FACTOREN VAN INVLOED OP DE IMPLEMENTATIE VAN CONTINUOUS AUDITING

 

FACTOREN VAN INVLOED OP DE IMPLEMENTATIE VAN CONTINUOUS AUDITING

Master thesis, Msc Accountancy & Controlling University of Groningen, Faculty of Economics and Business

November 9, 2012

STEVEN VISSER Student number: 1574590

Völkstraße 3 Nord 87435 Kempten (Allgäu)

tel.: +31 6 3062 7543 tel.: +49 175 666 1881 E-mail: skvisser@live.nl

Supervisor/ university Prof. Dr. J. Emanuels

Abstract:

Ondanks dat de wetenschap al meer dan 20 jaar over continuous auditing schrijft, wordt de

technologie nog maar weinig toegepast in organisaties. Deze scriptie onderzoekt factoren die

van invloed zijn op de implementatie van continuous auditing. Implementatie van

informatietechnologieën zijn wijdverbreid onderzocht, uitgevoerd en getoetst. Hieruit zijn

implementatie modellen ontstaan, die toegepast kunnen worden op continuous auditing. Op

basis van dit literatuuronderzoek heb ik stellingen gemaakt, die exploratief verkend zijn in

interviews met experts op het gebied van continuous auditing, om op deze manier een aanzet

te maken tot hypotheses die in een vervolgonderzoek onderzocht kunnen worden.

 

1.

Introductie

1.1 Inleiding

1.2 Relevantie

1.3 Samenwerking

1.4 Vervolg van het onderzoek

2.

Beschrijving van het onderzoek

2.1 Inleiding

2.2 Opzet

2.3 Onderzoeksmethoden

2.4 Onderzoekstechnieken

2.5 Dataverzameling

3.

Continuous auditing

3.1 Opkomst van continuous auditing

3.2 Rol van de interne en externe auditor

3.3 Definities

3.4 Activiteiten van continuous auditing

3.5 Van traditionele audit naar continuous auditing

3.6 Technische architectuur

4.

Informatietechnologie implementatie

4.1 Inleiding

4.2 Acceptatie- en diffusiebenaderingen

4.2.1 Technology Acceptance Model

4.2.2 Diffusion of Innovations

4.2.3 Stadia Model

5.

Randvoorwaarden implementatie continuous auditing

5.1 Inleiding

5.2 Randvoorwaarden continuous auditing

5.3 Koppeling continuous auditing en informatietechnologie implementatie literatuur

5.3.1 Denkrichtingen Boonstra

5.3.2 Acceptatie- en diffusiebenaderingen

6.

Verwachtingen van de toekomstige haalbaarheid

7.

Continuous auditing in de praktijk

7.1 De initiator

7.2 De reden om continuous auditing toe te passen

7.3 De champion

7.4 Steun van het management

7.5 Conclusies

8.

Discussie

8.1 Inleiding

8.2 Bevindingen

8.3 Theoretische implicaties

8.4 Praktische implicaties

8.5 Sterke en zwakke punten

9.

Literatuur

Bijlagen

Bijlage 1

Bijlage 2

Bijlage 3

 

1. Introductie

Keenoy (1958): “This revolution (accounting and business management revolution) in office procedures and data-processing, promises to do for man’s mind what the industrial revolution did for his body.”

1.1 Inleiding

Organisaties kunnen tegenwoordig niet meer zonder informatietechnologie, het is momenteel te vinden in de gehele organisatie. Ook op het terrein van de auditing wordt informatietechnologie toegepast. Simpele voorbeelden hiervan zijn zogenoemde CAATT’s, computer assisted audit tools and techniques. Deze technologieën worden toegepast in de traditionele audit methodologie. Deze methodologie heeft voornamelijk het afgelopen decennium veel kritiek gekregen, onder andere door grote boekhoudschandalen zoals bij Ahold en Enron. De voornaamste punten van kritiek betreffen het feit dat de controle van de bedrijfsprocessen vaak maanden nadat ze plaatsgevonden worden uitgevoerd en dat de controle wordt gebaseerd op steekproeven.

Deze beperkingen zijn al lange tijd bekend. De oplossing hiervoor wordt gezien in het toepassen van informatietechnologie door het automatiseren van de audit op een continue basis. Dit wordt continuous auditing genoemd. Groomer en Murthy (1989) waren de eerste die deze methode hebben onderzocht en toegepast, en als snel gevolgd door Vasarhelyi en Halper (1991). Vele onderzoeken hebben zich nadien bezig gehouden met continuous auditing. In 1999 hebben de organisaties CICA en AICPA een boek gepubliceerd over continuous auditing. In dit boek worden de verschillende aanpakken van continuous auditing beschreven en het onderzoeksveld van continuous auditing gedefinieerd. Daarnaast zijn er onderzoeken uitgevoerd over de voordelen van continuous auditing (Vasarhelyi et al., 2004;

Kuhn en Sutton, 2010), over de vraag naar continuous auditing (Vasarhelyi en Alles, 2008), over technologieën van continuous auditing (Flowerday et al., 2006; Kuhn en Sutton, 2010) en over test implementaties van continuous auditing (Alles et al., 2006; Alles et al., 2008).

Ondanks deze uitgebreide aandacht vanuit de wetenschap wordt continuous auditing in de praktijk nog maar weinig toegepast (Chan en Vasarhelyi, 2011).

Uit een onderzoek van PWC in 2006 blijkt dat 50 procent van de Amerikaanse bedrijven

continuous auditing technieken gebruiken en 31 procent van de overige bedrijven plannen

hebben om er iets mee te gaan doen. Uit een gezamenlijk onderzoek van de ACL en het

 

Institute of Internal Auditors (IIA) blijkt dat 36 procent van de respondenten een continuous auditing aanpak hebben toegepast, en 39 procent van plan is om dat te gaan doen. KPMG (2010) heeft in Nederland een onderzoek uitgevoerd, waarin zij 138 respondenten hebben ondervraagd. Uit dit onderzoek kwam naar voren dat 3 procent van de ondervraagde bedrijven continuous auditing of monitoring geïmplementeerd heeft, en 21 procent van de ondervraagde bedrijven testen aan het uitvoeren is. 40 procent overweegt om continuous auditing toe te gaan passen en bijna 20 procent heeft aangegeven nog helemaal niks met continuous auditing van plan te zijn.

