Met deze samenvatting haal je gegarandeerd een voldoende, ik had de OAT in één keer gehaald met een 6,5! Deze samenvatting bevat uitgebreide voorbeelden en met deze samenvatting zijn andere theorieboeken overbodig behalve de handboeken Deloitte en de HRA
Samenvatting LAC (compleet) pagina 2 t/m 31
Samenvatting BIV (compleet) pagina 32 t/m 46
Samenvatting EXV (compleet) pagina 47 t/m 83
LAC = leer van de accountantscontrole
BIV = bestuurlijke informatie voorziening/verzorging
EXV = externe verslaggeving
Deze samenvatting heeft betrekking op het handboek Deloitte voor EXV en handboek HRA voor LAC.
,Samenvatting LAC (OAT)
,IT in de controle
Er zijn drie typen IT-omgevingen te onderscheiden:
- Dominante IT-omgeving
IT speelt een rol in alle of vrijwel alle bedrijfsprocessen, waaronder financiële administratie.
(Autofabrikant met volledig automatisch productieproces en ERP systeem).
- Standaard IT-omgeving
IT speelt een essentiële rol in enkele belangrijke bedrijfsprocessen. (winkelketen die webwinkel,
voorraadbeheer, klantenbeheer en financiële administratie heeft geautomatiseerd, maar de rest
niet).
- Beperkte IT-omgeving
IT ondersteund slechts 1 of enkele bedrijfsprocessen. (makelaarskantoor met alleen office en Excel).
Bepalen van type IT-omgeving
Kan aan de hand van 5 kenmerken
- Integratie in de bedrijfsprocessen
- Complexiteit van de IT-systemen
- Afhankelijkheid van de IT
- Gevoeligheid voor beheersingsrisico’s
- Belang voor de managementinformatie
Als de IT-omgeving van significant belang is voor de controle moet deze meegenomen worden. Om
een duidelijk beeld te krijgen van de IT en de integratie van de IT in de bedrijfsprocessen moet de IT
gemapt worden.
P Naam Omschrijving
P1 Posten De materiële posten van de jaarrekening en de daaraan ten
grondslag liggende transacties (datastromen)
P2 (Bedrijfs-) Processen De significante bedrijfsprocessen en hun interne
beheersingsmaatregelen (BP-controls; BPC)
P3 Programma’s De applicaties die in de bedrijfsprocessen een rol van betekenis
spelen
P4 Platformen Geheel van middelen dat een applicatie gebruiken mogelijk
maakt: het OS, het netwerk, de database en de overige hardware
P5 Processen van IT-beheer Mensen, methoden en middelen die geheel van ICT beheren, 65%
van de gevallen ITIL-gebaseerd
,Automatisering
Diverse informatie
Hoe beoordeelt de accountant de betrouwbaarheid en continuïteit van de geautomatiseerde
gegevensverwerking indien in principe een systeemgericht controle mogelijk is?
De functionele organisatie: plaats van de automatisering binnen de organisatie, de
functiescheiding binnen de automatiseringsafdeling en de ervaring van IT medewerkers.
Changemanagement: test en autorisatieprocedures bij ingebruikname en wijziging.
Logische toegangsbeveiliging: username + passwords gekoppeld aan een competentietabel
ter handhaving van de functiescheiding (maatregelen: eisen wachtwoord d.m.v. een
combinatie van tekens of cijfers of letter, eens in de zoveel tijd je wachtwoord veranderen
etc.).
Back-up, recovery en SLA een overeenkomst.
Documentatie van programma’s.
Systeemcontroles: opzet, bestaan en werking van geprogrammeerde controles.
Gebruikerscontroles m.b.t. transactiestromen en stamgegevens.
Bij geautomatiseerde gegevensverwerking is er een primaire functiescheiding nodig tussen de
gebruikersorganisatie en de automatiseringsorganisatie. Vervolgens is er een secundaire
functiescheiding binnen de automatiseringsafdeling tussen ontwikkeling en beheer.
Wat dienen organisatorische maatregelen in een geautomatiseerde omgeving te waarborgen?
Het niet kunnen wijzigingen van goedgekeurde programma’s.
Er mogen geen ongeautoriseerde transacties in de bestanden plaatsvinden.
Geen ongeautoriseerde output.
Bij kleinschalige automatisering binnen een bedrijf zal de controleaanpak vooral gegevensgericht zijn,
bijvoorbeeld een data-analyse. Bij een grootschalige automatisering binnen een bedrijf is de
controleaanpak systeemgericht.
Gebruik van auditsoftware kan plaatsvinden op het gebied van:
Analyse van de bevoegdheden van de personen die inkopen hebben gedaan.
Ouderdomsanalyse op de posten debiteuren en voorraden.
