A comprehensive approach to support the external auditor of the small and medium audit firm, to address evolving information technology control risks of an auditee
Date
2017-03
Authors
Journal Title
Journal ISSN
Volume Title
Publisher
Stellenbosch : Stellenbosch University
Abstract
ENGLISH SUMMARY : We are living in what is being referred to as the information revolution, where the evolution of
technology has and continues to have a pervasive impact on life and business. New
technologies are being developed on a rapid scale that present several opportunities for businesses, however it also exposes them to several risks. As leadership and management of businesses have a professional, as well as a legal responsibility to govern businesses well,
they must select and implement strategies and internal frameworks to limit the businesses exposure to risks, including Information Technology (IT) risks. In response to the rapid evolution of IT, specialist internal control frameworks have been developed and refined over time to address an entity’s exposure to IT related risks at a strategic and operational level.
Several of these frameworks, which are recognised and used globally, have been specifically designed in such a manner to ensure that leadership are able to dispel their corporate governance responsibilities whilst adding value.
As leadership of organisations have adapted the manner in which they address opportunities and risks, arising from evolving IT within an organisation, it is expected that the external auditor
would also have adapted his/her audit approach to account for the impact of evolving IT on auditees. The external audit has, over time, evolved with significant social and economic advances and is today regulated and performed by making use of the International Standards on Auditing (ISA). The ISA have been updated to account for the pervasive impact that IT
has on auditees. These updates have been included to account for the impact of IT throughout the audit process that the external auditor applies to conduct the external audit. These updates to the ISA address several considerations that the external auditor needs to make regarding
the impact of IT on an auditee. However, when specifically considering the impact of IT when understanding the auditee and its environment, as well as the internal controls that are relevant to the audit, these updates to the ISA are broad in nature and do not necessarily provide the
external auditor with the necessary detailed guidance. Several audit specialists have taken the general and application IT controls, included in the broad guidance of the ISA, and developed detailed control areas which the external auditor can use to address the impact of IT and the related internal controls on an auditee. Larger audit firms have developed internal
frameworks that are used to address IT and its impact on the internal controls of auditees. However, in small and medium audit firms this is often not the case. Thus with the rapid evolution of IT and specialised internal control frameworks to govern IT, the question can be asked is, whether the ISA (together with the supporting guidance regarding IT), alone, suffice in enabling the external auditor of the small and medium audit firm to obtain a proper understanding of IT and address the impact of IT on their auditees.
The primary objective of this study was to develop a compressive approach that the external auditor of the small and medium firm, can apply to understand and address the evolving nature of IT and specialised IT internal control frameworks used by auditees when conducting the external audit. In order to achieve this objective the study first investigated what additional guidance is available to all external auditors when considering the impact that IT has on the auditee as well as which of the IT related internal controls that management have implemented
are relevant to the audit. The additional guidance that was identified is in the form of more detailed control areas within the general and application IT controls that the external auditor must consider within each auditee. The study then considered whether these detailed control areas will address all of the control areas that management are considering by comparing it with the internal control areas of a specialised integrated IT internal control framework. Finally,
by understanding the approach, required by the ISA, that the external auditor uses to assess internal controls which are relevant to the audit the author developed the comprehensive approach to address the impact of IT on an auditee in assessing control risk. The findings showed that there is additional guidance, beyond the ISA, available to the external
auditor when assessing the impact of IT on the internal controls of the auditee. This guidance is in the form of specific control areas within the general and application IT controls that the external auditor is required to consider when performing the external audit. However, when these control areas were compared with the control areas of a specialised integrated IT internal control framework, there were certain control areas, at a technology or operational level, which
are not addressed through the control areas within the general and application IT controls. This confirmed the need for a comprehensive approach, to assist the external auditor of the small and medium audit firm, to assess the impact of IT on the auditee.
