A maturity level assessment of the use of generalised audit software by internal audit functions in the South African banking industry

Loading...
Thumbnail Image
Date
2016-12
Authors
Smidt, Lodewicus Adriaan (Louis)
Journal Title
Journal ISSN
Volume Title
Publisher
University of the Free State
Abstract
English: Today’s business practices are characterised by accelerating growth in the use of technology and “big data”. It is almost unthinkable now for any organisation to function successfully without relying on its underlying information technology infrastructure: this is especially pertinent within the banking industry. Banking practices are no longer restricted to one country or jurisdiction but are characterised by cross-border transactions in multiple countries under a plethora of different legal and regulatory frameworks. For this reason, banks are reliant on a global network of data processing and information management systems to provide their core banking services and to enable them to effectively manage the macroeconomic elements of their industry. This cross-border interaction between international banks increases the systemic nature of risk in that in the event that an unwanted incident occurs it will almost inevitably affect more than just a single branch or company. The global financial crisis that occurred in 2007 was evidence of the systemic nature of risk to which the financial industry was (and remains) exposed. It further provided proof that no organisation or bank is too big or too powerful to escape unaffected. It further emphasised that excessive risk taking can be detrimental to the existence of an organisation, which in turn validated the necessity for organisations, and especially banks, to make use of reliable and independent assurance functions. As a consequence of the crisis, the banking industry continues to face ongoing and intense scrutiny by investors, the public and the banking industry’s own supervisors. In addition, increased reliance has been placed on the value that an internal audit function can contribute by enhancing a bank’s internal control environment. Internal audit, as one of an organisation’s independent assurance providers, is tasked with the important responsibility of providing an opinion regarding the effectiveness of governance, risk management and the internal controls of an organisation. However, the internal audit function today has to conduct its duties in control environments that are dominated by information technology and big data. In the same way that organisations’ and especially banks’ business models have been transformed as a result of the increased use of technology and the ever growing generation of and reliance on big data, it has equally impacted the manner in which internal audit is practiced today. This study is therefore motivated by the interest in understanding the use of technology-based tools (more specifically the use of GAS) by internal audit functions in the locally controlled South African banks. This study comprises a literature review and an empirical investigation. The literature review was undertaken to gain insight into the extent and applicability of the use of GAS by the internal audit profession, and more specifically the internal audit functions of the locally controlled South African banks. The literature review indicates that the use of GAS by internal audit functions is still at a relatively low level of maturity, despite the accelerating adoption of information technology and generation of big data within organisations. The literature review was then followed by empirical research. The results of this empirical study also confirm that the maturity of the use of GAS by the internal auditors employed by locally controlled South African banks is still lower than expected, given that we are now fully immersed in a technological-driven business environment. The empirical research component was conducted using a structured questionnaire. The structured questionnaire was developed to collect data regarding the use of GAS by the internal auditors employed by locally controlled South African banks, and specifically to address the following objectives: (1) To measure the existing practices of internal audit functions in the locally controlled South African banking industry regarding the use of GAS, against a benchmark developed from recognised data analytic maturity models, in order to assess the current maturity levels of the locally controlled South African banks in the use of this software for tests of controls; (2) To explore and identify the purposes for which GAS is presently being used by these internal audit functions; and (3) To develop recommendations that may assist internal audit functions in the locally controlled South African banking industry to reach their desired maturity levels. Opinions and perceptions were obtained from 9 of the 10 heads of internal audit departments that comprise the locally controlled segment of South Africa’s banking industry. This high response rate enabled the researcher to reach meaningful conclusions and make recommendations regarding the current preferences and applications of GAS employed by these internal audit functions. In addition, the results of this study have provided a deeper understanding of the current level of maturity of the use of GAS by the internal auditors employed by locally controlled South African banks. In addition, the results provide useful insights for internal audit practitioners, GAS vendors, professional auditing bodies (such as the IIA and ISACA), academia and researchers.