Analyse van bruto marges van bepaalde artikelgroepen.
De betrouwbaarheid van het automatiseringsprogramma moet altijd worden getoetst, dit is in elke
casus van belang. Wanneer de accountant niet systeemgericht kan controleren dan controleert de
accountant gegevensgericht of een combinatie van systeem- en gegevensgericht.
Voorbeeld van benodigde controle informatie voor de volledigheid van de opbrengsten kan zijn
informatie uit de gebruikersomgeving en verbanden uit de (geld)goederenbeweging.
Wat is de doelstelling van auditsoftware bij een gegevensgerichte controle aanpak?
De doelstelling is een uitspraak te kunnen doen over één van de kwaliteitsaspecten (zoals juistheid
en afgrenzing) van een jaarrekeningpost.
Wat is de doelstelling van auditsoftware bij een systeemgerichte controle aanpak?
De doelstelling is uitspraken te doen over de opzet, bestaan en werking van de betrouwbaarheid en
continuïteit van de geautomatiseerde gegevensverwerking. Bijvoorbeeld via datamining vaststellen
of inkoopfacturen door een juiste persoon zijn geautoriseerd.
,General IT controls + doel van de maatregelen (10)
De afdeling automatisering is rechtstreeks onder de directie geplaatst: met als doel dat de
geautomatiseerde gegevensverwerking niet rechtstreeks kan worden beïnvloed door andere
afdelingen.
Changemanagement procedures: met als doel dat niet gewerkt wordt met applicaties of
software die niet door gebruikers zijn geaccepteerd en op betrouwbaarheid zijn getest.
Logische toegangsbeveiliging m.b.v. username + passwords cf. geldende functiescheiding:
met als doel dat geen onbevoegdheden gegevens kunnen lezen of wijzigen.
Passwords worden regelmatig aangepast en bestaan uit voldoende tekens zodat
onbevoegdheden geen gegevens kunnen lezen of wijzigen.
Logging van ongeautoriseerde toegang tot bestanden en programma’s: zodat bij een poging
tot ongeautoriseerde toegang kan worden onderzocht wat er is gebeurd en wie daarvoor
verantwoordelijk is.
Beveiliging via encryptie: met als doel het risico verlagen m.b.t. tot het lezen van
vertrouwelijke gegevens door onbevoegdheden.
Beveiliging via firewalls en virusscanners: met als doel dat applicaties en gegevens
beschermd blijven tegen verminking.
Fysieke toegangsbeveiliging en brandbeveiliging: met als doel vermindering van doorbreking
van de continuïteit van de gegevensverwerking.
Back-up en recovery procedures (SLA overeenkomst): met als doel vermindering van het
risico van discontinuïteit van de gegevensverwerking.
Audit trial: het gehele vastgelegde proces van transactie van invoer tot uitvoer nalopen
conform het proces met als doel kijken of het proces geheel wordt nagelopen.
Application controls + doel van de maatregelen
Check digits (bankrekeningnummer, ISBN, IBAN het laatste cijfer is een willekeurig getal):
met als doel dat je zekerheid hebt dat je een juist bankrekeningnummer hebt.
Limit check (bovengrens tot maximaal uren): met als doel de regelmatigheid van de
ingevulde uren.
Controle op ontbrekende velden (alle velden ingevuld): met als doel dat je de volledige
gegevens ontvangt.
Geautomatiseerde VBC shoptime – improductieve uren = jobtime – afwezige uren =
paytime: met als doel het de werking van het urenregistratiesysteem en het vaststellen van
productiviteit, aanwezigheid en ziekte van personeelsleden.
Dropdownlijsten (bepaalde projecten vrijgeven waar uren opgeboekt kunnen worden): met
als doel dat niet zomaar ergens uren opgeboekt kunnen worden door een personeelslid.
Ontvangstbevestiging van ingevulde uren door medewerker (melding dat het gedaan is):
met als doel daadwerkelijk zien dat uren zijn verstuurd.
Tolerantiegrenzen (maximaal 8 uren p.d. anders autorisatie): met als doel de volledigheid
van de urenregistratie.
Karaktercontrole: met als doel de juiste postcode.
Formaatcontrole (voldoen ingevoerde gegevens aan de richtlijnen): met als doel juiste
afmeting, formaatcontrole is 6 tekens.
Geautomatiseerde melding uren schrijven via e-mail: met als doel volledigheid van de
geschreven uren.
Standenregister op controle uitbetaling a.d.h.v. urenregistratie en contracten: met als doel
juiste salaris per personeelslid.
Hash total (irreëel bankrekeningnummers): met als doel dat wijzigingen naar voren komen
als de hash total wijzigt.
Batch total (reëel controle totalen): zoals totale salarissen.
