• No results found

Motieven voor continuous auditing

N/A
N/A
Info
Downloaden
Protected

Academic year: 2021

Share "Motieven voor continuous auditing"

Copied!
54
0
0

Bezig met laden.... (Bekijk nu de volledige tekst)

Download het nu ( 54 pagina )

Hele tekst

(1)

Motieven voor continuous auditing

Johannes van Luijk

S1688413

(johannes@vanluijk.me)

26 juni 2013

Samenvatting

Continuous auditing is een manier van auditen die, door middel van een continue en geautomatiseerd verzamelen en analyseren van administratieve gegevens, op elk willekeurig moment zekerheid kan bieden bij de financiële verslaggeving van een onderneming. Vergelijkbaar met de manier waarop een automonteur door middel van zijn PDA en de boordcomputer van een auto in een keer de staat van het voertuig kan uitlezen, moet continuous auditing het voor de directie, auditors en risk managers van een onderneming mogelijk maken met een druk op de knop een financieel verslag te genereren.

Terwijl de wetenschap bijzonder enthousiast is, en marktonderzoeken keer op keer aangeven dat er groot interesse is in deze techniek, komt het gebruik van continuous auditing in de praktijk maar met moeite van de grond. Met dit onder-zoek probeer ik inzicht te verschaffen in de drijvende factoren in de adoptie van continuous auditing.

In de wetenschappelijke literatuur wordt met name ingegaan op voordelen in efficiëntie, namelijk snelle detectie van uitzonderingen, nauwkeurige bevindingen en kostenbesparingen door de automatisering van controlewerkzaamheden. Deze voordelen zullen echter moeten worden afgezet tegen de grote investeringen die de ontwikkeling en implementatie van continuous auditing vereist.

In de praktijk blijken de belangrijkste motieven om continuous auditing te willen implementeren te zijn dat snelle en nauwkeurige informatie voor de sturing van een onderneming bijzonder waardevol zijn en dat men verwacht dat continuous auditing een betere manier oplevert om de interne beheersing uit te voeren.

(2)

Voorwoord

Continuous auditing is alsof de accountant kaboutertjes met rugzakjes los laat bij de klant die voor hem controle-informatie verzamelen. Zo schilderde Dick de Waard in een van zijn colleges continuous auditing.

Ik ben bij continuous auditing gekomen vanuit mijn nieuwsgierigheid alles te willen onderzoeken en te willen verbeteren. De mogelijkheden die techniek, en IT in het bijzon-der, de mens kan bieden waren en zijn een bron van fascinatie. Deze nieuwsgierigheid en fascinatie zijn voor mij fundamenten voor wetenschap en onderzoek.

Het heeft mij daarom altijd verbaasd dat de studie accountancy relatief weinig aan-dacht besteedt aan IT, volgens mij een van de meest revolutionaire ontwikkelingen van de laatste 30 jaar. Toen de kans zich voordeed zelf een onderwerp te kunnen kiezen dat vanuit het kader van de accountancy tot een masterscriptie moest leiden, was voor mij duidelijk dat ik het snijvlak van accountancy en IT wilde opzoeken.

Toen ik een aantal mogelijke onderwerpen voorstelde aan Erik Rutkens, deed hij de suggestie dat ik een scriptie zou kunnen schrijven over continuous auditing. Ik had nog niet eerder bij het onderwerp stil gestaan, maar de gedachte van aan continue-on demand audit leek mij helemaal van deze tijd.

Inmiddels is het april 2013 en is mijn scriptie bijna afgerond. De metafoor van de kaboutertjes met rugzakjes blijkt een aardige weergave van continuous auditing, maar nog passender lijkt de metafoor van een automonteur, die uit de boordcomputer kan uit-lezen hoe het met een auto staat. Het onderzoek voor en het schrijven van deze scriptie hebben mij een blik gegeven in de toekomst van de accountancy. Deze toekomst is nog allerminst zeker en vereist nog veel tijd en verandering, maar zij biedt ook mogelijkheden en zij daagt de accountant uit zijn werk opnieuw uit te vinden. Ik ben ervan overtuigd dat de accountancy een interessante toekomst tegemoet gaat, en ben benieuwd wat de toekomst gaat brengen.

Op dit punt wil ik graag diegenen bedanken die mij hebben ondersteund en geholpen in de totstandkoming van deze scriptie. In dit kader wil ik mij in het bijzonder bedanken bij mijn begeleider Age-Jan van der Meer die mij gedurende het hele traject heeft voorzien van suggesties, adviezen en van zijn ervaring.

Bovendien wil ik mij bedanken bij Erik Rutkens, die mij dit onderwerp aanraadde en heeft geholpen bij het arrangeren van een van de interviews, evenals Dennis Stabel en Jeroen Kuper, die zich eveneens hebben ingezet bij het arrangeren van interviews, en de geïnterviewden zelf, die hun tijd, ervaring en inzichten met mij hebben gedeeld.

Verdere dank gaat uit naar KoutersVanderMeer, waar ik tijdens mijn 3 maanden stage een indruk heb kunnen krijgen van de praktijk van IT en auditing, en naar mijn zus, Eva van Luijk, die mij van adviezen en wetenschappelijke ervaring heeft voorzien en grote delen van mijn scriptie heeft proefgelezen.

Tot slot wil ik mij bedanken bij mijn ouders, die niet alleen gedurende mijn scriptie of studie, maar al sinds mijn geboorte achter mij staan, en mij aangemoedigd hebben nieuwsgierig te zijn en te blijven, mijn grenzen en horizon te verleggen, met enthousiasme en hun onvoorwaardelijke steun. Zonder hen had deze scriptie niet tot stand kunnen

(3)

Inhoudsopgave

1 Introductie 5

1.1 Inleiding . . . 5

1.2 Intelligente IT in de Audit . . . 6

1.3 Doel van het onderzoek . . . 7

1.4 Onderzoeksvraag . . . 7

1.5 Relevantie . . . 8

1.6 Inkadering van het onderzoek . . . 9

1.6.1 Accounting change en change management . . . 9

1.6.2 Partijen . . . 10 1.7 Onderzoeksopzet . . . 11 1.8 Structuur . . . 11 2 Interne Beheersing 12 2.1 Inleiding . . . 12 2.2 Inleiding . . . 12 2.3 Samenvatting . . . 12 3 Volwassenheid 13 3.1 Inleiding . . . 13

3.2 De ontwikkeling van volwassenheidsmodellen . . . 13

3.3 De opbouw van een volwassenheidsmodel . . . 14

3.4 Toepasbaarheid van volwassenheid op interne beheersing . . . 16

3.5 Samenvatting . . . 18

4 Continuous Auditing 19 4.1 Inleiding . . . 19

4.2 Onderzoek op het gebied van Continuous Auditing . . . 19

4.3 Definitie . . . 19

4.4 Continuous auditing in engere en in bredere zin . . . 20

4.5 De elementen van continuous auditing . . . 21

4.5.1 Inleiding . . . 21

4.5.2 Continuous Data Auditing . . . 22

4.5.3 Continuous Control Monitoring . . . 22

4.5.4 Continuous Risk Monitoring and Assessment . . . 23

4.5.5 De elementen van een continuous audit . . . 23

4.6 Vormen van continuous auditing implementaties . . . 24

4.6.1 Inleiding . . . 24

4.6.2 Embedded Audit Modules . . . 24

4.6.3 Monitoring Control Layer . . . 25

4.6.4 EAM ghosting . . . 26

4.7 Beperkingen van continuous auditing . . . 27

4.8 Voorwaarden voor continuous auditing . . . 27

4.9 De vraag naar continuous auditing . . . 28

(4)

5 Analyse 30

5.1 Inleiding . . . 30

5.2 De functie van continuous auditing . . . 30

5.3 Verschillende belangen en verwachtingen van continuous auditing . . . . 31

5.4 Welke belangen bepalen de invoeringsbeslissing . . . 33

5.5 Hoe verhoudt continuous auditing zich tot de ontwikkeling van interne beheersing . . . 33

6 Methode 35 6.1 Inleiding . . . 35

6.2 Onderzoeksaanpak . . . 35

6.3 Onderzoeksmethode . . . 36

6.4 Selectie van de interviews . . . 36

6.5 Toelichting bij de uitvoering van de interviews . . . 37

7 Resultaten 38 7.1 Inleiding . . . 38

7.2 Het ontstaan van continuousauditinginitiatieven . . . 38

7.3 De stappen naar een continuousauditingimplementatie . . . 38

7.4 De vorm die continuous auditing aanneemt . . . 39

7.5 Drivers van continuous auditing . . . 39

7.6 De rollen van de betrokken partijen . . . 40

7.7 De investeringsbeslissing . . . 41

7.8 Voorwaarden voor continuous auditing . . . 41

8 Beantwoording van deelvragen 43 8.1 Continuous auditing en de volwassenheid van interne beheersing . . . 43

8.2 De totstandkoming van continuousauditinginitiatieven . . . 44

8.3 Motieven om continuous auditing in te voeren . . . 44

8.4 Factoren die het succes van een continuousauditinginitiatief bepalen . . . 45

9 Conclusie 46 10 Discussie 47 10.1 Beperkingen van het onderzoek . . . 47

10.2 Het onderzoek van KPMG . . . 47

10.3 Aanbevelingen voor de praktijk . . . 48

10.4 Onderwerpen voor toekomstig onderzoek . . . 48

10.5 De toekomst van continuous auditing . . . 49

10.6 Beschouwing over de aanpak en opbouw van het onderzoek . . . 49

10.6.1 Kwalitatief en kwantitatief onderzoek . . . 49

10.6.2 Kwantitativiteit van dit onderzoek . . . 50

10.6.3 Waarom niet voor een kwantitatieve aanpak is gekozen . . . 51

(5)

1 Introductie

1.1 Inleiding

Sinds de industriële revolutie in de 19eeeuw maken mensen meer en meer gebruik van

tech-niek. Wetenschappelijke en technologische vooruitgang creëerden nieuwe gereedschappen en apparaten die voor industriëlen leidde tot productievere arbeiders, en voor de arbeiders het werk makkelijker maakten. Doordat apparaten meer en meer gingen werken voor de mens, ging de levensstandaard omhoog, en ontstond de consument.

