IT governance in de jaarrekeningcontrole: de rol van raamwerken en samenwerking
onderzocht in een vragenlijstonderzoek
Rijksuniversiteit Groningen, Faculteit Economie en Bedrijfskunde Masterscriptie, MSc Accountancy & Controlling, specialisatie: Accountancy
11 juli, 2016
Teun Bosveld t.h.bosveld@outlook.com Studentnummer: 2231336 Begeleider: Prof. Dr. E.W. Berghout Tweede beoordelaar: Drs. M.M. Bergervoet
Samenvatting:
Terwijl IT governance in het laatste decennium belangrijker is geworden en bij veel bedrijven is onderzocht, is er maar weinig onderzoek gedaan naar de rol vanIT governance in de jaarrekeningcontrole. In dit onderzoek is een vragenlijst gebruikt om bij een grote accountantsorganisatie in Nederland te onderzoeken wat de rol is van het IT governance raamwerk COBIT 5 en hoe de samenwerking tussen de accountant en IT-auditor verloopt. Uit het onderzoek blijkt dat accountants en IT-auditors COBIT 5 een effectief raamwerk vinden en effectiever dan COBIT 4 om IT governance mee te beoordelen bij een jaarrekeningcontrole. Het raamwerk COSO wordt voor dit doeleinde als enige raamwerk ten opzichte van COBIT 5 meer gebruikt en effectiever gevonden. De accountant en IT-auditor vinden de samenwerking met elkaar belangrijk en verbeterd over de afgelopen twee jaar. Daarnaast zijn beiden van mening dat er nog steeds ruimte is voor verbetering. Op dit moment wordt de kwaliteit van de samenwerking beoordeeld met het midden houdend tussen ineffectief en effectief. Dit is het eerste onderzoek dat de rol van COBIT 5 onderzoekt in een jaarrekeningcontrole en draagt bij aan de kennis over IT governance en de samenwerking tussen de accountant en IT-auditor.
Kernwoorden: COBIT 5, COSO, IT governance, enterprise governance of IT, jaarrekeningcontrole, IT-auditor, accountant
1.
Voorwoord
Deze masterscriptie is tot stand gekomen als onderdeel van de opleiding MSc Accountancy aan de Rijksuniversiteit Groningen. Graag maak ik van de gelegenheid gebruik een aantal mensen in het bijzonder te bedanken. Allereest bedank ik mijn ouders voor hun onvoorwaardelijke steun en liefde gedurende mijn studietijd en hele leven. De heer Berghout, mijn scriptiebegeleider, wil ik graag bedanken voor de fijne samenwerking, nuttige feedback en het bijdragen aan een verbetering van mijn academische vaardigheden. Verder wil ik de betreffende accountantsorganisatie bedanken voor het bieden van een stageplek voor deze masterscriptie en het meewerken aan dit onderzoek. Daarnaast ben ik de heer Kijl dankbaar voor zijn enthousiasme, inzet en bovenal goede begeleiding. Verder zijn andere scriptanten bij mijn stage belangrijk geweest voor een motiverende sfeer en inhoudelijke discussies. Tenslotte bedank ik een ieder die de vragenlijst van dit onderzoek heeft ingevuld en mij op deze manier geholpen heeft van dit onderzoek een succes te maken.
2.
Introductie
Door de toegenomen rol van informatie technologie (IT) brengt IT in toenemende mate kansen en risico’s met zich mee en heeft geleid tot het inzicht dat organisaties de enterprise governance of IT (EGIT) moeten sturen (Bowen, Cheung, & Rohde, 2007; Hardy, 2006; Maizlish & Handler, 2005; Richardson, 2008). Aan de ene kant kan IT bedrijfsstrategieën ondersteunen en nieuwe bedrijfsstrategieën ontwikkelen. Aan de andere kant brengt het gebruik van IT risico’s met zich mee op het gebied van misbruik, fraude en cybercriminaliteit. Om deze kansen en risico’s te optimaliseren is er een focus op EGIT ontstaan en zijn IT en EGIT succesfactoren geworden bij organisaties (Van Grembergen & De Haes, 2009; Weill & Ross, 2009). Dat IT een prominente rol heeft binnen organisaties is af te leiden uit de hoeveelheid investeringen. In het afgelopen decennium investeerden organisaties rond de 50% van de kapitaalinvesteringen in IT (Bloem, Van Doorn, & Mittal, 2005; Maizlish & Handler, 2005). Dit komt wereldwijd in 2015 uit op ongeveer $3,5 biljoen (Gartner Group, 2016). Ondanks deze grote investeringen verlopen veel IT projecten niet als gepland. Er wordt geïnvesteerd in verlieslatende IT projecten wat een organisatie veel geld kost. 72% van de IT projecten worden te laat opgeleverd, gaan over budget, zijn nooit opgeleverd, of missen functionaliteiten (Maizlish & Handler, 2005). Het toegenomen gebruik van IT heeft als gevolg dat financiële informatie in meerdere mate op IT steunt. Financiële informatie wordt verkregen, opgeslagen en gerapporteerd met geautomatiseerde IT-systemen. Geautomatiseerde controles in informatiesystemen zijn belangrijk voor de accountant om de kans op materiële afwijkingen te verkleinen (Messier, Eilifsen, & Austen, 2004). Het steunen op geautomatiseerde IT-systemen brengt eveneens risico’s met zich mee wanneer IT-systemen niet werken zoals deze zouden moeten werken. Bijvoorbeeld als een application control gedurende een bepaalde tijd niet gewerkt heeft, terwijl financiële informatie afhankelijk is van deze application control. Dit tast de betrouwbaarheid van de financiële informatie aan. Het komt geregeld voor dat bepaalde IT beheersingsprocessen niet correct werken (Messier et al., 2004). De jaarrekening is een rapportagevorm die afhankelijk is van financiële informatie. Als IT-systemen niet correct werken, kan de financiële informatie die ten grondslag ligt aan de jaarrekening onjuist zijn. Dit kan resulteren in een materiële fout in de jaarrekening, wat vervolgens kan leiden tot een onjuiste controleverklaring van de accountant. De gevolgen van een onjuist oordeel bij de jaarrekeningcontrole zijn verstrekkend. Volgens de vertrouwenstheorie van Limperg is het doel van de accountant bij een jaarrekeningcontrole om vertrouwen toe te voegen voor het maatschappelijk verkeer over de getrouwheid van de financiële informatie (Majoor & Van Kollenburg, 2011). Wanneer de accountant een onjuist oordeel afgeeft, wordt dit vertrouwen beschaamd en weet het maatschappelijk verkeer niet in hoeverre goedkeurende controleverklaringen terecht zijn. Dit kan grote gevolgen hebben voor een effectieve werking van de kapitaalmarkt (Guiso, Sapienza, & Zingales, 2008). Wanneer er minder vertrouwen is in het maatschappelijk verkeer wordt er minder in organisaties geïnvesteerd. Dit heeft mogelijk invloed op het effectief functioneren van de kapitaalmarkt (Guiso et al., 2008). Chaney en Philipich (2002) laten zien dat door toedoen van de accountant het vertrouwen van het maatschappelijk verkeer beschaamd kan worden en dit invloed kan hebben op het functioneren van de kapitaalmarkt. Ten tijde van het Enron debacle werd duidelijk dat Arthur Andersen
documenten van Enron verwijderde. Hierdoor verminderde het vertrouwen in Arthur Andersen waarna andere klanten van Arthur Andersen een negatieve marktreactie ervaarden op de beurs (Chaney & Philipich, 2002). Om het controlerisico tot een aanvaardbaar laag niveau terug te dringen moet de accountant controlewerkzaamheden verrichten ten aanzien van de opzet, bestaan en werking van IT-systemen bij een jaarrekeningcontrole. De controlewerkzaamheden hebben betrekking op de EGIT van de gecontroleerde organisatie. Om de jaarrekeningcontrole met betrekking tot IT effectief te laten verlopen worden er veelal IT-auditors ingeschakeld. Deze IT-IT-auditors zijn gespecialiseerd om controlewerkzaamheden uit te voeren ten aanzien van aspecten van de EGIT (Vendrzyk & Bagranoff, 2003). IT-auditors zijn belangrijk voor de jaarrekeningcontrole en de rol van IT-auditors lijkt groter te worden (Curtis, Jenkins, Bedard, & Deis, 2009). De samenwerking tussen de accountant, die eindverantwoordelijk is, en de IT-auditor is van belang om tot een efficiënte en effectieve jaarrekeningcontrole te komen (Brazel, 2008; Messier et al., 2004). Er zijn aanwijzingen dat deze samenwerking stroef kan verlopen (Brazel & Agoglia, 2007; Van Bommel & Van Goor, 2005), maar ook dat de samenwerking verbeterd is (Bauer & Estep, 2014). Verder wordt er bij een jaarrekeningcontrole gebruikgemaakt van raamwerken om de EGIT effectief en efficiënt te beoordelen en zo het controlerisico te verkleinen. Effectieve en veel gebruikte raamwerken hiertoe zijn de COBIT modellen (Kerr & Murthy, 2013; Lin, Guan, & Fang, 2010; Tuttle & Vandervelde, 2007). In 2012 is de op dit moment meest recente versie COBIT 5 uitgekomen (ISACA, 2012). Dit raamwerk is een uitbreiding ten opzichte van COBIT 4 en kent daarmee een aantal nieuwe beheersingsdoelstellingen. Door de uitbreiding is met COBIT 5 het begrip enterprise governance of IT ontstaan. COBIT 5 is mogelijk een nog effectiever raamwerk om de EGIT te beoordelen bij een jaarrekeningcontrole. Door COBIT 5 op een effectieve manier te gebruiken kan de accountant de kwaliteit van de jaarrekeningcontrole verbeteren met als gevolg het verkleinen van de kans van een onjuist oordeel bij de jaarrekeningcontrole.
