Continuous auditing en de (veranderde) rol van de IAD ... - Lime Tree
Continuous auditing en de (veranderde) rol van de IAD ... - Lime Tree
Continuous auditing en de (veranderde) rol van de IAD ... - Lime Tree
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
C. Klumper RA CIA<br />
column e<strong>en</strong> case voor Cees<br />
Meer continuïteit door e<strong>en</strong><br />
dynamische auditplanning!<br />
<strong>Continuous</strong> <strong>auditing</strong> is mom<strong>en</strong>teel e<strong>en</strong> buzzword.<br />
Het wordt meestal in e<strong>en</strong> a<strong>de</strong>m g<strong>en</strong>oemd met continuous<br />
monitoring. Het IIA heeft er e<strong>en</strong> Global<br />
Technology Gui<strong>de</strong> aan gewijd (GTAG 3), gepubliceerd<br />
in 2005, die continuous <strong>auditing</strong> <strong>de</strong>finieert als<br />
e<strong>en</strong> metho<strong>de</strong> om beheersmaatregel<strong>en</strong> <strong>en</strong> risico’s op<br />
doorlop<strong>en</strong><strong>de</strong> in plaats <strong>van</strong> op intervalbasis te audit<strong>en</strong>.<br />
Daarbij kan <strong>de</strong> auditor gebruikmak<strong>en</strong> <strong>van</strong><br />
<strong>de</strong>zelf<strong>de</strong> techniek<strong>en</strong> <strong>en</strong> method<strong>en</strong> die het managem<strong>en</strong>t<br />
voor continuous monitoring kan toepass<strong>en</strong>.<br />
<strong>Continuous</strong> monitoring wordt dan ge<strong>de</strong>finieerd als<br />
e<strong>en</strong> proces dat er – we<strong>de</strong>rom doorlop<strong>en</strong>d – voor<br />
zorgt dat beheersmaatregel<strong>en</strong> effectief zijn.<br />
On<strong>de</strong>rsteun<strong>en</strong><strong>de</strong> data-analysetools zijn, in <strong>de</strong> visie<br />
<strong>van</strong> <strong>de</strong>ze GTAG, hiervoor <strong>van</strong> ess<strong>en</strong>tieel belang.<br />
Voorzover ik heb kunn<strong>en</strong> vaststell<strong>en</strong> is er sinds het<br />
verschijn<strong>en</strong> <strong>van</strong> <strong>de</strong> GTAG in <strong>de</strong> literatuur niet veel<br />
aan <strong>de</strong>ze concept<strong>en</strong> gesleuteld: gebruik <strong>van</strong> geautomatiseer<strong>de</strong><br />
data-analysetools zou het managem<strong>en</strong>t<br />
<strong>en</strong> <strong>de</strong> internal auditor in staat moet<strong>en</strong> stell<strong>en</strong> om<br />
beter <strong>en</strong> actueler zicht te houd<strong>en</strong> op risico’s <strong>en</strong> <strong>de</strong><br />
effectiviteit <strong>van</strong> <strong>de</strong> interne beheersing er<strong>van</strong>.<br />
Dat klinkt goed, maar ik zie om me he<strong>en</strong> dat <strong>de</strong><br />
praktische toepassing <strong>van</strong> <strong>de</strong>ze concept<strong>en</strong> tot nu toe<br />
relatief beperkt is geblev<strong>en</strong>. Daar zijn goe<strong>de</strong> red<strong>en</strong><strong>en</strong><br />
voor. T<strong>en</strong> eerste is het zo dat veel – zo niet <strong>de</strong> meer<strong>de</strong>rheid<br />
– <strong>van</strong> <strong>de</strong> belangrijkste risico’s zich buit<strong>en</strong> <strong>de</strong><br />
wat ik noem ‘bulkprocess<strong>en</strong>’ <strong>en</strong> bijbehor<strong>en</strong><strong>de</strong> datastrom<strong>en</strong><br />
voordo<strong>en</strong>, namelijk in <strong>de</strong> handmatige cont<strong>rol</strong>s.<br />
En die lat<strong>en</strong> zich niet of nauwelijks in e<strong>en</strong><br />
geautomatiseer<strong>de</strong> data-analysetool <strong>van</strong>g<strong>en</strong>. T<strong>en</strong><br />
twee<strong>de</strong> vind ik dat als e<strong>en</strong> nuttige geautomatiseer<strong>de</strong><br />
check kan word<strong>en</strong> bedacht om mogelijke risico’s <strong>en</strong><br />