In de ontwikkeling van technieken zijn meestal drie stappen te ontdekken. In eerste instantie zijn nieuwe technieken meestal mechanisering van een handeling uit het hand-matige proces. Een gereedschap dat kent geen pijn of verveling en neemt zonder zeuren iedere (deel)taak van de mens over. Hierdoor is voor het zelfde resultaat minder kracht of inspanning nodig.

De tweede stap is dat het gereedschap reageert op zijn omgeving. Net als een mens kan een machine één input in de gaten houden, maar een machine kan zonder moeite ook heel veel inputs bijhouden. Door gebruik van sensoren kunnen veel verschillende toestanden nauwkeurig worden bijgehouden en is er een korte reactietijd. Door deze grotere capaciteit input te verwerken zijn minder mensen nodig om een taak uit te voeren omdat het gereedschap al zelfstandig waarneemt en interpreteert.

In de derde fase wordt het systeem intelligent. Niet alleen worden toestanden bij-gehouden, maar bij de overschrijding van normen kan direct worden ingegrepen. Het systeem kan op basis van zijn sensoren en van te voren vastgelegde normen corrigeren, waardoor de gebruiker vooral toeschouwer wordt.

In het computertijdperk, dat sinds het einde van de 20eeeuw de wereld in hoog tempo

verandert, is een nieuw type gereedschap ontstaan: software. In eerste instantie kon soft-ware overweg met grote hoeveelheden gegevens, en konden complexe of juist enorme hoeveelheden eenvoudige berekeningen efficiënt, snel en nauwkeurig worden uitgevoerd. Door het ontstaan van netwerken en de integratie van computers in bestaande appara-ten, is het mogelijk veel processen gelijktijdig aan te sturen en samen te laten werken. Inmiddels zijn de rekenkundige capaciteiten van computers zodanig dat zij ook intelligent gedrag gaan vertonen en zich inpassen in onze levens. Ze bestuderen onze individuele gewoontes en voorkeuren en passen hun eigen gedrag aan om ons in de toekomst beter te kunnen helpen.

De wereld waarin wij leven is bezaaid met computers die ons met hun intelligente gedrag terzijde staan. Van Amazon dat zijn etalage aankleedt op basis van eerdere aan-kopen, Google dat zijn resultaten aanpast op basis van jouw interessegebieden, tekstver-werkers die hun eigen opmaak regelen, auto’s die tegensturen wanneer de rijbaan verlaten wordt, laptops die de helderheid van het scherm aanpassen op basis van het licht in de ka-mer tot de TomTom die de files kent en vermijdt. Dit jaar heeft IBM een nieuwe mijlpaal gezet door in het quizprogramma Jeopardy zijn computer Watson de beste kandidaten ooit te laten verslaan1.

Intelligente assistenten maken onze levens makkelijker, efficiënter, veiliger en leuker, door daar waar de capaciteiten van de mens tekortschieten preciezer, sneller, alerter of

1Zie oa. hetnieuwsberichtop CNN, laatst bekeken op 21 maart 2013.

(6)

beter op de hoogte te zijn. Door de techniek de mens te laten dienen zijn onze levens niet meer te vergelijken met het leven aan het begin van de 19e eeuw.

1.2 Intelligente IT in de Audit

Ook bij de accountantscontrole kan het gebruik van intelligente IT bijdragen aan de betrouwbaarheid, de efficiëntie en de tijdigheid van de audit.

In de eerste fase, mechanisering, worden de fysieke eigenschappen van de mens over-troffen. De computer heeft de capaciteit grote hoeveelheden data snel en nauwkeurig te kunnen verwerken. Door deze data met logische regels te toetsen of analyseren maken efficiënte, integrale, gegevensgerichte detailcontroles het gebruik van schattingen, steek-proeven en oordeelonthoudingen overbodig.

In de tweede fase gaat software reageren op zijn omgeving. De zintuigelijke capaci-teiten van de mens worden in software overschreden doordat software honderden gepro-grammeerde "zintuigen" in de gaten kan houden. Deze capaciteit maakt het mogelijk om computers werk te laten doen waarvoor veel verschillende elementen bewaakt moeten worden, daar waar het behouden van een goed overzicht voor mensen moeilijk is. Dit is bijvoorbeeld toe te passen door de planning van voortgangsbewaking van de audit over te laten aan software.

In de derde fase, intelligentie, krijgt software de capaciteit om, op basis van logische regels, beslissingen te kunnen maken. Dit stelt de software in staat om de data-analyse uit de eerste fase meer autonoom uit te voeren, en zelf de resultaten te analyseren. Terwijl het nog niet duidelijk is of logische regels zodanig op te stellen zijn dat computers net zo genuanceerd kunnen oordelen als mensen, hebben zij bijvoorbeeld op gebied van objectiviteit een voordeel.

Software die autonoom en continu gegevens verzamelt en verwerkt vormt de kern van continuous auditing. Continuous auditing is een belangrijke trend voor het vakgebied van de accountant. In de wetenschappelijke literatuur wordt continuous auditing vaak beschouwd als de toekomst van de financial audit (Rezaee, Elam en Sharbatoghlie, 2001), en voor beroepsbeoefenaars is het inmiddels een bekende term geworden. Ook het verken-nende onderzoek van de Noord-Amerikaanse beroepsorganisaties CICA en AICPA (1999) geeft aan dat continuous auditing een serieus te nemen ontwikkeling is.

Sinds het verslag van het CICA en het AICPA uit 1999 zijn onder andere de grote accountantskantoren aandacht gaan besteden aan het fenomeen continuous auditing, en onderzoeken mogelijkheden om continuous auditing vorm te geven en praktisch in te kunnen zetten. Onder andere KPMG (2008, 2012), PWC (2006, 2012) en Deloitte (2010) hebben rapporten uitgebracht waarin zij het interesse en gebruik van continuous auditing bij klanten gepolst hebben.

Een aantal grote bedrijven, is aan het experimenteren met continuous auditing im-plementaties, en AT&T, HSP en Siemens2 hebben inmiddels werkende implementaties in

gebruik. Desalniettemin lijkt continuous auditing nog niet op grote schaal door te breken in de praktijk.

Een van de elementen die bij het verkennen van de literatuur opviel is dat meerdere vormen beschreven worden waarin continuous auditing vorm gegeven kan worden,

(7)

ver-de literatuur wordt echter weinig in gegaan op het voorver-deel dat continuous auditing het bedrijf biedt, en welk voordeel bepalend is in het besluit deze techniek toe te passen.

De gesprekken die ik gevoerd heb om het onderwerp voor deze scriptie te bepalen tekenen een zelfde beeld. Er is onder interne en externe auditors, controllers en anderen in financiële functies veel interesse voor continuous auditing. Bij gesprekken waar mijn scritpieonderwerp aan de orde komt, blijken veel mensen in financiële functies meteen getriggerd. De meeste mensen hebben "van horen zeggen", en sommigen hebben een visie het onderwerp. Dieper ingaand op het onderwerp blijkt dat de definities van continuous auditing sterk verschillen en de inhoudelijke betekenis van de term vaak niet duidelijk is. Samenvattend wordt van alle kanten gesignaleerd dat continuous auditing de potentie heeft de praktijk van de accountantscontrole te beïnvloeden. Wat continuous auditing inhoudt is, in ieder geval onder accountants, consultants en door de accountant gecon-troleerde bedrijven, niet uniform duidelijk en vindt tot nu toe beperkte toepassing. Als gevolg daarvan is niet duidelijk welke waarde continuous auditing toevoegt. Dit gebrek aan begrip over de betekenis van en de motieven voor continuous auditing maakt dat de adoptie nog maar langzaam vordert.

1.3 Doel van het onderzoek

De bedoeling van dit onderzoek is inzicht te krijgen in functies van continuous auditing en of zij een motief vormen in de totstandkoming van continuous auditing in de praktijk. Hiertoe wil ik in kaart brengen welke doelen/motieven zijn er voor continuous auditing, welke verwachtingen bestaan er ten aanzien van continuous auditing en wie de zijn aanja-gers van continuous auditing zijn binnen ondernemingen. Door het enthousiasme voor het concept in kaart te brengen wordt duidelijk welke functie, welk nut, continuous auditing heeft en hoe het bijdraagt informatievoorziening binnen en door de organisatie. Hierbij is het de bedoeling de continuous auditing te plaatsen in het kader van de ontwikkeling van de interne beheersing.

Al met al gaat dit onderzoek voor ondernemers schetsen welk voordeel zij van conti-nuous auditing mogen verwachten, en hoe het kan bijdragen aan de ontwikkeling van de interne beheersing van hun onderneming. Anderzijds levert dit onderzoek de wetenschap inzicht in waar de praktische relevantie van continuous auditing ligt, en welke meerwaarde adoptie bevordert.

1.4 Onderzoeksvraag

De kern van dit onderzoeksdoel wordt samengevat in de onderzoeksvraag:

Wat zijn de functies van continuous auditing, hoe dragen deze functies bij aan de ontwikkeling van de interne beheersing, en in hoeverre vormen deze functies een motief in de totstandkoming van continuousauditinginitiatieven?

Het gebruik, en in het bijzonder de invoering, van continuous auditing wordt gerechtvaar-digd door de functie die het heeft voor de gebruiker. Met name accountants, controllers en IT-afdelingen en -consultants zullen inhoudelijk met continuousauditingsystemen te maken krijgen. Als onderdeel van de interne beheersing is continuous auditing een factor die de effectiviteit van de interne beheersing beïnvloedt.

