Auditors, jaarrekeningen & cloud computing : een onderzoek naar de betrokkenheid van auditors bij jaarrekeningcontroles van middelgrote ondernemingen indien deze gebruik maken van cloud computing

(1)

C.W.A. (Niels) Vogels MSc

Een onderzoek naar de betrokkenheid van auditors bij jaarrekeningcontroles van middelgrote ondernemingen indien deze gebruik maken van cloud computing.

U n i v e r s i t e i t v a n A m s t e r d a m | A I T A P

Auditors, Jaarrekeningen &

Cloud Computing

(2)

Auditors, Jaarrekeningen & Cloud Computing

Een onderzoek naar de betrokkenheid van auditors bij jaarrekeningcontroles van middelgrote ondernemingen indien deze gebruikmaken van cloud computing.

Universiteit van Amsterdam, AITAP

Naam: : C.W.A. (Niels) Vogels MSc

Studentnummer : 7000186

Begeleider : Ir. Jörgen Peerik RE CISA

Plaats : Engelen (’s-Hertogenbosch)

(3)

H o o fd stu k: Voo rw o o rd

VOORWOORD

Dit referaat is het sluitstuk van mijn theoretische IT audit opleiding. De praktische opleiding zal blijven voortduren door het brede en interessante werkveld van een IT auditor en de steeds weer veranderende informatiesystemen, -technologie en toepassingen.

Ik wil iedereen bedanken die heeft bijgedragen aan het realiseren van dit referaat. In het bijzonder de begeleiding voor het geduld dat ze hebben gehad met mij.

Als laatste dank aan mijn vrouw Maaike voor het zeer geduldig bewaken van de stok achter de deur. Ze heeft op momenten zeker overwogen om deze daadwerkelijk te gaan gebruiken.

(4)

H o o fd stu k: Sam en vat tin g

SAMENVATTING

Cloud computing is een van dé hypes in automatiseringsland op dit moment. Wellicht dat het, het hype stadium inmiddels is overstegen. In dit referaat wordt door middel van literatuurstudie en een kleinschalig exploratief onderzoek onderzocht of cloud computing invloed heeft op de mate waarin IT auditors worden betrokken bij de jaarrekeningcontroles. Als centrale vraagstelling is hiervoor gedefinieerd:

Wat is de invloed van het gebruik van cloud computing door middelgrote ondernemingen op de mate waarin IT auditors worden ingeschakeld bij de uitvoering van jaarrekeningcontroles?

Informatietechnologie en de uitbesteding hiervan door de onderneming hebben invloed op de werkzaamheden van de jaarrekeningcontrole door de accountant. De focus van de werkzaamheden veranderd door de inzet van informatietechnologie. Processen, systemen en beheersing worden meer en meer in de controle meegenomen omdat deze de kwaliteit van de informatie waarborgen. Bij uitbesteding van

informatietechnologie komen deze aspecten buiten de onderneming en derhalve ook buiten het blikveld van de controlerende accountant te liggen. Cloud computing is een volgende stap in het uitbesteden van

informatietechnologie. De beheersingsmaatregelen verhuizen met de opslag en verwerking van gegevens, mee naar de cloud dienstverlener. Hierdoor ontstaan complexe vertrouwensrelaties tussen meerdere partijen. Deze vertrouwensrelatie is een van de aspecten die ook het risicoprofiel van cloud computing beïnvloed.

De uiteindelijke inzet van IT auditors is een keuze van de verantwoordelijke accountant. Van invloed op deze keuze zijn de inschatting van de eigen deskundigheid van de accountant en de inschatting van het belang en de risico’s. Of een accountant over voldoende kennis bezit van cloud computing om deze inschattingen te maken wordt betwijfeld.

Uit de literatuurstudie komen een tweetal onderwerpen naar voren te weten toenemende complexiteit en beperkte kennis accountants. Deze onderwerpen zijn door middel van semi-gestructureerde interviews voorgelegd aan zowel accountants als IT auditors.

Op basis van de conclusies uit het literatuuronderzoek en de interviews kan worden afgeleid dat het feit dat een onderneming gebruik maakt van cloud computing invloed heeft op de noodzaak om IT auditors in te schakelen bij jaarrekeningcontroles door de toenemende complexiteit. De mate waarin IT auditors moeten worden ingezet moet steeds worden bezien in relatie tot de geïdentificeerde risico’s voor de jaarrekening. Indien cloud computing wordt gebruikt voor delen van het informatiesysteem waarin risico’s worden geïdentificeerd, dan wordt ook de noodzaak voor het inzetten van IT auditors gedurende het controleproces groter.

(5)

H o o fd stu k: Sam en vat tin g

INHOUDSOPGAVE

Voorwoord ...i Samenvatting ... ii 1. Inleiding ... 1 1.1 Motivering ... 1

1.2 Doel van het referaat ... 1

1.3 Leeswijzer ... 2

1.4 Probleemschets, probleemstelling en onderzoeksvragen ... 2

1.5 Onderzoeksmethodologie ... 6

1.6 Reikwijdte en randvoorwaarden ... 8

2 Literatuurstudie... 11

2.1 Cloud computing ... 11

2.2 Jaarrekeningcontrole, informatietechnologie en cloud computing ... 16

2.3 Accountants en it auditors; kennis, inzet en samenwerking ... 22

2.4 Theoretisch kader... 26 2.5 Conclusie ... 30 3 Expertinterviews ... 31 3.1 cloud computing... 32 3.2 Teamsamenstelling ... 34 3.3 Praktijk en toekomst ... 36 3.4 Conclusie ... 37

4 Conclusie, discussie en aanbevelingen... 39

4.1 Conclusie ... 39

4.2 Discussie en aanbevelingen ... 40

Bibliografie ... 43

Bijlagen ... 47

A Lijst gebruikte afkortingen ... 47

(6)

H o o fd stu k: 1. I n le id in g

1. INLEIDING

Cloud computing is een van dé hypes in automatiseringsland op dit moment. Wellicht dat het, het hype stadium inmiddels is overstegen. Een artikel in Computerworld van januari 2011 benoemt de cloud als een van de negen goede voornemens voor het midden- en kleinbedrijf (MKB). Hoewel er geen vertrouwen is in de beveiligingsaspecten zal het fenomeen cloud toch belangrijker gaan worden (Null, 2011). Automatiseringsgids schrijft in juni 2010 dat uit een enquête van KPMG onder meer blijkt dat organisaties aanzienlijke risico’s zien op gebieden zoals beveiliging, compliance en privacy, maar dat er geen weg terug is (Schop, 2010). Ook de EU in de persoon van Neelie Kroes vindt dat Europa de cloud computing revolutie moet gaan leiden (Bentum, 2012). Ten slotte blijkt uit een onderzoek van ABN AMRO dat het gebruik van op cloud gebaseerde diensten in 2012 is verdubbeld ten opzichte van 2011 (Accountancynieuws, 2012). Andere onderzoeken wijzen echter weer uit dat het MKB nog niet warm loopt voor cloud computing (Accountancynieuws, 2012).

Dat ook bij accountants cloud computing als onderwerp op de agenda staat blijkt uit de door Tuacc 1 georganiseerde themadiscussie over dit onderwerp.

1.1 MOTIVERING

De reden voor de keuze voor dit onderwerp is de verwachting dat steeds meer bedrijven onderdelen van het informatiesysteem als dienst gaan afnemen vanuit ‘de cloud’, en dat de specifieke aspecten van cloud computing een grote invloed hebben op de mate van inzet van accountants en IT auditors. Hoewel de

accountant eindverantwoordelijk zal blijven voor het oordeel bij de jaarrekening, zal de bijdrage van IT auditors in de totstandkoming van dit oordeel steeds belangrijker worden. Deze verwachting is gebaseerd op het feit dat het afnemen van clouddiensten in mijn ogen de complexiteit van het informatiesysteem vergroot. De kennis bij accountants zal in het algemeen onvoldoende zijn. Hierdoor kunnen IT auditors in staat zijn om een (grotere) rol te vervullen in het jaarrekeningcontroleproces. Met dit referaat wordt getracht bewustwording te creëren bij accountants en IT auditors omtrent de invloed van cloud computing op de werkzaamheden bij jaarrekening-controle van middelgrote bedrijven.

1.2 DOEL VAN HET REFERAAT

Het onderzoek is gericht op het verkrijgen van kennis en inzicht met betrekking tot de specifieke risico’s van cloud computing en de invloed hiervan op de samenwerking tussen accountants en IT auditors indien

1_{Tuacc is een beweging van accountants met passie en liefde voor hun vak. Samen werken wij aan hervorming,} voeten vooruit, positieve energie. Mooiste vak! (www.tuacc.com)

(7)

clouddiensten worden gebruikt door middelgrote ondernemingen waarvan de jaarrekeningen worden gecontroleerd..

Zowel vanuit IT management perspectief alsook vanuit het perspectief van de auditor zijn er vraagtekens te zetten bij de toepassing en risico’s van het gebruik van cloud computing. Hoe gaan de verschillende soorten auditors; accountants en IT auditors, om met deze materie?

Beoogd wordt inzicht te verkrijgen in de risico’s verbonden aan cloud computing, de gevolgen daarvan voor de werkzaamheden in het kader van de jaarrekeningcontrole en de inzet van IT auditors hierbij. De gevolgen voor de jaarrekeningcontrole worden bekeken vanuit het oogpunt van de inzet van de verschillende soorten

auditors. Onderkennen auditors risico’s verbonden aan het gebruik van cloud computing door ondernemingen? Verschuiven werkzaamheden eventueel van accountants naar IT auditors?