Uit deze cijfers blijkt dus dat er een gat is tussen de literatuur over continuous auditing en de praktijk. Daarom wil ik dit onderzoek richten op de implementatie van continuous auditing in Nederland, en welke factoren de implementatie beïnvloeden. Om succesvol een informatietechnologie innovatie te implementeren, moeten managers de stadia van het implementatie proces kennen (Krumwiede en Roth, 1997). Daarom is mijn doelstelling:

Het verkennen van factoren die de implementatie van continuous auditing beïnvloeden.

Met mijn scriptie wil ik een bijdrage leveren aan de wetenschap naar het onderzoek van continuous auditing, en de ontwikkeling van continuous auditing in de praktijk. Technologie speelt een belangrijke rol in organisaties, en een juiste toepassing van technologie kan van toegevoegde waarde zijn. Om tot een juiste toepassing van continuous auditing te komen, is het belang van een succesvolle implementatie groot. Zodoende luidt de centrale vraag in deze scriptie:

Centrale vraag: Welke factoren beïnvloeden de implementatie van continuous auditing?

De volgende deelvragen zijn geformuleerd om de centrale vraag te kunnen beantwoorden:

Om een goede achtergrond te krijgen van het onderwerp continuous auditing is deelvraag 1 gericht op een beschrijving van continuous auditing:

Deelvraag 1: Wat is continuous auditing?

 

Er is al veel onderzoek gedaan naar de implementatie van informatietechnologie, waaronder ook de implementatie van continuous auditing valt. Daarom is deelvraag 2 gericht op een beschrijving van het onderwerp informatietechnologie implementatie:

Deelvraag 2: Wat is informatietechnologie implementatie?

Deelvraag 3 is gericht op het maken van een koppeling tussen de onderwerpen continuous auditing en informatietechnologie implementatie. Hierbij gaat het in op de randvoorwaarden voor een implementatie van continuous auditing en ervaringen uit andere informatietechnologie implementaties:

Deelvraag 3: Wat zijn belangrijke randvoorwaarden voor de implementatie van continuous auditing?

De vierde deelvraag gaat antwoord geven op de verwachtingen van de toekomstige haalbaarheid van de implementatie van continuous auditing. In dit hoofdstuk zal ik een aantal stellingen maken op basis van het literatuuronderzoek. Deze stellingen wil ik verkennen in de interviews:

Deelvraag 4: Wat zijn de verwachtingen omtrent de toekomstige haalbaarheid van continuous auditing?

Wanneer deze deelvragen beantwoord zijn zal ik in het laatste hoofdstuk van deze scriptie, de discussie, een antwoord geven op de centrale vraag.

1.2 Relevantie

Implementatie van informatietechnologieën zoals MRP, ERP, EDI, Internet en ABC zijn

uitgebreid onderzocht. Implementaties van deze technologieën zijn niet altijd een succes

geweest. Vaak zijn er problemen ontstaan of is het hele project mislukt (Boonstra, 2011). Een

onderzoek dat informatietechnologie implementatie uitlegt met een theoretisch model is

voordelig voor zowel academici als voor het bedrijfsleven, omdat het een duidelijker beeld

geeft over de technologie (Rajagopal, 2002). Voor organisaties die continuous auditing in de

praktijk willen gaan toepassen, kan dit onderzoek relevant zijn. Om maximaal te kunnen

 

profiteren van de investering in informatietechnologie, moeten organisaties hun implementatieprocessen goed begrijpen en managen (Kwon en Zmud, 1987).

1.3 Samenwerking

Omdat ik dit onderwerp samen met een medestudente Vera Keidel behandel, hebben wij het onderwerp gesplitst in continuous auditing en continuous monitoring. Dit hebben wij zo gesplitst omdat er een duidelijk onderscheid is tussen beide continuous functies, waarin continuous monitoring de verantwoordelijkheid is van het management en continuous auditing de verantwoordelijkheid is van de audit-afdeling. Vera Keidel schrijft haar scriptie over continuous monitoring en ik schrijf mijn scriptie over continuous auditing. Wij zullen onze scripties zo schrijven dat de beide scripties elkaar aanvullen en goed op elkaar aansluiten, om een goed beeld te krijgen van continuous assurance, wat continuous monitoring en continuous auditing tezamen is.

1.4 Vervolg van het onderzoek

In de volgende hoofdstukken zullen de volgende onderwerpen aan bod komen. Hoofdstuk

twee zal de gebruikte toetsingsmethode uitleggen waarin de opzet, de onderzoeksmethoden,

de onderzoekstechnieken en de dataverzameling besproken zullen worden. In hoofdstuk drie

zal de literatuur over continuous auditing besproken worden, waarin de oorsprong,

ontwikkelingen, definities en begrippen van de verschillende termen in de continuous

auditing en monitoring literatuur besproken worden. Hieruit zal blijken wat continuous

auditing inhoudt. Hierop volgt een hoofdstuk over informatietechnologie implementatie, waar

drie modellen van informatietechnologie implementatie besproken zullen worden. Dit zijn de

meest bekende modellen binnen de informatietechnologie implementatie literatuur. Als

vervolg op de hoofdstukken drie en vier komt het vijfde hoofdstuk om randvoorwaarden te

stellen aan continuous auditing en informatietechnologie implementatie, om een juiste

koppeling te kunnen maken. Hoofdstuk zes vervolgt hierop door met de gemaakte koppeling

verwachtingen te maken van de toekomstige haalbaarheid. Deze verwachtingen zullen

concreet omgezet worden in stellingen. Hoofdstuk zeven zal bestaan uit een analyse van de

gemaakte interviews, waarin een exploratieve verkenning aan de hand van de stellingen wordt

gedaan bij experts van continuous auditing. Als slot zal ik in hoofdstuk acht een conclusie

geven van de verkenning en een aanzet maken tot hypotheses, op basis van de uitkomsten van

de interviews. Ook zal ik in hoofdstuk acht theoretische en praktische implicaties geven en

sterke en zwakke punten van de scriptie.