(8)

Om de hoofdvraag te beantwoorden is deze in een drietal onderdelen opgedeeld. Deze onderdelen bouwen naar een antwoord op de hoofdvraag.

1. De volwassenheid van de interne beheersing (a) Wat is interne beheersing?

(b) Wat is volwassenheid?

(c) Hoe beschrijft volwassenheid de ontwikkeling van interne beheersing? 2. Functie van continuous auditing

(a) Wat is continuous auditing?

(b) Wat is de relatie tussen continuous auditing en de volwassenheid van interne beheersing?

(c) Hoe wordt continuous auditing vorm gegeven? 3. Conclusies

(a) Hoe komen continuousauditinginitiatieven tot stand? (b) Wat zijn de motieven om continuous auditing in te voeren?

(c) Welke factoren bepalen het succes van een continuousauditinginitiatief?

1.5 Relevantie

Dit onderzoek voegt op een aantal manieren toe aan de literatuur over continuous audi-ting. De eerste bijdrage bestaat er uit de invoering van continuous auditing in het kader van een accounting change model te plaatsen. Het model van ter Bogt en van Helden (2000) beschrijft hoe een verandering in een accountingsysteem tot stand komt. Dit on-derzoek kijkt in het bijzonder naar het ontstaan van het voornemen continuous auditing te implementeren. Daartoe wordt een vergelijking gemaakt tussen de verwachtingen in de theorie en motieven in de praktijk, en wordt continuous auditing in het kader van ontwikkeling van de interne beheersing geplaatst.

Op het gebied van accounting change is in de context van continuous auditing nog nauwelijks onderzoek gedaan. De literatuur besteedt voornamelijk aandacht aan de theo-retische grondslag van continuous auditing. Daarbij wordt vooral gekeken naar de impact die continuous auditing zou kunnen hebben op de uitvoering van de audit (Vasarhelyi, Alles en Williams, 2010), potentiële voordelen van continuous auditing (Alles, Brennan e.a., 2006) en methoden die gebruikt kunnen worden om continuous auditing te imple-menteren (Chen, Zhang en Jiang, 2007; Vasarhelyi, Alles en Kogan, 2004). Alles, Kogan en Vasarhelyi constateren dat continuous auditing een concept is dat ontwikkeld is door academici, die veel hebben geschreven over concepten en mogelijkheden, en dat er nog een gebrek is aan onderzoek naar de werking van het concept in de praktijk.

(9)

deze bijdraagt aan de audit. Daarbij is gekozen voor een technische invalshoek. Alles, Brennan e.a. onderzochten of, en hoe, het technisch mogelijk is een audit vast te leggen zodat deze voor uitvoering door computers geschikt is. Tevens werd onderzocht of met een dergelijke vastgelegde procedure een continuousauditingsysteem te ontwikkelen is en dit zodanig in te zetten is dat de accountant hierop kan steunen. Er is geen onderzoek bekend dat het totstandkomingsproces van een continuousauditingimplementatie analyseert en daarmee de verwachtingen in de praktijk en theorie vergelijkt.

De tweede bijdrage van dit onderzoek zit in de verbinding die gelegd wordt tussen de ontwikkeling van interne beheersing als proces en de rol die continuous auditing daarin speelt. Sinds het ontstaan van het Capability Maturity Model (M.C. Paulk e.a., 1993) wordt volwassenheid gebruikt om de ontwikkeling van processen uit te drukken. Ramos (2004) past het concept van volwassenheid toe in de context van interne beheersing. Dit artikel kijkt naar de concrete invulling van dit kader, en probeert continuous auditing hierin te plaatsen.

1.6 Inkadering van het onderzoek

1.6.1 Accounting change en change management

Om deze de invoering van continuous auditing een kader te bieden maak ik gebruik van het accounting change model gebaseerd op dat van ter Bogt en van Helden (2000). Dit model is ontwikkeld op basis van een studie naar een verandering in de financiële organisatie van Nederlandse gemeenten. Met dit model beschrijven zij de factoren die een rol spelen in het proces van deze accounting change, van de prikkels die het proces veroorzaken tot de resultaten. Het volledige model van ter Bogt en van Helden is gebaseerd op meer generieke change management modellen van onder andere Burns en Scapens (2000), Cyert en March (1963) en Shields en Young (1989), en is te vinden als figuur 1 op pagina 10.

Het model van ter Bogt en van Helden (2000) begint bij interne en externe druk voor accounting change, een reden om te veranderen. Deze druk veroorzaakt een politiek spel waarin initiators, de cultuur en de doelen van een organisatie een rol spelen. Het uiteindelijke resultaat neemt door de fasen heen een aantal vormen aan. In eerste instan-tie ontstaat er een ideaalbeeld van de werking van de verandering, het ideal concept of accounting change. Met dit ideaalbeeld als uitgangspunt wordt een implementatie gere-aliseerd die beperkt wordt door hetgeen technisch haalbaar is en voor alle betrokkenen werkbaar is, de formal accounting change. Tot slot is de reële werking, de actual ac-counting change, het resultaat van de mate waarin de voordelen van de nieuwe financiële organisatie ook daadwerkelijk worden benut.

Ter Bogt en van Helden leggen in hun artikel de nadruk op het development gap en het usage gap, de verschillen tussen de ideale en de gerealiseerde implementatie respectievelijk de gerealiseerde en de reële accounting change. Omdat de nadruk in dit onderzoek ligt op het proces tot aan de daadwerkelijke implementatie van continuous auditing wordt de actual accounting change buiten beschouwing gelaten. Bovendien is de organisational culture van een secundair belang omdat deze alleen nog maar een indirecte werking heeft, via de enablers. Ook de verschillen tussen ideale, gerealiseerde en reële implementatie doen voor dit onderzoek niet te zake.

(10)

betreft het doel van het model een aantal elementen is weggelaten. De gebruikte variant van het model is te vinden als figuur 4 op pagina 44. In dit compactere model interpreteer ik het ideal concept of accounting change als de visie die de initiator heeft, gegeven de doelen van de organisatie. Dit kan worden gezien als de rol die continuous auditing moet gaan spelen. De enablers bestaan uit 2 typen, de technische mogelijkheden om continuous auditing te implementeren en de afdelingen en functionarissen die belangen hebben bij de invoering van continuous auditing. De formal accounting change wordt in dit onderzoek geïnterpreteerd als het uiteindelijke voorstel tot implementatie van de initiatiefnemer en de enablers, dat tot een daadwerkelijke implementatie moet gaan leiden.

1.6.2 Partijen

Figuur 1: Het model voor accounting change van ter Bogt en van Helden (2000)

Doel van het onderzoek is inzicht te krijgen in de functies van conti-nuous auditing en mo-tieven voor de totstand-koming van continuous auditing. De motieven om continuous auditing in te voeren zijn afhanke-lijk van het gezichtspunt vanwaaruit het wordt beschouwd. Elk van de bij interne beheersing betrokken partijen heb-ben een belang bij conti-nuous auditing vanwege de voordelen die het hen oplevert. Om deze be-langen te kunnen bepa-len is het essentieel vast te stellen welke partijen betrokken zijn bij de in-terne beheersing en po-tentieel voordeel hebben van continuous auditing. Interne beheersing is een administratief sys-teem dat de onderne-ming voorziet in

be-trouwbare informatie over de prestaties. De voornaamste functies die een rol spelen bij de interne beheersing zijn de financiële functies. Zij voeren de werking van de interne

(11)

van een onderneming vormen.

Naast deze vier functies bestaan ook functies die de werking van de interne beheersing monitoren. Dit zijn de interne auditor (Soltani, 2007), de externe auditor en de directie. De interne en externe auditors zijn betrokken bij de interne beheersing omdat zij op de werking hiervan steunen voor hun werkzaamheden en daarvoor de werking ook moeten vaststellen. De directie is een belangrijk gebruiker van de informatie waarin de interne beheersing voorziet, maar heeft ook de rol over de invoering van continuous auditing te beslissen, de laatste stap in het proces dat dit onderzoek behandelt.

1.7 Onderzoeksopzet

Het doel van dit onderzoek is inzicht te krijgen in de functies van continuous auditing en de motieven voor de totstandkoming van continuous auditing. Omdat nog maar weinig wetenschappelijke literatuur bestaat ten aanzien van de invoering van continuous auditing en de motieven daarin, is gekozen voor een kwalitatief onderzoek met een exploratief karakter, gebaseerd op een kritische onderzoeksfilosofie.

Dit onderzoek bestaat uit een literatuurstudie en een vergelijking daarvan met de praktijk. De literatuurstudie verkent de onderwerpen, de overlap tussen die onderwerpen en vormt de theoretische basis voor de rest van het onderzoek. De literatuurstudie be-antwoordt ook een aantal deelvragen. De resultaten van de literatuurstudie zullen met de praktijk worden vergeleken op basis van semi-gestructureerde interviews.

De keuze voor de vorm en de aard van het onderzoek en de vorm van de interviews wordt nader toegelicht in hoofdstuk 6.

1.8 Structuur

De structuur van deze scriptie is zodanig opgebouwd dat ieder hoofdstuk voortbouwt op de eerdere hoofdstukken. De inleiding wordt gevolgd door een verkenning van de theorie. In deze verkenning worden de begrippen continuous auditing, interne beheersing en vol-wassenheid uitgediept als basis voor de analyse en om antwoord te geven op een aantal van de deelvragen. Het daarop volgende deel is een analyse van de theorie en legt een verband tussen continuous auditing, volwassenheid en interne beheersing. Op basis van deze analyse worden verdere deelvragen beantwoord, en worden enkele scenario’s en ver-wachtingen geschetst. Hierna wordt de onderzoeksfilosofie en -methode nader uitgewerkt en toegelicht, en worden de resultaten van het praktijkonderzoek gepresenteerd. Tot slot worden in de conclusie de laatste deelvragen beantwoord, leidend tot een antwoord op de onderzoeksvraag. Tot slot bespreek ik in de discussie de beperkingen van mijn on-derzoek, een visie op de toekomst van continuous auditing en mogelijke richtingen voor vervolgonderzoek.

