IT

1 / 49
About This Presentation
Title:

IT

Description:

In this course, you learn about. Business ... IT and the financial statement and IT-auditing part II ... Er zijn twee soorten SAS 70-rapporten. Type I Statement ... – PowerPoint PPT presentation

Number of Views:127
Avg rating:3.0/5.0
Slides: 50
Provided by: robs68

less

Transcript and Presenter's Notes

Title: IT


1
  • IT Auditing
  • 9
  • Computer Aided Audit ToolS (CAATS)
  • Auditing outsourcing of activities (In control
    statements)
  • Rol van de IAD
  • Drs. Rob P. Schouten RA RE
  • Hoofd interne accountantsdienst Kempen Co
  • rsch_at_kempen.nl

2
Where we are
  • In this course, you learn about
  • Business opportunities and business risks of IT
  • Information risk management
  • IT and the financial statement and IT-auditing
    part II
  • Impact on auditors strategy and daily work
  • IT issues and trends erp, e-business
  • Apply knowledge in practical situations
  • Attestation
  • Advisory

3
Roadmap
2. Business opportunities 3. Information risk
management
4. Financial mgt and IT organisation 5. System
development 6. IT management 7. Security
13. ERP 14. E-business 15. Forensic
8. and 9. IT and the financial statement 10. Due
diligence 11. Digital durability 12. Knowledge
management
4
Agenda
  • Computer Aided Audit ToolS (CAATs)
  • Auditing outsourcing of activities(Third Party
    Announcements SAS 70)
  • Rol van de IAD

5
Computer Aided Audit ToolS (CAATs)
  • Wat zijn CAATs
  • Toepassingsgebieden audit software
  • Soorten CAATS
  • Pros
  • Contras
  • Gebruikers audit software
  • Attentiepunten bij toepassing audit software
  • Audit approach audit software projecten
  • Voorbeelden van toepassing audit software

6
What are CAATs?
  • CAATs stand for Computer Aided Audit Tools
  • The tools vary from MS Excel to the dedicated
    audit software tools like IDEA and ACL
  • With CAATs you can perform substantive testing,
    do sampling in a efficient and effective way and
    selecting transactions/items for Tests of Controls

7
(No Transcript)
8
Toepassing auditsoftware
  • Totaalcontroles
  • Verbandscontroles
  • Steekproef tbv gegevensgerichte controles
  • Selectie afwijkende posten
  • Check op dubbele of ontbrekende posten
  • Fraude detectie !
  • Complicance
  • ...

9
Soorten CAATS
  • EDP Auditor
  • Schaduwdraaien
  • Parallelle simulatie
  • Reprocessing
  • SCARF (System Control Audit Review File)
  • Tagging and tracing
  • Programmas voor de auditor
  • ITF (Integrated Test Facility)
  • Testen
  • Missed Branch Indicator
  • Test Data Generator
  • Codevergelijking en Flowcharting software
  • Financial Auditor
  • Schaduwdraaien
  • Parallelle simulatie
  • Reprocessing
  • SCARF (System Control Audit Review File)
  • Tagging and tracing
  • Programmas voor de auditor
  • ITF (Integrated Test Facility)
  • Testen
  • Missed Branch Indicator
  • Test Data Generator
  • Codevergelijking en Flowcharting software

10
CAATS Pros
  • Zeer efficiënte en effectieve wijze van
    gegevensgerichte controle door
  • Snelheid
  • Bulkverwerking
  • Foutloosheid (let op rekenen met datums)
  • Meer objectief controlemiddel om posten te
    selecteren

11
CAATS Contras
  • Initiële kosten kunnen hoog worden
  • Aanvankelijk tijdrovend
  • Vereiste expertise

12
Gebruikers auditsoftware
  • Externe accountantskantoren
  • Interne accountantsdiensten
  • Belastingdienst
  • Klanten IC in de lijn
  • van externe/interne audit --gt ic in de lijn
  • ...

