26 mei 2007

De Public Company Accounting Oversight Board (PCAOB) keurde op 24 mei de nieuwe Auditing Standard No.5 goed, waarbij nieuwe richtlijnen (waarmee de Securities and Exchange Commission akkoord gegaan is) worden gegeven die er op zijn gericht om het makkelijker en minder kostbaar te maken voor publieke bedrijven om aan de auditeisen van de Sarbanes-Oxley Act (SOX) van 2002 te voldoen. De Standaard moet nog wel formeel door de SEC worden goedgekeurd, maar de eerste vraag die beantwoord moet worden is of en hoe deze nieuwe standaard het werk van de gemiddelde ICT-er zal beinvloeden. De PCAOB is een niet-commerciële organisatie die volgens de SOX werd opgericht om toezicht te houden op de auditors van deze wetgeving in het ebdrijfsleven. De nieuwe standaard staat externe auditors toe zich te richten op de meest risicovolle gebieden van de interne controles van een bedrijf en meer gebruik te maken van de resultaten van de auditwerkzaamheden van de interne auditors. Ze zullen zich met name gaan richten op het analyse van het eigen evaluatieproces van het management. Het verheldert dat interne auditors geen mening hoeven te vormen over de adequaatheid van dat proces. De nieuwe standaard staat ook toe om audits aan te passen aan de grootte en complexiteit van het te auditen bedrijf.

'The internal control reporting requirements of the Sarbanes Oxley Act are a key reason why the reliability and accuracy of financial reporting has improved over the past few years', zegt Mark Olson, voorzitter van de PCAOB. 'The new standard is more risk-based and scalable, which will better meet the needs of investors, public companies and auditors alike'. John Wheeler, van SunTrust Banks, stelt dat zijn bedrijf het pad zoals dat nu in de nieuwe richtlijnen is vastgelegd in 2005, gebaseerd op informele mededelingen van de PCAOB. Andere grote bedrijven deden hetzelfde, zo zegt hij, en namen een meer op risico gebaseerde benadering van auditing aan. 'It really doesn't signify much change [for our IT department]', zo verklaart Wheeler. Sun Trust gebruikt software van OpenPages om alle controles van elk bedrijfsonderdeel te monitoren en te analyseren. Voor 2005 betekenden de interne audits van SunTrust een enorme hoeveelheid handmatig werk dat nauwelijks zicht gaf op de controles die werden gebruikt. Het elimineren van de handmatige aspecten van compliance aan SOX kan het grootste resultaat zijn van deze veranderingen, zo stelt Patrick Taylor, Chief Executive Officer van Oversight Systems. Bijvoorbeeld ' to safeguard against the possibility of tampering with financial records, a company might allow a database administrator to only log into a database in response to a trouble ticket and then require the DBA to keep a record of the trouble ticket being addressed and what was done', zo zegt hij. ' Due to the risk-based approach of AS 5, a company might decide it's only worthwhile to keep track of what is actually done in the database, doing away with unnecessary procedures. I think the quick answer is it's going to give them the opportunity to cut out some bureaucracy in their lives'. James Sayles, van Ecora Software, een leverancier van een compliancerapportage tool, is het hiermee helemaal eens. De veranderingen maken het voor veel bedrijven veel makkelijker om aan de wet te kunnen voldoen. 'Life for IT staffers just got easier', zo zegt hij. 'The mind-boggling requirements, the ambiguities and the unrealistic audit expectations all just took a quantum leap back to reality. … In a lot of ways, I expect organizations will make more of an effort to comply because it won't seem so onerous'. De herziening verandert echter helemaal niets aan de geest van de wet. 'It's important to note that while costs certainly will come down, both agencies were careful not to reduce the basic requirements—that management must assess its internal control over financial reporting and express a conclusion, while the auditor issues an opinion', zo zegt Brian Cleary, marketing directeur van OpenPages. Audrey Gramling, associate professor aan de Kennesaw State University. in Georgia, stelde dat ICT-ers erg belangrijk blijven onder de nieuwe standaard, omdat controle meer een technische aangelegenheid wordt. 'As clients implement more automated controls, IT folks are going to be critical in getting assurance about the IT general controls', zo zegt ze. 'I don't necessarily see this as a change under AS 5, but as a continued emphasis of the importance of IT'.