Twee belangrijke aspecten die de beoordeling van EGIT in de jaarrekeningcontrole beïnvloeden lijken de samenwerking tussen de accountant en IT-auditor en het gebruik van raamwerken met daarbij COBIT 5 in het bijzonder. Alhoewel elementen van samenwerking onderdeel zijn van sommige raamwerken als COBIT 5, is er in dit onderzoek gekozen om deze twee onderdelen apart te behandelen. Op deze manier ontstaat er naast een focus op raamwerken ook een specifieke focus op de samenwerking tussen de accountant en IT-auditor. In dit onderzoek luidt de eerste onderzoeksvraag: hoe verloopt de samenwerking tussen de accountant en IT-auditor bij een jaarrekeningcontrole? De tweede onderzoeksvraag houdt in: wat is de rol van raamwerken voor enterprise governance of IT en in het bijzonder COBIT 5 in een jaarrekeningcontrole? Met betrekking tot de samenwerking wordt verwacht dat deze van belang is, verbeterd is en nog beter kan. Tevens ligt het in de lijn der verwachting dat de samenwerking op dit moment het midden houdt tussen ineffectief en effectief. Het gebruik van raamwerken wordt gedacht belangrijk gevonden te worden. Er wordt gesteld dat COBIT 5 een effectief raamwerk is en een verbetering ten opzichte van COBIT 4. Daarnaast wordt gedacht dat COBIT 5 het meest effectieve en gebruikte raamwerk voor EGIT is in de jaarrekeningcontrole.
Om data te verzamelen hebben accountants en IT-auditors van een grote accountantsorganisatie in Nederland een vragenlijst ingevuld. Uit de resultaten blijkt allereerst dat de samenwerking tussen de accountant en IT-auditor bij een jaarrekeningcontrole belangrijk wordt gevonden. De accountant en IT-IT-auditor denken dat deze samenwerking in de afgelopen twee jaar verbeterd is en in de toekomst nog beter kan. Daarnaast vinden de accountant en IT-auditor dat de kwaliteit van de samenwerking op dit moment het midden houdt tussen ineffectief en effectief. Het gebruik van raamwerken wordt belangrijk gevonden in de beoordeling van EGIT. COBIT 5 vinden de accountant en IT-auditor een effectief raamwerk om EGIT mee te beoordelen in de jaarrekeningcontrole en een verbetering ten opzichte van COBIT 4. COSO blijkt echter het meest effectieve en gebruikte raamwerk om EGIT te beoordelen in de jaarrekeningcontrole.
Dit onderzoek is relevant om meerdere redenen. Ten eerste is er weinig onderzoek gedaan naar de samenwerking tussen de accountant en IT-auditor, terwijl een effectieve samenwerking tussen deze twee partijen van groot belang is (Curtis et al., 2009). Er zijn specifieke onderdelen in de samenwerking onderkend die voor verbetering vatbaar zijn. Ten tweede is COBIT 5 mogelijk een effectief raamwerk in de beoordeling van EGIT in de jaarrekeningcontrole. Er is voor zover bekend geen onderzoek gedaan naar de plaats die het COBIT 5 model heeft bij een jaarrekeningcontrole. Deze combinatie voedt de behoefte aan onderzoek dat het COBIT 5 model verkent in een jaarrekeningcontrole (De Haes, Van Grembergen, & Debreceny, 2013). Dit onderzoek spreekt deze lacunes in de literatuur aan. Tenslotte blijkt COSO het meest effectieve en gebruikte raamwerk te zijn. Deze uitkomst geeft aanleiding tot verder onderzoek.
Het restant van dit onderzoek is als volgt gestructureerd. In de theorie sectie wordt bestaande literatuur besproken en worden hypothesen ontwikkeld. De methode sectie behandelt de opzet en uitvoering van het onderzoek. Vervolgens zullen de resultaten worden doorgenomen. De laatste paragraaf wordt aan de conclusie gewijd.
3.
Theorie
In de afgelopen decennia is IT belangrijker geworden. Het is van belang voor de ondersteuning, duurzaamheid en groei van organisaties. IT kan zowel bedrijfsstrategieën ondersteunen als nieuwe bedrijfsstrategieën ontwikkelen. Om deze redenen beschouwen organisaties IT in toenemende mate als een asset in plaats van een kostenpost en is IT een belangrijke succesfactor (Van Grembergen & De Haes, 2009; Weill & Ross, 2009). Het toegenomen belang van IT blijkt verder uit de hoeveelheid investeringen in IT. In het afgelopen decennium werd er bij organisaties rond de 50% van de kapitaalinvesteringen in IT geïnvesteerd (Bloem et al., 2005; Maizlish & Handler, 2005). Dit komt wereldwijd in 2015 uit op ongeveer $3,5 biljoen (Gartner Group, 2016). Ondanks deze grote investeringen in IT, blijkt het lastig om nauwkeurig de impact van deze investeringen op organisatie prestatie te bepalen. Een reden hiervoor is het zogenaamde lag-effect. Dit houdt in dat het tijd kost voordat IT-investeringen tot duidelijke resultaten leiden. Dit is met name het geval als het gaat om grootschalige en complexe IT-projecten (Lee & Kim, 2008; Nicolaou, 2004). Wel kan in het algemeen gesteld worden dat veel projecten niet als gepland verlopen, waardoor er veel geld wordt verspild aan slechte IT-investeringen (Jeffery & Leliveld, 2004; McAfee, 2004; Ridley, Young, & Carroll, 2004). Volgens Maizlish en Handler (2005) wordt bij 72% van de IT-projecten het project te laat opgeleverd, nooit opgeleverd, over het budget gegaan, of er missen functionaliteiten. Dit zijn alarmerende cijfers, omdat IT-projecten bedoeld zijn om waarde voor een organisatie te creëren, niet om waarde te verliezen.
Om maximale waarde uit IT-investeringen te verkrijgen en teleurstellingen te voorkomen is er in de laatste twee decennia een focus op EGIT ontstaan (De Haes & Van Grembergen, 2008; Wilkin & Chenhall, 2010). EGIT is een systeem waarmee huidig en toekomstig gebruik van IT bestuurd en beheerst wordt. Dit begrip is breed gedefinieerd. Het is een onderdeel van de enterprise governance van een organisatie en gaat over alle organisationele kwesties met betrekking tot IT. Bijvoorbeeld over zaken als bevoegdheden, verantwoordelijkheden en richtlijnen. EGIT is van belang, omdat een organisatie met een effectieve EGIT betere beslissingen kan maken over vele aspecten met betrekking tot huidig en toekomstig gebruik van IT. Een effectieve EGIT kan leiden tot (1) vertrouwen onder diverse stakeholders, (2) een betere manier om resultaten met IT-projecten te behalen en (3) betere overeenstemming tussen IT en organisationele prioriteiten en strategieën. Dit resulteert vervolgens in verbeterde organisatie prestatie (Lunardi, Becker, Maçada, & Dolci, 2014; Weill & Ross, 2004; Wu, Straub, & Liang, 2015). EGIT kan verklaren waarom sommige organisaties die dezelfde technologie gebruiken verschillende resultaten kunnen behalen.
Toch lijkt niet iedereen overtuigd te zijn van het belang van IT en daarmee ook EGIT. Zo stellen Melville et al. (2004) dat aspecten van IT op zijn hoogst tot een tijdelijk competitief voordeel zouden kunnen leiden. Het argument hiervoor is dat technologische IT-aspecten, IT-management en technische vaardigheden makkelijk te imiteren zouden zijn. Vanuit dit oogpunt is het moeilijk te verklaren waarom veel IT-projecten falen. Goede vaardigheden op het gebied van IT-management en technische vaardigheden zouden namelijk gemakkelijk geïmiteerd kunnen worden, waardoor er minder IT-projecten zouden falen. Het onderzoek van Melville et al.