13
Things to be consideredpreparation phase
  • Question yourself before you start a data
    analysis and/or propose a data analysis for your
    client
  • What is the purpose of the analysis?
  • Is data analysis the most suitable way of
    auditing? (or are there more efficient ways to
    audit)
  • What do I actually want to audit? (which audit
    objective)?
  • Which data do I need to perform the audit?(in
    ERP environments this question isnt answered
    easily)
  • From which person can I receive the data?
  • In which way has the data be delivered to me?
  • How can I conclude that the data received is
    accurate and complete? (hash totals?)
  • From a risk management perspective do the data
    files contain critical data, like credit card
    numbers and have to be handled more careful like
    the other confidential data

14
Things to be consideredexecution phase
  • Constantly be aware that you recieve the correct
    data files
  • Describe the critical controls of the process in
    which the data is input, mutated or deleted in
    order to assess the integrity of the data file
    decide whether or not to depend on these controls
  • Describe the audit steps performed for review
    purposes in a memo, including the actual findings
    in each audit step. It is recommended to use flow
    charts to account for the audit work
    performedFile the audit log (standard
    functionality in IDEA and ACL)

15
Audit approach
  • Determine purpose of the audit
  • Understanding the business
  • Understanding of the way the data is input in the
    databases
  • Data retrieval
  • Check the file totals (preferably a hash total)
  • Perform trail data analysis and check test
    results with the entity be audited
  • Perform data analysis
  • Report (only actual findings)

16
Ad 2 Understanding the business
Production
Stock
Sales
Purchase
Quality check
Assem- bly
Lay in stock
Delivery from stock
17
Ad 3 Begrip krijgen over de wijze waarop de data
in de bestanden terecht komen
Production
Stock
Receival from stock
Quality check
/
Pro- duction data base
Assem- bly
Register/ enter up
Stock data base
/
Quality check
Distribution
-/-
-/-
Enter up finished goods
18
Ad 4 en 5 Opvragen bestanden aansluiten
  • Totaal aansluiting bestand met financiële
    administratie
  • Communicatie met IT afdeling
  • Voor jezelf goed weten welke gegevens je
    onderling wilt matchen
  • Richting de IT afdeling goede communiceren over
    de doelstelling van de audit
  • Aanvankelijk veel communicatie over inhoud en
    indeling download bestand

19
Examples of what you can do with CAATs (1/2)
  • Data analysis and data reconciliation, for
    example at
  • Pension funds
  • Reconciliation of persons taking part in a
    retirement benefit plan and the persons that are
    entitled to be part of this plan
  • Exceptional cases
  • Insurance companies
  • Analysis of exceptional transactions
  • Sampling (Monetary Unit Sampling)

20
Examples of what you can do with CAATs (2/2)
  • Audits on data conversions
  • Insurance companies reconciliation of conversion
    totals, in detail comparing data from the old
    system with the converted data in the new system
  • Housing corporation reconciliation of the
    renter-data (numbers, standing data, balances),
    houses (numbers, fixation of the rent/standing
    data rent/fee).
  • Pension fund audit on conversion application
    (partly re-perform the conversion rules)
  • Recalculation/re-performance
  • Recalculation of a tax claim, including the
    recalculation of the extrapolation performed by
    the governmental Tax department

21
Auditing outsourcing of activities
  • Third Party Announcements/ In control statements

22
Which In control statement ?
  • Third Party Mededeling
  • AO/IC mededeling
  • FRAG 21
  • Turnbull
  • SAS 70

23
Why audit outsourcing of activities ? I/II
  • Bij uitbesteding van automatiseringsdiensten
    wordt de user-organisatie voor wat betreft de
    kwaliteit van de informatievoorziening, zoals
    betrouwbaarheid en continuïteit afhankelijk van
    de interne controlemaatregelen van de
    service-organisatie. Deze afhankelijkheid kan
    zover gaan dat het voortbestaan van de
    user-organisatie ermee in het geding is.
  • Er is belangentegenstelling tussen user- en
    service-organisatie.