The ISA provides the external auditor with an approach to assess the impact of internal controls that are relevant to the audit on the risk of material misstatement by understanding the entity and its control environment, using the control objectives to identify key controls that are
relevant to the audit and then testing the design and operation of those key controls. The author used a similar approach to develop a comprehensive approach to address the pervasive
impact of IT, over and above the general and application IT controls already assessed, on the risk of material misstatement of the auditee taking into account the modern technology
landscape. In the first step when understanding the entity and its control environment the author suggested that the IT governance impact on each of the areas included in the ISA when
understanding the entity and its environment be used.
Secondly, the internal control objectives related to IT (as set out in the ISA) can be used to identify which of the controls identified through the understanding of IT governance are key controls and are relevant to the audit. Finally, the external auditor can then test the design and operation of those key IT controls that were identified as being relevant to the audit.
This revealed that there are likely to be IT related controls that are relevant to the audit at a strategic level (including general IT controls and strategic alignment through business imperatives), as well as an operational level (including application and technology IT controls). The comprehensive approach then requires the external auditor to test the design and operation of these relevant or key IT controls. It was found that the comprehensive approach can only be used by the external auditor of the small and medium firm, if applied at a strategic
as well as an operational level. For this reason the external auditor of the small and medium firm, will need to have a more detailed understanding, or make use of an IT specialist, to assess the control risk impact at a technology level. To assist the external auditor of the small and medium firm, in gaining a more detailed understanding at a technology level the final finding of the study applied the comprehensive approach to common hardware and software components of IT systems found across several IT architectures.
By using the comprehensive approach developed the external auditor of the small and medium firm, will be able to address the control risks relating to the evolving nature of IT and the use of specialised IT internal control frameworks by management to govern IT when conducting the external audit.
AFRIKAANSE OPSOMMING : Ons leef in 'n tyd wat beskryf word as die inligting revolusie, waar die evolusie van tegnologie 'n deurdringende invloed op die lewe en besigheid het en voort sal gaan om te hê. Nuwe tegnologieë word op 'n vinnige skaal ontwikkel wat 'n hele paar geleenthede skep vir besighede, maar hulle ook aan verskeie risiko's blootstel. Leierskap en bestuur van besighede het 'n professionele, sowel as wetlike, verantwoordelikheid om besighede goed te bestuur en daarom kies en implementeer hulle strategieë en interne beheerraamwerke om die besigheid se blootstelling aan risiko's, insluitende Inligtingstegnologie (IT) risiko's, te beperk. In reaksie op die vinnige evolusie van IT, is daar spesialis interne beheerraamwerke met die verloop van tyd ontwikkel en verfyn om die entiteit se blootstelling aan IT verwante risiko's op 'n strategiese en operasionele vlak aan te spreek. Verskeie van hierdie raamwerke word wêreldwyd erken en gebruik en is spesifiek op so 'n wyse ontwerp om te verseker dat die leierskap in staat is om hul korporatiewe bestuursverantwoordelikhede te bereik. Aangesien die leierskap van organisasies, as gevolg van die evolusie van IT, die wyse waarop hulle