Laten we eerst maar eens beginnen met de tien meest gehoorde tegenargumenten op een rijtje:
- Het inzetten van een IT-auditor kost alleen maar budget en levert zelden wat op;
- We hebben zelf voldoende IT-kennis in ons team;
- De klant is niet hoog geautomatiseerd, dus dat is niet nodig;
- We kunnen prima om het systeem heen controleren;
- Onze klant werkt met standaard software dus dat hoeft niet;
- Alles zit in de Cloud dus hoezo IT-risico’s?;
- Toetsers kijken niet naar de IT-paragraaf in het dossier;
- We controleren volledig gegevensgericht dus laat die IT-general controls maar zitten;
- Wat kan er nou echt mis gaan, hooguit wat imago schade na een hack;
- Voor je het weet moeten we onze verklaring herzien, dus doe maar niet.
Herkent u ze? Laten we de argumenten, nu voorzien van ons commentaar, achtereenvolgens eens de revue laten passeren.
Geïnspireerd door het commentaar dat we regelmatig voorbij horen en zien komen op de diverse fora, dachten we ‘laten we de argumenten voor en tegen het inschakelen van een IT-auditor in het kader van NVCOS 220 en 620 nog eens op een rijtje zetten.’ Waarbij we uiteraard een serieuze poging doen om u te overtuigen van het nut van een IT-gebaseerde controleaanpak. Wat ons betreft goed om de discussie weer eens nieuw leven in te blazen en laten we voorop stellen dat wij geloven in de meerwaarde van de IT-auditor voor de jaarrekeningcontrole. Dit artikel is een aftrap in wat hopelijk een interessante reeks over IT-audit hier op Accountancy Vanmorgen mag worden. Wij (Wilco Schellevis en Jack van Crooij) wensen u alvast veel leesplezier
1.Het inzetten van een IT-auditor kost alleen maar budget en levert zelden wat op Goede stelling en eentje die snel waar wordt als u kiest voor een ad-hocbenadering. In dat geval is of wordt IT-audit of data-analyse een soort lapmiddel dat u inzet om mogelijkerwijs uw restrisico’s achteraf verder mee te mitigeren. Onze ervaring is dat meestal het omgekeerde gebeurt, u krijgt meer vragen dan antwoorden die u vervolgens heel veel extra tijd kosten om te onderzoeken en te documenteren. Indien u ervoor kiest om vanaf dag één gezamenlijk de planning van de opdracht ter hand te nemen en vooraf goed te onderzoeken wat de stand van zaken binnen de IT-omgeving van de klant is op het gebied van wijzigingsbeheer, logische toegangsbeveiliging en datamodellen, dan is de kans groot dat u een strak afgebakende opdracht aan de IT-auditor mee kunt geven met een grote kans op een succesvolle afronding en een zinvolle veel beperktere besteding van uw kostbare budget.
2. We hebben zelf voldoende IT-kennis in ons team IT-kennis is een begrip op een heel groot speelveld. Idealiter is een verdeling zoals in onderstaand plaatje, wat ons betreft, te prefereren als het gaat om de samenwerking met de IT-auditor. Het controleteam verzamelt de informatie over de belangrijkste IT-general control (ITGC) processen binnen de onderneming: gebruikerstoegang, wijzigingsbeheer op applicaties en back-up recovery, en deelt die met de IT-auditor die meedenkt over de mogelijke risico’s en de te volgen controleaanpak. Zodra het gaat om harde techniek en het beoordelen van de kwaliteit daarvan is het aan te raden dat aan een echte specialist over te laten. Op het niveau van databases en data-analyse is er een prima samenwerking denkbaar, waarbij de IT-auditor zorgt voor het overzetten van de data naar een door de accountant gewenste omgeving ten behoeve van data-analyse en beoordeelt of de database wel voldoende beveiligd is. De accountant kan vervolgens aan de slag met de verkregen data voor een verdergaande analyse. Onze ervaring is namelijk dat het interpreteren van de verkregen ITGC-informatie en het verkrijgen van de data de belangrijkste hobbels vormen bij het verder integreren van IT in de controleaanpak. Door volgens bovenstaand plaatje te werken kan de hoeveelheid technische kennis binnen het controleteam worden beperkt.