1.3 LEESWIJZER

In vervolg van dit hoofdstuk wordt de opzet van het onderzoek uitgewerkt. Vervolgens worden in hoofdstuk twee de geformuleerde deelvragen beantwoord vanuit de theorie. Dit leidt tot oorzaken en achtergronden ten aanzien van de probleemstelling. Deze worden in hoofdstuk drie voorgelegd aan professionals op het gebied van jaarrekeningcontroles en IT auditing. Hieruit volgt de analyse van de interviews. Ten slotte zal in hoofdstuk vier worden afgesloten met een conclusie, discussiepunten en aanbevelingen voor mogelijk toekomstig onderzoek.

1.4 PROBLEEMSCHETS, PROBLEEMSTELLING EN ONDERZOEKSVRAGEN

In de paragraaf wordt het onderzoek vormgegeven. Allereerst wordt het te onderzoeken problem geschetst. In het onderzoeksmodel worden de verschillende onderdelen van het onderzoek visueel weergegeven.

Vervolgens worden de centrale vraagstelling en de onderzoeksvragen geformuleerd. Ten slotte worden de verschillende begrippen uit de central vraagstelling nader toegelicht.

1.4.1 PROBLEEMSCHETS

Vanuit de geldende richtlijnen moeten accountants kennis nemen van het informatiesysteem en de onder-liggende informatietechnologie bij de uitvoering van een jaarrekeningcontrole. Uit eerdere onderzoeken van onder meer Yang et al. (2004) blijkt dat accountants daarvoor over onvoldoende kennis beschikken. De samen-werking met IT auditors die wel over deze kennis beschikken is volgens Van Bommel et al. (2006) echter alles behalve optimaal. Enerzijds begrijpt de accountant de betekenis van de IT-controlebevindingen voor de jaar-rekeningcontrole onvoldoende en anderzijds lukt het de IT-auditor niet om het belang van zijn IT-controle-bevindingen voor de jaarrekeningcontrole duidelijk te maken. Als gevolg van de hiervoor geschetste

(8)

ontwikkelingen krijgen accountants tijdens de uitvoering van jaarrekeningcontroles steeds vaker te maken met onderdelen van het informatiesysteem die worden afgenomen vanuit de cloud. De accountant moet ook deze ontwikkeling derhalve meenemen bij het vaststellen van de controleaanpak. Deze combinatie van factoren kan er toe leiden dat de specifieke kenmerken van cloud computing onvoldoende worden meegenomen bij de uitvoering van jaar-rekeningcontroles.

1.4.2 ONDERZOEKSMODEL

De opbouw van het onderzoek is hieronder schematisch weergegeven in een onderzoeksmodel. (Verschuren & Doorewaard, 2005).

Figuur 1 | Onderzoeksmodel

1.4.3 PROBLEEMSTELLING

Teneinde het hiervoor geschetste probleem op te onderzoeken is de volgende probleemstelling gedefinieerd: Wat is de invloed van het gebruik van cloud computing door middelgrote ondernemingen op de mate waarin IT auditors worden ingeschakeld bij de uitvoering van jaarrekeningcontroles?

(9)

1.4.4 ONDERZOEKSVRAGEN

Om tot beantwoording van probleemstelling te komen zijn onderstaande deelvragen geformuleerd. Deze zijn gegroepeerd rondom de onderwerpen cloud computing, jaarrekeningcontrole en samenwerking accountant/IT auditor. Deze onderverdeling is aangebracht om op een gestructureerde wijze te komen tot een antwoord op de probleemstelling. Hierbij wordt in eerste instantie bepaald wat cloud computing betekend voor een onder-neming en het informatiesysteem. Vervolgens wordt achtereenvolgens de invloed van informatietechnologie, serviceorganisaties, en uiteindelijk cloud computing op de jaarrekeningcontrole, in beeld gebracht. Het derde en laatste onderwerp accountant en IT auditor is gekozen om de mogelijkheden en noodzaak voor inzet van IT auditors te bepalen.

CLOUD COMPUTING

Voordat kan worden bepaald van de invloed is van het gebruik van cloud computing op de inzet van IT auditors bij jaarrekeningcontroles, worden de deelvragen bij dit eerste onderdeel gebruikt om inzicht te krijgen in het specifieke effect van cloud computing op de informatiesystemen van de gebruikende onderneming.

 Wat is cloud computing?

 Wat is het effect van cloud computing op het informatiesysteem van een onderneming?  Wat zijn de risico’s van cloud computing?

JAARREKENINGCONTROLE, INFORMATIETECHNOLOGIE EN CLOUD COMPUTING

In het tweede deel worden wordt stap voor stap bepaald wat de specifieke invloed van cloud computing is op jaarrekeningcontroles. Dit wordt gedaan vanuit informatietechnologie, via uitbesteding aan

service-organisaties, naar cloud computing.

 Welke impact heeft informatietechnologie op jaarrekeningcontroles?

 Welke impact heeft het gebruikmaken van een serviceorganisatie op jaarrekeningcontroles?  Wat is het effect van cloud computing binnen middelgrote ondernemingen op de

jaarrekeningcontrole? ACCOUNTANT EN IT AUDITOR

Het derde en laatste aspect dat wordt meegenomen is de inzetbaarheid van IT auditors bij jaarrekening-controles en de overwegingen van accountants om IT auditors in te zetten. Hierin wordt ook het kennisniveau van accountants meegewogen.

 Beschikt een accountant over voldoende kennis om de invloed van cloud computing op de jaarrekeningcontrole te beoordelen?

(10)

 Hoe kunnen en worden IT auditors ingezet bij jaarrekeningcontroles?

 Welke overwegingen bepalen de inzet van de verschillende soorten auditors, accountants en IT auditors, binnen jaarrekeningcontroles?

1.4.5 BEGRIPSBEPALING

In de centrale vraagstelling en deelvragen komen de navolgende kernbegrippen aan de orde die hierna nader worden gedefinieerd en toegelicht.

CLOUD COMPUTING

Voor de definitie van cloud computing wordt aansluiting gezocht bij de definitie zoals deze is gedefinieerd door het National Institute of Standard and Technology (NIST):

“Cloud computing is a model for enabling convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction. This cloud model promotes availability and is composed of five essential characteristics, three service models, and four deployment models” (Mell & Grance, 2009)

.

Deze definitie wordt in het merendeel van alle artikelen omtrent cloud computing gebruikt en is vergelijkbaar met de definitie zoals deze door het Europese European Network and Information Security Agency (ENISA) wordt gebruikt in haar enquêtes en rapporten over dit onderwerp.

MATE WAARIN IT AUDITORS WORDEN INGESCHAKELD

De uitvoering van een jaarrekeningcontrole doorloopt een viertal fasen. Dit zijn voorbereiding, systeemgerichte werkzaamheden, gegevensgerichte werkzaamheden en evaluatie. Met het begrip ‘mate’ in de probleemstelling wordt bedoeld de fase of fasen van het controleproces waarin IT auditors worden betrokken bij de uitvoering van de werkzaamheden.

MIDDELGROTE ONDERNEMINGEN

Voor de definitie van middelgrote ondernemingen wordt aansluiting gezocht bij de criteria zoals benoemd in het Burgerlijk Wetboek en dan met name de artikelen BW2:396 en BW2:397. Hierin worden de onder- en bovengrenzen vastgesteld op basis waarvan een onderneming als middelgroot wordt aangemerkt. INVLOED

Hiermee wordt beoogd het effect dat het gebruik van cloud computing heeft, op de samenwerking tussen accountants en IT auditors. Worden IT auditors meer of juist minder ingezet.

JAARREKENINGCONTROLE

(11)

Handleiding Regelgeving Accountancy (HRA) geraadpleegd. Hierin is onder meer een begrippenlijst opgenomen. In deze begrippenlijst wordt het begrip jaarrekeningcontrole als volgt gedefinieerd:

“Controle van financiële overzichten: De doelstelling van de controle van financiële overzichten is de accountant in staat te stellen met een redelijke mate van zekerheid een oordeel te geven of de financiële overzichten in alle van materieel belang zijnde opzichten in overeenstemming zijn met de van toepassing zijnde grondslagen voor de financiële verslaggeving. Het begrip "controle van financiële overzichten" omvat tevens de begrippen ‘wettelijke controle’ en ‘vrijwillige controle’ zoals opgenomen in de Wta, art 1 lid 1j en lid 1i.” (Nivra, 2007)

Het hiervoor gebruikte begrip financiële overzichten omvat, in het geval het gaat om een volledige set van financiële overzichten, veelal de jaarrekening van een onderneming.

