Title: IT
1- IT Auditing
- 9
- Computer Aided Audit ToolS (CAATS)
- Auditing outsourcing of activities (In control
statements) - Rol van de IAD
- Drs. Rob P. Schouten RA RE
- Hoofd interne accountantsdienst Kempen Co
- rsch_at_kempen.nl
2Where we are
- In this course, you learn about
- Business opportunities and business risks of IT
- Information risk management
- IT and the financial statement and IT-auditing
part II - Impact on auditors strategy and daily work
- IT issues and trends erp, e-business
- Apply knowledge in practical situations
- Attestation
- Advisory
3Roadmap
2. Business opportunities 3. Information risk
management
4. Financial mgt and IT organisation 5. System
development 6. IT management 7. Security
13. ERP 14. E-business 15. Forensic
8. and 9. IT and the financial statement 10. Due
diligence 11. Digital durability 12. Knowledge
management
4Agenda
- Computer Aided Audit ToolS (CAATs)
- Auditing outsourcing of activities(Third Party
Announcements SAS 70) - Rol van de IAD
5Computer Aided Audit ToolS (CAATs)
- Wat zijn CAATs
- Toepassingsgebieden audit software
- Soorten CAATS
- Pros
- Contras
- Gebruikers audit software
- Attentiepunten bij toepassing audit software
- Audit approach audit software projecten
- Voorbeelden van toepassing audit software
6What are CAATs?
- CAATs stand for Computer Aided Audit Tools
- The tools vary from MS Excel to the dedicated
audit software tools like IDEA and ACL - With CAATs you can perform substantive testing,
do sampling in a efficient and effective way and
selecting transactions/items for Tests of Controls
7(No Transcript)
8Toepassing auditsoftware
- Totaalcontroles
- Verbandscontroles
- Steekproef tbv gegevensgerichte controles
- Selectie afwijkende posten
- Check op dubbele of ontbrekende posten
- Fraude detectie !
- Complicance
- ...
9Soorten CAATS
- EDP Auditor
- Schaduwdraaien
- Parallelle simulatie
- Reprocessing
- SCARF (System Control Audit Review File)
- Tagging and tracing
- Programmas voor de auditor
- ITF (Integrated Test Facility)
- Testen
- Missed Branch Indicator
- Test Data Generator
- Codevergelijking en Flowcharting software
- Financial Auditor
- Schaduwdraaien
- Parallelle simulatie
- Reprocessing
- SCARF (System Control Audit Review File)
- Tagging and tracing
- Programmas voor de auditor
- ITF (Integrated Test Facility)
- Testen
- Missed Branch Indicator
- Test Data Generator
- Codevergelijking en Flowcharting software
10CAATS Pros
- Zeer efficiënte en effectieve wijze van
gegevensgerichte controle door - Snelheid
- Bulkverwerking
- Foutloosheid (let op rekenen met datums)
- Meer objectief controlemiddel om posten te
selecteren
11CAATS Contras
- Initiële kosten kunnen hoog worden
- Aanvankelijk tijdrovend
- Vereiste expertise
12Gebruikers auditsoftware
- Externe accountantskantoren
- Interne accountantsdiensten
- Belastingdienst
- Klanten IC in de lijn
- van externe/interne audit --gt ic in de lijn
- ...
13Things to be consideredpreparation phase
- Question yourself before you start a data
analysis and/or propose a data analysis for your
client - What is the purpose of the analysis?
- Is data analysis the most suitable way of
auditing? (or are there more efficient ways to
audit) - What do I actually want to audit? (which audit
objective)? - Which data do I need to perform the audit?(in
ERP environments this question isnt answered
easily) - From which person can I receive the data?
- In which way has the data be delivered to me?