(12)

2 Interne Beheersing

2.1 Inleiding

Interne beheersing is een centraal begrip in de administratieve structuur van ondernemin-gen. Dit hoofdstuk bespreekt de ontwikkeling en de definitie van de interne beheersing. Daarmee beantwoordt dit onderzoek ook deelvraag 1a.

2.2 Inleiding

De oorsprong van het vakgebied interne beheersing is te vinden in de administratieve organisatie, het administratief apparaat van een onderneming. De primaire doelstelling hierbij was te rapporteren over de operaties.

Naarmate men zich meer bewust werd van de mogelijkheden die verscholen lagen in de geregistreerde informatie is van deze informatie meer en meer gebruik gemaakt. Door nieuwe ontwikkelingen in onder andere ICT is de informatie opgenomen in een meer en meer georganiseerd systeem van registratie, wat gebruikt wordt om de performance te meten. De beschikbaarheid van uitgebreidere en meer gedetailleerde informatie maakt het mogelijk om de interne verantwoording op een nauwkeuriger niveau vast te stellen en zo ook risico’s te bewaken en signaleren.

Interne beheersing gaat nog een stap verder door rollen van management accounting en management control op te nemen, met als doel op de verzamelde informatie te sturen. Vanuit deze benadering wordt interne beheersing gedefinieerd als:

Het systeem dat het management in staat stelt om de risico’s, die het behalen van doelstellingen van de organisatie bedreigen, te identificeren, te prioriteren, te analyseren en te beheersen. (Emanuels, 2005, p. 8)

In deze definitie richt interne beheersing zich op het organiseren en waarborgen van be-trouwbare besturings- en beheersingsinformatie voor de bestuurders van de onderneming. Beheersingsinformatie is bottom-up informatie waarmee verantwoording wordt afgelegd over het functioneren van de onderneming. Deze informatie dient als instrumentenpaneel dat bestuurders kunnen gebruiken om hun koers te bepalen. Besturingsinformatie is de top-down informatiestroom waarmee de door directie de gekozen koers wordt gecommu-niceerd naar de lagen van de onderneming.

2.3 Samenvatting

Deelvraag 1a: Wat is interne beheersing?

Interne beheersing is het systeem dat de directie van een onderneming door middel van be-trouwbare besturings- en beheersingsinformatie in staat stelt de koers te bepalen waarop de onderneming haar doelen zo goed mogelijk bereikt en deze koers in de praktijk te

(13)

3 Volwassenheid

3.1 Inleiding

De bedoeling van dit onderzoek is inzicht te krijgen in functies van continuous auditing en de motieven voor de totstandkoming van continuous auditing in een onderneming. Deze motieven komen voort uit de verbetering of ontwikkeling van de interne beheersing die de functies van continuous auditing opleveren. De mate waarin de interne beheersing ontwikkeld is, wordt (voor dit onderzoek) gemeten in de volwassenheid van het interne beheersingsproces.

De volwassenheid van een proces is een maatstaf om te meten in hoeverre de organi-satie van een proces ontwikkeld is. Volwassenheid beschrijft niet in hoeverre de in een proces gebruikte techniek geavanceerd of complex is, en meet dus niet efficiëntie of effec-tiviteit van een proces. De volwassenheid van een proces is vooral een beoordeling van de manier waarop een proces is georganiseerd. Als grondslag hiervoor worden de mate en vorm waarin een proces is georganiseerd en gestructureerd, en de mate waarin het proces is geïntegreerd met andere processen beoordeeld. De gedachte is dat een beter georganiseerd proces meer voorspelbare, gelijkmatige resultaten oplevert dan een minder georganiseerd proces.

Doel van volwassenheidsmodellen is voor het bestuur van een organisatie inzichtelijk te kunnen maken hoe ver zij zijn in de ontwikkeling van hun proces. Aan de hand van het model kunnen zij tevens bepalen welk niveau adequaat is voor de organisatie, en wat zij nog moeten verbeteren om op dat niveau te komen (M.C. Paulk e.a., 1993; Pederiva, 2003).

3.2 De ontwikkeling van volwassenheidsmodellen

De eerste volwassenheidsmodellen, waarvan het Capability Maturity Model (kortweg: CMM) van het Software Engineering Institute (M. Paulk, 1993) het meest voorkomende en het meest invloedrijke is, hebben hun oorsprong in de wereld van de softwareontwik-keling. Bij het ontwikkelen van software werken meestal een aantal ontwikkelaars samen aan duizenden of honderdduizenden regels code. Daarbij bestaat al snel het risico op inconsistentie tussen verschillende passages van de code. Zelfs de kleinste inconsistenties kunnen de code of het ontwikkelde programma onbruikbaar of onveilig maken, of leiden tot onjuist functioneren van de software. Daaruit is de behoefte ontstaan aan een goed gestructureerd ontwikkelingsproces, wat consistentie en gelijkmatigheid in de ontwikke-ling van software mogelijk maakt, en daarmee voor continuïteit in de resultaten van de ontwikkeling zorgt. Om deze voorspelbare, gelijkmatige resultaten mogelijk te maken is een volwassen proces nodig.

Na verloop van tijd is de toepassing van volwassenheidsmodellen verbreed. Sinds de introductie van het CMM, begin jaren ’90, zijn er veel varianten op dit model ontstaan vanuit de gedachte dat ook buiten de softwareontwikkeling een gestructureerde organisatie van processen leidt tot betere resultaten. De meeste van deze modellen richten zich op projectmanagement. Omdat software vaak in projecten wordt ontwikkeld, én omdat de functionarissen in meer permanente processen al van nature hun werkwijze zullen harmoniseren, lijkt de toepasbaarheid van volwassenheidsmodellen in eerste instantie

(14)

voor projectmanagement voor de hand te liggen.

3.3 De opbouw van een volwassenheidsmodel

Figuur 2: De 5 fasen van volwassenheid vol-gens het CMM, en de overgang daartussen. Een belangrijk kenmerk van het CMM (en

daarvan afgeleide modellen) is het onder-scheiden van een vijftal fasen in de vol-wassenheid van het ontwikkelproces, in de vorm van de in de psychologie veel-gebruikte Likertschaal. Deze schaal be-staat uit een oneven aantal (meestal 5) fa-sen/mogelijkheden, waarbij de nadruk ligt op het midden, wat een neutrale situatie representeert. Van deze neutrale situatie kan in positieve of negatieve richting wor-den afgeweken. Een veel voorkomende variant van de likertschaal is geheel oneens -oneens - geen mening - eens - geheel eens. Een tweede element wat voor alle modellen terugkeert is dat het volwassenheidsmodel in eerste instantie een organisatie vooral de mogelijkheid biedt zich bewust te worden in hoeverre het proces volwassen is. In de tweede plaats biedt volwassenheid ook een roadmap die in hoofdlijnen aangeeft waar de organisatie zich verder moet

ontwikke-len, wil zij een grotere mate van maturity bereiken.

Het CMM hanteert de volgende vijf fasen. Initieel (1), Herhaalbaar (2), Vastgelegd (3), Gecoördineerd (4) en Optimaliserend (5). Deze verdeling is in de onderstaande tabel 1 in generieke vorm uitgewerkt.

Niveau Betekenis van deze mate van volwassenheid in het CMM

Initieel De organisatie vormt geen stabiele, betrouwbare omgeving om soft-ware in te ontwikkelen. Door het ontbreken van sturing door de managers en de afwezigheid van vastgelegde procedures komen de kwaliteiten van de ontwikkelaars niet tot hun recht.

Door het gebrek aan documentatie verandert de werkwijze continue, waardoor de kwaliteit, kosten en tijdigheid van het eindproduct ge-heel onvoorspelbaar zijn. Het resultaat is volledig afhankelijk van de kwaliteit van de manager die het project leidt, en de kennis, kunde en motivatie van de individuele ontwikkelaars.

(15)

Niveau Betekenis van deze mate van volwassenheid in het CMM (vervolg) Herhaald Bij het plannen en organiseren van nieuwe ontwikkeltrajecten wordt gebruik gemaakt van eerder opgedane ervaringen, om op die manier bij eerdere projecten behaalde successen te kunnen herhalen. Door bij het aannemen van nieuwe opdrachten voort te bouwen op opgedane ervaringen kunnen betrouwbaarder afspraken worden gemaakt over de kosten en tijdigheid van de opdracht. Hiermee schept het management een meer stabiele omgeving bij het werken aan een project.

Vastgelegd Er is een gedocumenteerd standaardproces voor de ontwikkeling van software, waarin procedurele en operationele processen gezamenlijk in een consistent geheel worden samengevoegd. Organisatiebreed maken managers en programmeurs zich dit proces door middel van training eigen.

Op dit niveau van volwassenheid zijn de resultaten gestandaardi-seerd en consistent, doordat de processen van zowel het manage-ment als de programmeurs herhaalbaar en gedocumanage-menteerd zijn, waardoor rollen, activiteiten en interpretatie binnen de gehele or-ganisatie uniform zijn.

Gecoördineerd Op basis van kwantitatieve doelstellingen wordt de werking van de processen bewaakt. De effectiviteit en kwaliteit van de processen wordt constant bijgehouden. De hierop gebaseerde normen worden gebruikt voor een continue evaluatie van de werking van het pro-ces. Bij overschrijding van de efficiëntie marges wordt onderscheid gemaakt tussen een inefficiënt proces en ruis.

