Samenvatting van college 4 ADVA van de Master aan de Nyenrode Business Universiteit. De samenvatting ziet toe op het vierde college van de cursus ADVA, genaamd Risk Assessment en omvat het artikel van Knechel - The Business Risk Audit, en Curtis - Auditors training and proficiency in Information Sy...
Artikel Curtis – Auditor’s Training and Prroficiency in Information Systems: A Research
Synthesis
Het artikel van Curtis richt zich op de vraag of auditors voldoende getraind en bekwaam zijn op het
gebied van informatiesystemen. Om deze vraag te beantwoorden heeft Curtis een onderzoek
synthese uitgevoerd op basis van literatuuronderzoek en verschillende empirische studies.
Deze beoordeling is belangrijk vanwege het snel toenemende gebruik van technologie in het
bedrijfsleven, recente wijzigingen in de Amerikaanse controlestandaarden op het gebied van
informatietechnologie en interne controle, en signalen van interesse van toezichthouders in mogelijke
toekomstige normen voor de kennis van informatiesystemen (IS) en auditors.
In het artikel wordt voormalig onderzoek beoordeeld om informatie te geven over de huidige status
van de literatuur en om specifieke vragen te identificeren waarover onvoldoende onderzoek is gedaan.
Het onderzoek van Curtis bestaat uit drie onderdelen:
1. Huidige situatie van IS in financiële verslaggeving en invloed op controles
2. Behoefte aan c.q. ontwikkeling van de IS-expertise door accountants
3. Interactie tussen de IS (IT) auditors en de rest van de auditors
1. Huidige situatie van IS in financiële verslaggeving en invloed op controles
Drie implicaties van de veranderende IS-omgeving voor het auditproces.
Ten eerste worden IS steeds meer geautomatiseerd, zodat bedrijfsprocessen in veel organisaties
verlopen zonder menselijke tussenkomst: de mogelijkheid om de effecten van economische
gebeurtenissen op de financiële overzichten vast te leggen en te rapporten zodat de belangrijkste
bedrijfsprocessen volledig zijn geautomatiseerd (bijvoorbeeld voorraadbestellingen en
kredietgoedkeuring). Boekhouding en financiële rapportage behoren ook tot de bedrijfsprocessen die
steeds vaker worden uitgevoerd met behulp van geautomatiseerde technologieën.
De meeste IS bevatten application controls, deze zijn belangrijk voor de auditor omdat ze een middel
zijn om de kans op afwijkingen te verkleinen en om de risico’s van bepaalde vormen van fraude te
beperken. Hoewel de application controls bijdragen aan de efficiënte, brengt het gebruik ervan het
risico met zich mee dat de controles mogelijk niet werken zoals verwacht. Ze worden bijvoorbeeld
mogelijk niet geactiveerd tijdens een systeemimplementatie, of ze kunnen worden omzeild. Daarnaast
is niet altijd sprake van een audit trail, wat de audit van deze processen kan bemoeilijken.
Ten tweede breiden bedrijven hun gebruik van ERP-systemen uit. ERP-systemen stellen entiteiten in
staat om de IS van het bedrijf nauw te koppelen aan zakelijke partners. ERP-systemen brengen
verschillende unieke controlerisico’s met zich mee:
- Implementatieprocessen hebben een belangrijke invloed op de systeembetrouwbaarheid
- Risico’s verschillen per applicatie en leverancier
- Het verkrijgen van zekerheid over de systemen vereist meer aandacht voor het testen van het
proces in plaats van het testen van de output
Ten derde moedigt de aantrekkingskracht van kostenbesparingen en toegang tot schaarse middelen
veel bedrijven aan om IS-processen uit te besteden. Daarbij komen een aantal zaken kijken: het
kiezen van een geschikte leverancier, gegevensprivacy, beveiliging van gegevens en intellectueel
eigendom, het opstellen van SLA’s, wijzigingsbeheer en controleerbaarheid. Deze zorgen worden
groter wanneer outsourcing ook off-shore plaatsvindt, vanwege landspecifieke risico’s. In de meeste
gevallen zullen auditors van een organisatie geen toegang hebben tot de informatiesystemen die zijn
ondergebracht bij een leverancier en zullen ze moeten vertrouwen op SAS 70.
Een recente studie ontdekte dat controleproblemen vaker voorkomen in digitale omgevingen.
Entiteiten hebben moeite met technologische toepassingen op het gebied van financiële
verslaggeving.
, Auditstandaarden en auditpraktijken die relevant zijn voor IS en interne controle
In de afgelopen jaren hebben controlestandaarden steeds meer nadruk gelegd op de interne
controlesystemen van de klant en op de rol van de accountant bij het begrijpen van die systemen om
een effectieve controle uit te voeren. Eerder kozen auditors er namelijk voor om niet te vertrouwen op
de interne controles van een bedrijf, maar om zekerheid te verkrijgen uit gegevensgerichte controles.
Met ingang van 2001 werd SAS 94 ontworpen om ‘de lat hoger te leggen’ door auditors te verplichten
IT te beschouwen als een onderdeel van de controleomgeving van de entiteit. SAS 94 vereist dat een
auditor die van plan is alleen gegevensgerichte controles bij een opdracht uit te voeren, ervan
overtuigd moet zijn dat een dergelijke aanpak effectief zal zijn.