1.5 ONDERZOEKSMETHODOLOGIE

Voor zover bij mij bekend is niet eerder onderzoek verricht naar de invloed van de cloud computing op de jaarrekeningcontrole en de mate waarop dit effect heeft voor de inzet van IT-auditors. Dit maakt een eerste verkenning van het onderwerp noodzakelijk. Naar Baarda at al. (2009) kan deze studie getypeerd worden als een kleinschalig exploratief onderzoek, waarin gezocht naar een samenhang tussen enerzijds cloud computing, auditors en anderzijds jaarrekeningcontrole. Het onderzoek bestaat uit een tweetal delen om tot

beantwoording van de centrale onderzoeksvraag te komen. In eerste instantie is door middel van literatuur- en documentstudie onderzoek gedaan naar cloud computing, jaarrekeningcontrole en auditors. In het tweede deel zijn de uitkomsten van de literatuurstudie vervolgens voorgelegd aan een zestal experts op het gebied van IT auditing en jaarrekeningcontroles middels semi gestructureerde interviews. Er is gekozen voor kwalitatief onderzoek omdat dit bij uitstek geschikt is indien het betrekking heeft op processen en interacties in bestaande situaties, instituties en instellingen. Hiermee kan inzicht verkregen worden hoe mensen denken over een bepaald onderwerp. Kwalitatief onderzoek is het zoeken naar ideeën, achtergronden, motieven, weerstanden en beweegredenen en daarom bij uitstek geschikt voor een exploratief onderzoek.

LITERATUURSTUDIE

Bij het zoeken naar literatuur is gebruik gemaakt van de volgende zoektermen: cloud computing, jaarrekening-controle, IT auditors en accountants. Deze zoektermen zijn zowel in het Nederlands als in het Engels gebruikt. Daarnaast is literatuur gevonden door gebruik te maken van de sneeuwbalmethode waarbij verwijzingen in reeds eerder gevonden literatuur zijn gebruikt. In de literatuurstudie wordt op basis van de beschikbare literatuur omtrent cloud computing, jaarrekeningcontrole en auditors onderzocht wat de invloed is van cloud computing op de processen van ondernemingen en de hieruit volgende risico’s en bijbehorende maatregelen die daarin verwacht worden of uitgevoerd worden door auditors. Onderwerpen zijn bestudeerd op basis van de

(12)

deelvragen. Deze zijn in een zodanige volgorde behandeld dat steeds verder de diepte in wordt gegaan. De onderwerpen worden laag voor laag afgepeld.

De oorzaken en achtergronden die uit de literatuurstudie naar voren komen worden gebruikt in de volgende stap van het onderzoek.

EXPERTINTERVIEWS

Op basis van een zestal semigestructureerde expertinterviews is een kwalitatief explorerend onderzoek uitgevoerd naar de verwachtingen omtrent de gevolgen van cloud computing op de jaarrekeningcontrole en de benodigde samenwerking tussen accountants en IT auditors als gevolg hiervan.

Bij de selectie van deze deskundigen is getracht de verschillende soorten auditors aan het woord te laten. Dit zijn accountants (RA) , IT auditors (RE) en accountant/IT auditors (RE RA). De deskundigen zijn allen werkzaam bij kantoren die klanten bedienen in het midden- en kleinbedrijf. De accountants zijn kantoorgenoten Register-accountant. Voor de IT auditors is gekozen voor personen met zowel een accountantsopleiding als een IT audit opleiding en meer technische Register EDP auditors. Met uitzondering van een RE, zijn deze personen gericht geselecteerd uit de leden van de SRA IT audit kring. Een van de IT auditors is uit een ander netwerk

geselecteerd. Twee van de geïnterviewde personen zijn betrokken bij de Projectgroep Studierapport IT Integrated Audit Approach van NBA en NOREA. Alle experts hebben ervaring met jaarrekeningcontrole bij middelgrote ondernemingen.

De experts zijn zoals hierboven beschreven gericht geselecteerd en vervolgens via mail benaderd. In het e-mailbericht is een korte uitleg gegeven van het onderzoek en gevraagd of de expert bereidt is tot deelname aan het onderzoek. Na een akkoord van de experts zijn tijdstip en locatie gepland.

De experts zijn ieder afzonderlijk, face-to-face geïnterviewd. In december 2012 zijn de eerste interviews afgenomen met een RA, een RA RE en een RE. In de augustus/september 2013 is een tweede reeks interviews afgenomen met eveneens een RA, een RA RE en een RE. In totaal zijn daarmee van iedere groep deskundigen twee experts geïncludeerd in het onderzoek.

De interviews zijn, na toestemming van de geïnterviewde, opgenomen. Deze registratie is na afloop volledig getranscribeerd waarbij de letterlijke tekst van het interview volledig is uitgeschreven. De deelnemers hebben nadien de uitwerking van het interview ontvangen ter verificatie. Hierop zijn geen opmerkingen

terug-ontvangen.

De analyse van de interviews is uitgevoerd op basis van de stappen zoals geformuleerd door Baarda et al. (2009). Ter voorbereiding op de analyse van de interviews, zijn de transscripties eerst ontdaan van niet relevante onderdelen. Vervolgens zijn afzonderlijke fragmenten gelabeld ten behoeve van de analyse. Ten slotte is een analyse gemaakt van de labels. Ter vaststelling van de intersubjectiviteit van het onderzoek is een van de transscripties voorgelegd aan een andere onderzoeker met de vraag deze te labelen. Verschillen tussen de toegekende labels van deze onderzoeker en de eigen labeling zijn gezamenlijk doorgesproken. Uiteindelijk

(13)

blijken de verschillen veroorzaakt door onvoldoende overeenstemming vooraf omtrent de inhoud van de begrippen rondom het onderzoek. De labeling zoals bepaald behoeft hierdoor geen aanpassing.

1.6 REIKWIJDTE EN RANDVOORWAARDEN

In deze paragraaf worden reikwijdte van het onderzoek en de randvoorwaarden, die bij de uitwerking van probleemstelling in acht zijn genomen, weergeven.

1.6.1 REIKWIJDTE

Zoals beschreven in de probleemstelling wordt specifiek aandacht besteed aan het gebruik maken van cloud computing door middelgrote bedrijven uit het midden- en kleinbedrijf waarvan de jaarrekening wordt gecontroleerd vanuit de wettelijke verplichting. Daarom zal geen aandacht worden besteed aan de inzet van accountants en IT auditors bij aanbieders van cloud computing diensten.

Met inzet van informatietechnologie, en dan met name cloud computing, wordt bedoeld de inzet door de onderneming waarvan de jaarrekening wordt onderworpen aan controle door een accountant. Inzet van informatietechnologie door de accountant zoals Computer Assisted Audit Tools (CAAT’s) valt buiten de reik-wijdte van dit onderzoek. Hiervoor is gekozen, omdat cloud computing naar verwachting een steeds grotere rol inneemt binnen de informatietechnologie en specifieke complexe bedreigingen en risico’s met zich meeneemt. Een laatste beperking van de reikwijdte betreffen de algemene beheersingsmaatregelen rondom het

informatiesysteem (ITGC) en de geautomatiseerde beheerinsgsnaatregelen in het informatiesysteem (Application Controls). Bij de verdere uitwerking worden de application controls niet nader behandeld en ligt de nadruk op de ITGC. Bij het in kaart brengen van ITGC past de accountant of de IT-auditor een selectieve benadering toe op basis van relevantie voor de jaarrekeningcontrole. De ITGC waarvan opzet, bestaan en werking, worden beoordeeld, dienen duidelijk te worden geïdentificeerd op basis van de relatie tussen posten, processen, applicaties en platformen.

1.6.2 RANDVOORWAARDEN

Een tweetal randvoorwaarden worden gesteld aan de werkzaamheden die bij de controle van de jaarrekening worden uitgevoerd.

 De door de accountant voorgestane controleaanpak is niet gericht op het ‘om de computer heen’ controleren. Bij het verkrijgen van de vereiste controle-informatie wordt gesteund op het informatiesysteem van de onderneming.

(14)

 Cloud computing wordt door de onderneming ingezet op, voor de jaarrekening relevante, onderdelen van het informatiesysteem.

Andere mogelijke controle methoden en toepassingen van cloud computing worden buiten beschouwing gelaten.

(15)

(16)

H o o fd stu k: 2 L iteratu u rs tu d ie

2 LITERATUURSTUDIE

In dit hoofdstuk worden in afzonderlijke paragrafen de deelvragen behandeld aan de hand van geraadpleegde literatuur. Hiervoor is gekozen om op een evenwichtige wijze de literatuurstudie uit te voeren. De deelvragen zijn hiervoor gegroepeerd in een drietal onderdelen. Het eerste deel behandeld de deelvragen omtrent cloud computing in het algemeen. In het tweede deel komen de deelvragen met betrekking tot de jaarrekening-controle, informatietechnologie en cloud computing aan de orde. De derde en laatste groep deelvragen heeft betrekking op de het kennisniveau van accountants en IT auditors op het gebied van cloud computing en jaar-rekeningcontroles. Tenslotte wordt in de afsluitende paragraaf vanuit deze literatuurstudie de centrale vraag-stelling beantwoord.

2.1 CLOUD COMPUTING

Bij het formuleren van de deelvragen is als eerste onderdeel cloud computing benoemd. Hierbij is aangegeven dat de deelvragen bij dit eerste onderdeel worden gebruikt om inzicht te krijgen in het specifieke effect van cloud computing op de informatiesystemen van de gebruikende onderneming.

In deze paragraaf worden achtereenvolgens beschreven (1) de definitie cloud computing, (2) het effect van cloud computing op informatiesystemen en tenslotte (3) de risico’s van cloud computing. Doel hiervan is het in algemene zin vaststellen wat cloud computing is en welke invloed cloud computing heeft op informatie-systemen.

2.1.1 WAT IS CLOUD COMPUTING?

Om de impact van cloud computing op de jaarrekeningcontrole te kunnen onderzoeken wordt in deze para-graaf nader ingegaan op de toepassingsmogelijkheden van cloud computing in het midden- en kleinbedrijf. Hiermee wordt de deelvraag ‘wat is cloud computing’ beantwoord.