 

2. Beschrijving van het onderzoek

2.1 Inleiding

In dit hoofdstuk wordt beschreven hoe het onderzoek opgebouwd is, zodat uiteindelijk de deelvragen beantwoord kunnen worden. Allereerst word deonderzoeksopzet uitgelegd, waarin duidelijk wordt welke ideeën ontdekt zullen worden. Vervolgens wordt uitgelegd welke onderzoeksmethoden gebruikt zijn. Paragraaf drie legt uit welke technieken en middelen gebruikt worden, en waarom deze gebruikt worden. Ten slotte zal in de laatste paragraaf van dit hoofdstuk een beschrijving gegeven worden van de dataverzameling, en waar de selectie op gebaseerd is.

2.2 Opzet

In figuur 1 is de opzet van dit onderzoek weergegeven. Middels een literatuuronderzoek naar continuous auditing en informatietechnologie implementatie worden verwachtingen van de toekomstige haalbaarheid gesteld. Deze verwachtingen worden omgezet in stellingen.

Vervolgens worden deze stellingen getoetst. Deze toetsing vind plaats bij specialisten op het gebied van continuous auditing.

FIGUUR 1

Opzet van het onderzoek

2.3 Onderzoeksmethoden

Een onderzoek kan formeel of exploratief zijn. Exploratieve onderzoeken hebben een lossere structuur met het doel om toekomstige onderzoektaken te ontdekken. Formele onderzoeken beginnen met een onderzoeksvraag of hypothese en bevatten precieze procedures en een beschrijving van de dataverzameling om de onderzoeksvraag te

























 

beantwoorden. Volgens Cooper en Schindler (2003) hebben alle onderzoeken elementen van een exploratief en formeel onderzoek. In dit onderzoek is de balans grotendeels aan de exploratieve kant. Het onderzoek is een verkenning naar de continuous auditing literatuur, waarin getracht wordt een beeld te schetsen van de ontwikkelingen binnen de continuous auditing. Daarnaast beschrijft het onderzoek implementatietheorieën van de informatietechnologie. De gedane interviews hebben als doel exploratief te kijken naar wat er in de praktijk leeft.

2.4 Onderzoekstechnieken

De technieken die gebruikt zijn als middel van dataverzameling voor dit onderzoek zijn secundaire data-analyse en interviews. Secundaire data-analyse bestaat voornamelijk uit het bestuderen van wetenschappelijke artikelen, welke gebruikt zijn voor het literatuuronderzoek.

Daarnaast is er gekozen voor semigestructureerde interviews als onderzoekstechniek.

Hiervoor is gekozen vanwege meerdere redenen. De eerste reden is het exploratieve karakter van het onderzoek. Een semigestructureerd interview biedt meer diepte en inzicht dan andere technieken zodat het beter past bij het opbouwen van toekomstige theorie en hypotheses.

Een tweede reden is dat een semigestructureerde interview inzichten biedt voor het identificeren en het begrijpen van meningen, houdingen en invloeden (Troshani en Doolin, 2005). De laatste reden voor het kiezen van de semigestructureerde interview is het feit dat continuous auditing een actueel en recent onderwerp is. Hierdoor zijn definities en termen nog niet vastgesteld, en worden ze niet altijd consistent gebruikt. Een semigestructureerd interview biedt de mogelijkheid om hierover misverstanden te voorkomen door bijvoorbeeld definities en termen tussendoor nader te bespreken.

2.5 Dataverzameling

Het doel van het uitvoeren van interviews voor dit onderzoek was om exploratief te kijken wat er in de praktijk leeft in Nederland op het gebied van continuous auditing. Om een betrouwbaar beeld te krijgen is er gelet op de volgende criteria: de rol die de geïnterviewde persoon speelt binnen continuous auditing, en de ervaring die de geïnterviewde heeft binnen continuous auditing.

Het eerste criterium is gesteld om inzichten te verkrijgen vanuit verschillende

invalshoeken, om zodoende een breder beeld te verkrijgen. De volgende invalshoeken zijn

gekozen: de gebruiker van continuous auditing; de leverancier; en de adviseur van continuous

 

auditing. Een gebruiker heeft de praktische ervaringen met continuous auditing, omdat hij/zij dagelijks met continuous auditing werkt. Hiertegenover staat dat hij/zij alleen de situatie kent van het eigen bedrijf. Een adviseur heeft een bredere kijk op de continuous auditing, omdat hij/zij ervaringen heeft van meerdere klanten. Een leverancier van continuous auditing zal zich vanuit zijn/haar invalshoek meer richten op technologische ontwikkelingen, en de ontwikkelingen die continuous auditing heeft meegemaakt (zie figuur 2).

Het tweede criterium voor de selectie is de mate van ervaring die de geïnterviewde heeft met continuous auditing. Hierbij kan de mate van ervaring gezien worden als een combinatie van intensitiviteit met het gebied en het aantal jaren actief ermee. De ervaring is van tevoren niet gekwantificeerd maar per geïnterviewde wel beschreven. Dit criterium is gesteld omdat alleen iemand met voldoende ervaring een goede kijk kan hebben op continuous auditing en de ontwikkelingen ervan.

Nadat de criteria gesteld waren, is begonnen op zoek te gaan naar geschikte personen om te interviewen. Onbekend was hoe veel mensen zich bezighouden met continuous auditing in Nederland. De efficiëntste manier was om via het internet te zoeken naar personen die een relatie hebben met continuous auditing in Nederland, waardoor de selectie van de geïnterviewden niet willekeurig was. Waar het internet normaal gesproken een overschot aan informatie levert, bleef het ditmaal achter met de informatie waardoor het moeilijk werd om de juiste personen te vinden voor een interview.

Uiteindelijk kwam er op de website van de IIA (Instituut van Internal Auditors) informatie vrij over een te komen congres, waar de heer Van Vliet op het programma stond om te spreken over zijn ervaringen met continuous auditing. De heer Van Vliet is werkzaam bij het bedrijf Provimi. Na een eerste benadering werd een uitnodiging voor een interview geaccepteerd door de heer Van Vliet.

