PPT – IT PowerPoint presentation | free to download

About This Presentation

Title:

IT

Description:

Accountantscontrole en IT in de praktijk. 7/11. Van Gils ... raad. bestand. Pro- ductie. bestand. IT & Auditing 2003. ICT en accountantscontrole II ... – PowerPoint PPT presentation

Number of Views:130

Avg rating:3.0/5.0

Slides: 48

Provided by: robs85

more less

Transcript and Presenter's Notes

Title: IT

1

IT Auditing
8
CAATS
Third-party announcements
Drs. Rob P. Schouten RA RE
Schouten.Rob_at_kpmg.nl

2
(No Transcript)
3
Agenda

Computer Aided Audit ToolS (CAATs)
Third Party Announcements SAS 70

4
Computer Aided Audit ToolS (CAATs)

Toepassingsgebieden audit software
Soorten CAATS
Pros
Contras
Gebruikers audit software
Attentiepunten bij toepassing

5
What are CAATs?

CAATs stand for Computer Aided Audit Tools
The tools vary from MS Excel to the dedicated
audit software tools like IDEA and ACL
With CAATs you can perform substantive testing,
do sampling in a efficient and effective way and
selecting transactions/items for Tests of Controls

6
(No Transcript)
7
Toepassing auditsoftware

Totaalcontroles
Verbandscontroles
Steekproef tbv gegevensgerichte controles
Selectie afwijkende posten
Check op dubbele of ontbrekende posten
Fraude detectie !
...

8
Soorten CAATS

EDP Auditor
Schaduwdraaien
Parallelle simulatie
Reprocessing
SCARF (System Control Audit Review File)
Tagging and tracing
Programmas voor de auditor
ITF (Integrated Test Facility)
Testen
Missed Branch Indicator
Test Data Generator
Codevergelijking en Flowcharting software

Financial Auditor
Schaduwdraaien
Parallelle simulatie
Reprocessing
SCARF (System Control Audit Review File)
Tagging and tracing
Programmas voor de auditor
ITF (Integrated Test Facility)
Testen
Missed Branch Indicator
Test Data Generator
Codevergelijking en Flowcharting software

9
CAATS Pros

Zeer efficiënte en effectieve wijze van
gegevensgerichte controle door
Snelheid
Bulkverwerking
Foutloosheid (let op rekenen met datums)
Meer objectief controlemiddel om posten te
selecteren

10
CAATS Contras

Initiële kosten zijn hoog
Aanvankelijk tijdrovend
Vereiste expertise

11
Gebruikers auditsoftware

Externe accountantskantoren
Interne accountantsdiensten
Belastingdienst
Klanten IC in de lijn
van externe/interne audit --gt ic in de lijn
...

12
Things to be consideredpreparation phase

Question yourself before you start a data
analysis and/or propose a data analysis for your
client
What is the purpose of the analysis?
Is data analysis the most suitable way of
auditing? (or are there more efficient ways to
audit)
What do I actually want to audit? (which audit
objective)?
Which data do I need to perform the audit?(in
ERP environments this question isnt answered
easily)
From which person can I receive the data?
In which way has the data be delivered to me?
How can I conclude that the data received is
accurate and complete? (hash totals?)
From a risk management perspective do the data
files contain critical data, like credit card
numbers and have to be handled more careful like
the other confidential data

13
Things to be consideredexecution phase

Constantly be aware that you recieve the correct
data files
Describe the critical controls of the process in
which the data is input, mutated or deleted in
order to assess the integrity of the data file
decide whether or not to depend on these controls
Describe the audit steps performed for review
purposes in a memo, including the actual findings
in each audit step. It is recommended to use flow
charts to account for the audit work
performedFile the audit log (standard
functionality in IDEA and ACL)

14
Audit approach

Doelstelling van de audit bepalen
Begrip krijgen van de bedrijfsprocessen
Begrip krijgen over de wijze waarop de data in de
bestanden terecht komen
Bestanden opvragen
Totaal aansluiting maken (bij voorkeur hash
total)
Proef analyses afstemming met de gecontroleerde
Analyses uitvoeren
Rapport van feitelijke bevindingen

15
Ad 2 Begrip krijgen van de bedrijfsprocessen
Productie
Voorraad
Verkoop
Inkoop
Kwaliteits- controle
Assem- blage
In voorraad nemen
Ontvangst uit magazijn
16
Ad 3 Begrip krijgen over de wijze waarop de data
in de bestanden terecht komen
17
Ad 4 en 5 Opvragen bestanden aansluiten