(2004) erkent dat complementariteit tussen IT-aspecten belangrijk kan zijn, maar dat er op dat moment te weinig onderzoek is gedaan naar de resultaten die hiermee behaald kunnen worden. Dit complementair zijn van IT-aspecten is een belangrijk onderdeel van EGIT en dus zeggen Melville et al. (2004) indirect dat EGIT van waarde zou kunnen zijn. Ook Carr (2003) hekelt IT-investeringen. In dit artikel wordt beargumenteerd dat IT een commodity is geworden en dat er daarom geen strategisch voordeel meer met IT behaald kan worden. In dit artikel gaat het met name om het technologische aspect van IT. Het advies is niet teveel te investeren in de nieuwste IT-technologieën, omdat deze nieuwe technologieën op korte termijn voor iedereen toegankelijk zijn en dan een stuk minder kosten. EGIT gaat echter niet om het technologische gedeelte van IT, maar om de zaken daaromheen. Carr (2003) erkent dat een effectieve kosten- en risicomanagement belangrijk is. Dit kosten- en risicomanagement is een onderdeel van EGIT. Het blijft in dit artikel echter in het ongewisse of IT-investeringen om de IT-kosten- en risicomanagement te verbeteren al dan niet bevorderlijk zijn. Diverse onderzoeken geven aanwijzingen dat een effectieve EGIT van belang is. In EGIT investeren zou nuttig kunnen zijn voor een organisatie (Lunardi et al., 2014; Weill & Ross, 2004; Wu et al., 2015).
Naast het belang van IT en EGIT voor organisaties is het van belang voor een jaarrekeningcontrole. IT is niet meer weg te denken bij de totstandkoming van financiële informatie die de basis vormt van een jaarrekening. Door dit toegenomen belang van IT moet de accountant IT betrekken in een jaarrekeningcontrole. Van Bommel en Van Goor (2005) schetsen het belang en de plaats van IT in de jaarrekeningcontrole op een heldere wijze. Het startpunt is een significante post in de jaarrekening die gecontroleerd moet worden. Bedrijfsprocessen bouwen deze post op, zoals de verkoop van goederen de post omzet kan opbouwen. Aan dit bedrijfsproces liggen een aantal financiële applicaties ten grondslag die steunen op application controls. Deze zorgen ervoor dat data op een juiste manier van input naar output wordt verwerkt. Vervolgens steunen deze application controls op IT-objecten als servers en databases. Voor deze IT-objecten zijn IT general controls van belang. Effectieve IT general controls resulteren in een stabiele IT-omgeving. Nog een stap verder gaan de IT enterprise controls. Dit gaat onder andere over zaken als visie, strategie en doelstellingen op het gebied van IT. De termen IT application, general en enterprise controls vallen onder EGIT en deze worden beoordeeld door de accountant in de jaarrekeningcontrole. De financiële informatie in de jaarrekeningcontrole is immers afhankelijk van een goede werking van deze onderdelen. Daarnaast komt het belang van EGIT terug in regelgeving. Hierbij kan gedacht worden aan SOX 404, of het vereiste van de PCAOB in standaard 5 dat de accountant begrip van de IT-beheersingsmaatregelen verkrijgt en hiertoe controlewerkzaamheden verricht. SAS 94 gaat in op de rol die IT speelt voor de interne beheersing van een organisatie. In de Nederlandse setting is artikel 393 lid 4 uit het Burgerlijk Wetboek deel 2 belangrijk. Volgens dit artikel moet de accountant in het accountantsverslag rapporteren over de betrouwbaarheid en continuïteit van de geautomatiseerde gegevensverwerking. Vanuit de NV COS 315 is de accountant verplicht de IT-omgeving van de gecontroleerde organisatie te beoordelen.
Om EGIT bij de jaarrekeningcontrole te betrekken schakelt de accountant vaak de hulp in van een IT-auditor. Een IT-auditor is erin gespecialiseerd controlewerkzaamheden uit te voeren ten aanzien van de IT general en application controls (Vendrzyk & Bagranoff, 2003). Deze controlewerkzaamheden vormen een steeds belangrijker onderdeel van de totale controle informatie en het aantal IT-auditors groeit (Brazel, 2008; Messier et al., 2004). De IT-auditor communiceert de bevindingen met de accountant die dit vervolgens vertaalt naar de jaarrekeningcontrole. De samenwerking tussen de accountant en de IT-auditor is hierin van belang, omdat er een nauwe relatie bestaat tussen de bevindingen van de IT-auditor en de verdere planning van de jaarrekeningcontrole (Bauer & Estep, 2014; Brazel & Agoglia, 2007; Curtis et al., 2009). Wanneer deze samenwerking stroef verloopt kan de accountant de planning van de jaarrekeningcontrole onvoldoende aanpassen naar gelang de bevindingen van de IT-auditor. Dit kan er uiteindelijk in resulteren dat er een onjuist oordeel wordt gegeven bij de jaarrekeningcontrole (Van Bommel & Van Goor, 2005). Er zijn aanwijzingen dat deze samenwerking niet altijd effectief verloopt. Zo kan de samenwerking tussen de accountant en de IT-auditor verstoord worden doordat de accountant onvoldoende kennis heeft van IT-aspecten in de jaarrekeningcontrole. Deze geringe kennis heeft een negatieve invloed op het vermogen van de accountant om naar aanleiding van de bevindingen van de IT-auditor de planning van de jaarrekeningcontrole aan te passen (Brazel & Agoglia, 2007). Andere redenen die aanwijzingen geven dat de samenwerking tussen de accountant en IT-auditor niet altijd goed verloopt is dat accountants de toegevoegde waarde van IT-auditors in twijfel trekken en accountants substantiële verschillen waarnemen in de deskundigheid van IT-auditors (Bagranoff & Vendrzyk, 2000; Brazel & Agoglia, 2007). Van Bommel & Van Goor (2005) schetsen dat de samenwerking tussen de accountant en IT-auditor ineffectief kan verlopen door onduidelijkheden over definities, begrippen en methoden. Aan de andere kant zijn er argumenten die een effectieve samenwerking suggereren tussen de accountant en IT-auditor in de jaarrekeningcontrole. Bauer en Estep (2014) impliceren dat de samenwerking tussen de accountant en de IT-auditor al langer onderwerp van discussie is. Verder blijkt de interactie tussen de accountant en IT-auditor te zijn toegenomen, maar in de praktijk kan dit sterk uiteen lopen. Ook uit discussies met accountants en IT-auditors van de betreffende accountantsorganisatie in dit onderzoek blijkt dat deze samenwerking al een tijd op de agenda staat. Een verbetering lijkt te zijn gerealiseerd, maar het is te voorbarig om hier stelling te nemen. Er is geen sluitend bewijs voor een effectieve, of ineffectieve samenwerking tussen de accountant en IT-auditor bij een jaarrekeningcontrole. Om deze reden wordt verondersteld dat de kwaliteit van de samenwerking tussen de accountant en IT-auditor het midden houdt tussen ineffectief en effectief.
Op basis van de argumenten hiervoor kunnen de volgende hypothesen worden opgesteld:
Hypothese 1a: bij de jaarrekeningcontrole vinden de accountant en de IT-auditor EGIT belangrijk.
Hypothese 1b: bij de jaarrekeningcontrole vinden de accountant en de IT-auditor EGIT belangrijker geworden over de afgelopen twee jaar en denken dat EGIT belangrijker wordt in de komende twee jaar.
Hypothese 2a: bij de jaarrekeningcontrole vinden de accountant en de IT-auditor de samenwerking met elkaar belangrijk.
Hypothese 2b: bij de jaarrekeningcontrole wordt de kwaliteit van de samenwerking tussen de accountant en de IT-auditor door beiden gewaardeerd als het midden houdend tussen ineffectief en effectief.
Hypothese 2c: bij de jaarrekeningcontrole vinden de accountant en de IT-auditor de samenwerking met elkaar verbeterd over de afgelopen twee jaar en denken dat de samenwerking beter kan.
In toenemende mate investeren organisaties geld in het verbeteren van de EGIT. Om deze verbetering te realiseren maken organisaties gebruik van raamwerken (Debreceny & Gray, 2013; ISACA, 2011; Lunardi et al., 2014). De manier waarop raamwerken EGIT kunnen faciliteren is bijvoorbeeld door een aantal beheersingsmaatregelen met betrekking tot IT te schetsen en deze te organiseren rond bepaalde IT-processen. Door deze maatregelen vervolgens organisatiespecifiek te implementeren kan de EGIT verbeterd worden. Het is belangrijk om EGIT organisatiespecifiek te organiseren. Het is niet mogelijk om één optimale EGIT te implementeren voor iedere organisatie. Hoe EGIT geïmplementeerd moet worden is namelijk afhankelijk van diverse factoren die van organisatie tot organisatie verschillen (Brown & Grant, 2005; Ribbers, Peterson, & Parker, 2002; Weill & Ross, 2004). Lunardi et al. (2014) vinden een positieve relatie tussen de adoptie van raamwerken voor IT enerzijds en een hogere winstgevendheid anderzijds. Dit vormt een belangrijke aanwijzing dat met gebruik van raamwerken de EGIT verbeterd kan worden en dat deze verbetering van de EGIT invloed heeft op de winstgevendheid. Een andere reden voor het toegenomen gebruik van raamwerken met betrekking tot EGIT is regelgeving. De invoering van de Sarbanes-Oxley Act in 2002 (SOX) vereist een versterking van interne beheersing en corporate governance. SOX schrijft voor dat er om dit te bewerkstelligen een raamwerk voor de interne beheersing gebruikt moet worden. IT-gerelateerde interne beheersing is hierin van belang, omdat financiële informatie wordt verkregen, opgeslagen en gerapporteerd met geautomatiseerde systemen. Het gebruik van een raamwerk voor de interne beheersing zou erin moeten resulteren dat er een betrouwbaardere en completere interne beheersing ontstaat.
