.png){kind=logo}
SV OAT (Overall toets)
Samenvatting LAC (compleet) pagina 2 t/m 31 Samenvatting BIV (compleet) pagina 32 t/m 46 Samenvatting EXV (compleet) pagina 47 t/m 83
LAC = leer van de accountantscontrole BIV = bestuurlijke informatie voorziening/verzorging EXV = externe verslaggeving
Deze samenvatting heeft betrekking op het handboek Deloitte voor EXV en handboek HRA voor LAC.
- / 8
Samenvatting LAC (OAT)
- / 8
IT in de controle
Er zijn drie typen IT-omgevingen te onderscheiden:
- Dominante IT-omgeving
IT speelt een rol in alle of vrijwel alle bedrijfsprocessen, waaronder financiële administratie.(Autofabrikant met volledig automatisch productieproces en ERP systeem).
- Standaard IT-omgeving
IT speelt een essentiële rol in enkele belangrijke bedrijfsprocessen. (winkelketen die webwinkel, voorraadbeheer, klantenbeheer en financiële administratie heeft geautomatiseerd, maar de rest niet).
- Beperkte IT-omgeving
IT ondersteund slechts 1 of enkele bedrijfsprocessen. (makelaarskantoor met alleen office en Excel).
Bepalen van type IT-omgeving Kan aan de hand van 5 kenmerken
- Integratie in de bedrijfsprocessen
- Complexiteit van de IT-systemen
- Afhankelijkheid van de IT
- Gevoeligheid voor beheersingsrisico’s
- Belang voor de managementinformatie
Als de IT-omgeving van significant belang is voor de controle moet deze meegenomen worden. Om een duidelijk beeld te krijgen van de IT en de integratie van de IT in de bedrijfsprocessen moet de IT gemapt worden.
P Naam Omschrijving P1 Posten De materiële posten van de jaarrekening en de daaraan ten grondslag liggende transacties (datastromen) P2 (Bedrijfs-) Processen De significante bedrijfsprocessen en hun interne beheersingsmaatregelen (BP-controls; BPC) P3 Programma’s De applicaties die in de bedrijfsprocessen een rol van betekenis spelen P4 Platformen Geheel van middelen dat een applicatie gebruiken mogelijk
maakt: het OS, het netwerk, de database en de overige hardware
P5 Processen van IT-beheer Mensen, methoden en middelen die geheel van ICT beheren, 65% van de gevallen ITIL-gebaseerd
- / 8
Automatisering
Diverse informatie Hoe beoordeelt de accountant de betrouwbaarheid en continuïteit van de geautomatiseerde gegevensverwerking indien in principe een systeemgericht controle mogelijk is? De functionele organisatie: plaats van de automatisering binnen de organisatie, de functiescheiding binnen de automatiseringsafdeling en de ervaring van IT medewerkers. Changemanagement: test en autorisatieprocedures bij ingebruikname en wijziging. Logische toegangsbeveiliging: username + passwords gekoppeld aan een competentietabel ter handhaving van de functiescheiding (maatregelen: eisen wachtwoord d.m.v. een combinatie van tekens of cijfers of letter, eens in de zoveel tijd je wachtwoord veranderen etc.). Back-up, recovery en SLA een overeenkomst. Documentatie van programma’s.
Systeemcontroles: opzet, bestaan en werking van geprogrammeerde controles.
Gebruikerscontroles m.b.t. transactiestromen en stamgegevens.
Bij geautomatiseerde gegevensverwerking is er een primaire functiescheiding nodig tussen de gebruikersorganisatie en de automatiseringsorganisatie. Vervolgens is er een secundaire functiescheiding binnen de automatiseringsafdeling tussen ontwikkeling en beheer.
Wat dienen organisatorische maatregelen in een geautomatiseerde omgeving te waarborgen? Het niet kunnen wijzigingen van goedgekeurde programma’s. Er mogen geen ongeautoriseerde transacties in de bestanden plaatsvinden. Geen ongeautoriseerde output.
Bij kleinschalige automatisering binnen een bedrijf zal de controleaanpak vooral gegevensgericht zijn, bijvoorbeeld een data-analyse. Bij een grootschalige automatisering binnen een bedrijf is de controleaanpak systeemgericht.
Gebruik van auditsoftware kan plaatsvinden op het gebied van:
Analyse van de bevoegdheden van de personen die inkopen hebben gedaan. Ouderdomsanalyse op de posten debiteuren en voorraden. Analyse van bruto marges van bepaalde artikelgroepen.
De betrouwbaarheid van het automatiseringsprogramma moet altijd worden getoetst, dit is in elke casus van belang. Wanneer de accountant niet systeemgericht kan controleren dan controleert de accountant gegevensgericht of een combinatie van systeem- en gegevensgericht.
Voorbeeld van benodigde controle informatie voor de volledigheid van de opbrengsten kan zijn informatie uit de gebruikersomgeving en verbanden uit de (geld)goederenbeweging.
Wat is de doelstelling van auditsoftware bij een gegevensgerichte controle aanpak?De doelstelling is een uitspraak te kunnen doen over één van de kwaliteitsaspecten (zoals juistheid en afgrenzing) van een jaarrekeningpost.
Wat is de doelstelling van auditsoftware bij een systeemgerichte controle aanpak?De doelstelling is uitspraken te doen over de opzet, bestaan en werking van de betrouwbaarheid en continuïteit van de geautomatiseerde gegevensverwerking. Bijvoorbeeld via datamining vaststellen of inkoopfacturen door een juiste persoon zijn geautoriseerd.
- / 8
.png)