Gedurende dit interview kwam de voortgang en dataverzameling van het onderzoek ter

sprake, en is de criteria voor de verschillende invalshoeken toegelicht. Als reactie op deze

toelichting kwam de heer Van Vliet met een suggestie om een adviseur van continuous

auditing te interviewen. Deze manier van uitbreiding van de dataverzameling noemt men in

de academische wereld “het sneeuwbal effect”. Belangrijk is wel dat de suggestie binnen de

criteria van het onderzoek past.

 

Het derde interview kwam op suggestie van Professor Emanuels. Dit was het bedrijf Bwise, een softwareleverancier van continuous auditing. Met Bwise is vervolgens telefonisch contact opgenomen, waaruit het laatste interview is gekomen.

De interviews duurden tussen de anderhalf en twee uur en vonden telkens plaats in het kantoor van de geïnterviewden, respectievelijk in Rotterdam, Amsterdam en Rosmalen. Het interview werd uitgevoerd door Vera Keidel (mede-student) en ik, waarbij ik de vragen stelde en reageerde op antwoorden, en Vera Keidel het gesprek noteerde op een laptop. De thema’s en vragen werden van tevoren bedacht, en waren gebaseerd op gevonden literatuur. Omdat het een semi-gestructureerd interview was, bleef er voldoende ruimte tussen de vragen voor discussies of voorbeelden.

FIGUUR 2

Drie invalshoeken binnen continuous auditing



 

 

3. Continuous auditing

3.1 Opkomst van continuous auditing

Al sinds de opkomst van het digitale tijdperk is er onderzoek gedaan naar continuous auditing. Keenoy (1958) sprak in zijn artikel over het automatiseren van accounting en auditing. In zijn artikel heeft hij het over de enorme groei van het aantal ‘paper workers’, van een op de veertig werknemers in het begin van de negentiende eeuw, naar een op de zes werknemers in 1957. Deze groei had als gevolg dat er veel meer data verwerkt moest worden.

Groomer en Murthy (1989) spreken als een van de eerste over een aanpak om database omgevingen te auditen. In database management systemen (DBMS) is het noodzakelijk om aandacht te besteden aan toegangs- en control overtredingen. Toegangsovertredingen zijn wijzigingen of opvragingen door werknemers die er niet voor geautoriseerd zijn, control overtredingen zijn bijvoorbeeld verkeerde transacties. Embedded Audit Modules (EAM’s) kunnen deze overtredingen herkennen. Dit zijn modules gebouwd in applicatieprogramma’s, ontworpen om audit-gerelateerde informatie op te vangen op een continue basis. Door middel van deze aanpak met EAM’s is het mogelijk om de audits van DBMS applicaties efficiënt te auditen. Het voordeel ten opzichte van traditionele auditing is de verbetering van de kwaliteit van de audit, omdat de traditionele audit een steekproef moet trekken en deze aanpak de gehele populatie mee kan pakken. Groomer en Murthy (1989) geven ook drie kanttekeningen aan het gebruik van EAM’s. Het gebruik van EAM’s betekent dat de auditor niet alleen kennis moet hebben over de DBMS, maar ook over de applicatie omgeving. Voor de aanschaf van een EAM moet de auditor goed kunnen aantonen waarom EAM’s voordelen hebben:

Groomer en Murthy (1989) suggereren dat dit mogelijk is door middel van de verlaagde audit kosten over een langere termijn. Ook is het belangrijk dat het DBMS een stabiel systeem is, waar weinig veranderingen in plaats vinden. Is dit wel het geval, zal dit tot hogere kosten leiden omdat modificaties kostbaar zijn.

In navolging van Groomer en Murthy (1989) hebben Vasarhelyi en Halper (1991) een

continuous process audit methodologie ontwikkeld. Dit is een alternatieve aanpak van de

traditionele audit. In hun artikel beschrijven zij de implementatie van deze methodologie, het

continuous process audit systeem wat zij uitgevoerd hebben bij AT&T Bell Laboratories. Zij

bespreken de impact van de veranderingen door technologie op het werk van de auditor, en

geven hierin aan dat daardoor mogelijkheden ontstaan voor een verdere evolutie in audit

tooling en methodologie. Doordat ondernemingen database management systemen gebruiken,

 

waarin heel veel data verwerkt werd, ontstaan er problemen die de traditionele auditing niet kan oplossen. Een voorbeeld hiervan is dat data volgens de traditionele audit één keer per jaar geaudit wordt, vaak lang nadat de gebeurtenissen plaatsgevonden hebben, waardoor het te laat is om economische verliezen te voorkomen (Vasarhelyi en Halper, 1991). Met het gebruik van een embedded audit module (EAM) is het mogelijk om data dat door het systeem stroomt, continue te analyseren en te monitoren, waarbij uitzonderingen herkend kunnen worden door ze te testen aan vooraf ingevoerde audit regels. Wanneer een uitzondering herkend wordt, gaat een alarm af bij de auditor. Dit noemen Vasarhelyi en Halper “continuous process auditing”, en deze methodologie verandert bewijssoort, timing, procedures en de moeite die in het audit werk gestopt wordt. Vasarhelyi en Halper geven aan dat de kwaliteit van de auditing verbeterd, doordat er meer gecontroleerd wordt en betrouwbaarder is. Ook voorzagen zij dat dit ‘Continuous process audit scenario’ grote veranderingen zal hebben voor onder andere de software, de beheersingsomgeving, het gedrag van het management, het gedrag van de auditor. Daarnaast menen zij dat de implementatie een voorzichtige en progressieve aanpak vereist (Vasarhelyi en Halper, 1991).

Na de onderzoeken van Groomer en Murthy (1989) en Vasarhelyi en Halper (1991) is het een tijd rustig geweest in de continuous auditing literatuur. Pas in 1999 kwam het onderzoek naar continuous auditing verder op gang door een gezamenlijke commissie van de American Institute of Certified Public Accountants (AICPA) en de Canadian Institute of Chartered Accountants (CICA). Het onderzoek van CICA/AICPA (1999) beschrijft alternatieve aanpakken van continuous auditing en definieert het onderzoeksveld van continuous auditing.