SOX verplicht niet het gebruik van een specifiek raamwerk, maar toch gebruiken bijna alle internationale organisaties en organisaties waarvoor SOX regelgeving van toepassing is het raamwerk COSO. Dit is een abstract en algemeen raamwerk dat geen specifieke IT-beheersingsprocessen bevat. De meeste internationale organisaties gebruiken daarom specifiekere raamwerken, of standaarden naast COSO voor IT-gerelateerde interne beheersing. Er zijn verschillende raamwerken en standaarden voor dit doeleinde, waarbij COBIT het meest gebruikte raamwerk is (Debreceny & Gray, 2013; ISACA, 2011; Lunardi et al., 2014). Een geschikt raamwerk specifiek voor EGIT lijkt de nieuwste versie van COBIT, namelijk COBIT 5.Het COBIT raamwerk is ontwikkeld door leden van ISACA in de financiële en IT-audit gemeenschappen. IT-auditors kwamen meer met geautomatiseerde omgevingen in aanraking en de eerste versie van het COBIT raamwerk kon hun werkzaamheden sturen. COBIT is vervolgens geëvolueerd naar een steeds breder IT governance en
IT-management raamwerk. COBIT 5, dat in 2012 werd gepubliceerd, hanteert van de verschillende versies het breedste perspectief op EGIT. In vergelijking met COBIT 4, is COBIT 5 met name een uitbreiding wat betreft het aantal beheersdoelstellingen, het gehanteerde holistische perspectief en de toegenomen focus op de relatie tussen IT-doelstellingen en organisatiedoelstellingen. Door de toegenomen omvang van het raamwerk is de term enterprise governance of IT ontstaan in plaats van IT governance (ISACA, 2012). Door deze uitbreiding van COBIT 4, zou met COBIT 5 de EGIT bij een organisatie nog effectiever kunnen worden ingericht en dit kan waarde toevoegen voor een organisatie (ISACA, 2015; Oliver & Lainhart, 2012).
Naast het belang van COBIT 5 voor organisaties om EGIT te optimaliseren kan COBIT 5 gebruikt worden als een effectief raamwerk om de EGIT van een organisatie te beoordelen voor een jaarrekeningcontrole. De eerste versie van het COBIT model was een model om de werkzaamheden van IT-auditors te sturen. Latere versies zijn in toenemende mate door organisaties geïmplementeerd. De praktische relevantie voor accountants en IT-auditors blijft behouden door de sterke focus op beheersing met de specifieke beheersingsdoelstellingen die COBIT stelt. In deze beheersdoelstellingen worden belangrijke aspecten van IT-gerelateerde interne beheersing geconceptualiseerd. COBIT 5 kent onder andere een uitbreiding in het aantal beheersingsdoelstellingen. Deze beheersdoelstellingen in COBIT 5 kunnen gebruikt worden als richtlijn voor accountants bij een jaarrekeningcontrole. Tuttle en Vandervelde (2007) onderzochten de toepasbaarheid van COBIT beheersingsprocessen voor een jaarrekeningcontrole. Uit dit vragenlijstonderzoek onder IT-auditors en andere IT-deskundigen blijkt dat de COBIT beheersingsprocessen consistent zijn en het richting geeft aan de jaarrekeningcontrole. Verder wordt er in dit onderzoek gesteld dat grote accountantskantoren COBIT, of iets wat er sterk op lijkt gebruiken. Lin et al. (2010) ondervonden door middel van een vragenlijst dat de belangrijkste IT governance factoren die worden beoordeeld door accountants overeenkomen met COBIT en dat COBIT gebruikt kan worden als richtlijn in de beoordeling van de interne beheersing. Tenslotte laten Kerr en Murthy (2013) zien dat de beheersingsprocessen van COBIT van belang zijn om tot een effectieve interne beheersing over financiële rapportage te komen. Deze onderzoeken zijn op basis van eerdere versies van COBIT. COBIT 5 betreft een uitbreiding en is zoals beargumenteerd in potentie nog een effectiever raamwerk voor de jaarrekeningcontrole.
Hypothese 3a: bij de jaarrekeningcontrole vinden de accountant en de IT-auditor het gebruik van raamwerken belangrijk.
Hypothese 3b: bij de jaarrekeningcontrole vinden de accountant en IT-auditor dat raamwerken aangaande EGIT intensiever gebruikt moeten worden.
Hypothese 4: bij de jaarrekeningcontrole kent de IT-auditor meer raamwerken aangaande EGIT, begrijpt deze beter en kan deze beter toepassen dan de accountant.
Hypothese 5: bij de jaarrekeningcontrole vinden de accountant en de IT-auditor COBIT 5 een effectief raamwerk om EGIT mee te beoordelen.
Hypothese 6: bij de jaarrekeningcontrole vinden de accountant en de IT-auditor COBIT 5 een verbetering ten opzichte van COBIT 4 om EGIT mee te beoordelen.
Hypothese 7: bij de jaarrekeningcontrole vinden de accountant en de IT-auditor COBIT 5 het meest effectieve raamwerk om EGIT mee te beoordelen.
Hypothese 8: bij de jaarrekeningcontrole gebruiken de accountant en de IT-auditor COBIT 5 het meest om EGIT mee te beoordelen.
4.
Methodologie
Door middel van een online vragenlijst zijn de onderzoeksvragen onderzocht. Om de onderzoeksvragen te kunnen beantwoorden moet de onderzoeksmethode in staat zijn een aantal meningen, praktijken en kennis met betrekking tot IT in de jaarrekeningcontrole te meten. Een vragenlijst is hiervoor geschikt (Glasow, 2005). Met betrekking tot IT in de jaarrekeningcontrole is de rol van de accountant en IT-auditor van belang, omdat deze twee groepen aspecten van IT in de jaarrekeningcontrole beoordelen. De steekproef in dit onderzoek bestaat uit deze twee groepen.
Volledig gevalideerde vragenlijsten die van toepassing zouden kunnen zijn voor dit onderzoek bestaan voor zover bekend niet. Daarom is er een nieuwe vragenlijst ontwikkeld. Er is een online vragenlijst gemaakt met behulp van het programma Qualtrics. Er is toestemming verkregen deze vragenlijst uit te zetten bij een grote accountantsorganisatie in Nederland. De vragenlijst is verstuurd aan alle accountants binnen drie vestigingen in Nederland en alle IT-auditors in Nederland van de betreffende organisatie. De totale steekproef was 644. In dit aantal zaten een aantal respondenten met een andere functie dan accountants en IT-auditors, zoals stagiaires en data analisten. Hoeveel dit er precies waren is niet duidelijk. De vragenlijst is verstuurd aan 372 accountants en 272 IT-auditors minus het aantal mensen met een andere functie.
De vragenlijst hanteerde een 5-punts Likert schaal. Bij een aantal vragen werd de antwoordmogelijkheid ‘weet ik niet’ opgenomen, zodat de respondent niet geforceerd een score moet toekennen wanneer de respondent geen antwoord op de betreffende vraag weet. Er is gebruikgemaakt van een algemene link voor de respons van de vragenlijst. Dit was gemakkelijker en garandeert de anonimiteit. Het nadeel is dat er een klein risico bestaat op het meerdere keren maken van de vragenlijst. De vragenlijst was in 5 tot 10 minuten volledig in te vullen. De vragenlijst is in de eindfase door vier personen getest en beoordeeld om feedback te verkrijgen. Deze vier personen bestonden uit twee accountants, één IT-auditor en één IT-academicus. Naar aanleiding van de verkregen feedback is er een klein aantal aanpassingen gemaakt. Nakomend ontstond de definitieve vragenlijst. Op basis van literatuuronderzoek zijn relevante onderzoeksvragen geïdentificeerd. Zie appendix 2 voor het literatuuronderzoek. De vragenlijst is ontworpen om antwoord te kunnen geven op deze vragen. Het eerste gedeelte van de vragenlijst vangt aan met een aantal inleidende vragen. Vervolgens zijn er vragen opgenomen die de belangrijkheid van EGIT testen. Deze bestaan uit een aantal specifieke IT general controls, IT application controls en IT enterprise controls. Met het totaal van deze items is de schaal EGIT gemaakt. Daarnaast zijn er subschalen gecreëerd voor de IT general controls, IT application controls en IT enterprise controls. Om de trend in de belangrijkheid te achterhalen werd respondenten gevraagd aan te geven of IT general controls, IT application controls en IT enterprise controls in de afgelopen twee jaar belangrijker zijn geworden en of deze belangrijker worden in de komende twee jaar. Het totaal van deze items is opgenomen in een schaal voor EGIT. Eveneens zijn er subschalen gecreëerd voor IT general controls, IT application controls en IT enterprise controls. Een volgend belangrijk onderdeel ging over de samenwerking tussen de accountant en de IT-auditor. Hierbij werden onder andere een aantal specifieke punten over de samenwerking getoetst.