fout<strong>en</strong> te voorkom<strong>en</strong> of op te spor<strong>en</strong>, die check maar<br />
beter direct structureel door het managem<strong>en</strong>t in <strong>de</strong><br />
process<strong>en</strong> ingebouwd kan word<strong>en</strong> in plaats <strong>van</strong> als<br />
(internal) audit tool te word<strong>en</strong> gebruikt.<br />
COSO heeft rec<strong>en</strong>t ook iets over continuous monitoring<br />
gezegd <strong>en</strong> wel in hun uitgebrei<strong>de</strong> Monitoring<br />
Guidance (juni 2008). Van <strong>de</strong> ongeveer 190 pagina’s<br />
die <strong>de</strong>ze guidance beslaat gaan er slechts twee over<br />
het begrip continuous monitoring. Ook daarin wordt<br />
geconclu<strong>de</strong>erd dat veel <strong>van</strong> <strong>de</strong> techniek<strong>en</strong> <strong>en</strong> tools<br />
die regelmatig on<strong>de</strong>r <strong>de</strong> vlagg<strong>en</strong> <strong>van</strong> continuous<br />
monitoring <strong>en</strong> <strong>auditing</strong> word<strong>en</strong> g<strong>en</strong>oemd, structureel<br />
word<strong>en</strong> ingebouwd als on<strong>de</strong>r<strong>de</strong>el <strong>van</strong> <strong>de</strong> reguliere<br />
beheersmaatregel<strong>en</strong>. Kortom, geautomatiseer<strong>de</strong><br />
data-analysetools zijn zeker nuttig <strong>en</strong> dan met name<br />
als on<strong>de</strong>r<strong>de</strong>el <strong>van</strong> <strong>de</strong> set <strong>van</strong> beheersmaatregel<strong>en</strong> die<br />
in <strong>de</strong> process<strong>en</strong> aanwezig di<strong>en</strong><strong>en</strong> te zijn, maar niet<br />
zozeer als vaan<strong>de</strong>ldragers <strong>van</strong> e<strong>en</strong> ‘nieuw’ begrip als<br />
continuous monitoring. Laat ‘continuous’ dan ook<br />
maar weg, <strong>en</strong> pas <strong>de</strong> nieuwe COSO Monitoring<br />
Guidance in <strong>de</strong> breedte, toe is mijn dring<strong>en</strong><strong>de</strong> advies.<br />
En continuous <strong>auditing</strong> dan? Wel, mijn i<strong>de</strong>e is altijd<br />
geweest dat e<strong>en</strong> auditor zich niet primair moet richt<strong>en</strong><br />
op het vind<strong>en</strong> <strong>van</strong> fout<strong>en</strong> <strong>en</strong> risico’s maar dat hij<br />
moet toets<strong>en</strong> of het managem<strong>en</strong>t daar a<strong>de</strong>quaat mee<br />
bezig is. Waarom zou internal audit doorlop<strong>en</strong>d uitgebrei<strong>de</strong><br />
data-analysetools in will<strong>en</strong> zett<strong>en</strong> als dat<br />
e<strong>en</strong> managem<strong>en</strong>ttaak is?<br />
Wel kunn<strong>en</strong> internal auditors nad<strong>en</strong>k<strong>en</strong> over hoe ze<br />
het internal auditproces veel meer kunn<strong>en</strong> dynamiser<strong>en</strong>,<br />
bijvoorbeeld hoe te kom<strong>en</strong> tot e<strong>en</strong> doorlop<strong>en</strong><strong>de</strong><br />
risicoanalyse in plaats <strong>van</strong> e<strong>en</strong> periodieke (soms<br />
alle<strong>en</strong> jaarlijkse!) <strong>en</strong> hoe te kom<strong>en</strong> tot e<strong>en</strong> dynamische<br />
auditplanning, waarbij continu bijvoorbeeld zes<br />
maand<strong>en</strong> vooruit wordt gepland in plaats <strong>van</strong> te werk<strong>en</strong><br />
met statische jaarplann<strong>en</strong>? Die vorm <strong>van</strong> continuous<br />
<strong>auditing</strong> spreekt mij in elk geval e<strong>en</strong> stuk<br />
meer aan. En internal audit kan natuurlijk het<br />
managem<strong>en</strong>t help<strong>en</strong> bij het inregel<strong>en</strong> <strong>van</strong> <strong>de</strong> juiste<br />
monitoringactiviteit<strong>en</strong>, inclusief het gebruik <strong>van</strong> <strong>de</strong><br />
juiste data-analysetools.<br />
AUDIT magazine<br />
nummer 5 <strong>de</strong>cember 2008<br />
39