Afrikaans: Hedendaagse besigheidspraktyke word gekenmerk deur versnellende groei wat die gebruik van tegnologie en “groot data” betref. Dis nou byna ondenkbaar dat enige organisasie suksesvol kan funksioneer sonder om op sy onderliggende inligtingstegnologie-infrastruktuur staat te maak: dit geld veral in die bankbedryf. Bankpraktyke is nie meer tot een land of regsgebied beperk nie, maar word gekenmerk deur oorgrenstransaksies in meer as een land onder ’n magdom verskillende regs- en regulerende raamwerke. Om hierdie rede steun banke op ’n wêreldwye netwerk van dataverwerking- en inligtingsbestuurstelsels om hulle kernbankdienste te kan voorsien en hulle in staat te stel om die makro-ekonomiese elemente van hul bedryf doeltreffend te bestuur. Hierdie oorgrensinteraksie tussen internasionale banke verhoog die sistemiese aard van risiko aangesien die voorkoms van ’n ongewenste insident feitlik onvermydelik meer as net ’n enkele tak of maatskappy sal raak. Die wêreldwye finansiële krisis wat in 2007 plaasgevind het, was bewys van die sistemiese aard van die risiko waaraan die finansiële bedryf blootgestel was (en steeds is). Dit het ook bewys dat geen organisasie of bank te groot of te sterk is om onaangeraak daaraan te ontkom nie. Dit het ook beklemtoon dat die buitensporige neem van risiko nadelig vir die voortbestaan van ’n organisasie kan wees, wat op sy beurt onderstreep hoe noodsaaklik dit vir organisasies, en veral banke, is om betroubare en onafhanklike versekeringsfunksies te gebruik. As gevolg van die krisis, kom banke steeds te staan voor deurlopende en deurtastende ondersoeke deur beleggers, die publiek en die bankbedryf se eie toesighouers. Boonop word daar baie meer staatgemaak op die waarde wat ’n interne ouditfunksie kan toevoeg deur ’n bank se interne kontrolemilieu te verhoog. Die belangrike verantwoordelikheid om ’n mening oor die doeltreffendheid van die korporatiewe bestuur, risikobestuur en interne kontrole van ’n organisasie te huldig word aan die interne ouditfunksie, as een van ’n organisasie se onafhanklike versekeringsverskaffers, opgelê. Die interne ouditfunksie moet egter deesdae sy pligte in ’n kontrolemilieu uitvoer wat deur inligtingstegnologie en groot data oorheers word. Op dieselfde wyse as wat organisasies, en veral banke, se besigheidsmodelle as gevolg van die verhoogde gebruik van tegnologie en die steeds toenemende skepping van, en steun op, groot data verander het, het dit ’n uitwerking gehad op die manier waarop interne oudit tans uitgevoer word. Die motivering vir hierdie studie lê dus in die belangstelling daarin om die gebruik van middele wat op die tegnologie gebaseer is (in die besonder die gebruik van GAS) deur interne ouditfunksies in die plaaslik beheerde Suid-Afrikaanse banke te verstaan. Hierdie studie behels ’n literatuuroorsig en empiriese ondersoek. Die literatuuroorsig is onderneem om insig te verkry oor die omvang en toepaslikheid van die gebruik van GAS deur die interne-ouditberoep, en meer spesifiek die interne-ouditfunksies van die plaaslik beheerde Suid-Afrikaanse banke. Hierdie literatuuroorsig dui aan dat die gebruik van GAS deur interne-ouditfunksies steeds op ’n betreklik lae vorderingsvlak is ondanks die versnellende aanneming van inligtingstegnologie en die skepping van groot data binne organisasies. Die literatuuroorsig is gevolg deur empiriese navorsing. Die resultate van hierdie empiriese studie het ook bevestig dat die gebruik van GAS deur die interne ouditeure wat in diens van plaaslik beheerde Suid-Afrikaanse banke is, steeds laer is as wat verwag is, gegee dat ons nou ten volle deel van ’n tegnologies gedrewe besigheidsmilieu is. Die empiriese navorsing is met behulp van ’n gestruktureerde vraelys uitgevoer. Die gestruktureerde vraelys is opgestel om data oor die gebruik van GAS deur interne ouditeure wat in diens van plaaslik beheerde Suid-Afrikaanse banke is, in te samel en spesifiek die volgende doelwitte aan te spreek: (1) Om die bestaande praktyke van interne-ouditfunksies in die plaaslik beheerde Suid-Afrikaanse bankbedryf met betrekking tot die gebruik van GAS te meet aan ’n norm wat uit erkende datamodelle vir die ontleding van vordering ontwikkel is om sodoende die huidige vorderingsvakke van die plaaslik beheerde Suid-Afrikaanse banke ten opsigte van die gebruik van hierdie sagteware vir kontroletoetsing te bepaal; (2) Om uit te vind wat die doeleindes is waarvoor GAS tans deur hierdie interne-ouditfunksies gebruik word en dit te identifiseer; en Om aanbevelings te doen wat dalk interne-ouditfunksies in die plaaslik beheerde Suid-Afrikaanse bankbedryf kan help om hul gewenste vorderingsvlakke te bereik. Die menings en persepsies van 9 uit die 10 hoofde van interne-ouditafdelings waaruit die plaaslik beheerde segment van Suid-Afrika se bankbedryf bestaan, is verkry. Hierdie hoë responskoers het die navorser in staat gestel om tot betekenisvolle gevolgtrekkings te kom en aanbevelings te doen oor die huidige voorkeure en toepassings van GAS wat deur hierdie interne-ouditfunksies aangewend word. Boonop het die resultate van hierdie studie ’n groter begrip van die huidige vorderingsvlak ten opsigte van die gebruik van GAS deur die interne ouditeure wat deur plaaslik beheerde Suid-Afrikaanse banke in diens geneem word, bewerkstellig. Die resultate het ook nuttige insigte aan interne-ouditpraktisyns, GAS-handelaars, professionele ouditinstansies (soos die IIA en ISACA), akademici en navorsers verskaf.
Description
Keywords
Audit evidence, Big data, Chief Audit Executive, Computer Assisted Audit Techniques, Control environment, Internal audit, Tests of controls, Auditing, Internal, Generalised audit software, Banks and banking -- South Africa, Thesis (Ph.D. (School of Accountancy))--University of the Free State, 2016
Citation