LIBER AMICORUM - IBR
LIBER AMICORUM - IBR
LIBER AMICORUM - IBR
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
40· ANNIVERSAIRE I.R.E.<br />
«Participation by the Internal Audit Department in systems development is highly<br />
questionable.» (De Marco, 1979, p. 23)<br />
«Het is de specifieke taak van de EDP-auditor ervoor te zorgen dat reeds in de eerste<br />
fasen van de systeemontwikkeling volle aandacht wordt geschonken aan de internecontrole-problematiek.»<br />
(Frielink, 1983, p. 222)<br />
«An internal auditor should be a member of the systems development team, review<br />
specifications to ensure the adequacy of proposed controls, and participate in the<br />
development of specific controls.» (Vasarhelyi, 1988, p. 296)<br />
Het gaat niet zozeer om de vraag of de auditor toezicht moet uitoefenen op de systeemontwikkeling,<br />
dan wel hoe hij dat moet doen. De «onafhankelijken» richten zich<br />
vooral op de post-implementatie audit. De «participationisten» willen er van bij de<br />
aanvang bij betrokken zijn. Binnen de groep «participationisten» zijn er dan nog drie<br />
deelgroepen te onderscheiden: zij die continu actief willen meewerken; zij die continu<br />
willen observeren (en beperkt adviseren) en zij die op het einde van elke fase willen<br />
observeren (en beperkt adviseren). Deze laatste groep doet dat vooral vanuit het oogpunt<br />
de benodigde auditinspanning te beperken (continue betrokkenheid vergt<br />
inderdaad erg veel tijd en middelen) en om het beeld van de onafhankelijkheid zo<br />
weinig mogelijk te verstoren. Degenen die continu willen betrokken zijn betogen dat<br />
elk uitstel tijdens de systeemontwikkelingslevenscyclus gevaarlijk is en aanleiding kan<br />
geven tot kostbare en soms nauwelijks uit te voeren aanpassingen.<br />
Tot bij het begin van de jaren tachtig kon men deze discussie nog als enigszins academisch<br />
of principieel afdoen. De grote meerderheid van de toenmalige toepassingssystemen<br />
waren relatief eenvoudig en ook achteraf op een conventionele manier te controleren.<br />
Een eventuele niet-participatie in de systeemontwikkeling van de auditor<br />
hoefde m.a.w. niet tot fundamentele controleproblemen te leiden.<br />
De jaren tachtig, met database management technieken, netwerken, gedistribueerde<br />
informatieverwerking, client-server architectuur, EDI en een begin van expert systemen<br />
hebben voor een ganse reeks van toepassingen het accent verlegd. De informatiesystemen<br />
gaan steeds meer onvervangbare interne controlemaatregelen omvatten.<br />
Zoals de Lange (1989, p. 352) opmerkt: «toepassing van kunstmatige intelligentie zal<br />
uiteindelijk leiden tot dermate gecompliceerde verschijningsvormen van niet door<br />
mensen genomen beslissingen dat controle achteraf door de accountant met verbandslegging<br />
op gegevensniveau niet mogelijk of niet doelmatig zal blijken ». De<br />
hoge mate van integratie van voorheen onafhankelijke toepassingssystemen en het<br />
overschrijden van de grenzen van de eigen organisatie (zoals met EDI) hebben tot een<br />
complexiteit geleid die onmogelijk te controleren valt door om het geautomatiseerde<br />
systeem heen te lopen of dat systeem slechts achteraf te controleren.<br />
Voor belangrijke systemen zijn wij voorstander van een zeer omzichtige continue participatie.<br />
Controleerbaarheid moet vanaf het begin in de informatiesystemen worden<br />
ingebouwd. De auditor dient zijn wensen tijdig en volledig kenbaar te maken.<br />
270