24
Why audit outsourcing of activities ? II/II
  • The Statement on Auditing Standards no. 70 is
    introduced because
  • Hence the outsourcing, the user organisation
    still holds the responsibility and accountability
    of the services provided by the service
    organisation. These services can be
  • Executing transactions and maintaining the
    related accountability
  • Recording transactions and processing related
    data

25
History of SAS70
  • In the 70s and 80s companies started
    outsourcing their activities to third parties.
    Certain outsourcing companies failed to create
    proper control over the outsourced activities. In
    some cases this led to unreliable back reporting
    and even led in worse cases to (unexpected)
    losses due to the loss of control and inaccurate
    information.
  • One of the important lesson learned from these
    cases was that outsourcing of activities doesnt
    discharge the company of its (end)
    responsibility and requires proper control over
    the reported (financial) information.
  • In the whole process of auditing the financial
    statements, the financial auditor of the user
    organisation has the responsibility to gather
    sufficient audit evidence, including audit
    evidence over the processing of transactions by
    the service organisation. With regard to the
    processing of transactions by service
    organisations the American Institute of Chartered
    Accountants designed a Statement on Auditing
    standards no. 70 providing guidance for
    independent auditors who issue reports on the
    processing of transactions by a service
    organisation.

Naslag materiaal
26
Which parties are involved with outsourcing ?
Supervisory Authority
User organisation
User auditor
Service Auditor
Service organisation
27
Een SAS 70-rapport beschrijft het in control
zijn van een organisatie
  • SAS 70 is het Statement on Auditing Standards
    m.b.t. het in control zijn van de omschreven
    processen
  • SAS 70 toont aan dat bij een uitvoeringsorganisati
    e (service organisation) de beschreven
    maatregelen in opzet aanwezig zijn en dat de
    maatregelen hebben gewerkt(afhankelijk van de
    opdracht van de accountant)
  • SAS 70 stelt de opdrachtgever (user organisation)
    in staat om een duidelijk beeld te krijgen van de
    beheersorganisatie van de uitvoerder
    (opdrachtnemer) waarbij hij specifieke eisen en
    wensen mee kan geven.

28
SAS 70 biedt voordelen voor zowel de user
organisatie als de service organisatie
  • SAS 70 creëert het controlbewustzijn binnen de
    organisatie en daarmee wordt het leervermogen van
    de organisatie vergroot
  • Een SAS 70-rapport demonstreert het in control
    zijn richting klanten en toezichthouders
  • Goedkeurende accountantsverklaring draagt bij aan
    positieve beeldvorming in de markt
  • SAS 70 versterkt operationele beheersing
  • SAS 70 geeft signaal af dat operational
    excellence wordt nagestreefd

29
Audit standards
  • NivRA
  • NivRA
  • NivRA
  • AICPA (American Instituut of Certified Public
    Accountants)
  • NivRA en NOREA
  • IFAC (International Federation of Accountants)
  • DNB
  • Geschrift 53
  • Geschrift 26
  • Richtlijnen voor de acc.controle
  • Statements on Auditing Standards 70 (SAS70)
  • Tussentijdse resultaten van de werkgroep
    Commissie Organisatie en Informatievoorziening
    (COIV)
  • Assurance Framework
  • Memorandum inzake Regeling Organisatie en Beheer
    (ROB)

Naslag materiaal
30
Definitions
Service organisatie Organisatie die
automatiseringsdiensten verleent Service auditor
Auditor die tbv één of meer derden onderzoeken
verricht naar opzet en werking van de interne
controle bij een service organisatie en hierover
rapporteert. De auditor kan hierbij een
accountant, IT-auditor of anderszins
gekwalificeerde zijn. User organisatie Organisati
e die automatiseringsdiensten afneemt. User
auditor Auditor van de organisatie die
automatiseringsdiensten afneemt. In het algemeen
betreft dit de accountant die belast is met de
controle van de jaarrekening, maar het kan ook
gaan om een auditor die de opdracht heeft een
onderzoek uit te voeren naar de interne controle
bij de user-organisatie. Interne
auditor Supervisory authority Third Party
Review (TPR) Onderzoek van een service auditor
naar de interne controle bij een
service-organisatie, tbv één of meer
derden. Third Party Mededeling (TPM) Een
schriftelijke mededeling van een service-auditor
inhoudende de uitkomsten van een onderzoek naar
de interne controle bij een service-organisatie,
tbv één of meer derden.
Naslag materiaal
31
Whats SAS 70 about ?
  • Statement on Auditing Standards no. 70
    concerns Reports on the Processing of
    Transactions by Service Organisations
  • Introduction The SAS 70 statement provides
    guidance for independent auditors who issue
    reports on the processing of transactions by a
    service organisation.

