• Magazines
    • 2026, ICT & AI
  • Nieuws
    • Accountancy
    • Fiscaal
    • Overig
  • Blog
  • Podcast
  • Partners
  • Opleidingen
    • AV Young Professional
    • Summercourses
    • Incompany
  • Vacatures
    • Kantoren
  • Kennisdocs
  • Events
    • Nationale salarisdag
    • Nationaal Congres Familiebedrijven
    • AV-padeltoernooi 2026
    • AV-padeltoernooi | SBR Nexus en Accountancy Vanmorgen
  • AV-Top 50
    • AV-Top 50 | 2025
    • AV-Top 50 | 2024
    • AV-Top 50 | 2023
    • AV-Top 50 | 2022
    • AV-Top 50 | 2021
  • Specialist
  • Over ons
  • Adverteren
  • Vrienden
  • Contact
  • Volg een cursus
  • Nieuwsbrief
  • LinkedIn
  • Mail
  • Instagram
  • Spring naar de hoofdnavigatie
  • Door naar de hoofd inhoud
  • Spring naar de eerste sidebar
  • Spring naar de voettekst
  • Over ons
  • Adverteren
  • Vrienden
  • Contact
  • Volg een cursus
  • Nieuwsbrief
Accountancy Vanmorgen

  • Magazines
    • 2026, ICT & AI
  • Nieuws
    • Accountancy
    • Fiscaal
    • Overig
  • Blog
  • Podcast
  • Partners
  • Opleidingen
    • AV Young Professional
    • Summercourses
    • Incompany
  • Vacatures
    • Kantoren
  • Kennisdocs
  • Events
    • Nationale salarisdag
    • Nationaal Congres Familiebedrijven
    • AV-padeltoernooi 2026
    • AV-padeltoernooi | SBR Nexus en Accountancy Vanmorgen
  • AV-Top 50
    • AV-Top 50 | 2025
    • AV-Top 50 | 2024
    • AV-Top 50 | 2023
    • AV-Top 50 | 2022
    • AV-Top 50 | 2021
  • Specialist
Home » Jack van Crooij: Tien redenen om (g)een IT-auditor aan uw controleteam toe te voegen

Jack van Crooij: Tien redenen om (g)een IT-auditor aan uw controleteam toe te voegen

Accountancy, Artikelen

3 juni 2015 door Accountancy Vanmorgen

Accountancy Vanmorgen

Laten we eerst maar eens beginnen met de tien meest gehoorde tegenargumenten op een rijtje:

  1. Het inzetten van een IT-auditor kost alleen maar budget en levert zelden wat op;
  2. We hebben zelf voldoende IT-kennis in ons team;
  3. De klant is niet hoog geautomatiseerd, dus dat is niet nodig;
  4. We kunnen prima om het systeem heen controleren;
  5. Onze klant werkt met standaard software dus dat hoeft niet;
  6. Alles zit in de Cloud dus hoezo IT-risico’s?;
  7. Toetsers kijken niet naar de IT-paragraaf in het dossier;
  8. We controleren volledig gegevensgericht dus laat die IT-general controls maar zitten;
  9. Wat kan er nou echt mis gaan, hooguit wat imago schade na een hack;
  10. Voor je het weet moeten we onze verklaring herzien, dus doe maar niet.

Herkent u ze? Laten we de argumenten, nu voorzien van ons commentaar, achtereenvolgens eens de revue laten passeren.