Voor de definitie van cloud computing wordt aansluiting gezocht bij de definitie zoals deze is gedefinieerd door het National Institute of Standard and Technology (NIST):

“Cloud computing is a model for enabling convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction. This cloud model promotes availability and is composed of five essential characteristics, three service models, and four deployment models” (Mell & Grance, 2009)

.

In figuur 2 worden de elementen van cloud computing nader uitgewerkt en in relatie tot elkaar gebracht. Volgens Armburst et al. (2010) heeft cloud computing betrekking op zowel de applicaties die als dienst via

(17)

internet worden aangeboden als op de hardware en systeemsoftware in de data-centra die deze diensten leveren. Het model bestaat daardoor uit een samenvoeging van bestaande technieken. Leimeister et al. (2010) zien cloud computing daarom als een evolutie van een leveringsmodel en niet als een technologische innovatie. Volgens Motahari-Nezhad et al. (2009) komt de waarde en originaliteit van cloud computing voort uit het bundelen en aanbieden van bronnen, zodat deze aantrekkelijk worden voor zowel klanten als investeerders. Toepassingen van cloud computing in het midden- en kleinbedrijf zijn online boekhoudsystemen zoals Twinfield en Exact Online. Andere toepassingen zijn Dropbox, Projectplace, Salesforce en Google Docs. Genoemde voorbeelden zijn webbased Software-as-a-Service (SAAS) toepassingen. Andere toepassingen zijn complete Windows desktops en mailservers die vanuit de cloud beschikbaar zijn. Tenslotte zijn er mogelijk-heden om bijvoorbeeld telefooninfrastructuren als clouddienst af te nemen.

Multi-tenancy wordt door Morsy et al. (2010) genoemd als een van de basiskarakteristieken van cloud computing. Hierdoor wordt het mogelijk om eenzelfde ‘service instance’ te delen met meerdere afnemers. Voordelen hiervan zijn de betere benutting van de beschikbare bronnen, kostenvoordelen en hogere

beschik-baarheid. Een hieraan verbonden nadeel is dat de afnemers van het proces gelijktijdig aanwezig zijn in daaraan toegewezen bronnen.

Een van de bouwstenen van de cloud infra-structuur is virtualisatie. Leimeister et al. (2010) benoemen virtualisatie als dé belangrijkste bouwsteen. Op basis hiervan worden de aanbieders van datacentra in staat gesteld de benodigde bronnen op aanvraag toe te wijzen. Dit maakt het optimaal benutten van de beschikbare bronnen mogelijk.

In het kort komt het er op neer dat de toepassing en de bijbehorende gegevens ergens op servers staan en via internet worden ontsloten. Het is, zoals zichtbaar in figuur 3, de logische vervolgstap in uitbesteding van

Figuur 3 | Cloud computing, de meest recente evolutie van hosting Figuur 1 | Visueel model van de NIST definitie van cloud computing

(18)

informatietechnologie. Waar toepassingen en gegevens in het begin op eigen hardware in eigen datacentra stonden, worden steeds meer lagen onder de applicaties uitbesteed. Voordelen zitten in de afrekening op basis van gebruik en de elasticiteit van de beschikbare bronnen. Investeringen zijn niet noodzakelijk waardoor een-malige investeringsuitgaven worden omgezet in periodieke operationele kosten. Nadelen zijn de afhankelijk-heid van internetverbindingen en, in het SAAS-model, het niet hebben van invloed op wijzigingen in applicaties.

2.1.2 EFFECT CLOUD COMPUTING OP INFORMATIESYSTEMEN

Cloud computing is een nieuwe vorm van outsourcing van IT middelen en processen. In deze paragraaf wordt beschreven welke effecten deze vorm van outsourcing heeft op informatiesystemen. Hiermee wordt de deel-vraag beantwoord wat het effect is van cloud computing op het informatiesysteem van een onderneming. Voor de definitie van een informatiesysteem wordt aansluiting gezocht bij de definitie van een “accounting information system (AIS)” zo beschreven door Romney & Steinbart (2003). Zij definiëren een AIS als onderling

verbonden elementen die samenwerken teneinde een doel te bereiken. De elementen waaruit een AIS bestaat zijn (1) mensen, (2) procedures, (3) gegevens, (4) software en (5) een informatietechnologische infrastructuur. Samen verzorgen deze elementen de functies (i) verzamelen en opslaan van gegevens, (ii) verwerken van deze gegevens tot informatie en (iii) voorzien in beheersingsmaatregelen. Voor deze definitie is gekozen omdat uiteindelijk de invloed van cloud computing op de controle van een jaarrekening wordt onderzocht. De gegevens die ten grondslag liggen aan deze jaarrekening zijn afkomstig uit het informatiesysteem. Om te bepalen of cloud

computing invloed heeft op een informatiesysteem, wordt in het vervolg van deze paragraaf bekeken of cloud computing effect heeft op de genoemde elementen en/of functies van een informatiesysteem.

De mensen die gebruik maken van het informatiesysteem en de taken die zij uitvoeren worden niet of nauwelijks beïnvloed door cloud computing. Een mogelijke invloed wordt benoemd met de term anywhere-anytime-anydevice. Hiermee wordt dan bedoeld de manier van werken met het informatiesysteem. Dit wordt vaak benoemd als ‘het nieuwe werken’. De invloed op de mensen zal niet nader worden uitgewerkt. De wijziging in manier van werken heeft daarentegen invloed op de procedures en beheersingsmaatregelen rondom het informatiesysteem.

Verzamelen en opslaan Verwerken Beheersings-maatregelen Mensen Procedures Gegevens Software Infrastructuur

(19)

De procedures rondom het AIS wijzigen voor wat betreft de functie van het voorzien in beheersingsmaat-regelen. Shivakumar en Raju (2010) beschrijven drie belangrijke aandachtspunten met betrekking tot de gegevens in cloud omgevingen (1) beveiliging, (2) beschikbaarheid en (3) recovery. Deze aandachtspunten moeten worden ingebed in procedures teneinde adequate beheersingsmaatregelen te treffen.

Afhankelijk van het leveringsmodel (figuur 2) worden de elementen gegevens, software en infrastructuur rechtstreeks geraakt door cloud computing. Deze elementen worden bij cloud computing uitbesteed en verplaatst naar de cloud dienstverlener. Chung (2011) benoemd onder meer externe opslag en verwerking van gegevens en het delen van componenten van de technische infrastructuur als specifieke kenmerken van cloud computing ten opzichte van traditionele ‘on-premise’ informatiesystemen. Beveiliging, met name de

exclusiviteit, van de opgeslagen gegevens is een aspect dat uitdagingen met zich meebrengt. Ahrens (2010), Shivakumar en Raju (2010) en Chen et al. (2010) zijn enkelen van de vele auteurs die beveiligingsaspecten noemen als zijnde specifieke elementen voor cloud computing. Chen et al. (2010) noemen beveiliging zelfs de belangrijkste barrière voor de brede inzet van cloud computing. Delen van de beveiligingsaspecten zijn niet nieuw voor cloud computing en in het verleden voor soortgelijk oplossingen reeds geheel of gedeeltelijk opgelost. Nieuwe aspecten zijn de complexe vertrouwensrelaties tussen meerdere partijen en de daaruit voorvloeiende behoefte aan wederzijdse controleerbaarheid.

Vanuit de definitie van cloud computing kan worden afgeleid dat de functies opslaan en verwerking van gegevens worden overgenomen door de cloud computing dienst. Chen & Yoon (2010), Haeberlen (2010), Accorsi (2011) en Motahari-Nezhad et al. (2009) stellen dat, door het verplaatsen van toepassingen en de bijbehorende technische infrastructuur naar de cloud, de eigen interne beheersing met betrekking tot het informatiesysteem wordt verplaatst naar een derde partij. De vertrouwensrelatie tussen de eigenaar van de informatie en de cloud aanbieder is van groot belang. De verwerking en opslag van informatie geschied geheel buiten het gezichtveld van de eigenaar hiervan. Beheersingsmaatregelen en waarborgen met betrekking tot privacy en beveiliging alsmede het voldoen aan weten regelgeving zijn daardoor aandachtpunten indien gebruikt gemaakt wordt van cloud computing diensten.

Zowel de elementen als de functies van informatiesystemen worden geraakt door de inzet van cloud computing. Vanuit de in hoofdstuk 1 gedefinieerde probleemstelling en reikwijdte ligt de nadruk op de algemene beheersingsmaatregelen rondom het informatiesysteem. Dit komt overeen met het voorzien in beheersingsmaatregelen als functie van een informatiesysteem. Bij het gebruik van cloud computing komen deze beheersingsmaatregelen buiten de invloedsfeer van de onderneming. Aandachtsgebieden zijn dan beveiliging, beschikbaarheid en recovery.

2.1.3 RISICO’S CLOUD COMPUTING?

In de vorige paragraaf zijn effecten van cloud computing op informatiesystemen beschreven. Hieruit komen de beveiliging, beschikbaarheid en recovery naar voren als belangrijke gebieden waarop effecten van cloud

(20)

computing zichtbaar zijn. In deze paragraaf worden deze effecten van cloud computing vertaald naar mogelijke bedreigingen en risico’s die hieruit voorvloeien.