Kogan et al. (1999) stellen een onderzoeksagenda voor waarin ze belangrijke onderzoeksproblemen beschrijven, zoals de architectuur, de factoren die van invloed zijn op het gebruik en de consequenties van continuous auditing. In het artikel wordt ook beschreven dat continuous auditing alleen mogelijk is met behulp van een ‘online computer systeem’ en het daarom ‘continuous online auditing’ wordt genoemd.

Brown et al. (2006) heeft de literatuur ingedeeld in zes categorieën, te weten:

vraagfactoren, theorie en richting, technologieën, toepassingen, factoren van kostenvoordelen

en case studies. Verschillende vraagfactoren spelen een rol bij de toepassing van continuous

auditing. Zaken zoals de groeiende complexiteit en data intensiviteit van de bedrijfsomgeving,

groeiende invloed van elektronische transacties, toenemend gebruik van outsourcing,

integratie van de waardeketen, de vraag vanuit gebruikers naar meer frequente, betrouwbare

 

informatie en veranderende wet- en regelgeving zoals Sarbanes-Oxley (Alles et al., 2008).

Coderre (2005) geeft aan dat strengere wet- en regelgeving, globalisering, druk vanuit de markt om operaties te verbeteren en snel veranderende zakelijke voorwaarden factoren zijn die de vraag creëren naar meer tijdige en continue zekerheid dat beheersingsmaatregelen effectief werken en risico’s gemitigeerd worden.

Deze vraagfactoren, die van invloed zijn op het ontstaan van continuous auditing, vallen volgens het tijdschrift ‘The Economist’ en het adviesbureau McKinsey onder de noemer ‘the now economy’. Zij gebruiken in 2002 voor het eerst de term de ‘now economy’, waarmee zij aangeven dat de wereldeconomie langzaam aan naar een real-time economie gaat:

In years to come, experts predict, many companies will use information technology to become a ‘real-time enterprise’ – an organization that is able to react instantaneously to changes in its business. And as firms wire themselves up and connect to their business partners, they make the entire economy more and more real-time, slowly but surely creating not so much a ‘new’ but a ‘now’ economy. The Economist, 1 February 2002.

We have only just said goodbye to the new economy, yet it's time to say hello to the ‘Now Economy’. Never heard of it? You're not alone. Even technology gurus sing different tunes when describing the newest buzzwords. The now, or real-time, economy is a complex set of enterprise software products and services that could transform the way companies work. This software could speed up supply chains, cut inventory costs, facilitate cross-company process reengineering, and put more oomph into CRM. The McKinsey Quarterly Newsletter, February 2002.

In de ‘now economy’ wordt het vastleggen van data en het gebruik ervan uitgevoerd door

middel van automatische processen. Deze processen zijn afhankelijk van de kwaliteit van de

gebruikte data, en zullen getest moeten worden (Vasarhelyi, 2008). Het testen van deze data is

niet mogelijk, of in ieder niet geval efficiënt, door een traditionele audit te gebruiken, zodat de

audit ook aangepast moet worden aan de ‘now economy’. Ook is de audit activiteit, zowel de

interne als de externe audit, vaak te laat met de audit omdat het vaak eens per halfjaar of eens

per jaar plaatsvindt.

 

Er zijn vier types vertragingen te herkennen wanneer er gebruik gemaakt wordt van technologie, te zien in figuur 3. De essentie van de ‘now economy’ is om deze vertragingen te verkleinen (Vasarhelyi et al., 2010).

 Intra-proces vertraging: de tijd om een proces uit te voeren (Bijvoorbeeld de verificatie van ERP controls);

 Inter-proces vertraging: de tijd om informatie van het ene proces naar het andere proces over te brengen;

 Beslissingsvertraging: de tijd dat het duurt voordat een beslissing is gemaakt;

 Beslissingsimplementatievertraging: de tijd om van een beslissing tot een uitkomst te komen.

FIGUUR 3

Intra-, inter- en beslissingsvertragingen (Vassarhelyi et al., 2010)

Het Institute of Internal Auditors (IIA) heeft in 2005 een Global Technology Audit Guide

(GTAG) opgesteld. Deze GTAG had als onderwerp continuous auditing, en is geschreven

door Coderre (2005). Hierin wordt beschreven dat door de snelle toename van

informatiesystemen in het bedrijfsleven, auditors makkelijker toegang tot relevante informatie

 

hebben. Tegenover deze vooruitgang staat dat er veel grotere hoeveelheden data en transacties zijn die geaudit moeten worden.

Coderre (2005) stelt dat een nieuwe audit aanpak nodig is door veranderingen in de regulaties en globalisering van de bedrijfsomgeving. Deze veranderingen creëren de vraag naar meer tijdige en continue verzekering dat controls effectief werken en risico’s beperkt blijven. Een gecombineerde strategie van continuous monitoring en continuous auditing is ideaal. Volgens Coderre (2005) bevat continuous monitoring de processen die het management neerzet om te verzekeren dat het beleid, procedures en bedrijfsprocessen effectief opereren. Het wijst op de verantwoordelijkheid van het management om de controls te testen op hun toereikendheid en effectiviteit.

Continuous auditing is daarentegen elke methode gebruikt door auditors om audit-

gerelateerde activiteiten uit te oefenen op een meer continue of bijna continue basis. De

hoofdcomponenten van continuous auditing zijn continuous control assessment en continuous

risk assessment (figuur 4). Continuous control assessment zijn de activiteiten van een auditor

die zorg draen voor de control gerelateerde assurance, en wat er op richt of de controls wel of

niet werken door zwakheden en overtredingen te identificeren. Continuous risk assessment

zijn de activiteiten van auditors gericht op het identificeren en testen van risiconiveaus. Zij

voeren deze activiteiten uit door trends en vergelijkingen te examineren. Volgens Coderre

(2005) is assurance de mening over een derde partij over de gang van zaken. Drie partijen zijn

bij dit proces betrokken: de persoon of groep die de informatie maakt; de persoon of groep die

de informatie gebruikt om beslissingen te maken; en de objectieve derde partij die de

informatie beoordeelt. Continuous assurance kan gegeven worden wanneer auditors

continuous control en risk assessment uitvoeren (continuous auditing) en de toereikendheid

van de continuous monitoring activiteiten van het management evalueren.