- How can I conclude that the data received is
accurate and complete? (hash totals?) - From a risk management perspective do the data
files contain critical data, like credit card
numbers and have to be handled more careful like
the other confidential data
14Things to be consideredexecution phase
- Constantly be aware that you recieve the correct
data files - Describe the critical controls of the process in
which the data is input, mutated or deleted in
order to assess the integrity of the data file
decide whether or not to depend on these controls - Describe the audit steps performed for review
purposes in a memo, including the actual findings
in each audit step. It is recommended to use flow
charts to account for the audit work
performedFile the audit log (standard
functionality in IDEA and ACL)
15Audit approach
- Determine purpose of the audit
- Understanding the business
- Understanding of the way the data is input in the
databases - Data retrieval
- Check the file totals (preferably a hash total)
- Perform trail data analysis and check test
results with the entity be audited - Perform data analysis
- Report (only actual findings)
16Ad 2 Understanding the business
Production
Stock
Sales
Purchase
Quality check
Assem- bly
Lay in stock
Delivery from stock
17 Ad 3 Begrip krijgen over de wijze waarop de data
in de bestanden terecht komen
Production
Stock
Receival from stock
Quality check
/
Pro- duction data base
Assem- bly
Register/ enter up
Stock data base
/
Quality check
Distribution
-/-
-/-
Enter up finished goods
18Ad 4 en 5 Opvragen bestanden aansluiten
- Totaal aansluiting bestand met financiële
administratie - Communicatie met IT afdeling
- Voor jezelf goed weten welke gegevens je
onderling wilt matchen - Richting de IT afdeling goede communiceren over
de doelstelling van de audit - Aanvankelijk veel communicatie over inhoud en
indeling download bestand
19Examples of what you can do with CAATs (1/2)
- Data analysis and data reconciliation, for
example at - Pension funds
- Reconciliation of persons taking part in a
retirement benefit plan and the persons that are
entitled to be part of this plan - Exceptional cases
- Insurance companies
- Analysis of exceptional transactions
- Sampling (Monetary Unit Sampling)
20Examples of what you can do with CAATs (2/2)
- Audits on data conversions
- Insurance companies reconciliation of conversion
totals, in detail comparing data from the old
system with the converted data in the new system - Housing corporation reconciliation of the
renter-data (numbers, standing data, balances),
houses (numbers, fixation of the rent/standing
data rent/fee). - Pension fund audit on conversion application
(partly re-perform the conversion rules) - Recalculation/re-performance
- Recalculation of a tax claim, including the
recalculation of the extrapolation performed by
the governmental Tax department
21Auditing outsourcing of activities
- Third Party Announcements/ In control statements
22Which In control statement ?
- Third Party Mededeling
- AO/IC mededeling
- FRAG 21
- Turnbull
- SAS 70
23Why audit outsourcing of activities ? I/II
- Bij uitbesteding van automatiseringsdiensten
wordt de user-organisatie voor wat betreft de
kwaliteit van de informatievoorziening, zoals
betrouwbaarheid en continuïteit afhankelijk van
de interne controlemaatregelen van de
service-organisatie. Deze afhankelijkheid kan
zover gaan dat het voortbestaan van de
user-organisatie ermee in het geding is. - Er is belangentegenstelling tussen user- en
service-organisatie.
24Why audit outsourcing of activities ? II/II
- The Statement on Auditing Standards no. 70 is
introduced because - Hence the outsourcing, the user organisation
still holds the responsibility and accountability
of the services provided by the service
organisation. These services can be - Executing transactions and maintaining the
related accountability - Recording transactions and processing related
data
25History of SAS70
- In the 70s and 80s companies started
outsourcing their activities to third parties.
Certain outsourcing companies failed to create
proper control over the outsourced activities. In
some cases this led to unreliable back reporting
and even led in worse cases to (unexpected)
losses due to the loss of control and inaccurate
information. - One of the important lesson learned from these
cases was that outsourcing of activities doesnt
discharge the company of its (end)
responsibility and requires proper control over
the reported (financial) information. - In the whole process of auditing the financial
statements, the financial auditor of the user
organisation has the responsibility to gather
sufficient audit evidence, including audit
evidence over the processing of transactions by
the service organisation. With regard to the
processing of transactions by service
organisations the American Institute of Chartered
Accountants designed a Statement on Auditing
standards no. 70 providing guidance for
independent auditors who issue reports on the
processing of transactions by a service
organisation.