Met betrekking tot cloud computing worden door Armburst et al. (2010) een aantal obstakels beschreven. Deze obstakels hebben in meer en mindere mate invloed op de ondernemingen die (delen) van hun informatie-systeem naar de cloud hebben verplaatst. Genoemd worden (1) continuïteit en beschikbaarheid, (2) data lock-in, (3) data vertrouwelijkheid en controleerbaarheid, (4) beperkingen in gegevensoverdracht, (5) onvoorspel-baarheid performance, (6) schaalbare opslag, (7) fouten in grote verspreide databases, (8) snelle schaalbaar-heid, (9) delen van reputatie en (10) software licenties.

Cloud computing beschikt volgens Chung (2011) over een aantal specifieke kenmerken die het risicoprofiel aanzienlijk beïnvloeden ten opzichte van traditionele ‘on-premise’ informatiesystemen. Dit zijn (1) externe opslag en verwerking van gegevens (2) het delen van IT componenten met anderen en (3) afhankelijkheid van het publieke internet. In het vervolg van deze paragraaf worden deze bedreigingen afgezet tegen de in de vorige paragraaf genoemde effecten.

Hosseini et al. (2011) gebruiken een lijst met risico’s en maatregelen voor de risicoanalyse die moet worden doorlopen voorafgaand aan het besluit om gegevens en processen te migreren naar een cloud omgeving. Specifieke cloud bedreigingen hebben onder andere betrekking op het verlies en wijziging van gegevens, uitputting van bronnen en het verlies van controle als gevolg van het buiten de eigen invloedsfeer komen van beheersingsmaatregelen. Enkele hiervoor benoemde kenmerken, zoals beschikbaarheid, vertrouwelijkheid van gegevens en het delen van reputaties, worden door Chen et al. (2010) benoemd in een verkenning van de beveiligingsaspecten van Cloud computing. Zij ontraden vanwege deze kenmerken de inzet van cloud computing voor bedrijfskritische toepassingen.

BEVEILIGING

In een werkdocument van NIST (2011) wordt als een van de risico’s benoemd, de beperkte mogelijkheden voor het implementeren van beveiligingsmaatregelen van de uitbestedende partij rondom de ‘off-premise’ en onder beheer van derden gebrachte gegevens. De mogelijkheden zijn onder meer afhankelijk van het leveringsmodel, het ‘deployment’ model en de gemaakte contractuele afspraken.

Door CSA (2010) en Joosten en Bussbach (2011) worden de interfaces tussen delen van het informatiesysteem aangehaald als risico van cloud computing. Hiermee hangt samen dat door tussenkomst van tussenpersonen meerdere interfaces worden gebruikt. Veiligheid, betrouwbaarheid en beschikbaarheid van de dienstverlening en de gegevens die daarmee zijn gemoeid, worden in grote mate bepaald door de interface. Chen et al. (2010) beschrijft in dit kader dat de vertrouwensketens langer en complexer worden.

De snelle en tastbare voordelen die cloud computing in zich heeft, worden door CSA (2010) en Joosten en Bussbach (2011) meteen ook als risico gezien. Beveiligingsaspecten verdwijnen hierdoor naar de achtergrond. Risicogebieden als misbruik en bedreigingen van binnenuit zoals deze door CSA (2010) worden beschreven

(21)

verhuizen met de uitbesteding van functies van het informatiesysteem mee naar de cloud dienstverlener. Het is daarbij van belang inzichtelijk te krijgen hoe de processen en procedures bij de dienstverlener zijn ingericht. BESCHIKBAARHEID EN RECOVERY

NIST (2011) beschrijft als een van de effecten van cloud computing het complexer worden van de IT infra-structuur en het duidelijker worden van de verantwoordelijkheden tussen afnemer en aanbieder. Chung (2011) noemt de afhankelijkheid van internetverbindingen als een van de specifieke kenmerken van cloud computing die het risicoprofiel veranderen. Een andere afhankelijkheid is het ontbreken van standaarden omtrent de wijze waarop gegevens worden opgeslagen in een cloudomgeving. Hierdoor ontstaat het risico van data lock-in waarbij gegevens niet zonder meer zijn te verhuizen naar een andere dienstverlener. Ook in geval van bijvoor-beeld faillissement van de dienstverlener is toegang tot de gegevens in grote mate onzeker. Het door CSA (2010) genoemde aspect reputatiedelen is in deze ook een mogelijk risico. De beschikbaarheid van de diensten kan worden opgeschort doordat opsporingsdiensten een of meerdere servers in beslag nemen op grond van verdenkingen van een andere gebruiker van de betreffende dienst.

Concluderend kan worden gesteld dat de verschillende bedreigingen en obstakels die aan de orde komen bij cloud computing kunnen worden ingedeeld in drie deelgebieden. Te weten beveiliging, beschikbaarheid en recovery. De beveiligingsrisico’s komen onder meer voort uit de, bij effecten van cloud computing genoemde, complexe vertrouwensrelatie. Daarnaast wordt de afhankelijkheid van de beschikbaarheid van internetver-bindingen gezien als een specifiek risico van cloud computing. Ten slotte is het risico benoemd van data lock-in waardoor onder meer recovery van gegevens wordt beïnvloed.

2.1.4 SAMENVATTING

Cloud computing is een volgende stap in het uitbesteden van informatietechnologie. Een van de effecten op informatiesystemen betreft de beheersingsmaatregelen rondom beveiliging, beschikbaarheid en recovery. Deze beheersing zal met de opslag en verwerking van gegevens, meeverhuizen naar de cloud dienstverlener. Hierdoor ontstaan, en dat is nieuw aan deze vorm van uitbesteding, complexe vertrouwensrelaties tussen meerdere partijen. Deze vertrouwensrelatie is een van de aspecten die ook het risicoprofiel van cloud computing beïnvloed.

2.2 JAARREKENINGCONTROLE, INFORMATIETECHNOLOGIE EN CLOUD COMPUTING

In deze paragraaf worden de aspecten met betrekking tot informatietechnologie en jaarrekeningcontrole behandeld. Hierbij zal steeds verder worden ingezoomd op cloud computing. Achtereenvolgens wordt beschreven wat de invloed van informatietechnologie is op jaarrekeningcontroles, welke invloed uitbesteding van informatietechnologie aan serviceorganisaties heeft op jaarrekeningcontroles en als laatste wordt de invloed van cloud computing beschreven.

(22)

2.2.1 INVLOED INFORMATIETECHNOLOGIE OP JAARREKENINGCONTROLES

De tijd dat tijdens de uitvoering van een jaarrekeningcontrole het geautomatiseerde informatiesysteem als een zwarte doos werd beschouwd, waar omheen kon worden gecontroleerd, is verleden tijd. In deze paragraaf zal aandacht worden besteed aan de deelvraag welke impact informatietechnologie heeft op jaarrekening-controles.

In de inleiding van Leidraad 12 stelt de NOvAA (2002) dat een oordeel van de accountant over de geautoma-tiseerde gegevensverwerking onontbeerlijk is. Van Bommel et al. (2006) benadrukken de toename van het werken met gegevens uit geautomatiseerde informatiesystemen en de benodigde specifieke kennis van informatietechnologie die daarvoor nodig is. Curtis et al. (2009) stellen dat door de toenemende complexiteit en het toenemende belang van informatiesystemen, deze systemen steeds nadrukkelijker aandacht krijgen van regelgevende instanties. Selby (2010) betoogt tenslotte dat geautomatiseerde beheersingsmaatregelen invloed hebben op jaarrekeningposten en onvoldoende aandacht hiervoor kan leiden tot het niet ontdekken van materiële fouten.

Uit voorgaande blijkt dat informatietechnologie in toenemende mate aandacht dient te krijgen tijdens de uitvoering van jaarrekeningcontroles. SRA Vaktechniek (2010) stelt dat de inzet van informatietechnologie invloed heeft op de risico inschatting, de aard van de werkzaamheden en het verkrijgen van bewijsmateriaal, maar niet op de uiteindelijke doelstelling van de jaarrekeningcontrole. Pumphrey & Trimmer (2005) signaleren een verschuiving in de focus van jaarrekeningcontroles. Hierbij verschuiven de werkzaamheden van het controleren van standen en transacties naar het controleren van de onderliggende processen en systemen. Mollema (2008) wijst op het verband tussen de kwaliteit van informatie en de organisatie die deze informatie voorbrengt. Hierbij schets hij het beeld dat informatietechnologie “… het woonhuis ... “ van deze organisatie is. Het toenemende belang en de invloed op de werkzaamheden blijkt ook uit de diverse weten regelgeving. Hierin wordt aan de accountant, al dan niet specifiek, opgedragen aandacht te besteden aan de informatie-systemen en de onderliggende informatietechnologie zoals deze wordt ingezet door de onderneming waarvan de jaarrekening wordt gecontroleerd. SRA Vaktechniek (2010) benoemt in haar Handreiking Controleaanpak en Automatisering in deze onder meer het Burgerlijk Wetboek (BW), de Nadere Voorschiften Controle en Overige Standaarden (NVCOS), NIVRA studierapport 34 en NOVAA Leidraad 12. Het NIvRA (2010) geeft in NVCOS richtlijn 315 controlestandaarden voor het verkrijgen van inzicht in de organisatie en haar omgeving. Hierin staan onder meer specifieke aanwijzingen voor het benodigde inzicht in het informatiesysteem. Deze controlestandaarden hebben betrekking op de planningsfase van de controle, waarin onder meer een verkenning van de controleomgeving en de daarin opgenomen informatietechnologie wordt bepaald.

