Wat continuous assurance precies inhoudt en hoe het zich verhoudt tot continuous monitoring en continuous auditing is niet altijd evident. De NBA ledengroep intern- en overheidsaccountants (LIO) wil een bijdrage leveren aan de discussie over continuous assurance en heeft een discussiedocument opgesteld met daarin zes stellingen waarover zij graag wil discussiëren.
Duidelijk is wel dat elke organisatie op de een of andere manier gebruik zal maken van continuous monitoring bij de toepassing van haar risk management en internal control functie. Dit zal het toepassen van continuous auditing faciliteren, waardoor de basis voor continuous assurance is gelegd. Met het discussiedocument wil de ledengroep haar bijdrage leveren aan de discussie over Continuous Assurance.
Er zijn verschillende definities en vele meningen over wat continuous monitoring (CM) en continuous audit (CAu) nu eigenlijk betekenen. Bepaalde kernelementen komen bij beide terug:
- het gaat om data en controles;
- de methode is hoog-geautomatiseerd; en
- de frequentie is hoger en/of continue en/of de intervallen zijn gestandaardiseerd.
De uitvoerder is bij beide vormen anders: voor CM is de business of het management de gebruiker, bij CAu de auditor. De definities van IIA’s Global Technology Audit Guide (GTAC) 3 voor de termen CM, CAu en Continuous Assurance (CAss) sluiten aan op deze kernelementen:
Continuous monitoring
Continuous monitoring (CM) zijn processen die het management implementeert om ervoor te zorgen dat het beleid, procedures, en primaire processen doelmatig functioneren. De termen continuous risk monitoring en continuous control monitoring worden in deze context ook vaak gebruikt. Uit de latere tekst van GTAC 3 en IIA’s Practice Advisory 2320-4 kan worden afgeleid dat “on-going” en automatisering hier kernelementen zijn.
Continuous auditing
Continuous auditing (CAu) is een door de auditor gebruikte methode om frequenter geautomatiseerde evaluaties uit te voeren van beheersingsmaatregelen en risico’s.
Continuous assurance
Voor continuous assurance (CAss) zijn veel minder definities voorhanden. In het algemeen wordt CAss geïnterpreteerd als de combinatie van CM en CAu. Gesteld kan worden dat CAss de uitkomst is van de combinatie van CM en CAu.
Continuous assurance zal volgens de LIO door een grote behoefte aan verantwoording sterk toe nemen. De ledengroep vraagt zich bijvoorbeeld af wat deze ontwikkeling voor de internal audit functie betekent.
Op de volgende zes stellingen uit het discussiedocument van de ledengroep kan gereageerd worden.
- Door een grote behoefte aan verantwoording neemt CAss sterk toe, eerst bij innovators, later ook bij anderen vanwege kopieergedrag en druk vanuit toezichthouders.
- De toenemende regeldruk leidt er toe dat CAss steeds breder zal worden toegepast.
- Voor een succesvolle implementatie van CAss speelt standaardisatie een grote rol.
- De toepassing van CAss voor interne doeleinden zal vrijwillig toenemen zonder de aanwezigheid van externe druk.
- Alleen in de situatie dat er voldoende wordt geïnvesteerd in de basisvoorwaarden voor een goede beheersing van de organisatie zal de toepassing van CAss slagen.
- De rol van IAF verandert bij toepassing van CAss maar zal niet verdwijnen.
Reacties
Reacties op de stellingen en/of het discussiedocument kunnen gestuurd worden naar de secretaris van de Ledengroep intern- en overheidsaccountants: Johan Scheffe Ra Ro CIA (j.scheffe@nba.nl).
Geef een reactie