Geïnspireerd door het commentaar dat we regelmatig voorbij horen en zien komen op de diverse fora, dachten we ‘laten we de argumenten voor en tegen het inschakelen van een IT-auditor in het kader van NVCOS 220 en 620 nog eens op een rijtje zetten.’ Waarbij we uiteraard een serieuze poging doen om u te overtuigen van het nut van een IT-gebaseerde controleaanpak. Wat ons betreft goed om de discussie weer eens nieuw leven in te blazen en laten we voorop stellen dat wij geloven in de meerwaarde van de IT-auditor voor de jaarrekeningcontrole. Dit artikel is een aftrap in wat hopelijk een interessante reeks over IT-audit hier op Accountancy Vanmorgen mag worden. Wij (Wilco Schellevis en Jack van Crooij) wensen u alvast veel leesplezier 

1.Het inzetten van een IT-auditor kost alleen maar budget en levert zelden wat op                                  Goede stelling en eentje die snel waar wordt als u kiest voor een ad-hocbenadering. In dat geval is of wordt IT-audit of data-analyse een soort lapmiddel dat u inzet om mogelijkerwijs uw restrisico’s achteraf verder mee te mitigeren. Onze ervaring is dat meestal het omgekeerde gebeurt, u krijgt meer vragen dan antwoorden die u vervolgens heel veel extra tijd kosten om te onderzoeken en te documenteren. Indien u ervoor kiest om vanaf dag één gezamenlijk de planning van de opdracht ter hand te nemen en vooraf goed te onderzoeken wat de stand van zaken binnen de IT-omgeving van de klant is op het gebied van wijzigingsbeheer, logische toegangsbeveiliging en datamodellen, dan is de kans groot dat u een strak afgebakende opdracht aan de IT-auditor mee kunt geven met een grote kans op een succesvolle afronding en een zinvolle veel beperktere besteding van uw kostbare budget.

2. We hebben zelf voldoende IT-kennis in ons team                                                                              IT-kennis is een begrip op een heel groot speelveld. Idealiter is een verdeling zoals in onderstaand plaatje, wat ons betreft, te prefereren als het gaat om de samenwerking met de IT-auditor. Het controleteam verzamelt de informatie over de belangrijkste IT-general control (ITGC) processen binnen de onderneming: gebruikerstoegang, wijzigingsbeheer op applicaties en back-up recovery, en deelt die met de IT-auditor die meedenkt over de mogelijke risico’s en de te volgen controleaanpak. Zodra het gaat om harde techniek en het beoordelen van de kwaliteit daarvan is het aan te raden dat aan een echte specialist over te laten. Op het niveau van databases en data-analyse is er een prima samenwerking denkbaar, waarbij de IT-auditor zorgt voor het overzetten van de data naar een door de accountant gewenste omgeving ten behoeve van data-analyse en beoordeelt of de database wel voldoende beveiligd is. De accountant kan vervolgens aan de slag met de verkregen data voor een verdergaande analyse.                                                                     Onze ervaring is namelijk dat het interpreteren van de verkregen ITGC-informatie en het verkrijgen van de data de belangrijkste hobbels vormen bij het verder integreren van IT in de controleaanpak. Door volgens bovenstaand plaatje te werken kan de hoeveelheid technische kennis binnen het controleteam worden beperkt.

3. De klant is niet hoog geautomatiseerd, dus dat is niet nodig                                                                Een veelgehoord argument ter validatie van een controle om het IT-systeem heen. Maar wat is niet hoog geautomatiseerd? De klant heeft alleen een boekhoudpakket en voor de rest gebeurt nog veel handmatig, horen we vaak als argument. Als we dan even iets verder gaan kijken blijken alle relevante processen in belangrijke mate ondersteund te worden door allerlei applicaties. Ook blijkt al vrij snel dat de soms ietwat gedateerde AO-beschrijving door de accountant zelf is opgesteld, vooral gebaseerd op de aangetroffen mappen in de dossierkast en niet op basis van de feitelijke inrichting van het IT-systeem. Een kast die overigens in rap tempo leeg raakt omdat de klant alles digitaliseert uit kosten- en effectiviteitsoverwegingen. Als laatste puntje: de checklist automatisering invullen met als uitkomst lage afhankelijkheid van IT is natuurlijk eenvoudiger dan echt in de IT duiken maar de vraag is of dat in deze tijden van strenger toezicht nog wijs is of dat het tijd wordt voor een realistischere inschatting.   