Deze zijn tot stand gekomen op basis van eerder onderzoek (Anderson & West, 1998; Kalisch, Lee, & Salas, 2010; Valentine, Nembhard, & Edmondson, 2015). Met deze items is een schaal vervaardigd. Het tweede gedeelte ging over raamwerken in de jaarrekeningcontrole. Hierbij kwamen verschillende aspecten aan bod als de belangrijkheid van raamwerken, welke raamwerken de voorkeur krijgen, het gebruik van raamwerken en de beargumentatie achter het gebruik. Het derde en laatste deel van de vragenlijst ging specifiek over COBIT 5. Zie Appendix 1 voor de exacte vragen.
Door de structuur van deze drie onderdelen aan te houden is er een driedeling in de respons ontstaan. Het eerste gedeelte is door iedereen gemaakt aangezien het om algemene zaken ging die iedereen kon beantwoorden. Het tweede gedeelte dat specifiek over raamwerken ging is alleen door de respondenten gemaakt die aangaven kennis te hebben van tenminste één raamwerk, of tenminste één raamwerk te hebben gebruikt voor de jaarrekeningcontrole. Het derde gedeelte over COBIT 5 is alleen gemaakt door respondenten die hebben aangegeven dit raamwerk te kennen. Op deze manier is er een driedeling in de respons ontstaan.
Als eerste stap in de data analyse werd de antwoordmogelijkheid ‘weet ik niet’ omgezet naar een missende waarde. Responses waarbij de respondent geen accountant of IT-auditor was, werden verwijderd. De ontwikkelde schalen zijn getest op betrouwbaarheid door de Cronbach’s Alpha te beoordelen. Wanneer de Cronbach’s Alpha boven de 0,75 was, werd de betreffende schaal betrouwbaar gevonden. Er zijn nieuwe variabelen gemaakt voor de diverse schalen. Deze schalen zijn berekend door de scores van alle individuele items op te tellen en vervolgens te delen door het aantal items.
Om grenzen vast te stellen voor het toetsen van de hypothesen is de volgende maatstaf ontwikkeld. Afhankelijk van de vraagstelling corresponderen scores van 1,00-1,80 met sterk oneens, of zeer onbelangrijk. Een middenscore van 2,60 tot 3,40 wordt geïnterpreteerd als het midden houdend tussen oneens en eens, of onbelangrijk en belangrijk. Een score tussen 3,40 en 4,20 correspondeert met eens, of belangrijk. Tenslotte corresponderen scores tussen de 4,20 en 5,00 met sterk eens, of zeer belangrijk. Om de schaalwaarden te testen tegen bovengenoemde grenzen is een 95% betrouwbaarheidsinterval gebruikt. Als bijvoorbeeld aangetoond moet worden dat iets belangrijk is, moet het gehele betrouwbaarheidsinterval boven de 3,40 liggen. Deze manier van testen is toegepast, omdat verondersteld wordt dat schalen een continu meetniveau hebben. Voor afzonderlijke vragen werd een Wilcoxon one sample test toegepast, omdat deze losse variabelen van ordinaal meetniveau zijn. Deze test toetst of de score van de betreffende vraag significant boven een opgegeven waarde ligt en kan op die manier achterhalen in welk interval de score ligt. De opgegeven waarden zullen de uiteinden van de bovengenoemde intervallen zijn. Een voorbeeld, als uit de Wilcoxon one sample test blijkt dat de score van een afzonderlijke vraag significant boven de 3,40 ligt, maar niet significant boven de 4,20, wordt er geconcludeerd dat de respons overeenstemt met eens, of belangrijk.
Het verschil in testen tussen schaalvariabelen die continu worden geacht en ordinale variabelen komt ook terug in andere analyses. Om van schalen het verschil in gemiddelden tussen twee groepen te onderzoeken zijn
onafhankelijke t-tests toegepast, omdat deze t-tests uit gaan van continue variabelen en een normale verdeling. In het geval van scheve verdelingen, of ordinale variabelen werd een Mann-Whitney test gehanteerd. Bij schalen werd er een one-way ANOVA gebruikt wanneer er verschillen in gemiddelden tussen meerdere groepen moest worden onderzocht. Bij scheve verdelingen, of ordinale variabelen werd bij meerdere groepen een Kruskal-Wallis test toegepast. Groepen waarbij gemiddelden werden vergeleken, waren met name accountants versus IT-auditors en de hoeveelheid ervaring van de respondent. In sommige gevallen zijn verschillen tussen twee variabelen getest. Wanneer de twee variabelen schalen zijn is een paired t-test gebruikt, in het geval van ordinale variabelen een two related samples Wilcoxon test.
Er is een regressieanalyse uitgevoerd om meer zekerheid te verkrijgen over de betrouwbaarheid van de resultaten. In deze analyse zijn de diverse ontwikkelde schalen de afhankelijke variabelen. Als onafhankelijke variabelen zijn de volgende mogelijke confounders aangemerkt: de rol, leeftijd, ervaring en actieve sectoren. Alle statistische bewerkingen zijn uitgevoerd met het programma SPSS versie 23.
5.
Resultaten
De vragenlijst is verstuurd naar een steekproef van 644 personen. De vragenlijst is 94 keer succesvol ingevuld. Dit komt uit op een responspercentage van rond de 15%. Er is een vijftal respondenten uit het data bestand verwijderd, omdat deze een andere functie hadden dan accountant of IT-auditor. Na deze verwijdering blijven er 89 respondenten over, bestaande uit 51 accountants en 38 IT-auditors. Een percentage van 38% heeft tussen de 0-3 jaar ervaring, 24% tussen de 3-6 jaar ervaring, 19% tussen de 6-9 jaar ervaring, 6% tussen de 9-12 jaar en tenslotte 14% met meer dan 12 jaar ervaring. Wat leeftijd betreft is 70% tussen de 20-30 jaar, 21% tussen de 30-40 jaar, 7% tussen de 40-50 jaar, 2% tussen de 50-60 jaar en niemand met een leeftijd van ouder dan 60 jaar. De meest voorkomende sectoren onder de respondenten zijn de publieke sector (58%), financiële sector (35%), maakindustrie en productie (46%), retail en consumergoods (47%) en zakelijke dienstverlening (32%).
In de inleidende vragen is de mening van de respondent gevraagd over zijn/haar kennisniveau met betrekking tot EGIT en of de respondent meer over EGIT zou willen leren. Hieruit komt naar voren dat accountants in 49% van de gevallen vinden dat ze te weinig kennis over EGIT hebben. Bij IT-auditors ligt dit percentage op 11%. Daarbij komt dat 20% van de accountants aangeven niet te weten of ze genoeg kennis over EGIT hebben. Er zijn dus meer accountants die vinden dat ze onvoldoende kennis over EGIT hebben dan accountants die vinden dat ze voldoende kennis van EGIT hebben. Het percentage bij IT-auditors die niet weten of ze genoeg kennis hebben over EGIT bedraagt 8%. Verder willen 88% van de accountants en 92% van de IT-auditors meer leren over EGIT. Een andere vraag gaat over het percentage in tijd die de accountant en IT-auditor aan EGIT besteden wanneer ze voor de jaarrekeningcontrole controlewerkzaamheden verrichten. De accountant komt hierbij uit op 14%, terwijl dit voor de IT-auditor 62% is.
De verschillende schalen om hypothesen te testen staan beschreven in de methode sectie. De schaal over de belangrijkheid van EGIT in de jaarrekeningcontrole bestaat uit twintig items met een Cronbach’s Alpha van 0,915. De schaal voor de trend in de belangrijkheid van EGIT bestaat uit zes items en heeft een Cronbach’s Alpha van 0,912. Voor de schaal samenwerking zijn vijf items gebruikt met een Cronbach’s Alpha van 0,851. Tabel 1 geeft verduidelijking over deze schalen en diverse subschalen.