 

FIGUUR 4

Continuous Controls Assessment en Continuous Risk Assessment (Coderre, 2005)

3.2 Rol van de interne en externe auditor

Een van de onderzoeksvragen die Kogan et al. (1999) stelden was of continuous auditing geïnitieerd gaat worden door de interne of door de externe auditor. Het belang van de interne auditor bij de evolutie van continuous auditing was al aan het licht gesteld door het CICA/AICPA (1999), omdat interne auditors meer kennis hebben over de accounting systemen in vergelijking tot de externe auditors.

Onder andere Rezaee et al. (2001) en Alles et al. (2002) zagen continuous auditing

toendertijd nog als activiteit van de externe auditor. Dit veranderde na de invoering van

Sarbanes-Oxley. Externe auditors hadden hun handen vol aan sectie 404 en hadden daardoor

geen tijd meer om zich bezig te houden met de ontwikkeling van continuous auditing. Interne

auditors daarentegen zagen continuous auditing als een middel om de arbeidsintensiviteit van

het auditen te verminderen. Ook speelde de nieuwe regels met betrekking tot de

onafhankelijkheid van de externe auditors een rol (Alles et al., 2008). De literatuur over

continuous auditing heeft zich nadien nadrukkelijk gefocust op de rol van de interne auditor

bij de toepassing van continuous auditing, zoals in de case studie bij Siemens (Alles et al.,

2006) en in een micro analyse over de acceptatie en adoptie van continuous auditing specifiek

gericht op de interne auditors (Vasarhelyi et al., 2011).

 

3.3 Definities

Er worden in de continuous auditing literatuur en praktijk veel verschillende betekenissen gegeven aan de term continuous auditing. De meest geciteerde definitie wordt gegeven door AICPA/CICA (1999) (Alles et al., 2006; Alles et al., 2008; en vele anderen):

A continuous audit is a methodology that enables independent auditors to provide written assurance on a subject matter, for which an entity’s management is responsible, using a series of auditor’s reports issued virtually simultaneously with, or a short period of time after, the occurence of events underlying the subject matter.

Continuous auditing hangt nauw samen met continuous monitoring, het onderscheid tussen de twee methodes kan worden gemaakt door te kijken naar wie de activiteiten uitvoert.

Coderre (2005) maakt hierin duidelijk het onderscheid dat continuous monitoring uitgevoerd wordt door het management, en continuous auditing uitgevoerd wordt door de (interne of externe) auditor (figuur 5):

Continuous auditing is a method used by auditors to perform audit-related activities on a continuous basis. Activities range from continuous control assessment to continuous risk assessment. Technology plays a key role in making it a viable option through automation (Coderre, 2005).

Continuous monitoring is a process that management puts in place to ensure that its policies, procedures and business processes are operating effectively. Continuous monitoring typically involves automated continuous testing of all transactions within a given business process area against a suite of controls rules (Coderre, 2005).

Waarbij continuous auditing uitgevoerd kan worden door zowel een interne als een

externe auditor (Alles et al., 2008).

 

FIGUUR 5

Continuous Auditing, Monitoring, and Assurance (Conceptual Model). (Coderre, 2005)

3.4 Activiteiten van continuous auditing

Continuous auditing activiteiten kunnen variëren van continuous control assessment tot continuous risk assessment. Continuous control assessment zijn de activiteiten gedaan door auditors voor het verzorgen van controls gerelateerde assurance. Hierdoor kunnen auditors assurance geven aan de audit commissie en het management over de werking van controls door controle zwakheden en overtredingen te herkennen. Continuous risk assessment zijn de activiteiten uitgevoerd door de auditor met als doel de risico’s te identificeren en te toetsen (Coderre, 2005).

Daarnaast hebben Alles et al. (2006), Alles et al. (2008) en Alles et al. (2009) continuous auditing onderverdeeld in continuous control monitoring en continuous data assurance waarbij:

Continuous control monitoring = ontworpen om de interne beheersing te toetsen.

Continuous data assurance = ontworpen om substantieve toetsen uit te voeren.

En samen:

 

Continuous auditing = Continuous Control Monitoring + Continuous Data Assurance

Aan de definitie van continuous auditing hechten de meeste mensen die hiermee te maken hebben in de praktijk niet veel waarde, dit in tegenstelling tot de academici (Alles et al., 2008).

Chan en Vasarhelyi (2011) onderscheiden vier stadia voor de processen van continuous auditing. Deze vier stadia bestaan uit het identificeren van bedrijfsprocessen waar continuous auditing toegepast kan worden tot en met de rapportage erover. De verschillende stadia zijn hieronder uiteengezet:

- stadium 1: het automatiseren van de audit procedures. De auditor identificeert een bedrijfsproces waarop continuous auditing toegepast kan worden, en gaat dan kijken naar de bestaande audit procedures om vast te stellen welke geformaliseerd en geautomatiseerd kunnen worden.

- stadium 2: data modellering en benchmark ontwikkeling. Data modellering is het door middel van bestaande transactionele data en rekeningsaldi benchmarks aan te maken voor het volgende stadium, de data analyse.

- stadium 3: data analytiek. Bij data analytiek gaat het systeem de nog niet geaudite interne beheersing, transacties en rekeningsaldi evalueren aan de hand van de gemaakte benchmarks.

Data analytiek is opgesplitst in continuous controls monitoring en continuous data assurance.

Continuous controls monitoring is het vergelijken van op regels gebaseerde analytische acties

van werknemers op overtredingen van het interne beheersingsbeleid. Bij continuous data

assurance worden niet geaudite transacties en rekeningsaldi vergeleken met de ontwikkelde

benchmarks uit stadium twee op afwijkingen. Wanneer er afwijkingen of overtredingen

plaatsvinden kunnen deze aangemerkt worden als uitzonderingen. Deze uitzondering kan uit

het systeem worden gehaald, en komt bij de auditor terecht. De auditor krijgt in een

gedetailleerd verslag te zien wat er met deze uitzondering aan de hand is, vervolgens moet de

auditor een beslissing nemen hoe hij reageert op deze informatie.