3. De klant is niet hoog geautomatiseerd, dus dat is niet nodig Een veelgehoord argument ter validatie van een controle om het IT-systeem heen. Maar wat is niet hoog geautomatiseerd? De klant heeft alleen een boekhoudpakket en voor de rest gebeurt nog veel handmatig, horen we vaak als argument. Als we dan even iets verder gaan kijken blijken alle relevante processen in belangrijke mate ondersteund te worden door allerlei applicaties. Ook blijkt al vrij snel dat de soms ietwat gedateerde AO-beschrijving door de accountant zelf is opgesteld, vooral gebaseerd op de aangetroffen mappen in de dossierkast en niet op basis van de feitelijke inrichting van het IT-systeem. Een kast die overigens in rap tempo leeg raakt omdat de klant alles digitaliseert uit kosten- en effectiviteitsoverwegingen. Als laatste puntje: de checklist automatisering invullen met als uitkomst lage afhankelijkheid van IT is natuurlijk eenvoudiger dan echt in de IT duiken maar de vraag is of dat in deze tijden van strenger toezicht nog wijs is of dat het tijd wordt voor een realistischere inschatting.
4. We kunnen prima om het systeem heen controleren En hoe doet u dat dan?, vragen we u. Nou, we draaien lijstjes uit en controleren die en we kijken met behulp van steekproeven naar de facturen die uit het systeem komen en sluiten die aan. O ja, en we maken zelf Excelsheets op basis van de informatie die de klant ons uit het systeem aanreikt. Maar verder doen we niks met het IT-systeem hoor. Helemaal niks…
5. Onze klant werkt met standaardsoftware dus dat hoeft niet De vraag is: hoeveel verschillende parameters kunt u instellen in standaard-software? Het antwoord is onthutsend veel. Dus hoe standaard is standaard dan nog? Daarbij komt dat ook standaard-software beheerd moet worden, simpelweg een update installeren van een willekeurig standaard ERP-pakket is namelijk vragen om problemen. Dus met een paar regeltjes in uw dossier komt u er niet meer vanaf. Zit er dan geen enkel voordeel aan het gebruik van standaard-software in termen van tijdbesparing voor de controle? Jawel in tegenstelling tot maatwerk-software hoeft u niet jaarlijks per klant naar het ontwikkelproces van de leverancier te kijken maar kunt u dat beperken tot jaarlijks doornemen van de releasenotes en eenmalig onderzoek doen naar opzeg, bestaan en werking van procedures voor ontwikkeling, testen, acceptatie en vrijgave voor productie van de software en u mag de antwoorden wat ons betreft meenemen naar een ander dossier met dezelfde versie van deze standaard-applicatie.
6. Alles zit in de Cloud, dus hoezo IT-risico’s? Prachtig al die Cloudoplossingen, ze worden voor de klant beheerd, dus geen omkijken meer naar. Helaas, ook bij een Cloudoplossing zult u als accountant toch echt minimaal moeten vaststellen hoe het wijzigingsbeheer, de fysieke en logische toegangsbeveiliging tot systemen en de back-up zijn ingeregeld. U kunt proberen om hiervoor een ISAE 3402 type-verklaring van de Cloudleverancier te verkrijgen. Maar wees u er dan wel van bewust dat het management van de onderneming zelf de te toetsen normen voor een dergelijke verklaring bepaalt. U zult in dat geval altijd moeten vaststellen of onderkende risico’s voor uw klant voldoende zijn afgedekt door de combinatie van maatregelen die door de Cloudleverancier en de klant gezamenlijk dan wel opeenvolgend zijn getroffen. Alleen maar verwijzen naar een SLA is niet genoeg, omdat u dan alleen kijkt naar de opzet. Bestaan en voortdurende werking zullen echter in het geval van een significant risico ook moeten worden meegenomen. Meestal zult u toch echt contact op moeten nemen met de Cloudleverancier zelf, ook als het om standaard Cloudoplossingen gaat want daarvoor geldt hetzelfde als voor standaard-software op locatie bij uw klant.