Op dit niveau zijn de resultaten van het proces constant, omdat de resultaten continue gemeten worden. Het proces opereert binnen meetbare marges, waardoor het resultaat een constante, hoge kwa-liteit heeft. Overschrijding van de marges wordt opgemerkt, en het proces wordt bijgestuurd.

Optimaliserend De organisatie is gefocust op continue verbetering van het proces. Sterktes en zwaktes worden proactief gezocht en leiden tot een ver-anderd proces. Deze veranderingen worden beoordeeld door de re-sultaten te vergelijken met de opgebouwde normen, en worden zij bij positieve resultaten bij andere processen geïntroduceerd. Wan-neer in een proces fouten worden gemaakt worden deze geanalyseerd om herhaling te voorkomen.

Op het optimaliserende niveau wordt constante verbetering nage-streefd, door de processen incrementeel aan te passen en nieuwe technieken toe te passen.

Tabel 1: Overzicht van het CMM, gebaseerd op M. Paulk (1993)

(16)

3.4 Toepasbaarheid van volwassenheid op interne beheersing

In het kader van dit onderzoek wordt onderzocht welke invloed continuous auditing heeft op de volwassenheid van de interne beheersing. Als model voor de volwassenheid van de interne beheersing maak ik gebruik van het Internal Control Reliability Model dat Ramos (2004) beschrijft in zijn artikel. Terwijl dit model zichzelf niet expliciet een volwassenheidsmodel noemt, is het wel als zodanig te beschouwen. Dit enerzijds omdat het model, zo vermeldt Ramos (2004) expliciet in zijn artikel, is gebaseerd op het CMM, en anderzijds omdat de gedachte van het model is dat een beter georganiseerd proces meer betrouwbare resultaten oplevert.

Het is niet vanzelfsprekend dat het concept van volwassenheid ook in de context van interne beheersing toe te passen is. Ondanks dat Ramos hier in zijn artikel weinig aandacht aan besteedt en het model van Ramos niet in andere artikelen wordt aangehaald ben ik van mening dat het concept van volwassenheid goed toe te passen is op interne beheersing.

Het idee achter het volwassenheidsconcept is dat een volwassener proces snellere, con-sistentere, efficiëntere en betrouwbaardere resultaten oplevert, en de organisatie daarmee een voordeel biedt. Software ontwikkeling is een gebied dat gezien zijn aard veel baat heeft bij een consistent en betrouwbaar proces. Terwijl sommige processen hier minder afhankelijk van zijn, is de consistentie en betrouwbaarheid bij interne beheersing wel de-gelijk van belang. Vanuit een wettelijke verplichting, maar ook ten behoeve van interne getallen, nodig voor de sturing van het bedrijf, ligt het zwaartepunt bij interne beheersing vooral op de juistheid, volledigheid en tijdigheid van informatie. Volwassenheid meet dus voor interne beheersing relevante aspecten, en kan gebruikt worden om de kwaliteit van de interne beheersing te beoordelen.

Dat volwassenheid een in de context van interne beheersing relevant aspect is, blijkt ook uit de aandacht die interne beheersingsframeworks en de gebruikers daarvan besteden aan volwassenheidsmodellen. Vanuit de beroepspraktijk heeft onder andere PWC een volwassenheidsmodel, dat gebruikt wordt voor de beoordeling van de werking van de interne beheersing. Als onderdeel van IT controlframework COBiT zijn inmiddels ook volwassenheidsmodellen opgenomen voor de verschillende aandachtsgebieden binnen het framework. COBiT geeft aan dat deze volwassenheidsmodellen afgeleid zijn van een generieke vorm van het CMM, en ingevuld voor het specifieke proces en bedoeld zijn als benchmark en roadmap, om de ontwikkeling van de processen te kunnen meten en toetsen aan de gestelde of beoogde norm, om aan te geven welke gaten in de ontwikkeling van de (COBiT) processen nog overbrugd moeten worden om deze op het juiste niveau te krijgen. In COBiT wordt geopperd dat deze volwassenheid gecertificeerd zou kunnen worden.

In het model dat Ramos (2004) in zijn artikel beschrijft ontwikkelen zich in eerste instantie de formele documentatie en procedures van de interne beheersing en het be-wustzijn van het belang van de interne beheersing binnen de onderneming. De laatste fasen kenmerken zich met name door interne beheersing op te nemen in de cultuur van de onderneming en de bewaking van de werking van de interne beheersing. Het door Ramos beschreven model is samengevat in tabel 2.

(17)

Niveau ICRM van Ramos (2004)

Initieel Het interne beheersingsbeleid is ad-hoc en niet gedocumenteerd. De beheersingsdoelen zijn niet eenduidig geformuleerd en worden niet uniform geïnterpreteerd. Er is geen structurele behandeling van de beheersingsdoelen, waardoor een fundament voor een consistent beheersingsbeleid ontbreekt.

Effectiviteit van de interne beheersing is volledig afhankelijk van de kennis, vaardigheid en de integriteit van de individuele medewer-kers.

Herhaald Door informele communicatie over de interne beheersing bestaan gemeenschappelijkheden in uitvoering van de interne beheersing, maar deze zijn slechts schaars gedocumenteerd. Het management is zich bewust van het bestaan en het belang van interne beheer-sing, maar beschouwt dit als een losstaand en niet als een integraal onderdeel van de bedrijfsvoering.

Doordat men onderling beter op de hoogte is en processen consis-tenter uitvoert, wordt het interne beheersingsrisico gereduceerd. Systematisch De oorspronkelijk versnipperde interne beheersing krijgt een meer

ontwikkelde vorm waarin vanaf een centraal niveau een meer uni-forme beheersing wordt nagestreefd. Deze krijgt vorm door sa-menhangende maatregelen, die consistent zijn gedocumenteerd en geformuleerd. Het management is zich bewust van het belang van interne beheersing als een integraal onderdeel van de bedrijfsvoe-ring en investeert in de ontwikkeling en operatie van een systeem van interne beheersing.

Gedegen interne beheersing is niet meer afhankelijk van de ken-nis en vaardigheid van het individu, maar is een resultaat van de inspanning van de organisatie als geheel.

Geïntegreerd De interne beheersingsmaatregelen maken een integraal onderdeel uit van de processen in de onderneming, en zijn ook noodzakelijk en inherent geworden voor de goede uitvoering. Het management begrijpt de noodzaak van en welke middelen nodig zijn voor een effectieve interne beheersing. Interne beheersing is een belangrijk onderdeel van de opleiding van medewerkers.

De opzet en werking van de interne beheersing worden periodiek beoordeeld, en waar nodig verbeterd.

(18)

Niveau ICRM van Ramos (2004) (vervolg)

Optimaliserend De interne beheersingsmaatregelen maken een integraal onderdeel uit van de processen in de onderneming, en zijn ook noodzakelijk en inherent geworden voor de goede uitvoering. Het management houdt zich actief bezig met en prikkelt de constante verbetering van de aanwezige interne beheersing.

Interne beheersing is een vanzelfsprekendheid voor zowel de mede-werkers als het management, en is onderdeel van de cultuur. De betrouwbare werking van de interne beheersing wordt continu en real-time bewaakt.

Tabel 2: Overzicht van het ICRM, gebaseerd op Ramos (2004)

3.5 Samenvatting

Deelvraag 1b: Wat is volwassenheid?

De volwassenheid van een proces geeft aan hoe ver een proces is ontwikkeld. Wanneer processen zich verder ontwikkelen gaan zij zich in eerste instantie meer structureren en organiseren. Hogere niveaus van volwassenheid worden bereikt door de werking van de processen te monitoren en actief te verbeteren. Een volwassen proces heeft constante resultaten, en is daardoor betrouwbaarder.

Deelvraag 1c: Hoe beschrijft volwassenheid de ontwikkeling van interne beheersing? Het ICRM van Ramos is een op het CMM model dat het volwassenheidsconcept toe-past op interne beheersing. Dit model richt zich met name op de betrouwbaarheid van de interne beheersing in het kader van SOx 404. De volwassenheid van interne beheer-sing blijkt volgens dit model met name uit de mate waarin de beheerbeheer-singsmaatregelen consistent worden uitgevoerd, samenhangend zijn opgebouwd en in hun werking worden bewaakt.

De eerste fasen van volwassenheid worden doorlopen door interne beheersing formeel vast te leggen en de gebruikers bewust te maken van het belang van interne beheersing. De laatste fasen worden bereikt doordat interne beheersing een vanzelfsprekendheid wordt in de onderneming en de werking van de interne beheersing wordt bewaakt.

(19)

4 Continuous Auditing

4.1 Inleiding

Continuous auditing is het gebruik van intelligente software om de audit van de finan-ciële verslaggeving geautomatiseerd en continu uit te kunnen voeren. Deze technologie zal de accountant veel tijd besparen omdat deze alleen nog de meest complexe of ver-dachte gevallen hoeft te beoordelen. Vasarhelyi en Halper (2002) omschrijven dit als de mogelijkheid tot audit by exception. Doordat de betrouwbaarheid van de administratieve informatie continu wordt gecontroleerd kan deze ook continu worden gerapporteerd. In de praktijk zal deze publicatie niet real-time gebeuren, maar vooral met een kleinere in-terval, zo stellen Alles, Kogan en Vasarhelyi (2002), en spreken daarom van on-demand audit.

Het vervolg van dit hoofdstuk is als volgt. Eerst volgt een verklaring van de behoefte aan continuous auditing, met daarna een globaal overzicht van het onderzoeksveld. Ver-volgens wordt de definitie van continuous auditing behandeld, wordt onderscheid gemaakt tussen verschillende vormen en methodologiën van continuous auditing en wordt conti-nuous auditing in het kader geplaatst van interne beheersing. Ter afronding volgt nog een samenvatting.