SAS 109 vergroot de noodzaak voor auditors om de effectiviteit van de interne controles van de klant
te overwegen. Het vereist dat de auditor het inzicht in de interne beheersomgeving documenteert, de
opzet van de interne beheersingsmaatregelen evalueert en vaststelt of de geïdentificeerde interne
beheersingsmaatregelen zijn geïmplementeerd. De implementatie van deze standaard was een
uitdaging: bedrijven erkennen dat hun medewerkers een hoger niveau van technische competentie en
meer training nodig hebben.
De opkomst van bedrijfsrisicobenaderingen resulteerde in een grotere afhankelijkheid van interne
controles. Dit betekent echter niet noodzakelijkerwijs dat de afhankelijkheid van geautomatiseerde
besturingen is toegenomen. De recente wijzigingen in de controlestandaarden impliceren dat
professionele vereisten omtrent interne controles uitgebreider zijn geworden. Onderzoek dat de
afgelopen tien jaar is uitgevoerd, levert wisselende resultaten op over de mate waarin auditors het
testen van interne beheersmaatregelen in hun opdrachten hebben opgenomen: vroeger had men de
neiging om niet te vertrouwen op interne controles. Er zijn aanwijzingen dat dit patroon aan het
veranderen is.
Controlestandaarden met betrekking tot het gebruik van IS-auditors bij de opdracht
SAS 94 merkt op dat een auditor mogelijk gespecialiseerde vaardigheden nodig heeft om het effect
van IS op de audit te beoordelen en de controlemechanismen van de klant te begrijpen. Factoren die
de behoefte aan specialisten suggereren zijn: systeemcomplexiteit, systeemveranderingen en
implementaties. IS-auditors worden beschouwd als leden van het opdrachtteam. De beslissing van de
auditor om een IS-auditor te betrekken, is een oordeel gebaseerd op het afstemmen van de
vaardigheden van de teamleden en de kenmerken van de cliënt.
Suggesties voor toekomstig onderzoek
- Onderzoek naar de aard en omvang van financiële onjuistheden in verband met ERP’s:
dergelijk onderzoek zou kunnen identificeren waar de risico’s bestaan en hoe auditors deze
kunnen aanpakken.
- Ervaring van de IS-auditor in de huidige auditomgeving: hoe beïnvloed de complexiteit van de
IS van de klant de uitvoering van de audit.
2. Behoefte aan c.q. ontwikkeling van de IS-expertise door accountants
De realiteit is dat er vaak onvoldoende discussie is tussen de IT-auditors en de auditors om te weten
welke zekerheid wordt geboden door het werk dat wordt gedaan door de IT-auditors. De auditors
hebben onvoldoende kennis om te weten wanneer computertechnieken moeten worden gebruikt om
gegevens rechtstreeks uit de geautomatiseerde boekhouding te halen.
3. Interactie tussen de IS (IT) auditors en de rest van de auditors
Uit het onderzoek blijkt dat informatiesystemen steeds belangrijker worden voor organisaties en
daardoor ook voor auditors. Auditors moeten in staat zijn om de risico’s van informatiesystemen te
kunnen beoordelen, bijvoorbeeld op het gebied van beveiliging en betrouwbaarheid. Hiervoor is kennis
nodig van informatiesystemen en de werking daarvan.
Uit de studies blijkt dat auditors over het algemeen onvoldoende kennis en vaardigheden hebben op
het gebied van informatiesystemen. Ze hebben moeite met het begrijpen van de complexiteit van
informatiesystemen en het vertalen van deze kennis naar de auditpraktijk. Dit kan leiden tot het
missen van belangrijke risico’s of het niet adequaat inschatten van de risico’s.
Voordelen van het kopen van samenvattingen bij Stuvia op een rij:
Verzekerd van kwaliteit door reviews
Stuvia-klanten hebben meer dan 700.000 samenvattingen beoordeeld. Zo weet je zeker dat je de beste documenten koopt!
Snel en makkelijk kopen
Je betaalt supersnel en eenmalig met iDeal, creditcard of Stuvia-tegoed voor de samenvatting. Zonder lidmaatschap.
Focus op de essentie
Samenvattingen worden geschreven voor en door anderen. Daarom zijn de samenvattingen altijd betrouwbaar en actueel. Zo kom je snel tot de kern!
Veelgestelde vragen
Wat krijg ik als ik dit document koop?
Je krijgt een PDF, die direct beschikbaar is na je aankoop. Het gekochte document is altijd, overal en oneindig toegankelijk via je profiel.
Tevredenheidsgarantie: hoe werkt dat?
Onze tevredenheidsgarantie zorgt ervoor dat je altijd een studiedocument vindt dat goed bij je past. Je vult een formulier in en onze klantenservice regelt de rest.
Van wie koop ik deze samenvatting?
Stuvia is een marktplaats, je koop dit document dus niet van ons, maar van verkoper amber170501. Stuvia faciliteert de betaling aan de verkoper.
Zit ik meteen vast aan een abonnement?
Nee, je koopt alleen deze samenvatting voor €8,49. Je zit daarna nergens aan vast.