4. We kunnen prima om het systeem heen controleren                                                                          En hoe doet u dat dan?, vragen we u. Nou, we draaien lijstjes uit en controleren die en we kijken met behulp van steekproeven naar de facturen die uit het systeem komen en sluiten die aan. O ja, en we maken zelf Excelsheets op basis van de informatie die de klant ons uit het systeem aanreikt. Maar verder doen we niks met het IT-systeem hoor. Helemaal niks…

5. Onze klant werkt met standaardsoftware dus dat hoeft niet                                                                De vraag is: hoeveel verschillende parameters kunt u instellen in standaard-software? Het antwoord is onthutsend veel. Dus hoe standaard is standaard dan nog? Daarbij komt dat ook standaard-software beheerd moet worden, simpelweg een update installeren van een willekeurig standaard ERP-pakket is namelijk vragen om problemen. Dus met een paar regeltjes in uw dossier komt u er niet meer vanaf. Zit er dan geen enkel voordeel aan het gebruik van standaard-software in termen van tijdbesparing voor de controle? Jawel in tegenstelling tot maatwerk-software hoeft u niet jaarlijks per klant naar het ontwikkelproces van de leverancier te kijken maar kunt u dat beperken tot jaarlijks doornemen van de releasenotes en eenmalig onderzoek doen naar opzeg, bestaan en werking van procedures voor ontwikkeling, testen, acceptatie en vrijgave voor productie van de software en u mag de antwoorden wat ons betreft meenemen naar een ander dossier met dezelfde versie van deze standaard-applicatie.

6. Alles zit in de Cloud, dus hoezo IT-risico’s?                                                                                       Prachtig al die Cloudoplossingen, ze worden voor de klant beheerd, dus geen omkijken meer naar. Helaas, ook bij een Cloudoplossing zult u als accountant toch echt minimaal moeten vaststellen hoe het wijzigingsbeheer, de fysieke en logische toegangsbeveiliging tot systemen en de back-up zijn ingeregeld. U kunt proberen om hiervoor een ISAE 3402 type-verklaring van de Cloudleverancier te verkrijgen. Maar wees u er dan wel van bewust dat het management van de onderneming zelf de te toetsen normen voor een dergelijke verklaring bepaalt. U zult in dat geval altijd moeten vaststellen of onderkende risico’s voor uw klant voldoende zijn afgedekt door de combinatie van maatregelen die door de Cloudleverancier en de klant gezamenlijk dan wel opeenvolgend zijn getroffen. Alleen maar verwijzen naar een SLA is niet genoeg, omdat u dan alleen kijkt naar de opzet. Bestaan en voortdurende werking zullen echter in het geval van een significant risico ook moeten worden meegenomen. Meestal zult u toch echt contact op moeten nemen met de Cloudleverancier zelf, ook als het om standaard Cloudoplossingen gaat want daarvoor geldt hetzelfde als voor standaard-software op locatie bij uw klant.

7. Toetsers kijken niet naar de IT-paragraaf in het dossier                                                                   Ons is opgevallen dat de AFM IT-auditors in dienst heeft genomen en dat er inmiddels diepgaand wordt gekeken naar de wijze waarop de accountant omgaat met IT in zijn dossier. Het is niet meer dan een kwestie van tijd voordat dit ook door de toetsers van SRA en NBA gaat gebeuren. Als dat al niet het geval is, zal dat zeker niet lang meer duren.

8. We controleren volledig gegevensgericht dus laat die IT-general controls maar zitten               Helaas iets te kort door de bocht deze stelling. De betrouwbaarheid van het transactieverwerkende systeem zal moeten worden vastgesteld om te kunnen steunen op de output. U zult dus ook bij een volledig gegevensgerichte aanpak de juiste aandacht moet geven aan het beheer van de IT-omgeving.Dat gaat tot op het niveau van de database, ook daar zult u moeten gaan onderzoeken wie er welke toegangsrechten heeft. U gebruikt immers output in de vorm van tabellen uit de database voor data-analyse. Dan moet u wel zeker weten dat er niet met de data geknoeid kan worden.