7. Toetsers kijken niet naar de IT-paragraaf in het dossier Ons is opgevallen dat de AFM IT-auditors in dienst heeft genomen en dat er inmiddels diepgaand wordt gekeken naar de wijze waarop de accountant omgaat met IT in zijn dossier. Het is niet meer dan een kwestie van tijd voordat dit ook door de toetsers van SRA en NBA gaat gebeuren. Als dat al niet het geval is, zal dat zeker niet lang meer duren.
8. We controleren volledig gegevensgericht dus laat die IT-general controls maar zitten Helaas iets te kort door de bocht deze stelling. De betrouwbaarheid van het transactieverwerkende systeem zal moeten worden vastgesteld om te kunnen steunen op de output. U zult dus ook bij een volledig gegevensgerichte aanpak de juiste aandacht moet geven aan het beheer van de IT-omgeving.Dat gaat tot op het niveau van de database, ook daar zult u moeten gaan onderzoeken wie er welke toegangsrechten heeft. U gebruikt immers output in de vorm van tabellen uit de database voor data-analyse. Dan moet u wel zeker weten dat er niet met de data geknoeid kan worden.
9. Wat kan er echt mis gaan, hooguit wat imago schade na een hack Niks om je druk over te maken voor de jaarrekening, zo’n hack toch, achteraf kunnen we immers de schade van een hack prima bepalen en weten we of de continuïteit in het geding is.
Dat is inderdaad waar, neemt niet weg dat u als accountant de plicht heeft om in het kader van de wet computercriminaliteit aan de klant te rapporteren over kwetsbaarheden in zijn systeem.
Achteraf roepen dat er ergens kwetsbaarheid zat, is niet handig. Daarnaast hebben we te maken met de wet bescherming persoonsgegevens. Ook daar zijn, net als op het gebied van computercriminaliteit, de eisen stevig aangescherpt en dient een klant binnen 72 uur aan de getroffenen te kunnen berichten wat de aard van de privacyschending is, op straffe van forse boetes. De grootste bedreigingen komen echter meestal van binnenuit. Boze medewerkers die data meenemen naar de concurrent of systeembeheerders die net voor hun ontslag nog even wat systemen saboteren zijn vele malen bedreigender voor de continuïteit van een onderneming dan een hacker die zich veelal beperkt tot het ongemerkt binne
10. Voor je het weet moeten we onze verklaring herzien, dus doe maar niet Tja, dan maar even heel eerlijk zijn, dat kan inderdaad gebeuren als er nog niet eerder naar het IT-systeem is gekeken en er blijken ineens bevindingen boven tafel te komen die bijvoorbeeld de volledigheid van de omzet ernstig op de tocht zetten. Ordertabellen die worden weggegooid na een facturatierun of een maatwerk-database waar het verband tussen orders en factuur niet goed in is geborgd, zijn zo van die voorbeelden die we in de praktijk wel eens tegenkomen. Of een controller die zelf is gaan programmeren omdat hij of zij het leuk vindt. Tja probeer dan nog maar eens tot een goedkeurende verklaring te komen, op zijn zachtst gezegd lastig. Maar het probleem was er altijd al, u had het alleen even gemist door om het IT-systeem heen te controleren.
Ten slotte Als wij er niet objectief naar kijken zien we redenen genoeg om op zijn minst te rade te gaan bij een IT-auditor of er zelf eentje in dienst te nemen. Want laten we eerlijk zijn: om het IT-systeem heen controleren? Dat riekt naar living on the edge.
Jack van Crooij MSc.
Directeur en IT Auditor
Refl@ction
Geef een reactie