, Toegangscontrole door invullen van een code door personeelslid voor het schrijven van
uren.
Medewerkers worden gedwongen door het urenregistratiesysteem minimaal het aantal
uren volgens het contract per week te schrijven (automatische match shoptime = jobtime).
Redelijkheidscontroles (bijvoorbeeld op geschreven uren is het reëel of is iets redelijk?).
Waarschijnlijkheidscontroles.
Invoercontroles.
Beoordelen van de werking van de geprogrammeerde controles in het urenregistratiesysteem kan via
het invoeren van testgevallen zoals: meer of minder uren invoeren dan de contractuele uren van het
personeelslid of niet bestaande/afgesloten projectnummers te gebruiken.
Waarom onderzoekt de accountant de AO/IB?
De accountant onderzoekt of hij er op kan steunen. Hij gaat na of de AO/IB aan de minimumeisen
voldoet om tot een goedkeurende verklaring te komen en hij controleert of er gebruik van de AO/IB
uitkomsten kan worden gemaakt hierdoor kan hij de controle efficiënter inrichten dus meer
systeemgerichte controles i.p.v. gegevensgerichte controles.
Voor de interne accountants gelden dezelfde eisen van effectiviteit en efficiëntie als voor een
openbare accountant. Ook de interne accountant moet objectief zijn. Voor zowel de interne
accountant als voor de openbare accountant geldt: het is onmogelijk de onvervangbare maatregelen
van interne controle in te vullen.
Systeemgerichte- en gegevensgerichte controles:
Systeemgerichte/gegevensgerichte controle is het zwaartepunt van de controleaanpak. Bij de
systeemgerichte controle ligt de nadruk bij de beoordeling van het administratieve systeem met
daarin de interen controles en op de toetsing van de werking. Bij de gegevensgerichte controle ligt
de nadruk op de verificatie van de door het systeem gegenereerde informatie.
Systeemgerichte controles hebben de voorkeur, omdat deze gericht zijn op de totstandkoming en
opbouw van registraties die tot een jaarrekening leiden, alleen systeemgericht is onmogelijk, want de
toetsing van de werking is altijd gebaseerd op gegevensgerichte werkzaamheden. Inzet van data-
analyses over de hele populatie kan gegevensgerichte controles stukken efficiënter maken en meer
zekerheid opleveren. Uitsluitend gegevensgerichte controles is ook onmogelijk, omdat de
onvervangbare en voor de accountant onmisbare controles beoordeeld moeten worden, eerst moet
worden opgemerkt of de uiterlijke kenmerken van de uitvoering van deze controles aanwezig zijn.
Bij minder strak georganiseerde bedrijven is een systeemgerichte controle niet altijd mogelijk, dan is
gegevensgericht onvermijdelijk. Systeemgerichte controles zullen leiden tot signalering van
organisatorische problemen en aanbevelingen ter oplossing. Gegevensgerichte controles leiden tot
signalering van problemen in de feitelijke bedrijfsvoering.
Waarom is het verschil tussen vervangbare- en onvervangbare AO/IB van belang voor de controle
door de accountant?
Het ontbreken van de onvervangbare AO/IB kan leiden tot onzekerheid in de controle met mogelijke
gevolgen voor de controleverklaring. Het ontbreken van vervangbare AO/IB kan leiden tot meer
gegevensgerichte controlewerkzaamheden of data-analyses.
,Conceptueel raamwerk (7-stappenplan) met VGBA en VIO
Stap 1: Beschrijving van de situatie
- Attentiepunten en risico’s
- Stel jezelf een vraag of het mag?
Stap 4: Beoordelen
- Wat zou een redelijk goed geïnformeerde derde ervan vinden?
- Mag dit?
- Bij VIO spelen of VIO art. 16, 18, 19 en 20 een rol of overige artikelen na VIO art. 20
- Bij VGBA welke regels zijn van toepassing en zijn regels nageleefd, geheimhouding, directie
wijzen op geconstateerde fouten, info doorspelen mag mits algemeen bekend, inschatten of
risico aanvaardbaar is
Stap 5: Maatregelen
- Onderbouwing om schijn en in wezen weg te nemen
- Bij VIO staan de maatregelen in VIO art. T…
- Bij VGBA vaststellen dat normale procedures zijn gevolgd, geen informatie verstreken, goede
onderbouwing lage offerte bedrag, advies vragen bureau vaktechniek, deskundige
inschakelen, directie van bedrijf laten onderzoeken, vaststellen of informatie vertrouwelijk is,
vrijmaken voldoende tijd kwalitatieve medewerkers
Stap 6: Conclusie
- Als alle voorwaarden/maatregelen goed zijn doorlopen dan controle wel uitvoeren, zo niet
dan controle niet uitvoeren
- Zelf geen informatie verstrekken
Stap 7: Documentatie
- Jezelf veiligstellen d.m.v. rapporteren (alle overwegingen, besluiten, beoordelingen, keuzes
en reviews vastleggen in het dossier) en melden dat alle stappen zijn doorlopen
* Als accountant treedt je altijd eerlijk en oprecht op, dus je zou ook tegen de “tegenpartij” moeten
zeggen dat ze een deskundige moeten inhuren als de medewerkers niet deskundig genoeg zijn.