4.2 Onderzoek op het gebied van Continuous Auditing

De eerste vormen van continuous auditing zijn eind jaren ’80 ontstaan bij Bell Labora-tories (tegenwoordig AT&T). Deze continuous auditing implementatie is mede tot stand gekomen door Vasarhelyi, die al in 1991 een artikel gewijd heeft aan zijn ervaringen bij Bell. Sindsdien is Vasarhelyi een van de meest terugkerende namen geworden in de li-teratuur over continuous auditing. Naast de vele artikelen die hij geschreven heeft is hij ook tweede auteur voor veel van de artikelen van Kogan en Alles, beide auteurs van meerdere artikelen over continuous auditing. Zij zijn allen verbonden aan Rutgers Univer-sity. Andere vooraanstaande namen zijn Rezaee en Debreceny. Een ander toonaangevend onderzoek is dat van de Noord-Amerikaanse beroepsorganisaties CICA en AICPA die in 1999 een rapport publiceerden dat maatstaven formuleerde en richting gaf aan de ontwik-keling van continuous auditing. Daarnaast voerden grote accountantsorganisaties zoals KPMG (2008, 2012), PWC (2006, 2012) en Deloitte (2010) onderzoeken uit op het gebied van continuous auditing, waarbij de aandacht met name uitging naar het interesse bij hun klanten en de mate waarin deze klanten continuous audit toe passen.

4.3 Definitie

De Noord-Amerikaanse beroepsorganisaties voor accountants CICA (Canada) en AICPA (Verenigde Staten) hebben in hun research report uit 1999 geprobeerd de ontwikkeling van continuous auditing vooruit te helpen door een fundament te leggen voor verdere ontwikkeling van het concept. De belangrijkste bijdrage die dit onderzoek heeft geleverd is een definitie van het begrip continuous auditing. Terwijl relatief weinig wordt verwezen naar de inhoud van dit verslag, wordt deze definitie universeel door ieder artikel over continuous auditing overgenomen en ingezet.

(20)

A continuous audit is a methodology that enables independent auditors to provide written assurance on a subject matter, for which an entity’s ma-nagement is responsible, using a series of auditors’ reports issued virtually simultaneously with, or a short period of time after, the occurrence of events underlying the subject matter. (CICA/AICPA, 1999, p. 5)

Vertaald wordt continuous auditing omschreven als zijnde “een methode van controleren die onafhankelijke auditors in staat stelt zekerheid bij bepaalde informatie te verstrek-ken, op basis van beoordelingen die vrijwel tegelijktijdig met of kort na het ontstaan van die informatie zijn uitgevoerd”. In deze definitie is continuous auditing het gebruik van techniek die het voor accountants mogelijk maakt de vertraging tussen de financiële fei-ten en het verstrekken van zekerheid bij de verantwoording van die financiële feifei-ten de minimaliseren.

De door het CICA/AICPA geformuleerde definitie weet de lading goed te dekken. Door inhoudelijke en technische ontwikkelingen op het gebied van continuous auditing toont de definitie wel sporen van ouderdom. Het voornaamste kritiekpunt op de definitie van CICA/AICPA is dat het continuous auditing schildert vanuit het perspectief van de externe accountant. In de afgelopen jaren is continuous auditing, in het bijzonder in het kader van SOX 404, met name voortgedreven door interne auditors (Alles, Kogan en Vasarhelyi, 2002, 2008). Een tweede zwakte van deze definitie is dat de verwoording nog relatief onspecifiek is. Daardoor ontbreekt een duidelijk kader dat bepaalt wat wel of niet onder continuous auditing valt. (Alles, Kogan en Vasarhelyi, 2008) Ten tijde van het verslag van CICA/AICPA liet dit ruimte voor verder onderzoek en ontwikkeling, maar nu continuous auditing verder is ontwikkeld, bemoeilijkt deze ruime definitie de communicatie omdat het begrip op veel verschillende soorten een maten van continuous auditing kan duiden.

In het kader van de definitie wil ik tevens een aantal termen verhelderen. Als synonie-men voor continuous auditing worden ook continuous assurance, continuous monitoring en continuous monitoring of business proces controls gebruikt. Terwijl deze termen sy-noniemen zijn, hebben zij duidelijk verschillende invalshoeken en kunnen zij bepaalde elementen van continuous auditing benadrukken. In het kader van dit onderzoek zal ik de term continuous auditing hanteren, bedoeld in bredere zin zoals toegelicht in para-graaf 4.4. Daarnaast gebruik ik de begrippen Continuous Data Auditing, Continuous Control Monitoring en Continuous Risk Monitoring and Assessment. Deze elementen vormen samen het geheel van continuous auditing die zekerheid bij de verslaggeving mo-gelijk maken. In paragraaf 4.5 ga ik dieper in op deze begrippen. Tot slot introduceer ik de begrippen Embedded Audit Module en Monitoring Control Layer. Dit zijn vormen waarop continuous auditing kan worden geïmplementeerd. De vormen van continuous auditing komen in paragraaf 4.6 nader aan bod.

4.4 Continuous auditing in engere en in bredere zin

Continuous auditing is in engere en in bredere zin te beschrijven. In de engere zin gaat continuous auditing specifiek over de taak van de externe accountant, namelijk het

(21)

In bredere zin kan continuous auditing worden opgevat als “een systeem dat real-time zekerheid geeft bij de juiste werking van de administratieve organisatie”. Continuous audit richt zich dan op het gehele begrip in control, waarvan de financiële verslaggeving is slechts een element is. In het bijzonder bij deze brede opvatting van continuous auditing zijn de grenzen tussen monitoring en audit aan het vervagen. Vasarhelyi reageert hierop in het artikel van Krass (2002) met de opmerking dat “audit is supervision”. Terwijl de definitie van het CICA/AICPA zich met name richt op de baten die de (externe) auditor heeft bij continuous auditing, sluit zij deze bredere zienswijze niet uit.

In het kader van dit onderzoek ga ik uit van een bredere opvatting van het begrip con-tinuous auditing. Voor deze opvatting is gekozen omdat deze beter aansluit bij de waarde die continuous auditing representeert. De huidige financial audit richt zich in sterke mate op de aandeelhouder, die slechts beperkt behoefte heeft aan een hogere frequentie van verslaggeving. De frequentere verslaggeving heeft met name waarde voor partijen die meer betrokken zijn bij de onderneming en op deze informatie sturen zoals de directie of banken. Bovendien zal een meer holistische aanpak voorkomen dat meerdere systemen met een sterke overlap parallel ontwikkeld worden.

4.5 De elementen van continuous auditing

4.5.1 Inleiding

Figuur 3: De elementen van Continuous Auditing, volgens Vasarhelyi, Alles en Williams (2010) Een conventionele

ac-countantscontrole bestaat doorgaans uit twee on-derdelen, die gezamen-lijk de juistheid en de betrouwbaarheid van de verslaggeving moeten vast-stellen. Dat zijn ener-zijds gegevensgerichte con-troles en anderzijds sys-teemgerichte controles.

De gegevensgerichte controles richten zich met name op de inhoud van de registraties en

probe-ren deze te koppelen aan andere interne of externe registraties. Op deze manier is te controleren of de registraties ook juist zijn. Een integrale gegevensgerichte controle zou de ultieme manier zijn om de juistheid van de gegevens vast te stellen. Dit heeft echter twee nadelen, namelijk dat een gegevensgerichte controle geen zekerheid geeft over de vol-ledigheid en het feit dat gegevensgerichte controles bijzonder arbeidsintensief zijn. Om deze redenen wordt een combinatie van gegevensgerichte werkzaamheden en systeemge-richte werkzaamheden uitgevoerd. De systeemgesysteemge-richte controles systeemge-richten zich met name op de totstandkoming van de registraties. Daarvoor wordt gekeken of de registraties bin-nen de processen zodanig zijn ingericht op dat de betrouwbaarheid van die registraties gesteund kan worden.

(22)

Voor continuous auditing wordt door Vasarhelyi, Alles en Williams (2010) onderscheid gemaakt tussen de elementen Continuous Data Auditing, Continuous Control Monitoring en Continuous Risk Monitoring and Assessment.

4.5.2 Continuous Data Auditing

Zowel Vasarhelyi, Alles en Williams (2010) als Alles, Kogan en Vasarhelyi (2008) bena-drukken dat de huidige audit-methodieken ontstaan zijn vanwege een beperkte hoeveel-heid beschikbare data en de hoge (arbeids)kosten van integrale- en detailcontroles. Deze aanpak is gegeven deze beperkingen weliswaar efficiënt, maar de zekerheid die de controle biedt wordt beperkt. Continuous Data Auditing (CDA) is in essentie het uitvoeren van een constante, integrale data-analyse op transactieniveau, die efficiënt en haalbaar is door de inzet van computers. Deze data-analyse maakt het mogelijk om alle ongebruikelijke transacties te filteren uit het geheel aan transacties.

Deze ongebruikelijke transacties vallen op basis van hun data integrity of hun refe-rential integrity op tussen de andere transacties. Data integrity refereert aan data die inplausibel is op basis van een vergelijking met vooraf opgestelde norm of een benchmark van vergelijkbare transacties (Vasarhelyi, Alles en Williams, 2010). Met referential inte-grity wordt een onjuist verband tussen verschillende posten of transacties bedoeld. Een voorbeeld hiervan zou een verschil tussen de aantallen in een three-way-match zijn.

Een belangrijk voordeel van CDA boven gangbare audit-methodieken is dat data op transactie-niveau beschikbaar is en geanalyseerd kan worden. Dit filteren van ongebrui-kelijke transacties maakt een audit by exception mogelijk; een audit die zich met richt op de ongebruikelijke en opvallende transacties. Omdat een dergelijke audit specifiek zoekt naar fouten in de administratie kan een veel sterkere zekerheid bij de verslaggeving worden gegeven en kan het ontstaan van dergelijke fouten in de toekomst beter worden voorkomen. Bovendien staat de beschikbare van informatie op een lager aggregatieni-veau het toe om gegevens op verschillende manieren te aggregeren om bijvoorbeeld per klant, product of periode verbandscontroles uit te voeren, en zelf deze samenvoegingen te kunnen kiezen (Alles, Kogan en Vasarhelyi, 2008).

