AMSTERDAM – De organisatie van accountants (Nivra) heeft een uitvoerige studie gedaan naar de vraag welke normen en standaarden kunnen worden toegepast bij onderzoeken naar de kwaliteit van de geautomatiseerde gegevensverwerking.
Accountants stuiten in hun werk op uiteenlopende vormen van geautomatiseerde gegevensverwerking. Steeds vaker betekent dit dat de accountant een oordeel zal moeten vellen over de kwaliteit van de maatregelen van interne controle, die zijn opgenomen in de geautomatiseerde gegevensverwerking. De vraag is in hoeverre een dergelijke beoordeling noodzakelijk is. Ook is het nog een punt van discussie welke kwaliteitscriteria daarbij moeten worden gehanteerd.
Geen eenduidige lijst
Een eenduidige lijst van normen en standaarden voor de ‘jaarrekening edp-audit’ is echter nog niet beschikbaar. Daarom heeft een werkgroep van de Nivra onder leiding van prof. H. Moonen als eerste aanzet een aantal toetsingscriteria ontwikkeld die bij de uitvoering van de ‘jaarrekening EDP-audit’ te gebruiken zijn. Doel van zo’n controle is het vaststellen van de betrouwbaarheid van de geautomatiseerde gegevensverwerking.
Het referentiekader waarmee de accountant werkt, is geobjectiveerd. Daartoe is er een referentiemodel opgesteld, waarin het kwaliteitsoordeel van de ‘jaarrekening EDP-audit’ is uitgewerkt. Geformuleerd zijn doelstellingen, kwaliteitscriteria, objecten, subdoelstellingen en maatregelen. Door toevoeging van wegingsfactoren heeft het model een normatief karakter gekregen.
Van normen kan echter nog niet worden gesproken. Daarvoor is nog veel discussie nodig. De werkgroep waarin behalve accountants van de drie grootste accountantsfirma’s ook vertegenwoordigers van De Nederlandsche Bank, het ministerie van Vrom en de Nivra zelf zaten, heeft wat dat betreft geen overdreven pretenties. Betrokkenen hebben niet de illusie normen of standaarden te hebben gecreëerd die in alle gevallen ongecensureerd in de controle zijn toe te passen.
Welke inhoud en reikwijdte?
Binnen de beroepsgroep van accountants bestaat namelijk nog geen eenheid van opvatting over de inhoud en reikwijdte van de zogeheten ‘jaarrekening EDP-audit’. Deze audit omvat de beoordeling van de geautomatiseerde gegevensverwerking, die de accountant minimaal moet verrichten om tot een oordeel over de getrouwheid van de jaarrekening te kunnen komen.
De voorgestelde aanpak is niet alleen geschikt voor de controle van grote organisaties, maar is ook toe te passen bij organisaties van geringe omvang waar de automatisering een minder prominente rol vervult. De risico-analytische benadering maakt immers in haar opzet geen onderscheid in de omvang van de te controleren organisatie. De opgesomde maatregelen kunnen ook worden toegepast op standaard software-pakketten die veelal bij kleinere organisaties in gebruik zijn. Corr.