 

- stadium 4: rapportage. Wanneer er geen uitzonderingen in het systeem zijn, concludeert men dat de informatie vrij is van materiële fouten, omissie of fraude. De auditor kan een oordeel vellen over het systeem of een mate van zekerheid geven.

FIGUUR 6

Continuous audit paradigma en processen (Chan en Vasarhelyi, 2011)

3.5 Van traditionele audit naar continuous auditing

Continuous auditing kan gezien worden als een opvolger van de traditionele audit methodologie, zowel bij de activiteiten van de interne auditor als bij de activiteiten van de externe accountant. Zo wordt door Chan en Vasarhelyi (2011) een vergelijking gemaakt tussen de traditionele auditing en de continuous auditing methodologie (zie figuur 7). De interne auditor voert de audit volgens de traditionele audit aanpak uit op een retrospectieve en cyclische basis, vaak lange tijd nadat de activiteiten uitgevoerd zijn (Coderre, 2005).

Kenmerken van de traditionele audit zijn de periodieke frequentie van zowel het auditen zelf

als het rapporteren erover, auditen op basis van steekproeven, handmatige procedures,

 

onafhankelijke rollen van de interne audit en externe accountant, en de uitvoering gedaan door mensen.

FIGUUR 7

Traditionele auditing versus continuous auditing methodologie (Chan en Vasarhelyi, 2011)

Ontwikkelingen in accounting informations systems, zoals de komst van enterprise

resource planning (ERP) systemen, hebben gezorgd voor de impuls van real time financial

information. Hier tegenover staat dat de traditionele audit niet mee gegaan is met de

ontwikkelingen van de real time economy. Chan en Vasarhelyi (2011) geven aan dat de

handmatigheid van de traditionele audit procedures voornamelijk de oorzaak zijn van deze

achterstand. Handmatige audit procedures zijn arbeids- en tijdintensief. Deze achterstand door

de handmatige audit procedures kan ingehaald worden door gebruik van technologie en

automatisering, wat leidt tot innovatie in het traditionele audit proces, met als voorbeeld

continuous auditing (Chan en Vasarhelyi, 2011). De zeven dimensies waarin innovatie wordt

verwerkt is weergegeven in figuur 5 en hieronder verder uitgelegd:

 

1. De eerste dimensie waarin Chan en Vasarhelyi (2011) de audit methodologie heeft opgesplitst is de frequentie van de audit. Puur theoretisch vanuit de real time economie bekeken is een continue audit ideaal. Maar continuous auditing kan invloed hebben op de operaties in de accounting information systeem, zoals eerder al aangegeven bij bijvoorbeeld een EAM of een MCL. Wanneer een real time audit niet kostenefficiënt is, kan men een continuous audit cycle model gebruiken. De audit vind dan frequent plaats, bijvoorbeeld na een vaste periode of wanneer een aantal transacties plaatsgevonden hebben.

2. De tweede dimensie is de aanpak van de audit. De traditionele audit vind achteraf plaats wanneer de transacties uitgevoerd zijn. Externe accountants voeren de audit één keer per jaar uit, interne auditors doen gedurende het jaar maar ook geruime tijd nadat de transacties plaatsgevonden hebben. Door een proactieve aanpak kunnen auditors uitzonderingen actief detecteren en direct aanpakken wanneer deze hebben plaatsgevonden, wat veelal niet mogelijk is bij de traditionele audit.

3. Bij de traditionele audit worden procedures handmatig aangepakt, dit leidt er vaak toe dat dezelfde werkzaamheden dubbel uitgevoerd worden. Door automatisering van de audit procedures in een continuous auditing methodologie wordt dit vermeden met als resultaat dat er verder gebouwd kan worden op eerdere procedures, daarnaast scheelt het veel arbeidsuren.

De automatisering van de audit procedures kost moeite om op te bouwen. Dit komt onder andere doordat alle dataverzamelingen gestandaardiseerd moeten worden, beleid van interne beheersing geformaliseerd moet worden en nog steeds veel kennis moet zijn over de procedures. Wanneer dit goed aansluit, kunnen er voordelen behaald worden op de traditionele audit.

4. Bij de ontwikkeling van de verandering van traditionele auditing naar continuous

auditing veranderen de activiteiten en taken van de auditors mee, zowel voor de interne

auditor als wel voor de externe accountant. De implementatie van continuous auditing heeft

zich ontwikkeld tot het domein van de interne auditor (Vasarhelyi et al., 2009). Het zou

inefficiënt zijn als zowel de interne als de externe auditor continuous auditing implementeert

omdat dan dubbel gecontroleerd wordt. Volgens Chan en Vasarhelyi (2011) is het meest

ideale als de implementatie van continuous auditing gedaan wordt door de interne auditor

vanwege de grote hoeveelheid data en de frequentie van het monitoren en toetsen vereist is.

 

5. Aard, timing en omvang van de audit.

De continuous auditing methodologie verandert de aard, timing en omvang van de audit toetsing (Vasarhelyi en Halper, 1991):

- Aard: van traditionele audit (handmatige internal control en substantieve gedetailleerde toetsen periodiek uitvoeren) naar continuous audit (CCM (voor continu monitoren van internal controls op overtredingen) en CDA (continu toetsen van transactionele data op afwijkingen) (Alles et al., 2008).

- Timing: Bij traditionele audit vindt de internal control toetsing plaats in de planning stage van de audit, en substantieve detail toetsing in de uitvoering. Bij continuous auditing, gebeurt dit tegelijkertijd en continu.

- Omvang: bij traditionele audit wordt gebruik gemaakt van steekproeven vanwege de arbeids- en tijdintensiviteit van de handmatige handelingen. Continuous auditing daar tegenover pakt de gehele populatie mee.

6. Uitvoering van de toetsing

In de traditionele audit voeren de auditors de testen uit, onder andere met behulp van statistische technieken en regressie analyses. Continuous auditing gebruikt geautomatiseerde technieken, zoals data modellering en data-analyse technieken. Data modellering is het gebruik van historische data om benchmarks te creëren. Data analyse technieken gebruiken de gemaakte benchmarks om de te auditen data te toetsen en vergelijken.