IT geleenthede en risiko's aanspreek aangepas het, word daar ook verwag dat die eksterne ouditeur sy/haar ouditbenadering vir evoluerende IT sou aanpas. Die eksterne oudit het met verloop van tyd en met belangrike sosiale en ekonomiese vooruitgange ontwikkel, en word vandag gereguleer en uitgevoer deur gebruik te maak van die International Standards on Auditing (ISA). Die ISA is aangepas om die deurdringende impak wat IT op geouditeerdes het aan te spreek. Hierdie aanpassings sluit die impak van IT regdeur die ouditproses, wat die eksterne ouditeur gebruik om die eksterne oudit uit te voer, in. Die aanpassings aan die ISA sluit verskeie oorwegings wat die eksterne ouditeur in ag moet neem met betrekking tot die impak van IT op 'n geouditeerde. Die aanpassings aan die ISA is egter breed in aard en gee nie noodwendig die nodige gedetailleerde leiding nie, spesifiek met inagneming van die impak van IT wanneer die eksterne ouditeur begrip kry van die geouditeerde en sy omgewing, asook die interne beheermaatreëls wat relevant is tot die oudit. Verskeie ouditspesialiste het die algemene- en toepassings- IT interne beheermaatreëls, wat die breë riglyne van die ISA ingesluit is, geneem en spesifieke leiding geformuleer. Hierdie leiding sluit spesifieke beheergebiede in die algemene- en toepassings- IT interne beheermaatreëls, wat die eksterne ouditeur kan gebruik om die impak van IT en die verwante interne beheermaatreëls van 'n geouditeerde aan te spreek, in. Groter ouditfirmas het interne raamwerke, wat gebruik word om IT en die impak daarvan op die interne beheermaatreëls van hulle geouditeerdes aan te spreek, ontwikkel. In klein en medium ouditfirmas is dit nie noodwendig die geval nie. Dit kan dus bevraagteken word of die klein en medium ouditfirmas die nodige leiding het om IT en die impak daarvan op geouditeerdes volledig verstaan en aan spreek. Die primêre doel van hierdie studie was om 'n omvattende benadering te ontwikkel wat die eksterne ouditeur van die klein en medium firma kan toepas om die evolerende aard van IT en die gespesialiseerde IT interne beheer raamwerke wat geouditeerdes gebruik te verstaan en aan te spreek. Om hierdie doelwit te bereik het die studie eers ondersoek ingestel oor watter bykomende leiding beskikbaar is vir alle eksterne ouditeure om die impak van IT op 'n geouditeerde sowel as watter IT interne beheermaatreëls, wat bestuur geïmplementeer het, relevant is tot die oudit. Die bykomende leiding wat geïdentifiseer was, is meer gedetailleerde beheergebiede binne die algemene- en toepassings- IT interne beheermaatreëls. Hierdie beheergebiede moet deur die eksterne ouditeur tydens elke oudit oorweeg word. Die studie het toe oorweeg of hierdie gedetailleerde beheergebiede al die beheergebiede wat bestuur sal oorweeg om IT te beheer insluit. Hierdie oorweging was gemaak deur die gedetailleerde beheergebiede te vergelyk met die interne beheergebiede van 'n gespesialiseerde IT raamwerk wat bestuur kan gebruik om IT volledig te beheer. Ten slotte, het die outeur die benadering wat die eksterne ouditeur gebruik om interne beheermaatreëls, wat relevant is tot die eksterne oudit, gebruik om 'n omvattende benadering te ontwikkel wat die impak van IT op die assessering van kontrole risiko van 'n geouditeerde aan te spreek. Die bevindinge van hierdie studie toon dat daar wel leiding, bykomend tot die ISA, vir die eksterne ouditeur beskikbaar is wanneer die impak van IT op die interne beheermaatreëls van die geouditeerde beoordeel word. Hierdie leiding is in die vorm van spesifieke beheergebiede binne die algemene- en toepassings- IT interne beheermaatreëls wat die eksterne ouditeur moet oorweeg wanneer die eksterne oudit uitgevoer word. Met die vergelyking van hierdie beheergebiede binne die algemene- en toepassings- IT interne beheermaatreëls met die beheergebiede