Naslag materiaal
26Which parties are involved with outsourcing ?
Supervisory Authority
User organisation
User auditor
Service Auditor
Service organisation
27Een SAS 70-rapport beschrijft het in control
zijn van een organisatie
- SAS 70 is het Statement on Auditing Standards
m.b.t. het in control zijn van de omschreven
processen - SAS 70 toont aan dat bij een uitvoeringsorganisati
e (service organisation) de beschreven
maatregelen in opzet aanwezig zijn en dat de
maatregelen hebben gewerkt(afhankelijk van de
opdracht van de accountant) - SAS 70 stelt de opdrachtgever (user organisation)
in staat om een duidelijk beeld te krijgen van de
beheersorganisatie van de uitvoerder
(opdrachtnemer) waarbij hij specifieke eisen en
wensen mee kan geven.
28SAS 70 biedt voordelen voor zowel de user
organisatie als de service organisatie
- SAS 70 creëert het controlbewustzijn binnen de
organisatie en daarmee wordt het leervermogen van
de organisatie vergroot - Een SAS 70-rapport demonstreert het in control
zijn richting klanten en toezichthouders - Goedkeurende accountantsverklaring draagt bij aan
positieve beeldvorming in de markt - SAS 70 versterkt operationele beheersing
- SAS 70 geeft signaal af dat operational
excellence wordt nagestreefd
29Audit standards
- NivRA
- NivRA
- NivRA
- AICPA (American Instituut of Certified Public
Accountants) - NivRA en NOREA
- IFAC (International Federation of Accountants)
- DNB
- Geschrift 53
- Geschrift 26
- Richtlijnen voor de acc.controle
- Statements on Auditing Standards 70 (SAS70)
- Tussentijdse resultaten van de werkgroep
Commissie Organisatie en Informatievoorziening
(COIV) - Assurance Framework
- Memorandum inzake Regeling Organisatie en Beheer
(ROB)
Naslag materiaal
30Definitions
Service organisatie Organisatie die
automatiseringsdiensten verleent Service auditor
Auditor die tbv één of meer derden onderzoeken
verricht naar opzet en werking van de interne
controle bij een service organisatie en hierover
rapporteert. De auditor kan hierbij een
accountant, IT-auditor of anderszins
gekwalificeerde zijn. User organisatie Organisati
e die automatiseringsdiensten afneemt. User
auditor Auditor van de organisatie die
automatiseringsdiensten afneemt. In het algemeen
betreft dit de accountant die belast is met de
controle van de jaarrekening, maar het kan ook
gaan om een auditor die de opdracht heeft een
onderzoek uit te voeren naar de interne controle
bij de user-organisatie. Interne
auditor Supervisory authority Third Party
Review (TPR) Onderzoek van een service auditor
naar de interne controle bij een
service-organisatie, tbv één of meer
derden. Third Party Mededeling (TPM) Een
schriftelijke mededeling van een service-auditor
inhoudende de uitkomsten van een onderzoek naar
de interne controle bij een service-organisatie,
tbv één of meer derden.
Naslag materiaal
31Whats SAS 70 about ?
- Statement on Auditing Standards no. 70
concerns Reports on the Processing of
Transactions by Service Organisations - Introduction The SAS 70 statement provides
guidance for independent auditors who issue
reports on the processing of transactions by a
service organisation.