Totaal aansluiting bestand met financiële
administratie
Communicatie met IT afdeling
Voor jezelf goed weten welke gegevens je
onderling wilt matchen
Richting de IT afdeling goede communiceren over
de doelstelling van de audit
Aanvankelijk veel communicatie over inhoud en
indeling download bestand

18
Examples of what you can do with CAATs (1/2)

Data analysis and data reconciliation, for
example at
Pension funds
Reconciliation of persons taking part in a
retirement benefit plan and the persons that are
entitled to be part of this plan
Exceptional cases
Insurance companies
Analysis of exceptional transactions
Sampling (Monetary Unit Sampling)

19
Examples of what you can do with CAATs (2/2)

Audits on data conversions
Insurance companies reconciliation of conversion
totals, in detail comparing data from the old
system with the converted data in the new system
Housing corporation reconciliation of the
renter-data (numbers, standing data, balances),
houses (numbers, fixation of the rent/standing
data rent/fee).
Pension fund audit on conversion application
(partly re-perform the conversion rules)
Recalculation/re-performance
Recalculation of a tax claim, including the
recalculation of the extrapolation performed by
the governmental Tax department

20
Demo Smart Analyzer
21
Auditing outsourcing of activities

Third Party Announcements/ In control statements

22
Why audit outsourcing of activities ? I/II

Bij uitbesteding van automatiseringsdiensten
wordt de user-organisatie voor wat betreft de
kwaliteit van de informatievoorziening, zoals
betrouwbaarheid en continuïteit afhankelijk van
de interne controlemaatregelen van de
service-organisatie. Deze afhankelijkheid kan
zover gaan dat het voortbestaan van de
user-organisatie ermee in het geding is.
Er is belangenverschil tussen user- en
service-organisatie.

23
Why audit outsourcing of activities ? II/II

The Statement on Auditing Standards no. 70 is
introduced because
Hence the outsourcing, the user organisation
still holds the responsibility and accountability
of the services provided by the service
organisation. These services can be
Executing transactions and maintaining the
related accountability
Recording transactions and processing related
data

24
Which In control statement ?

Third Party Mededeling
AO/IC mededeling
FRAG 21
Turnbull
SAS 70

25
History of SAS70

In the 70s and 80s companies started
outsourcing their activities to third parties.
Certain outsourcing companies failed to create
proper control over the outsourced activities. In
some cases this led to unreliable back reporting
and even led in worse cases to (unexpected)
losses due to the loss of control and inaccurate
information.
One of the important lesson learned from these
cases was that outsourcing of activities doesnt
discharge the company of its (end)
responsibility and requires proper control over
the reported (financial) information.
In the whole process of auditing the financial
statements, the financial auditor of the user
organisation has the responsibility to gather
sufficient audit evidence, including audit
evidence over the processing of transactions by
the service organisation. With regard to the
processing of transactions by service
organisations the American Institute of Chartered
Accountants designed a Statement on Auditing
standards no. 70 providing guidance for
independent auditors who issue reports on the
processing of transactions by a service
organisation.

26
Which parties are involved with outsourcing ?
27
Een SAS 70-rapport beschrijft het in control
zijn van een organisatie

SAS 70 is het Statement on Auditing Standards
m.b.t. het in control zijn van de omschreven
processen
SAS 70 toont aan dat bij een uitvoeringsorganisati
e (service organisation) de beschreven
maatregelen in opzet aanwezig zijn en dat de
maatregelen hebben gewerkt(afhankelijk van de
opdracht van de accountant)
SAS 70 stelt de opdrachtgever (user organisation)
in staat om een duidelijk beeld te krijgen van de
beheersorganisatie van de uitvoerder
(opdrachtnemer) waarbij hij specifieke eisen en
wensen mee kan geven.