, Overige theorie
Getrouw beeld:
- Betrouwbaarheid: bestaan, eigendom (rechten en verplichtingen), volledigheid, juistheid en
tijdigheid
- Aanvaardbaarheid: grondslagen voor waardering en resultaatbepaling
- Rechtmatigheid
- Toereikendheid: presentatie en toelichting
Axiomatisch voorbehoud:
- De accountant is niet verantwoordelijk voor het niet ontdekken van fouten van materieel
belang die naar hun aard niet behoeven te worden ontdekt of kunnen worden ontdekt t.b.v.
de jaarrekeningcontrole.
- Wanneer wordt er een beroep opgedaan?
o Als blijkt dat de accountant niet overal deskundig in kan zijn (NV COS 620);
o Als de accountant niet voortdurend aanwezig kan zijn bij relevante gebeurtenissen
(niet alles meekrijgen);
o Achtergehouden informatie door het management;
o Het voordoen van uiteindelijke feiten die niet uit de administratie blijken;
o Beperkte controleerbaarheid AO/IB (onzekerheden door samenspanning of
(on)opzettelijke fouten);
o Door kosten/baten verhouding, wordt gemaakt van een steekproef waardoor niet
alles te controleren is, kwantitatief axiomatisch voorbehoud (NV COS 200 al. 45).
Algemene info:
Assurance opdrachten: zekerheid verlenen over de jaarrekening of over een ander aspect
(bijvoorbeeld controle van de jaarrekening of beoordeling van iets).
OOB: organisatie van openbaar belang (of controle of andere werkzaamheden uitvoeren niet beide
door één accountantskantoor VIO art. 16) worden wettelijk gecontroleerd door accountantskantoren
die een vergunning daarvoor hebben, bijvoorbeeld UMCG of ABN AMRO.
Subjectief = bijvoorbeeld het vormen van een voorziening.
Routinematig = “vastgelegd” elk jaar 10% van de debiteuren aanmerken als dubieus.
Niet routinematig = niet gewoonlijk (wisselende % en schattingen).
Assurance object = bijvoorbeeld de jaarrekening.
Subjectief = persoonlijk.
Entiteit = onderneming of groep.
Onafhankelijkheid = vaak objectiviteit en integriteit.
Externe accountant = dienen te zijn ingeschreven bij het AFM (openbaar + vergunning = extern).
Het bestuur/leiding is verantwoordelijk voor het opstellen van de jaarrekening en het bepalen welke
grondslagen voor financiële verslaggeving worden gehanteerd. De accountant is verantwoordelijk
voor het bepalen of gekozen grondslagen bij het opstellen van die overzichten aanvaardbaar zijn.
Kan een controleopdracht worden gewijzigd in een samenstellingsopdracht?
Ja, dat kan mits het bedrijf niet wettelijk controleplichtig is (dat bedrijf X niet twee achter één
volgende jaren middelgroot is geweest) en er een aanvaardbare reden moet zijn om de opdracht te
wijzigen. Als de opdracht wijzigt in een samenstellingsopdracht moet de accountant om aanvullende
informatie vragen als hij ergens niet uitkomt, de directie dient dan te antwoorden op de vragen van
de accountant.
The benefits of buying summaries with Stuvia:
Guaranteed quality through customer reviews
Stuvia customers have reviewed more than 700,000 summaries. This how you know that you are buying the best documents.
Quick and easy check-out
You can quickly pay through credit card or Stuvia-credit for the summaries. There is no membership needed.
Focus on what matters
Your fellow students write the study notes themselves, which is why the documents are always reliable and up-to-date. This ensures you quickly get to the core!
Frequently asked questions
What do I get when I buy this document?
You get a PDF, available immediately after your purchase. The purchased document is accessible anytime, anywhere and indefinitely through your profile.
Satisfaction guarantee: how does it work?
Our satisfaction guarantee ensures that you always find a study document that suits you well. You fill out a form, and our customer service team takes care of the rest.
Who am I buying these notes from?
Stuvia is a marketplace, so you are not buying this document from us, but from seller johanludolphie. Stuvia facilitates payment to the seller.
Will I be stuck with a subscription?
No, you only buy these notes for $12.31. You're not tied to anything after your purchase.