TABEL 1:
Cronbach’s Alpha voor schalen
Aantal items Cronbach’s Alpha
EGIT belangrijkheid 20 0,915
ITGC belangrijkheid 11 0,873
ITAC belangrijkheid 3 0,916
ITEC belangrijkheid 6 0,858
EGIT belangrijkheid trend 6 0,912
ITGC belangrijkheid trend 2 0,844
ITAC belangrijkheid trend 2 0,786
ITEC belangrijkheid trend 2 0,865
Samenwerking 5 0,851
De eerste hypothese gaat over de belangrijkheid van EGIT in de jaarrekeningcontrole. Zie tabel 2. Een gemiddelde score van 4,05 en ondergrens in het 95% betrouwbaarheidsinterval van 3,92 is sterk bewijs voor hypothese 1a: EGIT is belangrijk. Alle subschalen worden eveneens belangrijk gevonden. Zo is er bij het 95% betrouwbaarheidsinterval een ondergrens score van 3,97 voor IT general controls, 4,10 voor IT application controls en 3,67 voor IT enterprise controls. Uit een paired t-test blijkt dat de subschaal IT application controls met een gemiddeld verschil van 0,43 (p=0,00) belangrijker wordt gevonden dan IT enterprise controls. IT general controls worden eveneens belangrijker gevonden dan IT enterprise controls met een gemiddeld verschil van 0,29 (p=0,00). IT application controls worden tenslotte net belangrijker gevonden dan IT general controls met een gemiddeld verschil van 0,15 (p=0,024). Er zijn geen significante verschillen gevonden tussen accountants en IT-auditors en de hoeveelheid ervaring.
Tabel 2 laat eveneens zien dat hypothese 1b, die over de trend in de belangrijkheid van EGIT gaat, ondersteund wordt. Met een gemiddelde score van 4,31 en een 95% betrouwbaarheidsinterval ondergrens van 4,15 werd EGIT belangrijker gevonden over de afgelopen twee jaar en wordt naar verwachting in de toekomst belangrijker. De subschalen trend in belangrijkheid van IT general controls en IT application controls worden zeer belangrijk gevonden. IT general controls krijgen een gemiddelde score van 4,39 en ondergrens van 4,21 en IT application controls een gemiddelde van 4,42 en ondergrens van 4,24. Tussen de accountant en IT-auditor is geen significant verschil gevonden. Respondenten met een ervaring tussen de zes en twaalf jaar waarderen de trend in de belangrijkheid van EGIT, IT general controls en IT application controls significant lager (p=0,00).
TABEL 2:
belangrijkheid en trend in belangrijkheid van EGIT, ITGC, ITAC en ITEC
Belangrijkheid Belangrijkheid trend
Gemiddelde
95% B.I.*
p-waarde verschil
acc.** – IT-auditor Gemiddelde
95 % B.I.*
p-waarde verschil acc.** – IT-auditor
laag hoog laag hoog
EGIT Accountant 4,12 3,94 4,30 0,229 4,29 4,06 4,52 0,914 IT-auditor 3,96 3,75 4,16 4,34 4,11 4,56 Totaal 4,05 3,92 4,18 4,31 4,15 4,47 ITGC Accountant 4,19 3,99 4,39 0,195 4,38 4,15 4,62 0,526 IT-auditor 4,01 3,80 4,23 4,39 4,11 4,67 Totaal 4,11 3,97 4,26 4,39 4,21 4,56 ITAC Accountant 4,36 4,16 4,56 0,175 4,40 4,16 4,64 0,689 IT-auditor 4,14 3,86 4,41 4,44 4,18 4,70 Totaal 4,26 4,10 4,43 4,42 4,24 4,59 ITEC Accountant 3,88 3,66 4,10 0,611 4,09 3,83 4,35 0,490 IT-auditor 3,76 3,51 4,02 4,22 3,95 4,49 Totaal 3,83 3,67 3,99 4,15 3,96 4,33
* Maatstaf voor toetsen hypothese: 1,0-1,8 (=zeer onbelangrijk); 1,8-2,6 (=onbelangrijk); 2,6-3,4 (=niet onbelangrijk, niet belangrijk); 3,4-4,2 (=belangrijk); 4,2-5,0 (=zeer belangrijk).)
** Acc. = accountant.
De tweede reeks hypothesen gaat over de samenwerking en is uitgewerkt in tabel 3. Ten eerste beoordelen de accountant en IT-auditor de kwaliteit van de samenwerking met het midden houdend tussen ineffectief en effectief. Dit blijkt uit de gemiddelde score van 3,37 met een ondergrens in het 95% betrouwbaarheidsinterval van 3,19. Uit paired Wilcoxon tests blijken twee afzonderlijke items uit deze schaal significant hoger gewaardeerd te zijn dan de overige drie items. Volgens Wilcoxon one sample tests zijn de accountant en IT-auditor het eens met de stellingen dat er samen veranderingen gemaakt worden in de audit aanpak (p=0,049) en er vertrouwen is onderling (p=0,010). De overige drie items vallen in het interval 2,60 tot 3,40 waarbij geen verband wordt aangenomen. Volgens twee Wilcoxon one sample tests met als opgegeven waarde 4,20, zijn de accountant en IT-auditor het er sterk mee eens dat samenwerking tussen de twee van belang is en beter kan. Met een opgegeven waarde van 3,40 blijkt uit twee Wilcoxon one sample tests dat het advies van de IT-auditor van belang is en de samenwerking is verbeterd in de afgelopen twee jaar. Deze resultaten ondersteunen hypothesen 2a, 2b en 2c. Uit analyses blijkt eveneens dat er voor deze hypothesen geen significant verschil is tussen de accountant en IT-auditor. Een opmerkelijk resultaat is dat er volgens een one-way ANOVA test een significant positief lineair verband is tussen de hoeveelheid ervaring van de accountant, of IT-auditor en de schaalscore op hoe effectief de samenwerking is (p=0,016).
TABEL 3:
samenwerking tussen accountant en IT-auditor bij een jaarrekeningcontrole
Gemiddelde
95% B.I.* Wilcoxon one sample**
p-waarde verschil acc.*** – IT-auditor laag hoog groter dan p-waarde
Samenwerking Accountant 3,30 3,06 3,53 0,838 IT-auditor 3,45 3,18 3,73 Totaal 3,37 3,19 3,55 Samenwerking: van belang Accountant 4,48 4,20 0,00 0,084 IT-auditor 4,79 Totaal 4,62 Samenwerking: IT-auditor van belang Accountant 4,13 3,40 0,00 0,435 IT-auditor 4,27 Totaal 4,19 Samenwerking: kan beter Accountant 4,43 4,20 0,00 0,310 IT-auditor 4,58 Totaal 4,49 Samenwerking: verbeterd Accountant 3,98 3,40 0,00 0,189 IT-auditor 4,21 Totaal 4,08
* Geen betrouwbaarheidsintervallen gebruikt bij losse vragen.Maatstaf voor toetsen hypothese: 1,0-1,8 (=sterk mee oneens); 1,8-2,6 (=oneens); 2,6-3,4 (=niet oneens, niet eens); 2,6-3,4-4,2 (=eens); 4,2-5,0 (=sterk mee eens).
** Wilcoxon niet van toepassing bij schaalvariabelen. *** Acc. = accountant.
In tabel 4 staan een aantal statistieken over verschillende raamwerken en richtlijnen. Accountants en IT-auditors kennen en gebruiken COSO het meest, gevolgd door COBIT 5. Opvallend is dat veel respondenten Prince2 kennen, maar dit voor de beoordeling van EGIT in de jaarrekeningcontrole weinig gebruiken en niet effectief vinden.
De vraag over de belangrijkheid van het gebruik van raamwerken in de jaarrekeningcontrole werd beantwoord met een gemiddelde van 3,95. Uit een Wilcoxon one sample test blijkt dat deze uitkomst boven de grenswaarde voor belangrijk van 3,40 ligt (p=0,00). Accountants en IT-auditors zijn het ermee eens dat raamwerken intensiever gebruikt zouden moeten worden tijdens een jaarrekeningcontrole. Er werd gemiddeld 3,63 op deze vraag gescoord en uit de Wilcoxon one sample test blijkt dat deze score hoger is dan 3,40 (p=0,00). Dit ondersteunt hypothesen 3a en 3b. Er zijn geen verschillen aangetroffen tussen accountants en IT-auditors. Het aantal jaren ervaring speelt eveneens geen significante rol.