32
Report types
  • Reports on Policies and Procedures Placed in
    Operation(also referred to as SAS 70 Type I
    report)The opinion stated in this kind of
    report refers to a snapshot (at a given
    moment) of the controls and control structure in
    place (policies and procedures)
  • Report on Policies and Procedures in Operation
    and Tests of Operating Effectiveness(also
    referred to as SAS 70 Type II report)The
    opinion stated in this kind of report refers to a
    period (from moment A to B) of the controls and
    control structure in place (policies and
    procedures)

33
Algemene inhoud van een SAS 70-rapport
  • SAS 70-accountantsverklaring (Independent service
    auditors report)
  • Type I Statement
  • Type II Statement
  • Beschrijving van beheersmaatregelen door de
    organisatie (Description of controls)
  • Beschrijving van de organisatie en haar
    activiteiten
  • Beschrijving van de beheersmaatregelen en de
    beheersomgeving
  • Gedetailleerde beschrijving van de processen
  • Toelichting op de informatie die door de auditor
    van XXX wordt geleverd (Information provided by
    the service auditor)
  • Doel en scope van het rapport
  • Testen van de beheersomgeving
  • Testen van de werking van specifieke
    beheersmaatregelen
  • Matrix of anders gestructureerde bijlage
  • Beheersdoelstellingen (control objectives)
  • Beheersmaatregelen (controls)
  • Testen van werking beheersmaatregelen (test of
    operating effectiveness)
  • Testresultaten (audit results)

34
Er zijn twee soorten SAS 70-rapporten
Momentopname
Uitspraak over een bepaalde periode
Type I Statement Is een verklaring van de
aangetroffen beheersmaatregelen (controls) en
beheersstructuur (control structure)
Type II Statement Is een verklaring van de
aangetroffen beheers-maatregelen (controls) en
beheersstructuur (control structure) die
gedurende 6 maanden gewerkt hebben
35
Voor het verkrijgen van een SAS 70-verklaring
worden vier fasen doorlopen
Fase 3 Doorvoeren verbeteringen
Fase 2Uitvoeren health check
Fase 4Uitvoeren SAS 70 audit
Fase 1Bepalen scope
Type I of Type IIStatement
36
Naar aanleiding van de geformuleerde
beheersdoelstellingen worden de relevante
processen voor de audit bepaald
Voorbeeld
Service verlenen
Verzorgen uitkering
Beheren vermogen
Administreren deelnemer
Administreren werkgever
Beheren producten
Verzorgen beleidsvoorbereiding
Voeren financiële administratie
Uitvoeren actuariële analyses
Verzorgen juridische ondersteuning
Verzorgen automatisering
Naleven wet- en regelgeving compliance
Uitvoeren Human Resources Management
Verzorgen SLA-rapportage
37
Bevindingen bij de opzet en het bestaan van de
AO/IC in de vorm van een stoplichtrapportage
Type I Statement
Type II Statement
38
Opdrachtformulering voor service auditor
  • Object
  • Bijv. systeemontwikkelorganisaties, rekencentrum,
    functioneel beheerorganisatie, software pakket,
    etc.
  • Doel
  • Aangeven waarop beoordeling betrekking heeft
    opzet, bestaan en/of werking.
  • Reikwijdte
  • Reikwijdte onderzoek wordt voor een belangrijk
    deel afgegrensd middels de door de
    service-organisatie op te stellen beschrijving
    van de beheersmaatregelen. (indien dit niet
    aanwezig is, moet auditor zelf zorgdragen voor
    beschrijving waaruit reikwijdte van het onderzoek
    ondubbelzinnig blijkt.)

39
Scope of audit (I/II)
  • Indien er sprake is van (sterk) geautomatiseerde
    omgeving, moet het geautomatiseerde proces goed
    en formeel worden beheerst.
  • IT auditor zal zich op volgende aspecten richten
  • General IT Controls
  • Geprogrammeerde controles bij invoer van de
    mutaties
  • Juiste werking van de applicatie
  • Interfacing in
  • Interfacing out
  • Output controles, mede ter controle op juiste
    werking van transacties
  • Overig

40
Scope of audit (II/II)
1
Gen. IT controls
4
Module
2
Module
6
Module
Module
3
Module
Core System
5
41
  • Appendix
  • Scope and Objectives
  • Approach
  • Deliverables
  • Control Objectives