32Report types
- Reports on Policies and Procedures Placed in
Operation(also referred to as SAS 70 Type I
report)The opinion stated in this kind of
report refers to a snapshot (at a given
moment) of the controls and control structure in
place (policies and procedures) - Report on Policies and Procedures in Operation
and Tests of Operating Effectiveness(also
referred to as SAS 70 Type II report)The
opinion stated in this kind of report refers to a
period (from moment A to B) of the controls and
control structure in place (policies and
procedures)
33Algemene inhoud van een SAS 70-rapport
- SAS 70-accountantsverklaring (Independent service
auditors report) - Type I Statement
- Type II Statement
- Beschrijving van beheersmaatregelen door de
organisatie (Description of controls) - Beschrijving van de organisatie en haar
activiteiten - Beschrijving van de beheersmaatregelen en de
beheersomgeving - Gedetailleerde beschrijving van de processen
- Toelichting op de informatie die door de auditor
van XXX wordt geleverd (Information provided by
the service auditor) - Doel en scope van het rapport
- Testen van de beheersomgeving
- Testen van de werking van specifieke
beheersmaatregelen - Matrix of anders gestructureerde bijlage
- Beheersdoelstellingen (control objectives)
- Beheersmaatregelen (controls)
- Testen van werking beheersmaatregelen (test of
operating effectiveness) - Testresultaten (audit results)
34Er zijn twee soorten SAS 70-rapporten
Momentopname
Uitspraak over een bepaalde periode
Type I Statement Is een verklaring van de
aangetroffen beheersmaatregelen (controls) en
beheersstructuur (control structure)
Type II Statement Is een verklaring van de
aangetroffen beheers-maatregelen (controls) en
beheersstructuur (control structure) die
gedurende 6 maanden gewerkt hebben
35Voor het verkrijgen van een SAS 70-verklaring
worden vier fasen doorlopen
Fase 3 Doorvoeren verbeteringen
Fase 2Uitvoeren health check
Fase 4Uitvoeren SAS 70 audit
Fase 1Bepalen scope
Type I of Type IIStatement
36Naar aanleiding van de geformuleerde
beheersdoelstellingen worden de relevante
processen voor de audit bepaald
Voorbeeld
Service verlenen
Verzorgen uitkering
Beheren vermogen
Administreren deelnemer
Administreren werkgever
Beheren producten
Verzorgen beleidsvoorbereiding
Voeren financiële administratie
Uitvoeren actuariële analyses
Verzorgen juridische ondersteuning
Verzorgen automatisering
Naleven wet- en regelgeving compliance
Uitvoeren Human Resources Management
Verzorgen SLA-rapportage
37Bevindingen bij de opzet en het bestaan van de
AO/IC in de vorm van een stoplichtrapportage
Type I Statement
Type II Statement
38Opdrachtformulering voor service auditor
- Object
- Bijv. systeemontwikkelorganisaties, rekencentrum,
functioneel beheerorganisatie, software pakket,
etc. - Doel
- Aangeven waarop beoordeling betrekking heeft
opzet, bestaan en/of werking. - Reikwijdte
- Reikwijdte onderzoek wordt voor een belangrijk
deel afgegrensd middels de door de
service-organisatie op te stellen beschrijving
van de beheersmaatregelen. (indien dit niet
aanwezig is, moet auditor zelf zorgdragen voor
beschrijving waaruit reikwijdte van het onderzoek
ondubbelzinnig blijkt.)
39Scope of audit (I/II)
- Indien er sprake is van (sterk) geautomatiseerde
omgeving, moet het geautomatiseerde proces goed
en formeel worden beheerst. - IT auditor zal zich op volgende aspecten richten
- General IT Controls
- Geprogrammeerde controles bij invoer van de
mutaties - Juiste werking van de applicatie
- Interfacing in
- Interfacing out
- Output controles, mede ter controle op juiste
werking van transacties - Overig
40Scope of audit (II/II)
1
Gen. IT controls
4
Module
2
Module
6
Module
Module
3
Module
Core System
5
41- Appendix
- Scope and Objectives
- Approach
- Deliverables
- Control Objectives
Naslag materiaal
42Scope and Objectives
- Our overall objective for this engagement will be
to conduct a service-auditors review of the
Clients ABC Program. Our review will be
performed in accordance with Statement on
Auditing Standards No. 70, Reports on Controls
over the Processing of Transactions by Third
Parties (SAS 70). Our report, a SAS 70 Type
II report, will be designed to meet the needs of
the participating Client banks around the
country and other organizations to whom you
provide services (user organizations), their
auditors, and Client management. The SAS 70
Type II report will provide a description of
Clients ABC Program and its controls, and
will report on whether such controls were
suitably designed to achieve specified control
objectives, on whether the controls were placed
in operation as of the end of the examination
period, and on the operating effectiveness of
those controls throughout the examination period.