7. Audit rapportage

Rapportage verschilt tussen de interne audit en de externe accountant. Indien er materiële

afwijkingen of fraude ontdekt is, moet hierover een uitzonderingsrapport verschijnen en bij de

juiste personen terecht komen. Ook moet er een procedure vaststaan hoe gereageerd wordt op

deze rapporten, en welke acties ondernomen dienen te worden.

 

3.6 Technische architectuur

Tegenwoordig beschikken de meeste ondernemingen over een ERP systeem. Een ERP systeem is een software systeem dat de verschillende bedrijfsprocessen samenbrengt en ondersteunt.

ERP systemen bestaan meestal uit een drie lagen (zie figuur 7). De onderste laag, het data management, is veelal een relationele database management systeem. De applicatie laag bestaat uit geïntegreerde applicatie modules en analytische tools, en in de bovenste laag vindt de interactie plaats met de gebruikers van het systeem via een presentatie laag (Debreceny et al., 2005).

In figuur 8 wordt duidelijk hoe EAM’s geïntegreerd zijn, in zowel het pre-ERP tijdperk als tegenwoordig met ERP’s. Het pre-ERP tijdperk was ten tijde van het onderzoek van Groomer en Murthy (1989), waarbij de data-omgeving uit twee lagen bestond. Dit zijn de presentatielaag en de applicatie datamanagement laag.

Een embedded audit module (EAM) is een module geplaatst in de applicatielaag om informatie over transacties te identificeren die aan vooraf gespecificeerde criteria voldoen (Debreceny et al., 2005). Om tot een succesvolle continuous auditing implementatie te komen moet een EAM voldoen aan de volgende karakteristieken (Debreceny et al., 2005):

- een gebruikersomgeving waarin een auditor een vragenset kan maken om transactie integriteitsbeperkingen te toetsen van een vooraf bepaalde reeks van queries, van een wijziging van de attributen van de voorafbepaalde queries, of van een nieuw gemaakte queries

- Een proces voor registratie en planning van deze queries

- Een methode om deze queries continue of tijdelijk te laten werken

- Het moet capaciteit hebben om de overtredingen elektronisch te rapporteren

- De mogelijkheid om details over transacties van overtredingen te kopiëren en ergens anders op te slaan.

EAM’s kunnen voor twee doelen gebruikt worden. Het kan als een compliance-testing

tool gebruikt worden, waarbij de auditor informatie krijgt over de operatie van controls. Ook

kan het gebruikt worden als een ‘substantive-testing tool (inhoudelijke testen), waarbij de

 

auditor informatie krijgt over actuele transactiefouten (Groomer en Murthy, 1989). De EAM kan voortdurend gebruikt worden, maar dit kan ook invloed hebben op het database management systeem.

FIGUUR 8

Integratie van Embedded Audit Modules (Debreceny et al., 2005)

Bij een EAM zijn de programmeercodes voor de audit procedures en/of taken ontwikkeld

en geïmplementeerd in de applicatielaag (embedded), waar het de programmeertaal van de

applicatie gebruikt. De audit functies kunnen de transacties live (real-time) evalueren tegen de

geprogrammeerde audit criteria, wanneer deze plaatsvinden in de applicatie. EAM’s bevatten

rapportage functionaliteiten die vooraf bepaalde individuen, zoals binnen de interne audit, op

de hoogte houden van transacties die de audit procedures overtreden. Deze rapportages

kunnen bestaan uit email, piepers, systeemrapporten of andere dergelijke opties. De opslag

van de alarmen door overtredingen kan in dezelfde databases plaatsvinden waar ook de

normale transacties opgeslagen worden. Dit zorgt ervoor dat er regelmatig back-ups gemaakt

worden van de audit gegevens (Kuhn en Sutton, 2010).

 

Kuhn en Sutton (2010) geven aan dat de hierboven beschreven EAM niet altijd optimaal is voor een onderneming, en komen met een alternatief. Dit is het EAM Ghosting, en biedt de voordelen van de traditionele EAM maar is gescheiden van het live systeem dat functioneert in het ERP systeem. De audit-functionaliteit implementeert, opereert en onderhoudt zich buiten het productiesysteem van de onderneming. Hierdoor is een kopie van het gehele systeem op een aparte hardware, die op een real-time manier meedraait. Op deze manier kan de live verwerking van de transacties geen invloed hebben op de productieomgeving, wanneer er bijvoorbeeld storingen plaatsvinden.

Een ander alternatief voor de embedded audit module is bedacht door Vasarhelyi et al.

(2004), en is de Monitoring and Control Layer (MCL). Een MCL is geïmplementeerd in een gescheiden, onafhankelijk systeem, en heeft toegang tot de applicaties. Het voordeel hiervan is dat de data binnen een MCL veiliger is en niet beïnvloedt kan worden door buitenaf.

Volgens Kuhn en Sutton (2010) is het niet zozeer een vervanger van EAM maar meer een alternatief voor andere omstandigheden binnen een onderneming. Hoofdonderdelen van een MCL zijn een data capture laag, een data filtering laag, relationele opslag, measurement standards laag, inference engine (redenatie moter), analytische laag, alarmeringslaag en een rapporteringsplatform (figuur 9).

FIGUUR 9

Monitoring and Control Layer (MCL) (Vasarhelyi et al, 2004)

 

De verschillende karakteristieken van de continuous auditing systeem types zijn te zien in figuur 10, waarbij de EAM, EAM Ghosting en de MCL met elkaar vergeleken worden.

FIGUUR 10

Karakteristieken van de verschillende continuous auditing systeem types (Kuhn en Sutton, 2010)

4. Informatietechnologie implementatie

4.1 Inleiding

Boonstra (2011) bespreekt in zijn oratie ‘Innoveren met informatietechnologie: een tweesnijdend zwaard’ drie denkrichtingen over de afstemming van technologie en organisatie.

Bij implementatie van informatietechnologie gaat het om de afstemming tussen de informatietechnologie en organisaties. Hierin zijn volgens Boonstra (2011) drie denkrichtingen te onderscheiden:

Technologische sturing

Technologie is een externe, grotendeels onafhankelijk fenomeen die organisaties dwingt

om veranderingen door te maken. De organisaties moeten informatietechnologie innovaties