. Het risico van e-commerce schuilt vooral in de gevaren die transacties via het internet met zich meebrengen. Naast risico’s van wanbetaling door de ‘onzichtbare consument’ zijn er nog de specifieke bedreigingen die via het internet op de onderneming afkomen, zoals gevaar van hackers, virussen, spam en andersoortige ongewenste binnendringing van het bedrijfsnetwerk. De accountant zal een beeld willen krijgen van de (on)mogelijkheid tot ongeautoriseerde toegang

wijzigen. Door een lijncontrole uit te voeren wordt de opzet en het bestaan van de verschillende kritische processen, zoals het (verkoop)transactieproces, en de bijhorende controlemaatregelen vastgesteld. Door vervolgens de vastgelegde procedures te testen wordt de werking van de IT general controls vastgesteld. Bij het verkoopproces bijvoorbeeld zal de accountant steekproefsgewijs een toereikend aantal transacties (facturen) selecteren en deze in detail controleren op de toepassing van het stelsel van beheersingsmaatregelen. Naarmate de accountant op basis van zijn risicoanalyse meer risico onderkent, zullen proceduretesten uitgebreider en intensiever worden uitgevoerd om meer zekerheid aan de betrouwbaarheid van het systeem te kunnen ontlenen.

Bij systeemgerichte werkzaamheden zal het onderzoek grotendeels ‘through the computer’ plaatsvinden. Toetsing van de werking van de IT general controls speelt hierin een voorname rol. In hoofdstuk 5 is dieper op verschillende IT general controls ingegaan. De aanwezigheid van de besproken controls heeft gevolgen voor de werkzaamheden van de accountant. Zoals hierboven reeds gezegd dient de accountant van elke IT general control het bestaan en de opzet vast te stellen en de werking van deze controls voldoende te testen. De toereikendheid van het wijzigingenbeheer, logische toegangsbeveiliging en continuïteitsbeheersing zorgt ervoor dat de accountant voor een aanzienlijk deel kan steunen op de interne-beheersings-maatregelen van de onderneming. In Studierapport 34 van het NIVRA is een omvangrijke lijst aandachtspunten met betrekking tot de beoordeling van de controls te vinden.

Voor het wijzigingenbeheer zal de accountant voornamelijk vast willen stellen dat wijzigingen in de gebruikersorganisatie geen nadelige invloed hebben op de ongestoorde werking van de kritische bedrijfsprocessen. De accountant zal zich hierbij voornamelijk richten op (http://www.auditnet.org):

- kennisnemen van documentatie, beleidsregels en procedures met betrekking tot het wijzigingenbeheer;

- evalueren van de uitgevoerde processen binnen het wijzigingenbeheer, te weten change

initiation (afwikkeling wijzigingsvoorstellen), ontwikkeling/modificatie van applicaties/

systemen, testprocedures en -resultaten in combinatie met kwaliteitsgaranties, implementatie in de bedrijfsprocesstructuur, en back-up en recovery;

- beoordelen van de toegangsbeveiliging (zie hierna) tot informatie, met betrekking tot testprocedures, kwaliteitsbewaking, de uitvoerende processen en elektronische kennis-bronnen (‘libraries’) die gelieerd zijn aan deze processen.

Bij logische toegangsbeveiliging zal enerzijds het gebruik van (interne) wachtwoorden worden geëvalueerd. De accountant zal willen weten of wachtwoorden door onbevoegden (kunnen) worden gebruikt, wachtwoorden zodanig zijn ingesteld dat ze niet eenvoudig te achterhalen zijn en of wachtwoorden slechts toegang verschaffen tot applicaties/ gegevensbestanden die voor de gebruiker noodzakelijk zijn. Anderzijds zal de accountant de externe toegang tot de systemen/gegevensbestanden evalueren, met andere woorden hoe het achterliggende informatiesysteem van de internetomgeving tegen indringers en andere dreigingen van buitenaf is beveiligd.

Door het beheersen van wijzigingen van en toegang tot systemen en applicaties/databases, wordt voorkomen dat onbevoegde personen de mogelijkheid wordt geboden om hierin ongeautoriseerd wijzigingen aan te brengen. Als dit wel zou kunnen, zou dit tot verstoringen kunnen leiden en de betrouwbaarheid van processen/gegevens nadelig kunnen beïnvloeden. Onbevoegde personen zouden, al dan niet moedwillig, wijzigingen in de configuratie kunnen aanbrengen, waardoor de juiste werking van het systeem aangetast wordt of zelfs geheel belemmerd. Tevens zou de mogelijkheid tot ongeautoriseerd wijzigen van informatie door onbevoegden de juistheid van de gepresenteerde informatie in gevaar kunnen brengen. Het

rol. Naarmate een onderneming het wijzigingenbeheer beter onder controle heeft en grip krijgt op de continuïteit (ongestoorde werking) van de belangrijke processen, zal de accountant het interne controlerisico lager kunnen inschatten, aangezien er door de verminderde kans op ongeautoriseerde mutaties meer waarde aan de gepresenteerde informatie toegekend kan worden. Bij zijn controle zal de accountant dan in hogere mate op systeemgerichte controles kunnen steunen. Niettemin zullen ook gegevensgerichte werkzaamheden noodzakelijk blijven.

Het belang van de IT general controls in samenhang met de jaarrekeningcontrole kan schematisch duidelijk worden gemaakt, zoals eerder al is weergegeven in figuur 1:

Figuur 1. De relatie tussen de jaarrekeningcontrole en interne controle

In dit hoofdstuk is reeds opgemerkt dat de accountant vanuit de jaarrekening (balans en resultatenrekening) de significante posten -de posten van materieel belang- bepaald. Vanuit deze posten worden de kritische processen onderkent. De IT general controls (als onderdeel van de interne controle) zijn erop gericht dat de kritische processen en de administratieve verwerking van de transactiegegevens betrouwbaar en ongestoord kunnen plaatsvinden. Concrete onderzoeksgebieden waar deze controls met name bij automatisering en hier in het bijzonder e-commerce een grote rol spelen zijn de applicatie software (specifieke controls: application controls) en de IT omgeving.