It is our understanding that this examination
will cover a six month period from June 1, 2000
through November 30, 2000.
Naslag materiaal
43Approach
- Our approach is designed to provide an assessment
of the controls over Clients thirdparty
administration of the ABC Program. We will
conduct our review by addressing each of the
components above and will include the following
steps in our review. - Organize and plan the review
- Preliminary Controls Assessment
- Interim review of the operational and computer
application controls. - End of the Examination Period Review
- Conduct exit meeting with management
- Prepare the service auditors report and review
with management.
Naslag materiaal
44Deliverables
- At the conclusion of this engagement we will
prepare a formal Independent Service Auditors
Report. We will report on controls placed in
operation and tests of operating effectiveness
for the controls. The report will contain - Our service auditors' report.
- An overview of the ABC processing.
- A general description of the flow of transactions
through the process. - A description of the Information Systems and
Operational Processing controls including control
objectives and a description of the controls in
place that satisfy the control objectives. - The results of compliance and transaction
testing. - A brief description of user organization control
considerations that should be adopted by
participating Client Banks. - Our concerns, if any, regarding missing or
ineffective controls and managements plans to
address those issues. - A description of any additional tests performed
and the results of those tests. - All findings and recommendations resulting from
our reviews will be discussed with appropriate
management of the Client before the reports are
finalized.
Naslag materiaal
45Engagement Timing
Client has requested that the first year of
this review cover a 6 month time frame.
Subsequent years will likely cover a 9 or 12
month period. Based on our discussions with
Client management, we anticipate that the first
year review will be conducted using the following
timelines
Naslag materiaal
46Control Objectives I/II
- We will review the following controls as they
interact with the ABC processing - Information Technology Controls
- Controls are in place to monitor the integrity
and effectiveness of the network infrastructure
utilized to support the ABC computing platform. - Controls are in place to ensure that changes to
ABC application programs are authorized,
implemented in a controlled manner and properly
documented. - Controls are in place to provide reasonable
assurance that ABC application programs are
sufficiently tested prior to production
implementation.
Naslag materiaal
47Control Objectives II/II
- Operational Processing Controls
- Controls are in place to provide reasonable
assurance that credit enhancements are calculated
in accordance with managements specifications. - Controls are in place to provide reasonable
assurance that Agent Fee Premium and Discounts
are properly calculated. - Controls are in place to provide reasonable
assurance that transactions are debited and
credited to the proper PFI deposit account.
Naslag materiaal
48Rol van de IAD
- Financial audit
- Operational audits
- ICT audits
- Project audits
- Advisering
- Bijzondere onderzoeken (compliance, fraude,
claims, etc.) - Geintegreerde audits buitenlandkantoren
Wat is de rol van de IAD in het samenspel van
ICT and the Financial Statements?
49Specials van de IAD
- Op frequente basis sparren met directie/RvB over
IT projecten - Gedetailleerder onderzoek naar
- Security incidenten bijv. e-mails van
bedrijfsgegevens - Fraudes
- Voorwerk voor in control statements
- Control objectives beoordelen en/of definieren
- Actieve inzet bij specials zoals
- Review toepassing IFRS
- SOX/Tabaksblatt
- Bazel II
- Eerste aanspreek punt voor externe toezichthouder