4.5.3 Continuous Control Monitoring

Continuous Control Monitoring (CCM) richt zich op de totstandkoming van de gegevens in het systeem. Wanneer in het proces voldoende adequate functiescheidingen, waarbor-gen en invoercontroles aanwezig zijn kan uit worden gegaan van juistheid en volledigheid van de gegevens in het systeem. Deze gedachtegang vormt ook de kern van interne be-heersing, bestaande uit een opzetcomponent (de vraag of de juiste functiescheidingen aangebracht zijn) en de bestaans- en werkingscomponenten (de vraag of de opzet ook is geïmplementeerd). De werking van interne beheersing wordt traditioneel vastgesteld door middel van een steekproef. CCM biedt de mogelijkheid deze werking real-time en integraal te toetsen.

Om de werking van de inrichting van het geautomatiseerde systeem te controleren worden de configuratiebestanden en gebruikersrechten uitgelezen. Deze

(23)

configuratiebe-te kunnen gaan moet deze wel getoetst worden. Terwijl de correcconfiguratiebe-te werking van bekende, veelgebruikte software vrij snel aangenomen mag worden, zal dit bij maatwerk meer werk vergen (Vasarhelyi, Alles en Williams, 2010).

Het toepassen van CCM heeft als voornaamste voordeel dat het toetsen van de in-richting van het systeem met een veel hogere frequentie kan gebeuren. De grotere mate van zekerheid over de werking van het systeem ten gevolge hiervan is met name ook van belang voor de internal auditors en het management, in het kader van de eisen die SOX 404 en andere recente wetten omtrent de internal control stellen (Alles, Kogan en Vasarhelyi, 2008). Vasarhelyi, Alles en Williams (2010) voorspellen bovendien dat goed functionerende CCM zal leiden tot een afname in het aantal ongebruikelijke transacties dat door middel van CDA ontdekt moet worden.

4.5.4 Continuous Risk Monitoring and Assessment

In het model van Vasarhelyi, Alles en Williams (2010) is Continuous Risk Monitoring and Assessment (CRMA) de derde component van continuous auditing. Deze component komt in alle eerdere artikelen niet naar voren. Alles, Kogan en Vasarhelyi (2008, p. 6) stellen zelfs heel expliciet dat continuous auditing de som is van CDA en CCM. CRMA is een relatief recente toevoeging aan het model voor continuous auditing. Vasarhelyi, Alles en Williams beschrijven CRMA als het constant monitoren van risico’s voor de audit, wat de continuous audit dynamisch maakt door de controle af te stemmen op de veranderingen in de risico’s.

Vasarhelyi, Alles en Williams maken in hun boek nadrukkelijk onderscheid tussen Enterprise Risk Management (ERM) en CRMA. ERM een risico-gerichte interne beheer-singsaanpak die probeert risico’s te beheersen of af te dekken. CRMA kan gebruik maken van de parameters die voor ERM worden gebruikt, maar is specifiek bedoeld om de audit (door middel van CDA en CCM) aan te sturen.

Voor dit onderzoek wordt CRMA om een aantal redenen niet meegenomen. In de

eerste plaats is CRMA in de wetenschap nog een zeldzaamheid en is niet duidelijk in

hoeverre dit als onderdeel van continuous auditing gezien moet worden. In de tweede plaats is de bestaande literatuur nog weinig meer dan een concept dat nog vorm mist. Tot

slot richt dit onderzoek zich met name op de totstandkoming van continuous auditing.

CRMA zal gezien zijn functie met name spelen wanneer een bestaand continuousaudi-tingsysteem verder wordt ontwikkeld, en is daarmee voor dit onderzoek niet interessant.

4.5.5 De elementen van een continuous audit

Bij een continuous audit vervullen CDA en CCM de rollen die de gegevensgerichte werk-zaamheden respectievelijk de systeemgerichte werkwerk-zaamheden bij een traditionele controle vervullen. CDA analyseert en vergelijkt de transacties en signaleert daarmee opvallende transacties en fouten. CCM monitort de werking van de systemen en signaleert wanneer het systeem afwijkt van de vastgestelde opzet. Beiden kunnen in potentie alle afwijkende registraties ontdekken. In de praktijk zal een combinatie van CDA en CCM worden ingezet.

CRMA speelt op een abstracter vlak. CRMA is een constante risicoanalyse die de CDA en CCM aanstuurt. Enerzijds kan CRMA hiermee een weging toekennen aan de

(24)

een accountant beter te begrijpen en gebruiken is. Tegelijkertijd kan op basis van de risicoinschatting de nauwkeurigheid waarmee CDA en CCM opereren worden aangepast aan de omstandigheden. Wanneer bijvoorbeeld CCM ontdekt dat een autorisatie tijdelijk niet wordt afgedwongen kan CDA voor de betroffen transacties scherper controleren. CRMA vormt hiermee een volgende stap in de ontwikkeling, die de resultaten relevanter en begrijpelijker maakt.

4.6 Vormen van continuous auditing implementaties

4.6.1 Inleiding

De definitie van continuous audit benadrukt dat het gaat om een methode die externe accountants kunnen toepassen bij de uitvoering van een jaarrekeningcontrole. Centraal in deze definitie staat het karakter van de methode, namelijk het gelijktijdige ontstaan en beoordelen van (financiële) informatie. Deze gelijktijdige beoordeling kan op meerdere manieren worden aangepakt. Groomer en Murthy (1989) brachten de Embedded Audit Module (EAM), auditmodules zijnde onderdeel van het te controleren systeem, onder de aandacht als methode om een continuous audit te realiseren. Als alternatief voor deze aanpak hebben Vasarhelyi, Alles en Kogan (2004) de Monitoring Control Layer (MCL) geïntroduceerd, losstaande software die gebruik maakt van de data die het te controleren systeem heeft geregistreerd. Kuhn (2010) voegt hier nog een variant aan toe die elementen bevat van zowel de EAM als de MCL, namelijk EAM ghosting.

4.6.2 Embedded Audit Modules

In de literatuur zijn EAMs de meest voorkomende vorm van continuous auditing. Groo-mer en Murthy (1989) omschreven EAMs als “Softwaremodules die onderdeel zijn van het te controleren systeem, met de bedoeling daar continu audit-gerelateerde informatie te verzamelen.” In latere literatuur is hieraan toegevoegd dat deze EAMs voor de verza-melde informatie real-time controleprocedures uitvoert. Braun en Davis definiëren EAMs als volgt:

This technique involves the auditor inserting an auditmodule in the client’s application that will identify transactions that meet some pre-specified criteria as they are being processed. [...] This technique may be particularly effective in identifying large transactions for substantive testing or for testing controls by identifying transactions processed in a manner inconsistent with policies and procedures. (Braun en Davis, 2003, p. 726)

De functionaliteit van EAMs verschilt tussen de verschillende onderzoeken. Waar Groo-mer en Murthy (1989) het enkel hebben over het verzamelen van informatie voor de audit, gaan Braun en Davis (2003) uit van een selectie van uitzonderlijke transacties die vervol-gens gemeld worden aan een auditor. Alles, Brennan e.a. (2006) en Kuhn (2010) breiden deze analytische functionaliteit nog verder uit door de EAM zelfstandig controleprocedu-res uit te laten voeren op de verzamelde informatie, en over het geheel te rapporteren aan

(25)

In de verschillende artikelen komen een aantal voordelen van EAMs naar voren. Het belangrijkste voordeel van de EAM-methode zit in het feit dat een EAM onderdeel is van het systeem. De modules staan in een dermate direct contact met de werking van het sys-teem dat zij kunnen werken met alle aanwezige informatie, met een minimale vertraging en een maximaal detail (Kuhn, 2010). Bijkomend voordeel van deze real-time verwerking is dat het verbergen door herstellende boekingen onmogelijk wordt en dat snelle signale-ring een snellere respons op dubieuze transacties mogelijk maakt. Een ander voordeel is dat de werking van EAMs beperkt afhankelijk is van externe factoren zoals exports uit andere software en de betrouwbaarheid en beschikbaarheid van de netwerkverbinding, en praktisch offline zou kunnen werken (Alles, Brennan e.a., 2006).

Alles, Kogan en Vasarhelyi (2008) concluderen dat “CA systems have rarely used the EAM approach, despite the initial excitement over their potential”. Alles, Kogan en Vasarhelyi, Kuhn en Vasarhelyi, Alles en Kogan geven allen aan dat belangrijkste nadelen van het gebruik van EAMs liggen in de praktische toepassing. Omdat EAMs nauw verweven zij met het te controleren systeem moeten zij ook goed met dit systeem interacteren. Dit maakt de leverancier van het te controleren systeem de EAMs zal moeten bouwen, of ondersteuning zal moeten leveren bij de bouw van EAMs. Daarmee is de accountant dus afhankelijk van de leverancier(s) van de systemen die zijn klanten gebruiken. Bovendien bestaat het risico dat de EAMs, zijnde onderdeel van het systeem, de werking van het systeem beïnvloeden of de systemen zwaarder te belasten. Dit maakt de accountant ook afhankelijk van zijn klant die deze (bedrijfs)risico’s moet tolereren of incalculeren (Debreceny, Gray, Yau e.a., 2005).

Tot slot is er het bezwaar dat de EAMs onder het beheer van de onderneming vallen en daarmee kwetsbaar zijn voor gebruikers met super-user rechten die de activiteiten of werking van de EAMs kunnen beïnvloeden (Alles, Brennan e.a., 2006).