van 'n gespesialiseerde IT interne beheer raamwerk was daar sekere beheergebiede, op 'n tegnologie of operasionele vlak, wat nie aangespreek is nie. Daar is dus 'n behoefte aan 'n omvattende benadering wat die eksterne ouditeur van die klein en medium ouditfirma kan help om die impak van IT op die geouditeerde te evalueer. Die ISA gee vir die eksterne ouditeur 'n benadering om die interne beheermaatreëls, wat van toepassing op die oudit is en wat 'n impak op die risiko van wesenlike wanvoorstelling het, te assesseer. Hierdie benadering is om die entiteit en sy beheer omgewing te verstaan, die kontrole doelwitte te gebruik om sleutel interne beheermaatreëls wat relevant tot die oudit is te identifiseer en daarna die ontwerp en implementering van sleutel interne beheermaatreëls te toets. Die skrywer het 'n soortgelyke benadering gevolg om 'n omvattende benadering, wat die deurdringe impak van IT in 'n moderne tegnologie landskap, bo en behalwe die algemene- en toepassings- IT interne beheermaatreëls wat alreeds geassesseer is, op die risiko van wesenlike waanvoorstelling het te ontwikkel. In die eerste stap om die entiteit en sy beheer omgewing te verstaan het die skrywer voorgestel dat die IT beheer impak op elk van die areas wat die IAS uiteensit om die entiteit en sy beheeromgewing te verstaan, te oorweeg. Tweedens kan die IT verwante kontrole doelwitte (soos in die ISA uiteengesit) gebruik word om die sleutel IT interne beheermaatreëls wat relevant is tot die oudit te identifiseer. Ten slotte moet die eksterne ouditeur die ontwerp en implementering van sleutel IT interne beheermaatreëls toets. Hierdie omvattende benadering het getoon dat daar IT verwante beheermaatreëls is wat op 'n strategiese en operasionele vlak op die oudit van toepassing is. Op 'n strategiese vlak sluit dit die algemene- IT interne beheermaatreëls en strategiese belyning met besigheid imperatiewe in. Op 'n operasionele vlak sluit die toepassings- IT interne beheermaatreëls en tegnologie interne beheermaatreëls in. Die omvattende benadering verlang daarna dat die eksterne ouditeur die ontwerp en implementering vir hierdie sleutel interne beheermaatreëls toets. Die omvattende benadering kan slegs deur die eksterne ouditeur van die klein en medium firma gebruik word as dit op 'n strategiese en operasionele vlak toegepas word. Die eksterne ouditeur sal dus IT in meer detail moet verstaan of 'n IT spesialis gebruik om die interne beheermaatreëls op ‘n tegnologie vlak te assesseer. Om die eksterne ouditeur te help om 'n meer gedetailleerde begrip op 'n tegnologie vlak te kry het die finale bevinding van hierdie studie die omvattende benadering op algemene harde- en sagteware komponente van IT stelsels toegepas. Deur gebruik te maak van die omvattende benadering wat ontwikkel is, sal die eksterne ouditeur van die klein en medium ouditfirma in staat gestel word om die beheer risiko's, wat verband hou met die evoluerende aard van IT en die gespesialiseerde interne beheerraamwerke wat bestuur van die geouditeerde gebruik om IT te bestuur, ten volle aan te spreek wanneer die eksterne oudit uitgevoer word.
AFRIKAANSE OPSOMMING : Ons leef in 'n tyd wat beskryf word as die inligting revolusie, waar die evolusie van tegnologie 'n deurdringende invloed op die lewe en besigheid het en voort sal gaan om te hê. Nuwe tegnologieë word op 'n vinnige skaal ontwikkel wat 'n hele paar geleenthede skep vir besighede, maar hulle ook aan verskeie risiko's blootstel. Leierskap en bestuur van besighede het 'n professionele, sowel as wetlike, verantwoordelikheid om besighede goed te bestuur en daarom kies en implementeer hulle strategieë en interne beheerraamwerke om die besigheid se blootstelling aan risiko's, insluitende Inligtingstegnologie (IT) risiko's, te beperk. In reaksie op die vinnige evolusie van IT, is daar spesialis