Zoals aangegeven bij de bepaling van de reikwijdte in paragraaf 1.4.2 beperkt dit referaat zich tot de algemene beheersingsmaatregelen rondom informatietechnologie (IT General Controls, ITGC). In de eerder aangehaalde praktijkhandreiking van SRA vaktechniek (2010) wordt aangegeven dat ITGC tot doel hebben het waarborgen van de betrouwbaarheid van de geautomatiseerde gegevensverwerking. De betrouwbaarheid wordt

(23)

gebruikelijk bepaald op basis van de componenten exclusiviteit, integriteit, controleerbaarheid en continuïteit. Volgens SRA Vaktechniek (2010) zijn in het kader van de controle van de jaarrekening minimaal de volgende onderdelen van ITGC van belang: datacentrum en netwerkactiviteiten, informatiebeveiliging en wijzigings-beheer. Van Bommel et al. (2006) stellen dat de werkzaamheden bij onderzoeken van ITGC zich dienen te richten op de belangrijkste beheersingsmaatregelen binnen de processen rondom de informatietechnologie. Hierdoor wordt de effectiviteit van de controle vergroot, doordat hiermee risico’s binnen deze processen aan het licht worden gebracht die de betrouwbaarheid van de gegevens beïnvloeden. Met alleen de reguliere werkzaamheden zoals die worden uitgevoerd in het kader van een jaarrekeningcontrole kunnen deze risico’s onvoldoende boven tafel komen.

Op basis van bovenstaande blijkt dat informatietechnologie invloed heeft op de werkzaamheden met betrekking tot de jaarrekeningcontrole. Deze invloed betreft de focus van deze werkzaamheden en niet het doel hiervan. De focus komt te liggen op de processen en systemen omdat deze de betrouwbaarheid van de gegevens waarborgen. Specifieke werkzaamheden met betrekking tot de informatietechnologie richten zich op de beheersingsmaatregelen binnen de ITGC. Hierdoor kunnen risico’s met betrekking tot de betrouwbaarheid van de gegevens effectiever worden geïdentificeerd. De betreffende werkzaamheden worden uitgevoerd tijdens de fasen planning en ‘control evaluation’ van de controle.

2.2.2 INVLOED SERVICEORGANISATIES OP JAARREKENINGCONTROLE

In de vorige paragraaf is de invloed van informatietechnologie op de jaarrekeningcontrole onderzocht en in beeld gebracht. Vanuit de gedachte dat cloud computing een extreme vorm is van uitbesteding van informatie-technologie, wordt in deze paragraaf de volgende deelvraag beantwoord. Welke impact heeft het gebruik-maken van een serviceorganisatie door de gecontroleerde onderneming op de jaarrekeningcontrole?

Het NIvRA (2010) behandeld in NVCOS richtlijn 402 de verantwoordelijkheid van de accountant wanneer, door de gecontroleerde onderneming, gebruik wordt gemaakt van diensten van serviceorganisaties. Een dergelijke serviceorganisatie verwerkt transacties voor de onderneming en verzorgt de vastleggingen die daaruit voort-vloeien. Hierdoor zijn bepaalde richtlijnen, procedures en vastleggingen van de serviceorganisatie mogelijk van invloed op de betrouwbaarheid van de gegevens die ten grondslag liggen aan de gecontroleerde jaarrekening. Jonker (2007) benadrukt hierbij dat deze maatregelen mogelijk buiten de directe invloedsfeer van de uit-bestedende organisatie liggen. Dit komt overeen met datgene dat in paragraaf 2.1 is beschreven omtrent de verschuiving van de beheersingsmaatregelen rondom het informatiesysteem naar de dienstverlener. De relevantie van het afnemen van diensten van serviceorganisaties door de onderneming voor de controle van de jaarrekening is beschreven in paragraaf 3 van richtlijn 402: “Diensten die door een serviceorganisatie

worden verleend zijn relevant voor de controle van de financiële overzichten van een gebruikende entiteit wanneer die diensten, en de interne beheersingsmaatregelen daarop, onderdeel zijn van het informatiesysteem van de gebruikende entiteit dat relevant is voor de financiële verslaggeving, met inbegrip van daarmee verband

(24)

houdende bedrijfsprocessen” (NIvRA, 2010). In het kader van een jaarrekeningcontrole dient door de

accountant derhalve te worden vastgesteld of het deel van het informatiesysteem dat is ondergebracht in de cloud relevant is voor de financiële verslaglegging.

Een van de doelstellingen van de accountant vanuit richtlijn 402 is beschreven in paragraaf 7.a:

“Het verwerven van inzicht in de aard en significantie van de diensten die door de serviceorganisatie worden verleend en het effect daarvan op de voor de controle relevant zijnde interne beheersing van de gebruikende entiteit, dat voldoende is om de risico’s van een afwijking van materieel belang te kunnen onderkennen en in te schatten” (NIvRA, 2010). De uiteindelijke verantwoordelijkheid voor de uitbestede diensten blijft volgens

Beulen & Van Puijenbroek (2011) bij de uitbestedende organisatie. Hiertoe dient deze maatregelen te treffen om de kwaliteit van de uitbestede diensten te kunnen monitoren. In de uitbestedingscontracten wordt daarom veelal een ‘controlerecht’ opgenomen, waardoor de uitbestedende organisatie de mogelijkheden krijgt om op basis van een oordeel van andere auditors of eigen onderzoek, de getroffen maatregelen van de service-organisatie te monitoren.

De accountant staan verschillende controlemiddelen ter beschikking om de ITGC van de serviceorganisatie te beoordelen. De belangrijkste zijn het verkrijgen van een ISAE3402 type II rapport, het uitvoeren van werkzaam-heden op locatie van de serviceorganisatie of het gebruikmaken van een andere auditor voor het uitvoeren van werkzaamheden (NIvRA, 2010). Het uitvoeren van werkzaamheden op locatie van de serviceorganisatie is in de praktijk zelden toegestaan. Volgens Jonker (2007) moet de auditor bij de beoordeling van een ISAE3402 rapport van de uitbestedende organisatie, de toereikendheid van het rapport beoordelen, alsmede nagaan of de serviceorganisatie beheersingsmaatregelen heeft vastgelegd waarvan zij verwachten dat deze door de uitbestedende organisatie zijn geïmplementeerd. Aspecten die worden beoordeeld zijn onder meer relevantie van de onderzochte beheersingsmaatregelen met betrekking tot de aan de serviceorganisatie uitbestede activiteiten. Daarnaast moeten aard, tijdstippen, omvang en resultaten van de testen van de beheersings-maatregelen van de servicebeheersings-maatregelen worden beoordeeld. Een IT auditor is bij uitstek degene die de accountant daarbij kan ondersteunen.

Uitbesteding van informatietechnologie aan serviceorganisaties heeft invloed op de werkzaamheden in het kader van een jaarrekeningcontrole. De procedures met betrekking tot de algemene beheersing rondom het informatiesysteem welke door de serviceorganisatie zijn ingericht vallen in principe buiten het gezichtsveld van de accountant. Deze procedures bepalen in grote mate de betrouwbaarheid van de informatie zoals deze wordt opgeleverd door de serviceorganisatie. Het gebruikmaken van een ISAE3402 rapport biedt de accountant mogelijkheden om zekerheid te verkrijgen over deze procedures.

2.2.3 EFFECT CLOUD COMPUTING OP JAARREKE NINGCONTROLE

Wat is het effect van het gebruik van cloud computing binnen middelgrote ondernemingen op de jaarrekening-controle? Cloud computing is een logische volgende stap is in de uitbesteding van informatietechnologie.

(25)

Hierdoor komen de processen en systemen inclusief beheersingsmaatregelen, van de gecontroleerde onder-neming buiten het blikveld van de controlerende accountant te liggen. De focus van de werkzaamheden van de jaarrekeningcontrole verschuift, in het geval van cloud computing, naar delen van het informatiesysteem die buiten de directe invloedsfeer van de onderneming zijn ondergebracht. Volgens Hui Du & Cong (2010) levert dit uitdagingen op voor de auditor bij het verkrijgen van inzicht in de IT omgeving. Een gebrek aan inzicht in de beheersingsmaatregelen van en rondom de cloud providers kan leiden tot grotere risico’s.

Volgens de CSA (2009) is de eerste stap in een risicoanalyse rondom cloud computing het bepalen welke (gevoelige) gegevens en/of welke (kritische) functionaliteit worden overwogen om in de cloud te zetten. Een volgende stap is het bepalen welke mate van invloed kan worden uitgeoefend op de risicobeheersing bij de cloud provider. Deze twee stappen zijn ook toepasbaar tijdens de bepaling van het effect van het gebruik van cloud computing door de onderneming op de controlewerkzaamheden in het kader van de jaarrekening-controle.

De risicoanalyse omtrent de gegevens en functionaliteiten die zijn uitbesteed aan een cloud provider, valt onder de planningsfase van een accountantscontrole. NVCOS 315 (Nivra, 2012) heeft betrekking op het proces van onderkennen en inschatten van risico’s, onder meer door het verwerven van inzicht in de te controleren entiteit en haar omgeving. Onderdeel hiervan is de geautomatiseerde gegevensverwerking, de specifieke risico’s en de beheersingsmaatregelen. Tijdens deze fase wordt per jaarrekeningpost inzichtelijk gemaakt welke processen en systemen zorgdragen voor de vastlegging en verwerking van de hiervoor benodigde gegevens (SRA, 2011). Vervolgens wordt inzicht verworven of en hoe deze processen en systemen zijn ondergebracht bij derden. Tenslotte wordt van de uitbestede diensten inzichtelijke gemaakt wat de effecten hiervan zijn op de interne beheersing van de gecontroleerde onderneming.