4.6.3 Monitoring Control Layer

De methode die Alles, Kogan en Vasarhelyi (2008), in tegenstelling tot EAM, wel in de praktijk toegepast zien is de MCL, die is geïntroduceerd door Vasarhelyi, Alles en Kogan (2004). Voor deze methode is de software niet onderdeel van het systeem, maar is deze in het beheer van de auditor. Deze software zal meestal op een zelfstandig systeem draaien en krijgt read-only toegang tot het te controleren systeem. Deze toegang zal meestal de vorm hebben van batchgewijze exports van de systemen in kwestie. Kuhn (2010) beschrijft dat de auditor “takes the continuous auditing system and “hooks” it into the client’s existing enterprise system”, vergelijkbaar met de manier waarop monteurs hun PDA aan de boordcomputer kunnen koppelen en door middel van diagnostische software eventuele problemen kunnen ontdekken.

Een terugkerend patroon in alle vormen van continuous auditing is de combinatie van data retrieval, data analysis en data presentation (Yeh en Shen, 2010). Vertaald het verzamelen (1) en analyseren (2) van data en het presenteren (3) van de resultaten. Deze combinatie is in essentie van toepassing op iedere vorm van audit. In het kader van continuous auditing is deze uitsplitsing met name van belang bij de MCL, omdat deze zijn data van buiten moet verzamelen en deze stappen uitgespreid moeten worden. Vasarhelyi, Alles en Kogan (2004) heeft het proces van data verzameling tot presentatie voor de MCL verder verdeeld in een achttal stappen. Daarbij zijn tussen het verzamelen

(26)

en de analyse de stappen data filtering en relational storage toegevoegd, waarin de losse verzamelde data wordt verwerkt tot een samenhangend geheel. Deze stappen zijn nodig omdat de MCL, in tegenstelling tot de EAMs, geen gebruik maakt van de aan het systeem onderliggende datastructuren.

De voordelen van de MCL zitten enerzijds in het feit dat deze minder integratie vereist met de te controleren systemen en anderzijds in het feit dat de programmatuur in het beheer van de accountant is. Door de lagere mate van integratie is de werking van de MCL minder afhankelijk van de medewerking van de klant en van de beschikbaarheid van de modules. Omdat de MCL, vergeleken met EAMs, een veel beperktere interactie heeft met het systeem zijn de data retrieval-modules relatief goed te ontwikkelen, terwijl de bouw van EAMs op zijn minst met ondersteuning door de leverancier van het systeem vereist. Omdat de accountant zelf het beheer van de MCL in handen heeft, heeft hij zekerheid over de werking en configuratie van de MCL. Al met al is de implementatie van een MCL is daardoor veel minder afhankelijk van de leverancier van het systeem en is de invloed van de klant over de werking hiervan minimaal.

De keerzijde van de bij MCL zit in de afhankelijkheid van de aansluiting van de controlesoftware op de systemen en de frequentie van de controle. De MCL is voor zijn werking afhankelijk van de uitvoer van de te controleren systemen en de overdracht van deze uitvoer via het netwerk. In het bijzonder de werking van de netwerkverbinding is niet altijd betrouwbaar en kan de werking van de MCL beperken. Bovendien zal de uitvoer, vanwege de vaak beperkte capaciteit van de te controleren systemen en de netwerkverbinding, niet real-time, maar met een relatief lage frequentie worden verwerkt waardoor incidenten met vertraging worden gesignaleerd en mogelijkheden ontstaan om dubieuze transacties te corrigeren voordat zij worden ontdekt.

4.6.4 EAM ghosting

Kuhn (2010) noemt als derde methode van continuous auditing EAM ghosting. Deze methode van continuous auditing maak gebruik van EAMs, maar deze worden niet ge-bruikt in het productiesysteem. In plaats daarvan zijn deze EAMs actief in een parallel draaiende kloon van het systeem. Deze kloon is geheel gelijk aan het productiesysteem, inclusief alle instellingen en rechten en wordt real-time bijgewerkt. Het is niet noodza-kelijkerwijs zo dat deze kloon nieuwe hardware vereist. Kuhn suggereert dat de test- of preproductieomgeving als kloon gebruikt kan worden voor EAM ghosting, of dat deze gevirtualiseerd zou kunnen worden.

Deze methode van continuous auditing heeft enerzijds als voordeel dat, net als bij de MCL, de werking van de productieomgeving niet wordt beïnvloed en anderzijds dat het gebruik van EAMs veel beschikbare informatie en een real-time verwerking mogelijk maakt. Niet alle nadelen van EAMs en de MCL zijn gemitigeerd, zo moeten de EAMs nog steeds beschikbaar zijn om ingezet te kunnen worden.

In de literatuur is bijzonder weinig te vinden over EAM ghosting. In de voor dit onderzoek gebruikte literatuur is Kuhn de enige die deze methode behandelt, en het is nog niet duidelijk of EAM ghosting in de wetenschap aan slaat. Door een van de nadelen te mitigeren maakt EAM ghosting de toepassing van EAMs toegankelijker voor

(27)

4.7 Beperkingen van continuous auditing

De technische mogelijkheden ontwikkelen steeds verder en software gaat steeds intelli-genter om met de informatie die zij krijgt. Toch heeft een continuous audit beperkingen waardoor hij niet autonoom kan werken. Deze beperkingen hebben veel overlap met be-staande General IT Controls die nu al nodig zijn om op de informatiesystemen te kunnen steunen en inherente beperkingen aan het functioneren van accountants.

Wijzigingenbeheer. Zowel wijzigingen in de software als in de

continuousauditsyste-men kan leiden tot verstoring van de automatische controle. Een procedures voor wijzigingenbeheer moeten veranderingen in de systemen soepel laten verlopen en naderhand controleerbaar maken.

Gebruik van de systemen. Een continuousauditingsysteem werkt met de informatie

vanaf het toetsenbord. Functiescheiding in aan te brengen door het gebruik van persoonlijke accounts met bepaalde rechten, en door het ’uitlenen’ van die accounts moeilijk te maken. Alsnog zal de omgang en het gebruik van de systemen de beoordeling van een auditor vereisen.

Medewerking. Om een continuous audit toe te kunnen passen moet de accountant van

zijn klant toestemming krijgen modules toe te voegen aan of structureel uitvoer te krijgen van zijn systemen. Daarbij moet de klant mogelijke risico’s voor de continuïteit van de systemen accepteren. Bovendien is minimaal de medewerking van de leverancier van de te controleren systemen nodig voor de bouw van de vereiste modules.

Middelen. Naast de medewerking van de te controleren klant en de leverancier van diens

software is een continuous audit is bijzonder afhankelijk van de aanwezigheid van voldoende automatisering, rekencapaciteit en de aanwezigheid van een netwerkver-binding.

Calamiteiten. Net als bij geplande wijzigingen kunnen calamiteiten - brand, inbraak,

serveruitval, etc - de werking van de te controlerensystemen of de continuousaudi-tingsystemen verstoren. Hierbij zal een auditor minimaal de correcte werking van de continuous audit tijdens de calamiteit vast moeten stellen.

4.8 Voorwaarden voor continuous auditing

Het CICA/AICPA (1999) noemt in zijn verslag een aantal (rand)voorwaarden die nodig zijn voor een continuous audit. De aard van deze voorwaarden heeft overeenkomstigheid met het assurance framework uit de NV COS. De voorwaarden beschrijven inputs en omstandigheden voor de continuous audit waar de auditor en de onderneming in moeten voorzien. De auditor moet beoordelen of in voldoende mate aan deze voorwaarden is voldaan en hij in staat is een continuous audit op deugdelijke grondslag uit te voeren.

De belangrijkste voorwaarden die CICA/AICPA (1999) in hun verslag beschrijven zijn:

Referenties

Download het nu ( PDF - 54 pagina - 0.96 MB )

Outline

De investeringsbeslissing Beschouwing over de aanpak en opbouw van het onderzoek

GERELATEERDE DOCUMENTEN

De invloed van interne beheersraamwerken op de externe controlekosten

Een interne accountantsdienst gebruikt niet alleen interne beheersraamwerken voor zijn eigen werkzaamheden, maar verricht ook werkzaamheden ten behoeve van deze

Combinatie interne en externe audit

De externe accountant zal volgens Blokdijk minder afstemmingsproblemen hebben wanneer zowel de interne als de externe audit wordt uitgevoerd door de eigen accountantsorganisatie:

Projectinrichting van interne en externe projecten

Hierbij wordt eerst ingegaan op het verschil tussen intern en extern projectmanagement en aansluitend op het verschil tussen de projectinrichting van interne en externe projecten..

Invloed van externe op interne budgettering academische ziekenhuizen

Bij ziekenhuizen A, B, C en D is een sterke koppeling tussen mutaties in het externe zie- kenhuisbudget en mutaties in het interne divisiebud- get: de veranderingen in de reguliere

Over grenzen: beheersing van horizontale interne en externe relaties

een beperkt aantal clusters wordt gerenoveerd en de renovatiewerkzaamheden voor alle clusters dezelfde zijn, wordt verwacht dat aanzienlijke leereffecten zullen optreden,

DE VERHOUDING INTERNE EN EXTERNE ADVISEUR

Welke keuze de individuele organisatie ook m aakt ten aanzien van de interne ad­ viesfunctie, de leiding en ook de interne adviesgroep kunnen, en zullen veelal, b e­ hoefte houden om

DE BETEKENIS VAN DE INTERNE CONTRÔLE VOOR DE EXTERNE ACCOUNTANT

Uitgangspunt hiervoor vormde de stelling, dat de interne controle het object moet zijn van de accountantscontrole, welke stelling gebaseerd was op de overweging,

UIT HET BUITENLAND ENGELAND: VERHOUDING INTERNE/EXTERNE ACCOUNTANT

Maar de vereenzelviging van de begrippen „internal audit” en „inter­ nal auditor” is niet juist, want ook de externe accountant kan naast zijn externe functie