interne beheerraamwerke met die verloop van tyd ontwikkel en verfyn om die entiteit se blootstelling aan IT verwante risiko's op 'n strategiese en operasionele vlak aan te spreek. Verskeie van hierdie raamwerke word wêreldwyd erken en gebruik en is spesifiek op so 'n wyse ontwerp om te verseker dat die leierskap in staat is om hul korporatiewe bestuursverantwoordelikhede te bereik. Aangesien die leierskap van organisasies, as gevolg van die evolusie van IT, die wyse waarop hulle IT geleenthede en risiko's aanspreek aangepas het, word daar ook verwag dat die eksterne ouditeur sy/haar ouditbenadering vir evoluerende IT sou aanpas. Die eksterne oudit het met verloop van tyd en met belangrike sosiale en ekonomiese vooruitgange ontwikkel, en word vandag gereguleer en uitgevoer deur gebruik te maak van die International Standards on Auditing (ISA). Die ISA is aangepas om die deurdringende impak wat IT op geouditeerdes het aan te spreek. Hierdie aanpassings sluit die impak van IT regdeur die ouditproses, wat die eksterne ouditeur gebruik om die eksterne oudit uit te voer, in. Die aanpassings aan die ISA sluit verskeie oorwegings wat die eksterne ouditeur in ag moet neem met betrekking tot die impak van IT op 'n geouditeerde. Die aanpassings aan die ISA is egter breed in aard en gee nie noodwendig die nodige gedetailleerde leiding nie, spesifiek met inagneming van die impak van IT wanneer die eksterne ouditeur begrip kry van die geouditeerde en sy omgewing, asook die interne beheermaatreëls wat relevant is tot die oudit. Verskeie ouditspesialiste het die algemene- en toepassings- IT interne beheermaatreëls, wat die breë riglyne van die ISA ingesluit is, geneem en spesifieke leiding geformuleer. Hierdie leiding sluit spesifieke beheergebiede in die algemene- en toepassings- IT interne beheermaatreëls, wat die eksterne ouditeur kan gebruik om die impak van IT en die verwante interne beheermaatreëls van 'n geouditeerde aan te spreek, in. Groter ouditfirmas het interne raamwerke, wat gebruik word om IT en die impak daarvan op die interne beheermaatreëls van hulle geouditeerdes aan te spreek, ontwikkel. In klein en medium ouditfirmas is dit nie noodwendig die geval nie. Dit kan dus bevraagteken word of die klein en medium ouditfirmas die nodige leiding het om IT en die impak daarvan op geouditeerdes volledig verstaan en aan spreek. Die primêre doel van hierdie studie was om 'n omvattende benadering te ontwikkel wat die eksterne ouditeur van die klein en medium firma kan toepas om die evolerende aard van IT en die gespesialiseerde IT interne beheer raamwerke wat geouditeerdes gebruik te verstaan en aan te spreek. Om hierdie doelwit te bereik het die studie eers ondersoek ingestel oor watter bykomende leiding beskikbaar is vir alle eksterne ouditeure om die impak van IT op 'n geouditeerde sowel as watter IT interne beheermaatreëls, wat bestuur geïmplementeer het, relevant is tot die oudit. Die bykomende leiding wat geïdentifiseer was, is meer gedetailleerde beheergebiede binne die algemene- en toepassings- IT interne beheermaatreëls. Hierdie beheergebiede moet deur die eksterne ouditeur tydens elke oudit oorweeg word. Die studie het toe oorweeg of hierdie gedetailleerde beheergebiede al die beheergebiede wat bestuur sal oorweeg om IT te beheer insluit. Hierdie oorweging was gemaak deur die gedetailleerde beheergebiede te vergelyk met die interne beheergebiede van 'n gespesialiseerde IT raamwerk wat bestuur kan gebruik om IT volledig te beheer. Ten slotte, het die outeur die benadering wat die eksterne ouditeur gebruik om interne beheermaatreëls, wat relevant is tot die eksterne oudit, gebruik om 'n omvattende benadering te ontwikkel wat die impak van IT op die assessering van kontrole risiko van 'n geouditeerde aan te spreek. Die bevindinge van hierdie studie toon dat daar wel leiding, bykomend