28
SAS 70 biedt voordelen voor zowel de user
organisatie als de service organisatie

SAS 70 creëert het controlbewustzijn binnen de
organisatie en daarmee wordt het leervermogen van
de organisatie vergroot
Een SAS 70-rapport demonstreert het in control
zijn richting klanten en toezichthouders
Goedkeurende accountantsverklaring draagt bij aan
positieve beeldvorming in de markt
SAS 70 versterkt operationele beheersing
SAS 70 geeft signaal af dat operational
excellence wordt nagestreefd

29
Audit standards

NivRA
NivRA
NivRA
AICPA (American Instituut of Certified Public
Accountants)
NivRA en NOREA
IFAC (International Federation of Accountants)
DNB

Geschrift 53
Geschrift 26
Richtlijnen voor de acc.controle
Statements on Auditing Standards 70 (SAS70)
Tussentijdse resultaten van de werkgroep
Commissie Organisatie en Informatievoorziening
(COIV)
Assurance Framework
Memorandum inzake Regeling Organisatie en Beheer
(ROB)

30
Definitions
Service organisatie Organisatie die
automatiseringsdiensten verleent Service auditor
Auditor die tbv één of meer derden onderzoeken
verricht naar opzet en werking van de interne
controle bij een service organisatie en hierover
rapporteert. De auditor kan hierbij een
accountant, IT-auditor of anderszins
gekwalificeerde zijn. User organisatie Organisati
e die automatiseringsdiensten afneemt. User
auditor Auditor van de organisatie die
automatiseringsdiensten afneemt. In het algemeen
betreft dit de accountant die belast is met de
controle van de jaarrekening, maar het kan ook
gaan om een auditor die de opdracht heeft een
onderzoek uit te voeren naar de interne controle
bij de user-organisatie. Interne
auditor Supervisory authority Third Party
Review (TPR) Onderzoek van een service auditor
naar de interne controle bij een
service-organisatie, tbv één of meer
derden. Third Party Mededeling (TPM) Een
schriftelijke mededeling van een service-auditor
inhoudende de uitkomsten van een onderzoek naar
de interne controle bij een service-organisatie,
tbv één of meer derden.
31
Whats SAS 70 about ?

Statement on Auditing Standards no. 70
concerns Reports on the Processing of
Transactions by Service Organisations
Introduction The SAS 70 statement provides
guidance for independent auditors who issue
reports on the processing of transactions by a
service organisation.

32
Report types

Reports on Policies and Procedures Placed in
Operation(also referred to as SAS 70 Type I
report)The opinion stated in this kind of
report refers to a snapshot (at a given
moment) of the controls and control structure in
place (policies and procedures)
Report on Policies and Procedures in Operation
and Tests of Operating Effectiveness(also
referred to as SAS 70 Type II report)The
opinion stated in this kind of report refers to a
period (from moment A to B) of the controls and
control structure in place (policies and
procedures)

33
Algemene inhoud van een SAS 70-rapport

SAS 70-accountantsverklaring (Independent service
auditors report)
Type I Statement
Type II Statement
Beschrijving van beheersmaatregelen door de
organisatie (Description of controls)
Beschrijving van de organisatie en haar
activiteiten
Beschrijving van de beheersmaatregelen en de
beheersomgeving
Gedetailleerde beschrijving van de processen
Toelichting op de informatie die door de auditor
van XXX wordt geleverd (Information provided by
the service auditor)
Doel en scope van het rapport
Testen van de beheersomgeving
Testen van de werking van specifieke
beheersmaatregelen
Matrix of anders gestructureerde bijlage
Beheersdoelstellingen (control objectives)
Beheersmaatregelen (controls)
Testen van werking beheersmaatregelen (test of
operating effectiveness)
Testresultaten (audit results)

34
Er zijn twee soorten SAS 70-rapporten
Momentopname
Uitspraak over een bepaalde periode
Type I Statement Is een verklaring van de
aangetroffen beheersmaatregelen (controls) en
beheersstructuur (control structure)
Type II Statement Is een verklaring van de
aangetroffen beheers-maatregelen (controls) en
beheersstructuur (control structure) die
gedurende 6 maanden gewerkt hebben
35
Voor het verkrijgen van een SAS 70-verklaring
worden vier fasen doorlopen
Fase 3 Doorvoeren verbeteringen
Fase 2Uitvoeren health check
Fase 4Uitvoeren SAS 70 audit
Fase 1Bepalen scope
Type I of Type IIStatement
36
Naar aanleiding van de geformuleerde
beheersdoelstellingen worden de relevante
processen voor de audit bepaald
Voorbeeld
Service verlenen
Verzorgen uitkering
Beheren vermogen
Administreren deelnemer
Administreren werkgever
Beheren producten
Verzorgen beleidsvoorbereiding
Voeren financiële administratie
Uitvoeren actuariële analyses
Verzorgen juridische ondersteuning
Verzorgen automatisering
Naleven wet- en regelgeving compliance
Uitvoeren Human Resources Management
Verzorgen SLA-rapportage
37
Bevindingen bij de opzet en het bestaan van de
AO/IC in de vorm van een stoplichtrapportage
Type I Statement
Type II Statement
38
Opdrachtformulering voor service auditor