Indien (delen van) processen en systemen zijn uitbesteed moet inzichtelijk worden gemaakt op basis van welk leveringsmodel en ‘deployment’ model deze zijn ondergebracht bij de cloudaanbieder. NIST (2011) geeft aan dat deze aspecten mede bepalend zijn voor de mate waarin direct invloed kan worden uitgeoefend op de beheersingsmaatregelen. Verder moet inzichtelijk worden gemaakt welke beheersingsmaatregelen intern bij de uitbestedende partij zijn getroffen. Ook de contractueel vastgelegde afspraken rondom de door de uitbestedende organisatie vereiste beheersingsmaatregelen en controlemogelijkheden worden in deze fase beoordeeld. De door de onderneming gebruikte clouddienst kan gebruikmaken van meerdere onderliggende clouddiensten, die van andere cloudaanbieders worden betrokken. De beheersingsmaatregelen van deze onderliggende aanbieders zijn ook van belang voor de uiteindelijke beheersing van het proces. Hierdoor kan het noodzakelijk zijn om de hele lijn van uitbestede diensten in kaart te brengen. Dit sluit aan bij de in paragraaf 2.1.2 genoemde complexe vertrouwensrelatie die specifiek is voor cloud computing. Contractueel moeten afspraken worden gemaakt omtrent de hiervoor benodigde transparantie vanuit de verschillende aanbieders.

Nadat in kaart is gebracht welke onderdelen van het informatiesysteem zijn ondergebracht bij cloud dienst-verleners is de volgende stap het in kaart brengen van de beheersingmaatregelen die in en rondom deze

(26)

processen en systemen zijn getroffen. Zoals in paragraaf 2.1.2 wordt benoemd, zijn deze bij uitbesteding voor een groot deel verplaatst naar de cloud provider en eventueel onderliggende aanbieders van diensten. Nicoleau et al. (2012) benadrukken de noodzaak voor de accountant om de grenzen van de verantwoordelijk-heden van de cloud provider en gebruikende organisatie scherp in beeld te krijgen. Beulen & Van Puijenbroek (2011) stellen echter ook dat de verantwoordelijkheid bij de uitbestedende organisatie blijft. Dit betekend dat ook binnen de organisatie beheersingsmaatregelen getroffen moeten worden rondom de processen en systemen die worden afgenomen van de cloud dienstverlener. Neff (2011) geeft aan dat service level

agreements (SLA) met de cloudaanbieders een uitermate belangrijk element zijn in de gehele beveiliging van de afgenomen clouddiensten. Hierin wordt vastgelegd welke eisen de onderneming stelt aan de dienstverlener en hoe deze gaat voldoen aan de behoefte aan beheersingsmaatregelen vanuit de onderneming. Zoals hiervoor aangegeven is de mate van invloed onder meer afhankelijk van het leveringsmodel en het ‘deployment’ model. Onder meer Du & Chong (2010) en Nicoleau (2012) geven aan dat specifieke accountantsrichtlijnen voor het controleren van door klanten aan cloud providers uitbestede processen nog in ontwikkeling zijn en derhalve niet beschikbaar. Bij de uitvoering van de werkzaamheden zal de accountant eerst de van belang zijnde schakels van de uitbestede dienst in beeld dienen te brengen. De accountant moet op basis van de beschikbare SLA tussen klant en cloud provider een inschatting maken van de noodzaak, mogelijkheden en omvang van de controlewerkzaamheden die bij de klant kunnen worden uitgevoerd en in welke mate gesteund kan en moet worden op Assurance rapporten van auditors van de cloud provider. (Nicolaou, Nicolaou, & Nicolaou, 2012). Het effect van cloud computing op de jaarrekeningcontrole is in eerste instantie afhankelijk van de gegevens en processen die zijn ondergebracht bij de cloud dienstverlener en op basis van welk leveringsmodel. Vervolgens zal in kaart moeten worden gebracht welke beheersingsmaatregelen bij de uitbestedende onderneming en de clouddienstverlener zijn ingericht. Het verkrijgen van dit inzicht zal leiden tot uitdagingen binnen de jaar-rekeningcontrole. Beoordeling van de contracten en hierin gemaakte afspraken over transparantie en beheersingsmaatregelen is derhalve van belang voor de accountant.

2.2.5 SAMENVATTING

Informatietechnologie en de uitbesteding hiervan door de onderneming waarvan de jaarrekening wordt gecontroleerd door een accountant, hebben invloed op de werkzaamheden van deze accountant. De focus van de werkzaamheden veranderd door de inzet van informatietechnologie. Processen, systemen en beheersing worden meer en meer in de controle meegenomen omdat deze de kwaliteit van de informatie waarborgen. Bij uitbesteding van informatietechnologie komen deze aspecten buiten de onderneming en derhalve ook buiten het blikveld van de controlerende accountant te liggen. Bij uitbesteding aan een cloudprovider is het effect afhankelijk van welke delen van het informatiesysteem hierbij zijn ondergebracht en op welke wijze dit is gebeurt. Beoordeling door de accountant en het controleteam van de onderliggende contracten wordt hierdoor belangrijker.

(27)

2.3 ACCOUNTANTS EN IT AUDITORS; KENNIS, INZET EN SAMENWERKING

In de voorgaande paragrafen zijn de deelvragen beantwoord met betrekking tot cloud computing in het algemeen en de invloed van cloud computing op de jaarrekeningcontrole. In deze paragraaf wordt de vraag beantwoord of een accountant voldoende deskundigheid heeft om elementen van cloud computing te beoordelen. Tot slot wordt gekeken naar de vraag hoe de inzet en de beoogde samenwerking van accountants en IT auditors voor de jaarrekeningcontrole verloopt.

2.3.1 KENNIS ACCOUNTANT

Door de toenemende automatisering van het bedrijfsleven komt het voor de accountant steeds minder aan op het aloude controle van de boeken, maar dient de aandacht steeds meer verschoven te worden naar data-centers, computerservers en applicaties. Dit vereist een stevige basiskennis op IT gebied van de accountant. Koopmans (2010) concludeert dat de gemiddelde accountant vaak wel algemene basiskennis over auto-matisering heeft maar deze kennis lijkt, bij een wat meer diepgaande controle van systemen en applicaties, toch vaak tekort te schieten. In deze paragraaf zal specifiek gekeken worden naar het kennisniveau van de accountant op het gebied van cloud computing.

SRA Vaktechniek (2010) trekt vanuit NVCOS 315 de conclusie dat accountants in een toereikende mate kennis moeten nemen van de voor de financiële verslaggeving relevante geautomatiseerde gegevensverwerkende systemen. Dit dient uit het dossier te blijken. Maar is een accountant daartoe in staat indien de gecontroleerde onderneming het informatiesysteem heeft ondergebracht in de cloud?

Volgens Yang et al. (2004) beschikken accountants over onvoldoende kennis op het gebied van technologie en moet deze kennis worden verbeterd. Als gevolg van de toenemende invloed van informatie-technologie op de jaarrekeningcontrole is de accountant genoodzaakt dit gebrek te compenseren door het inschakelen van een IT auditor. Volgens Van Bommel et al. (2006) is het daarbij belangrijk dat terminologie duidelijk wordt afgestemd tussen accountants en IT auditors.

Uit een onderzoek door Stoel et al. (2011) naar de elementen van ‘audit quality’ van IT audits komt onder andere naar voren dat voor IT audits andersoortige kennis en vaardigheden noodzakelijk zijn dan voor jaarrekeningcontroles. Daar waar accountants nadruk leggen op boekhoudkundige kennis en controle-bekwaamheid, kennis van en ervaring met bedrijfsprocessen, achten IT auditors ervaring met het

gecontroleerde, kennis van IT en beheersingsmaatregelen, planning en controlemethodiek meer van belang. Vanuit de eindtermen voor de accountantsopleiding zoals deze door de Commissie Eindtermen Accountancy (CEA, 2012) zijn vastgesteld is IT een onderdeel van het kernvak bestuurlijke informatievoorziening. De eisen die worden gesteld aan het kennisniveau is met name gericht op het hebben van globale kennis omtrent informatiesystemen en het kunnen inrichten van een IT control system. Deze eisen zijn toegevoegd in de meest

(28)

recente update van de eindtermen. Hieruit kan worden opgemaakt dat IT in de opleiding van de huidige, voor de controle verantwoordelijke, accountants onderbelicht is gebleven.

In paragraaf 2.2.2 is onder meer beschreven welke controlemiddelen de accountant ter beschikking staan om de general controls van een cloudaanbieder te beoordelen. Voor het beoordelen van deze rapporten en certificaten heeft de auditor voldoende deskundigheid nodig. Over de vraag of in de opleiding tot accountant voldoende aandacht aan deze noodzakelijke deskundigheid wordt geschonken zijn de meningen verdeeld. Tijdens de discussiebijeenkomst van Tuacc waarvan verslag wordt gedaan door Salomons (2012) komt het gebrek aan kennis van IT en in het bijzonder het gebrek aan kennis omtrent cloud computing aan de orde. De conclusie is dat de accountant zich zal moeten laten bijstaan door een specialist.