Hypothese 4 gaat om de vraag of de IT-auditor ten aanzien van EGIT in de jaarrekeningcontrole meer raamwerken kent, beter begrijpt en beter kan toepassen dan de accountant. De IT-auditor kent gemiddeld 8,63 raamwerken, terwijl dit bij de accountant 3,24 is. Een Mann-Whitney test geeft aan dat dit verschil significant is
(p=0,00). Op het begrip van de raamwerken die gekend worden, scoort de IT-auditor gemiddeld 3,51 op een schaal van één tot vijf. De accountant scoort gemiddeld 2,74. Tenslotte kan de IT-auditor deze raamwerken beter toepassen dan de accountant. De IT-auditor heeft een gemiddelde van 3,18, de accountant 2,37. Voor deze verschillen in gemiddelden zijn Mann-Whitney tests toegepast om zekerheid te verkrijgen over de afwijking. Uit deze analyse komt naar voren dat alle scores van de IT-auditor significant hoger zijn dan die van de accountant (p=0,00). Deze resultaten ondersteunen hypothese 4. Kruskal-Wallis tests zijn toegepast om te onderzoeken of ervaring invloed heeft op de kennis, begrip en het kunnen toepassen van raamwerken voor EGIT in de jaarrekeningcontrole. Hieruit blijkt geen significante relatie.
De accountant en IT-auditor zijn het ermee eens dat COBIT 5 gebruikt kan worden als een effectief raamwerk bij de beoordeling van EGIT in de jaarrekeningcontrole. Er werd gemiddeld 3,59 gescoord op deze vraag en uit een Wilcoxon one sample test blijkt deze score significant hoger te zijn dan de grenswaarde van 3,40 (p=0,003). Dit geeft bewijs voor hypothese 5. De respondent is het er met een gemiddelde score van 3,68 mee eens dat COBIT 5 een verbetering is ten opzichte van COBIT 4. Uit een Wilcoxon one sample test (p= 0,00) wordt dit bevestigd. Deze resultaten ondersteunen hypothese 6.
In tabel 5 zijn hypothese 7 en 8 uitgewerkt. Hypothese 7 ging over de vraag of COBIT 5 het meest effectieve raamwerk wordt gevonden om in de jaarrekeningcontrole EGIT mee te beoordelen en of COBIT 5 hiervoor ook het meest gebruikt wordt staat in hypothese 8. Om deze hypothesen te onderzoeken is COBIT 5 afgezet tegen het raamwerk COSO dat volgens tabel 4 vaak als effectief wordt beschouwd en tevens veel gebruikt wordt. Uit tabel 5 blijkt dat COSO in 49% van de gevallen als effectiefste raamwerk wordt gerekend. Bij COBIT 5 is dit percentage 23%. COSO wordt eveneens vaker gebruikt. In 44% van de gevallen is COSO het meest gebruikte raamwerk, terwijl dit bij COBIT 5 15% is. Uit een paired Wilcoxon test blijkt de afwijking tussen COBIT 5 en COSO in effectiviteit significant te zijn (p=0,006). Het verschil in gebruik is ook significant (p=0,014). Zowel hypothese 7, als hypothese 8 moeten derhalve verworpen worden. Opvallend is dat COBIT 5 onder IT-auditors net zo vaak als effectiefste raamwerk wordt aangemerkt als COSO.
Uit de resultaten komt naar voren dat accountants en IT-auditors raamwerken gebruiken voor uiteenlopende redenen in de beoordeling van EGIT in de jaarrekeningcontrole. Ze zijn het ermee eens dat raamwerken gebruikt worden voor volledigheid, structuur en begrip in de beoordeling van EGIT in de jaarrekeningcontrole. Tevens worden raamwerken gebruikt om aan vereisten binnen de organisatie te voldoen. De reden volledigheid heeft een gemiddelde 3,85, structuur 3,95, begrip 3,69 en om aan vereisten te voldoen heeft een gemiddelde van 3,76. Raamwerken worden met een gemiddelde van 3,28 niet gebruikt voor een tijdsbesparing. Er is eveneens getest waarom COBIT 5 in het bijzonder wordt gebruikt. Respondenten zijn het ermee eens dat COBIT 5 wordt gebruikt voor de volledigheid, begrip en structuur in de beoordeling van EGIT in een jaarrekeningcontrole. Er is een gemiddelde waarde van 3,59 voor het argument van volledigheid, 3,62 voor begrip en 3,70 voor structuur. COBIT 5 wordt niet gebruikt, omdat het het meest geaccepteerde raamwerk is (gemiddeld 3,39), of
omdat het het meest efficiënte raamwerk is (gemiddeld 3,19). Er zijn voor geen van alle redenen verschillen gevonden voor accountants versus IT-auditors en jaren ervaring.
Er is tenslotte een regressieanalyse toegepast om te onderzoeken of de voorgaande resultaten met betrekking tot de gecreëerde schalen overeenstemmen met de resultaten uit een regressieanalyse. Mogelijke confounders hierbij zijn leeftijd, ervaring, rol en sector. Deze mogelijke confounders zijn geen van allen significant. De conclusies die getrokken kunnen worden blijven hetzelfde.
TABEL 4:
beschrijvende statistieken ten aanzien van verschillende raamwerken
Kennen Begrip gem. Toepassen gem. Effectiviteit gem. volgorde
Gebruik Mate gebruik gem. Gebruik gem. volgorde N % N % COSO ERM 70 79 3,67 3,34 1,97 24 27 3,71 1,71 COBIT 5 51 57 3,22 3,16 2,61 16 18 3,63 2,31 Prince2 47 53 3,28 2,53 6,06 3 3 3,00 4,50 ITIL of ISO 2000 45 51 3,16 2,80 4,36 12 13 3,17 2,90 COBIT 4 38 43 3,37 3,21 4,63 12 13 3,42 2,67 NOREA rl 3402 34 38 3,71 3,35 5,12 15 17 3,67 3,23 ISO 17799, 27000, ISF, of andere security standards 34 38 3,47 2,68 5,18 8 9 2,88 2,71 Six Sigma 34 38 2,97 2,24 5,38 3 3 3,00 1,33 ITAF 29 33 3,03 2,93 4,62 6 7 3,33 2,83 NOREA rl 3000 24 27 3,79 3,13 5,79 6 7 4,17 3,17 NOREA rl 4401 19 21 3,11 2,63 7,74 3 3 3,00 4,33 RISK IT 14 16 2,86 2,43 5,86 1 1 3,00 4,00 CMM, of CMMI 13 15 3,85 2,92 6,85 4 4 3,50 3,50 PMI / PMBOK 12 13 2,75 2,00 9,00 1 1 3,00 3,00 TOGAF 8 9 2,50 2,13 9,63 0 0 - - VAL IT 7 8 3,14 2,29 9,71 1 1 2,00 6,00 BMIS 6 7 3,17 3,33 4,33 2 2 2,50 4,50 ISO 38500 4 4 2,50 1,75 7,00 1 1 4,00 3,00
TABEL 5:
COBIT 5 versus COSO in effectiviteit en gebruik
COBIT 5 meest effectief** COBIT 5 meest gebruikt* COSO meest effectief** COSO meest gebruikt* ja nee ja nee ja nee ja nee
N % N % N % N % N % N % N % N %
Accountant 6 14 38 86 0 0 12 100 27 61 17 39 9 75 3 25 IT-auditor 13 34 25 66 6 21 23 79 13 34 25 66 9 31 20 69
Totaal 19 23 63 77 6 15 35 85 40 49 42 51 18 44 23 56
* Alleen respons ingesloten wanneer de respondent tenminste één raamwerk gebruikt. ** Alleen respons ingesloten wanneer de respondent tenminste twee raamwerken kent.
6.
Conclusie
Door de ontwikkelingen op het gebied van IT wordt IT in de jaarrekeningcontrole belangrijker. In dit onderzoek is de rol van IT in de jaarrekeningcontrole verkend met een specifieke focus op raamwerken. Er is een vragenlijst afgenomen bij accountants en IT-auditors van een grote accountantsorganisatie in Nederland. De resultaten ondersteunen een aantal algemene hypothesen. Zo wordt EGIT belangrijk gevonden bij een jaarrekeningcontrole en wordt dit naar verwachting belangrijker in de toekomst. Verder worden raamwerken belangrijk gevonden om de EGIT van een organisatie mee te beoordelen in een jaarrekeningcontrole. Tevens vinden de accountant en IT-auditor dat raamwerken intensiever gebruikt zouden moeten worden. IT-auditors kennen ten opzichte van accountants gemiddeld meer raamwerken, begrijpen ze beter en kunnen ze beter toepassen. In lijn met de verwachtingen, zijn de accountant en IT-auditor het er sterk mee eens dat de samenwerking tussen de twee bij een jaarrekeningcontrole van belang is en kan worden verbeterd. Deze samenwerking is in de afgelopen twee jaar verbeterd en de kwaliteit van de samenwerking wordt op dit moment beoordeeld met het midden houdend tussen ineffectief en effectief. Het onderwerp ‘samenwerking’ is dus nog geen gepasseerd station. Een mogelijke indicator van een niet effectieve samenwerking is dat de accountant de toegevoegde waarde van de IT-auditor in twijfel trekt (Bagranoff & Vendrzyk, 2000; Brazel & Agoglia, 2007). Dit argument blijkt niet van toepassing in dit onderzoek aangezien zowel de IT-auditor als de accountant het eens zijn met de stelling dat het advies van de IT-auditor van belang is voor de jaarrekeningcontrole. Wanneer de vijf individuele items van de schaal samenwerking nader worden bekeken, komt naar voren dat twee items significant hoger zijn gewaardeerd dan de drie overigen. Zo blijken de accountant en IT-auditor het eens te zijn met de stellingen dat er vertrouwen is onderling en dat er samen veranderingen worden gemaakt in de audit aanpak. De items van onderlinge communicatie van verwachtingen, het onderling delen van ideeën en informatie en constructieve feedback scoorden lager. Hieruit kan geconcludeerd worden dat sommige onderdelen van de samenwerking beter verlopen dan andere.