Object
Bijv. systeemontwikkelorganisaties, rekencentrum,
functioneel beheerorganisatie, software pakket,
etc.
Doel
Aangeven waarop beoordeling betrekking heeft
opzet, bestaan en/of werking.
Reikwijdte
Reikwijdte onderzoek wordt voor een belangrijk
deel afgegrensd middels de door de
service-organisatie op te stellen beschrijving
van de beheersmaatregelen. (indien dit niet
aanwezig is, moet auditor zelf zorgdragen voor
beschrijving waaruit reikwijdte van het onderzoek
ondubbelzinnig blijkt.)

39
Scope of audit (I/II)

Indien er sprake is van (sterk) geautomatiseerde
omgeving, moet het geautomatiseerde proces goed
en formeel worden beheerst.
IT auditor zal zich op volgende aspecten richten
General IT Controls
Geprogrammeerde controles bij invoer van de
mutaties
Juiste werking van de applicatie
Interfacing in
Interfacing out
Output controles, mede ter controle op juiste
werking van transacties
Overig

40
Scope of audit (II/II)
1
Gen. IT controls
4
Module
2
Module
6
Module
Module
3
Module
Core System
5
41

Appendix
Scope and Objectives
Approach
Deliverables
Control Objectives

42
Scope and Objectives

Our overall objective for this engagement will be
to conduct a service-auditors review of the
Clients ABC Program. Our review will be
performed in accordance with Statement on
Auditing Standards No. 70, Reports on Controls
over the Processing of Transactions by Third
Parties (SAS 70). Our report, a SAS 70 Type
II report, will be designed to meet the needs of
the participating Client banks around the
country and other organizations to whom you
provide services (user organizations), their
auditors, and Client management. The SAS 70
Type II report will provide a description of
Clients ABC Program and its controls, and
will report on whether such controls were
suitably designed to achieve specified control
objectives, on whether the controls were placed
in operation as of the end of the examination
period, and on the operating effectiveness of
those controls throughout the examination period.
It is our understanding that this examination
will cover a six month period from June 1, 2000
through November 30, 2000.

43
Approach

Our approach is designed to provide an assessment
of the controls over Clients thirdparty
administration of the ABC Program. We will
conduct our review by addressing each of the
components above and will include the following
steps in our review.
Organize and plan the review
Preliminary Controls Assessment
Interim review of the operational and computer
application controls.
End of the Examination Period Review
Conduct exit meeting with management
Prepare the service auditors report and review
with management.

44
Deliverables

At the conclusion of this engagement we will
prepare a formal Independent Service Auditors
Report. We will report on controls placed in
operation and tests of operating effectiveness
for the controls. The report will contain
Our service auditors' report.
An overview of the ABC processing.
A general description of the flow of transactions
through the process.
A description of the Information Systems and
Operational Processing controls including control
objectives and a description of the controls in
place that satisfy the control objectives.
The results of compliance and transaction
testing.
A brief description of user organization control
considerations that should be adopted by
participating Client Banks.
Our concerns, if any, regarding missing or
ineffective controls and managements plans to
address those issues.
A description of any additional tests performed
and the results of those tests.
All findings and recommendations resulting from
our reviews will be discussed with appropriate
management of the Client before the reports are
finalized.

45
Engagement Timing
Client has requested that the first year of
this review cover a 6 month time frame.
Subsequent years will likely cover a 9 or 12
month period. Based on our discussions with
Client management, we anticipate that the first
year review will be conducted using the following
timelines
46
Control Objectives I/II

We will review the following controls as they
interact with the ABC processing
Information Technology Controls
Controls are in place to monitor the integrity
and effectiveness of the network infrastructure
utilized to support the ABC computing platform.
Controls are in place to ensure that changes to
ABC application programs are authorized,
implemented in a controlled manner and properly
documented.
Controls are in place to provide reasonable
assurance that ABC application programs are
sufficiently tested prior to production
implementation.

47
Control Objectives II/II

Operational Processing Controls
Controls are in place to provide reasonable
assurance that credit enhancements are calculated
in accordance with managements specifications.
Controls are in place to provide reasonable
assurance that Agent Fee Premium and Discounts
are properly calculated.
Controls are in place to provide reasonable
assurance that transactions are debited and
credited to the proper PFI deposit account.

Write a Comment

User Comments (0)