Vanuit de richtlijnen wordt de accountant geacht over voldoende kennis van geautomatiseerde informatie-systemen te beschikken. Indien gekeken wordt naar het curriculum van de accountantsopleiding, dan blijkt dat de eisen op het gebied van informatiesystemen recentelijk zijn aangescherpt. Bij toepassing van op cloud computing gebaseerde systemen wordt vooralsnog de kennis van de gemiddelde accountant als onvoldoende beschouwd.

2.3.2 INZET IT AUDITORS BIJ JAARREKENINGCONTROLE

Het is aan de accountant om te komen tot een afweging of een IT auditor wordt ingezet tijdens de jaar-rekeningcontrole. Vanuit de richtlijnen worden beperkt aanwijzingen gegeven op basis waarvan de accountant deze afweging gefundeerd kan maken. Daarnaast geeft SRA (2010) aan dat de accountant vanuit de

ongedeelde verantwoordelijkheid voor het oordeel omtrent de jaarrekening, zelf ook voldoende IT kennis moeten bezitten.

Onder meer Hunton et al. (2002) en Allen et al. (2006) komen tot de conclusie dat accountants zichzelf overschatten wat betreft de inschatting van risico’s bij complexe informatiesystemen c.q. ERP systemen. Uit onderzoek van Hunton et al. (2002) blijkt onder meer dat accountants geen noodzaak zien tot inzet van IT auditors in omgevingen waarbij door IT auditors de nodige risico’s worden onderkend. Koopman (2010) citeert een IT auditor die aangeeft dat accountants vaak niet de impact van algehele IT-beheersingsmaatregelen op de jaarrekeningcontrole kunnen aangeven . Terwijl auditors de impact vaak niet goed onder woorden kunnen brengen of te veel vanuit de risico’s rapporteren.

Het is dus aan de accountant om te komen tot een afweging of een IT auditor wordt ingezet tijdens de jaar-rekeningcontrole. De werkverdeling tussen accountants en IT auditors wordt bepaald door de verantwoor-delijke accountant. De keuzen die hierin worden gemaakt, worden gemaakt op basis van het kennisniveau van de accountant. Vanuit de richtlijnen worden beperkt aanwijzingen gegeven op basis waarvan de accountant deze afweging gefundeerd kan maken. Daarnaast geeft SRA (2010) aan dat de accountant vanuit de

(29)

ongedeelde verantwoordelijkheid voor het oordeel omtrent de jaarrekening, zelf ook over voldoende IT kennis moeten bezitten.

Hoe kunnen en worden IT auditors ingezet bij jaarrekeningcontroles? Meuldijk et al. (2007) betogen dat IT auditors in iedere fase van een jaarrekeningcontrole een rol van betekenis kunnen spelen. Tijdens de planningsfase hebben deze werkzaamheden betrekking op het inzichtelijk maken van de kernapplicaties en bijbehorende infrastructuur. Daarnaast heeft een IT auditor een rol in de beoordeling van opzet en bestaan van de algemene beheersingsmaatregelen rondom IT. Tijdens de fase ‘control evalation’ kan een IT auditor worden ingezet voor het testen van de werking van deze beheersingsmaatregelen. Ten slotte kunnen IT auditors ook worden ingezet bij de uitvoering van gegevensgerichte werkzaamheden, bijvoorbeeld bij het gebruik van CAAT’s.

Het NIvRA (2010) vermeld in NVCOS 300 onder meer dat tijdens de planningsfase van een jaarrekening-controle dient te worden bepaald welke auditors voor welke werkzaamheden worden ingezet. In leidraad 12 stelt het NOvAA (2002) dat de mate waarop in de controleaanpak wordt gesteund op de interne beheersings-regelen binnen de informatietechnologie, van invloed is op de binnen het controleteam aanwezige kennis van informatietechnologie en gerelateerde beheersingsvraagstukken. De AICPA (2008) geeft in haar Statement on Auditing (SAS) 94 aan dat de accountant de noodzakelijk bekwaamheden moet bezitten om IT systemen te beoordelen en te testen of daarbij hulp moet inschakelen van IT auditors om daarbij te ondersteunen. Onder meer SRA (2010) en Schoeder en Singleton (2010) stellen dat de mate van inzet van een IT auditor mede afhankelijk is van de mate van complexiteit van de IT omgeving en de applicaties. Hierbij wordt aansluitend bij NVCOS 315 een applicatie als complex gezien, indien de gebruiker niet de accuratesse, volledigheid autorisatie, classificatie of afsluiting van de verwerking door de applicatie kan bepalen. Curtis et al. (2009) stellen dat de keuze tot inzet van een IT auditor moet worden gemaakt op basis van het afstemmen van de bekwaamheden binnen het team en de karakteristieken van de opdracht.

Yang et al. (2004) en Meuldijk (2007) geven aan dat de IT auditor deel uitmaakt van het team dat de controle-werkzaamheden verricht. Dit versterkt de uitwisseling van kennis tussen de verschillende disciplines. De verantwoordelijke accountant dient daarbij ook toezicht te houden op de werkzaamheden van de IT auditor, zoals ook toezicht moeten worden gehouden op de accountants binnen het controleteam.

Selby (2010) komt tot de conclusie dat accountants en IT auditors tijdens de planningsfase anders omgaan met geautomatiseerde interne beheersingsmaatregelen, en dan vooral de aanpassing aan de controleaanpak als gevolg van geconstateerde gebreken in de geautomatiseerde beheersingsmaatregelen.

De keuze welke auditors worden ingezet wordt bepaald door de accountant. Dit is een belangrijke

constatering, omdat de aandachtspunten met betrekking tot de controle van IT voor accountants anders liggen dan voor IT auditors. Op basis van de richtlijnen moet deze keuze worden gemaakt tijdens de planningsfase van de controle. Harde criteria zijn hierbij niet voorhanden. De inschatting door de accountant van het eigen kennisniveau op het gebied van informatietechnologie speelt hierin een rol. IT auditors zijn goed inpasbaar in

(30)

controleteams voor de inventarisatie en het testen van geautomatiseerde beheersingsmaatregelen opgenomen in het informatiesysteem. Hiermee kan teven uitwisseling van kennis worden bereikt.

2.3.3 BESCHIKBARE CRITERIA INZET IT AUDITOR

Hiervoor is bepaald dat de accountant eindverantwoordelijk is voor de bepaling van de inzet van IT auditors bij een jaarrekeningcontrole. Daarnaast is naar voren gekomen dat een gemiddelde accountant zijn of haar kennisniveau op het gebied van IT systemen overschat. Welke criteria zijn beschikbaar om de keuze tot het inzetten van een IT auditor te ondersteunen?

Volgens Selby (2010) vereisen de richtlijnen rondom de beoordeling van interne beheersingsmaatregelen niet dat auditors met speciale bekwaamheden op het gebied van geautomatiseerde maatregelen en/of IT auditors worden toegevoegd aan het opdrachtteam. In NVCOS 200 kwaliteitsbeheersing worden door NIVRA (2012) aangelegenheden benoemd met betrekking tot de passende competenties en capaciteiten die van het

opdrachtteam worden verwacht. Hierbij worden onder meer benoemd (1) inzicht in en praktische ervaring met soortgelijke opdrachten qua aard en complexiteit, verkregen door middel van passende training en participatie en (2) vaktechnische deskundigheid op het gebied van relevante informatietechnologie. Ook vanuit deze richtlijnen zijn er derhalve geen harde vereisten. In richtlijn SAS 94 geeft de AICPA (2008) factoren aan die meegewogen kunnen worden bij de keuze om IT auditors in te zetten. Dit zijn: (1) complexiteit van de IT, (2) belang van wijzigingen in bestaande of de invoering van nieuwe IT systemen, (3) de mate waarin gegevens gedeeld worden tussen systemen, (4) het gebruik van opkomende technologie en (5) het belang van bewijs dat alleen elektronisch beschikbaar is. Deze richtlijn is inmiddels vervangen door nieuwe richtlijnen, waarin deze factoren niet meer als zodanig worden benoemd. De benoemde factoren zijn echter nog steeds actueel. De complexiteit en het toenemende belang van informatiesystemen zijn volgens Curtis et al. (2009) voor de PCAOB een motivatie geweest verdergaande richtlijnen in overweging te nemen en te onderzoeken. Deze stap zou volgens de schrijvers dan vergaande gevolgen hebben voor het auditberoep en opleidingen. Bij cloud computing wordt deze complexiteit onder meer veroorzaakt door de vertrouwensrelaties met de aanbieders van de clouddiensten.

Hoewel geen harde richtlijnen beschikbaar zijn, zijn er in de bestudeerde literatuur aanwijzingen gevonden wanneer IT auditors moeten worden opgenomen in het controleteam door de accountant. Voornaamste criterium hierbij is de complexiteit van het informatiesysteem. In paragraaf 2.1 is onder meer de complexe vertrouwensrelatie beschreven als een van de specifieke kenmerken van cloud computing. Hoewel het toe-passen van cloud technologie niet als zodanig wordt benoemd, kan op basis van de genoemde criteria worden geconcludeerd dat, het toepassen van cloud computing door de gecontroleerde onderneming, dient te leiden tot inzet van IT auditors bij de uitvoering van de werkzaamheden.