tot die ISA, vir die eksterne ouditeur beskikbaar is wanneer die impak van IT op die interne beheermaatreëls van die geouditeerde beoordeel word. Hierdie leiding is in die vorm van spesifieke beheergebiede binne die algemene- en toepassings- IT interne beheermaatreëls wat die eksterne ouditeur moet oorweeg wanneer die eksterne oudit uitgevoer word. Met die vergelyking van hierdie beheergebiede binne die algemene- en toepassings- IT interne beheermaatreëls met die beheergebiede van 'n gespesialiseerde IT interne beheer raamwerk was daar sekere beheergebiede, op 'n tegnologie of operasionele vlak, wat nie aangespreek is nie. Daar is dus 'n behoefte aan 'n omvattende benadering wat die eksterne ouditeur van die klein en medium ouditfirma kan help om die impak van IT op die geouditeerde te evalueer. Die ISA gee vir die eksterne ouditeur 'n benadering om die interne beheermaatreëls, wat van toepassing op die oudit is en wat 'n impak op die risiko van wesenlike wanvoorstelling het, te assesseer. Hierdie benadering is om die entiteit en sy beheer omgewing te verstaan, die kontrole doelwitte te gebruik om sleutel interne beheermaatreëls wat relevant tot die oudit is te identifiseer en daarna die ontwerp en implementering van sleutel interne beheermaatreëls te toets. Die skrywer het 'n soortgelyke benadering gevolg om 'n omvattende benadering, wat die deurdringe impak van IT in 'n moderne tegnologie landskap, bo en behalwe die algemene- en toepassings- IT interne beheermaatreëls wat alreeds geassesseer is, op die risiko van wesenlike waanvoorstelling het te ontwikkel. In die eerste stap om die entiteit en sy beheer omgewing te verstaan het die skrywer voorgestel dat die IT beheer impak op elk van die areas wat die IAS uiteensit om die entiteit en sy beheeromgewing te verstaan, te oorweeg. Tweedens kan die IT verwante kontrole doelwitte (soos in die ISA uiteengesit) gebruik word om die sleutel IT interne beheermaatreëls wat relevant is tot die oudit te identifiseer. Ten slotte moet die eksterne ouditeur die ontwerp en implementering van sleutel IT interne beheermaatreëls toets. Hierdie omvattende benadering het getoon dat daar IT verwante beheermaatreëls is wat op 'n strategiese en operasionele vlak op die oudit van toepassing is. Op 'n strategiese vlak sluit dit die algemene- IT interne beheermaatreëls en strategiese belyning met besigheid imperatiewe in. Op 'n operasionele vlak sluit die toepassings- IT interne beheermaatreëls en tegnologie interne beheermaatreëls in. Die omvattende benadering verlang daarna dat die eksterne ouditeur die ontwerp en implementering vir hierdie sleutel interne beheermaatreëls toets. Die omvattende benadering kan slegs deur die eksterne ouditeur van die klein en medium firma gebruik word as dit op 'n strategiese en operasionele vlak toegepas word. Die eksterne ouditeur sal dus IT in meer detail moet verstaan of 'n IT spesialis gebruik om die interne beheermaatreëls op ‘n tegnologie vlak te assesseer. Om die eksterne ouditeur te help om 'n meer gedetailleerde begrip op 'n tegnologie vlak te kry het die finale bevinding van hierdie studie die omvattende benadering op algemene harde- en sagteware komponente van IT stelsels toegepas. Deur gebruik te maak van die omvattende benadering wat ontwikkel is, sal die eksterne ouditeur van die klein en medium ouditfirma in staat gestel word om die beheer risiko's, wat verband hou met die evoluerende aard van IT en die gespesialiseerde interne beheerraamwerke wat bestuur van die geouditeerde gebruik om IT te bestuur, ten volle aan te spreek wanneer die eksterne oudit uitgevoer word.
Description
Thesis (MCom)--Stellenbosch University, 2017.
Keywords
External audits, Auditing -- Effect of technological innovations on, Auditing, Internal, Auditing -- Technological innovations -- Risk factors, Auditing -- Methodology, UCTD