Diverse geautomatiseerde controletechnieken, ook wel bekend als Computer Assisted Audit

Techniques (CAAT’s), kunnen bij verschillende controlewerkzaamheden voor een belangrijke

ondersteuning zorgen, zowel bij de systeemgerichte als de gegevensgerichte controle. Het doel van deze technieken is om controlewerkzaamheden effectiever en efficiënter te laten verlopen. CAAT’s kunnen bij verschillende controleprocedures gebruikt worden:

- bij detailcontroles van transacties en jaarrekeningposten, zoals het selecteren van facturen boven een bepaalde waarde;

- bij analytische procedures, zoals het opsporen van afwijkingen en significante fluctuaties; - bij het testen van IT general en application controls, zoals het testen van toegangsbeveiliging en het functioneren van geprogrammeerde controles;

Door het gebruik van CAAT’s kan de accountant zelf eenvoudig specifieke gegevens verzamelen en analyseren en kan de betrouwbaarheid van de software van de cliënt worden gemeten.

Wanneer blijkt dat er binnen de onderneming onvoldoende sprake is van primaire vastlegging van transacties en/of het aanwezig zijn van controletechnische functiescheiding, dan vormt dit een zodanige belemmering voor de controle dat de accountant de controle niet uit kan voeren. De accountant zal dan de opdracht teruggeven.

6.5.2 Tussentijdse cijferanalyse

De tussentijdse cijferanalyse is diepgaander dan de initiële. Waar de initiële cijferanalyse nog vrij globaal van karakter is en hierbij voornamelijk gebruik wordt gemaakt van tussentijdse financiële rapportages en kengetallen, wordt bij de tussentijdse cijferanalyse alle beschikbare managementinformatie in de beoordeling meegenomen. Te denken valt aan gedetailleerde margeoverzichten, overzichten met betrekking tot prijsverschillen en normoverschrijdingen en diverse andere specifieke analyses. Hierdoor wordt een verdere indruk verkregen over de werking van het interne-beheersingssysteem. Dit kan gevolgen hebben voor de hiervoor besproken systeemgerichte controles. Tevens kunnen bij de tussentijdse cijferanalyse nieuwe risicogebieden worden opgemerkt.

Voor geconstateerde afwijkingen wordt een verklaring gezocht. Er kan hierbij gedacht worden aan veranderende marktomstandigheden, zoals wijzigingen van marktprijzen (zowel aan de inkoop- als verkoopkant), de opkomst van substituut-producten en prijsstunters. Maar ook aan interne oorzaken, zoals uitval van computersystemen, inbraak in systemen en problemen bij de implementatie van nieuwe (internet)technologieën en -applicaties. De accountant zal vervolgens na willen gaan hoe de onderneming op deze ontwikkelingen heeft gereageerd en dit waar nodig bespreken met betrokken personen van de huishouding.

6.5.3 Tussentijdse gegevensgerichte controle

Wanneer de interne-beheersingsmaatregelen van de onderneming onvoldoende aanleiding geven om volledig op het interne beheersingssysteem te kunnen vertrouwen, zal de accountant trachten middels gegevensgerichte controles toch de nodige zekerheid te verkrijgen. Deze controles worden ‘around the computer’ uitgevoerd en bestaan onder andere uit deelwaarnemingen, cijferbeoordelingen, verbands- en detailcontroles. Er valt dan te denken aan het vergelijken van de omzet van internettransacties van verschillende periodes, (ontwikkelingen in) het openstaande debiteurensaldo van ‘elektronische’ klanten, verbanden tussen via het internet binnengekomen betalingen, elektronische bestellingen en indien van toepassing de bijhorende inkopen. Deze controles geschieden handmatig, moeten daarom uitvoerig worden getest vanwege de verhoogde kans op significante fouten en kosten dientengevolge relatief veel tijd (en voor de onderneming zeker niet onbelangrijk: veel geld). Waar bij systeemgerichte controles vooral de werking van interne beheersingsmaatregelen wordt beoordeeld, staat bij gegevensgerichte controles de inhoudelijke juistheid van de geselecteerde transacties en de verwerking daarvan in de financiële administratie voorop. 6.5.4 Tussentijdse evaluatie tolerantie en risico

Na de tussentijdse werkzaamheden is het aan te bevelen deze te evalueren en de gevolgen hiervan voor de eerder gestelde controletolerantie, de inherente risico’s en de interne-beheersingsrisico’s per proces en per post van de jaarrekening in te schatten. Het kan bijvoorbeeld voorkomen dat er tijdens de controlewerkzaamheden inherente risico’s zijn

proceduretesten blijkt dat de interne-beheersingsmaatregelen niet zo effectief blijken te zijn als aanvankelijk was ingeschat. Ook nieuwe ontwikkelingen kunnen aanleiding zijn de uitkomsten van de initiële risicoanalyse te heroverwegen. Indien de controletolerantie hierdoor (mogelijk) overschreden wordt, zullen controleplan en werkprogramma’s aangepast moeten worden.

6.5.5 Rapportering tussentijdse controle

De tussentijdse controle levert belangrijke informatie op, met name over het functioneren van de interne organisatie. Vooruitlopend op de eindejaarscontrole worden de bevindingen van de tussentijdse controle, eventueel reeds voorzien van aanbevelingen, doorgaans reeds in de vorm van een management letter gerapporteerd aan en besproken met de ondernemings-leiding.