Naslag materiaal
42
Scope and Objectives
  • Our overall objective for this engagement will be
    to conduct a service-auditors review of the
    Clients ABC Program. Our review will be
    performed in accordance with Statement on
    Auditing Standards No. 70, Reports on Controls
    over the Processing of Transactions by Third
    Parties (SAS 70). Our report, a SAS 70 Type
    II report, will be designed to meet the needs of
    the participating Client banks around the
    country and other organizations to whom you
    provide services (user organizations), their
    auditors, and Client management. The SAS 70
    Type II report will provide a description of
    Clients ABC Program and its controls, and
    will report on whether such controls were
    suitably designed to achieve specified control
    objectives, on whether the controls were placed
    in operation as of the end of the examination
    period, and on the operating effectiveness of
    those controls throughout the examination period.
    It is our understanding that this examination
    will cover a six month period from June 1, 2000
    through November 30, 2000.

Naslag materiaal
43
Approach
  • Our approach is designed to provide an assessment
    of the controls over Clients thirdparty
    administration of the ABC Program. We will
    conduct our review by addressing each of the
    components above and will include the following
    steps in our review.
  • Organize and plan the review
  • Preliminary Controls Assessment
  • Interim review of the operational and computer
    application controls.
  • End of the Examination Period Review
  • Conduct exit meeting with management
  • Prepare the service auditors report and review
    with management.

Naslag materiaal
44
Deliverables
  • At the conclusion of this engagement we will
    prepare a formal Independent Service Auditors
    Report. We will report on controls placed in
    operation and tests of operating effectiveness
    for the controls. The report will contain
  • Our service auditors' report.
  • An overview of the ABC processing.
  • A general description of the flow of transactions
    through the process.
  • A description of the Information Systems and
    Operational Processing controls including control
    objectives and a description of the controls in
    place that satisfy the control objectives.
  • The results of compliance and transaction
    testing.
  • A brief description of user organization control
    considerations that should be adopted by
    participating Client Banks.
  • Our concerns, if any, regarding missing or
    ineffective controls and managements plans to
    address those issues.
  • A description of any additional tests performed
    and the results of those tests.
  • All findings and recommendations resulting from
    our reviews will be discussed with appropriate
    management of the Client before the reports are
    finalized.

Naslag materiaal
45
Engagement Timing
Client has requested that the first year of
this review cover a 6 month time frame.
Subsequent years will likely cover a 9 or 12
month period. Based on our discussions with
Client management, we anticipate that the first
year review will be conducted using the following
timelines
Naslag materiaal
46
Control Objectives I/II
  • We will review the following controls as they
    interact with the ABC processing
  • Information Technology Controls
  • Controls are in place to monitor the integrity
    and effectiveness of the network infrastructure
    utilized to support the ABC computing platform.
  • Controls are in place to ensure that changes to
    ABC application programs are authorized,
    implemented in a controlled manner and properly
    documented.
  • Controls are in place to provide reasonable
    assurance that ABC application programs are
    sufficiently tested prior to production
    implementation.

Naslag materiaal
47
Control Objectives II/II
  • Operational Processing Controls
  • Controls are in place to provide reasonable
    assurance that credit enhancements are calculated
    in accordance with managements specifications.
  • Controls are in place to provide reasonable
    assurance that Agent Fee Premium and Discounts
    are properly calculated.
  • Controls are in place to provide reasonable
    assurance that transactions are debited and
    credited to the proper PFI deposit account.

Naslag materiaal
48
Rol van de IAD
  • Financial audit
  • Operational audits
  • ICT audits
  • Project audits
  • Advisering
  • Bijzondere onderzoeken (compliance, fraude,
    claims, etc.)
  • Geintegreerde audits buitenlandkantoren

Wat is de rol van de IAD in het samenspel van
ICT and the Financial Statements?
49
Specials van de IAD
  • Op frequente basis sparren met directie/RvB over
    IT projecten
  • Gedetailleerder onderzoek naar
  • Security incidenten bijv. e-mails van
    bedrijfsgegevens
  • Fraudes
  • Voorwerk voor in control statements
  • Control objectives beoordelen en/of definieren
  • Actieve inzet bij specials zoals
  • Review toepassing IFRS
  • SOX/Tabaksblatt
  • Bazel II
  • Eerste aanspreek punt voor externe toezichthouder
Write a Comment
User Comments (0)