Het laatste deel van de vragenlijst gaat over het raamwerk COBIT 5. Zoals verwacht zijn de accountant en IT-auditor het eens met de stelling dat COBIT 5 kan worden gebruikt als een effectief raamwerk in de jaarrekeningcontrole en een effectiever raamwerk is dan COBIT 4. De uitbreiding ten opzichte van COBIT 4 is volgens de accountant en IT-auditor effectief. Vervolgens is onderzocht of COBIT 5 het meest effectieve en meest gebruikte raamwerk is in de beoordeling van EGIT tijdens een jaarrekeningcontrole. Het raamwerk COSO blijkt echter zowel het meest effectieve, als het meest gebruikte raamwerk voor dit doeleinde te zijn. Dit is tegenstrijdig met de opgestelde hypothesen. Het was van tevoren duidelijk dat veel organisaties COSO gebruiken voor de interne beheersing. Wanneer deze interne beheersing echter specifiek over IT gaat, wordt er gebruikgemaakt van meer gedetailleerde raamwerken, waarbij COBIT het meest gebruikt is (Debreceny & Gray, 2013; ISACA, 2011; Lunardi et al., 2014). Deze beredenering lijkt niet op te gaan voor accountantskantoren. Dit is in tegenspraak met Tuttle en Vandervelde (2007).Een reden hiervoor kan zijn dat het kennisniveau bij een deel van de respondenten dusdanig laag is dat de effectiviteit van het COBIT 5 raamwerk niet begrepen wordt. Een IT-auditor heeft meer verstand van EGIT en gerelateerde raamwerken.
Juist deze groep ziet COBIT 5 veel vaker als het effectiefste raamwerk. Het aantal IT-auditors die COSO het effectiefste raamwerk vinden is net zo groot als het aantal dat COBIT 5 het effectiefste vindt. COSO ligt qua gebruik echter nog steeds hoger onder IT-auditors. Een reden hiervoor kan zijn dat COSO een minder uitgebreid raamwerk is dan COBIT 5 en daarom makkelijker te gebruiken is.
Dit onderzoek is relevant om een aantal redenen. Ten eerste blijken enkele elementen binnen de samenwerking beter te verlopen dan anderen. Met behulp van deze informatie kan de samenwerking efficiënt verbeterd worden. Verder blijkt dat de samenwerking van belang is en er voldoende ruimte is voor verbetering. Dit onderzoek geeft daarom een eerste aanzet om verdere aspecten binnen de samenwerking tussen de accountant en IT-auditor bij een jaarrekeningcontrole te onderzoeken. Ten tweede wordt in dit onderzoek de rol van het COBIT 5 raamwerk binnen de jaarrekeningcontrole onderzocht. Er wordt gedacht dat COBIT 5 de kwaliteit van de jaarrekeningcontrole kan verbeteren. Het is daarom interessant om te onderzoeken of de accountant en IT-auditor deze gedachte bevestigen. Zo is er een indruk verkregen in hoeverre COBIT 5 gebruikt wordt en effectief gevonden wordt. Dit is waarschijnlijk het eerste onderzoek dat dit onderzoekt en het sluit daarbij aan op de voorgestelde onderzoeksmogelijkheid van De Haes et al. (2013) om de rol van COBIT 5 bij een jaarrekeningcontrole te onderzoeken. Toekomstig onderzoek kan verder bouwen op dit onderzoek door achterliggende redenen van de resultaten te onderzoeken. Tenslotte is het resultaat dat COSO het meest effectieve en gebruikte raamwerk is relevant. COSO speelt een grotere rol bij de jaarrekeningcontrole met betrekking tot EGIT dan aanvankelijk gedacht. Dit vormt een belangrijk argument om de rol van COSO in de jaarrekeningcontrole verder te onderzoeken.
Dit onderzoek heeft een aantal beperkingen. Ten eerste is het aantal respondenten beperkt. De respons is 89 personen. De vragen over het gebruik van raamwerken kende een nog lagere respons, omdat een deel van de respondenten geen raamwerken gebruikte ten aanzien van EGIT in de jaarrekeningcontrole. Zo gebruikten slechts 41 respondenten de afgelopen twee jaar een raamwerk voor EGIT in de jaarrekeningcontrole. Ten tweede, een aantal hypothesen is getest aan de hand van losse vragen in plaats van een schaal. Het was nauwkeuriger geweest als alle hypothesen door middel van een schaal zouden zijn beantwoord. Ten derde is dit onderzoek algemeen van aard. Er zijn algemene resultaten verkregen over de samenwerking tussen de accountant en IT-auditor en de rol van EGIT en raamwerken in de jaarrekeningcontrole. De achterliggende redenen van de resultaten zijn echter niet onderzocht. Hierdoor blijven veel vragen die de resultaten oproepen onbeantwoord en blijft het onderzoek aan de oppervlakte. Tenslotte is er in dit onderzoek geen specifieke theorie dat als fundament dient voor de hypothesen. De uitkomsten in dit onderzoek kunnen daarom niet met een bestaande theorie verklaard worden.
Naar aanleiding van dit onderzoek kunnen er aantal nieuwe onderzoeksgebieden worden geïdentificeerd. Ten eerste, ten aanzien van de samenwerking tussen de accountant en IT-auditor scoorden de items van onderlinge communicatie van verwachtingen, het onderling delen van ideeën en informatie en constructieve feedback lager. Er kan onderzoek gedaan kunnen worden naar hoe deze specifieke punten verbeterd zouden kunnen
worden. Verder suggereren Bauer en Estep (2014) dat de samenwerking tussen de accountant en IT-auditor verbeterd kan worden door elkaars vakgebied beter te begrijpen. Toekomstig onderzoek kan hierop focussen. Ten tweede is het interessant om de kennis van zowel de accountant als de IT-auditor binnen audit teams te onderzoeken. Zo duiden Brazel en Agoglia (2007) aan dat, wanneer de kennis met betrekking tot EGIT bij de accountant en de IT-auditor relatief laag is, dit van grote invloed is op een effectieve samenwerking. Dit kan te weinig controlewerkzaamheden tot gevolg hebben, wat vervolgens kan resulteren in een onjuist oordeel bij de jaarrekeningcontrole. Dat IT-auditors weinig kennis over EGIT hebben lijkt niet voor de hand te liggen, maar accountants bemerken veel verschillen in competentie tussen IT-auditors (Brazel & Agoglia, 2007). In het vooruitzicht ligt een onderzoeksmogelijkheid om de kennis op het gebied van EGIT van audit teams te onderzoeken. Ten derde is in dit onderzoek vooral een algemene indruk verkregen over de rol van EGIT en raamwerken daarvoor in de jaarrekeningcontrole. Deze algemene resultaten zijn geschikt om een aantal nieuwe onderzoeksgebieden te identificeren. Zo komt als resultaat naar voren dat COSO het meest gebruikte en effectieve raamwerk is voor de beoordeling van EGIT in de jaarrekeningcontrole. Het zou interessant zijn om te onderzoeken waarom dit raamwerk meer gebruikt wordt en effectiever wordt gevonden. Ook waarom COBIT 5 een effectiever raamwerk gevonden wordt dan COBIT 4 is een interessante vraag. Verder kan toekomstig onderzoek focussen op hoe de beoordeling van EGIT tot stand komt in een jaarrekeningcontrole. Hoe worden verschillende raamwerken gebruikt? In de beoordeling van welke aspecten van EGIT wordt COSO, of COBIT 5 gebruikt? Een antwoord op deze vragen zou tot verdere inzichten leiden met betrekking tot de rol van EGIT en raamwerken daaromtrent in de jaarrekeningcontrole. Ten vierde, is het niet duidelijk in hoeverre de standaard formulieren, of programmatuur die het audit proces binnen de grote accountantsorganisatie begeleiden zijn gebaseerd op COBIT 5. Het zou kunnen dat veel elementen van COBIT 5 hierin terugkomen, zonder dat veel accountants, of IT-auditors hierbij stil staan. De overeenkomsten tussen COBIT 5 en het standaard audit proces ten aanzien van EGIT zou onderzocht kunnen worden. Tenslotte kan toekomstig onderzoek uitwijzen of deze resultaten ook van toepassing zijn bij andere accountantskantoren en andere landen.