9. Wat kan er echt mis gaan, hooguit wat imago schade na een hack                                                        Niks om je druk over te maken voor de jaarrekening, zo’n hack toch, achteraf kunnen we immers de schade van een hack prima bepalen en weten we of de continuïteit in het geding is. 

Dat is inderdaad waar, neemt niet weg dat u als accountant de plicht heeft om in het kader van de wet computercriminaliteit aan de klant te rapporteren over kwetsbaarheden in zijn systeem.
Achteraf roepen dat er ergens kwetsbaarheid zat, is niet handig. Daarnaast hebben we te maken met de wet bescherming persoonsgegevens. Ook daar zijn, net als op het gebied van computercriminaliteit, de eisen stevig aangescherpt en dient een klant binnen 72 uur aan de getroffenen te kunnen berichten wat de aard van de privacyschending is, op straffe van forse boetes. De grootste bedreigingen komen echter meestal van binnenuit. Boze medewerkers die data meenemen naar de concurrent of systeembeheerders die net voor hun ontslag nog even wat systemen saboteren zijn vele malen bedreigender voor de continuïteit van een onderneming dan een hacker die zich veelal beperkt tot het ongemerkt binne

10. Voor je het weet moeten we onze verklaring herzien, dus doe maar niet                                            Tja, dan maar even heel eerlijk zijn, dat kan inderdaad gebeuren als er nog niet eerder naar het IT-systeem is gekeken en er blijken ineens bevindingen boven tafel te komen die bijvoorbeeld de volledigheid van de omzet ernstig op de tocht zetten. Ordertabellen die worden weggegooid na een facturatierun of een maatwerk-database waar het verband tussen orders en factuur niet goed in is geborgd, zijn zo van die voorbeelden die we in de praktijk wel eens tegenkomen. Of een controller die zelf is gaan programmeren omdat hij of zij het leuk vindt. Tja probeer dan nog maar eens tot een goedkeurende verklaring te komen, op zijn zachtst gezegd lastig. Maar het probleem was er altijd al, u had het alleen even gemist door om het IT-systeem heen te controleren.

 

Ten slotte                                                                                                                                               Als wij er niet objectief naar kijken zien we redenen genoeg om op zijn minst te rade te gaan bij een IT-auditor of er zelf eentje in dienst te nemen. Want laten we eerlijk zijn: om het IT-systeem heen controleren? Dat riekt naar living on the edge.

Jack van Crooij MSc.

Directeur en IT Auditor
Refl@ction

Categorie: Accountancy, Artikelen Tags: assurance, audit, ICT, jaarrekeningcontrole

Tags: assurance, audit, ICT, jaarrekeningcontrole

Gerelateerde artikelen

8 juli 2026

Forvis Mazars beboet in VK voor ernstige tekortkomingen in controle

29 juni 2026

Zutphen krijgt uitbrander van nieuwe accountant PwC

26 juni 2026

XAF 4.0 komt eraan, maar de accountant zit nog te stoeien met Excel

22 juni 2026

Accountant stuit op verdachte transacties: BaFin schorst top van Berenberg Bank

Geef een reactie Reactie annuleren

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Hoofdsponsor

ICT & AI | Meer efficiëntie, met behoud van professionele kwaliteit

Kennispartner

Wanneer wordt het bv-risico een privé-risico? De rol van de accountant bij bestuurdersaansprakelijkheid

Partners

ICT & AI | “Slim automatiseren begint bij gedrag”
Private equity in accountancy: drie spanningsvelden die het vak veranderen
ICT & AI | “Wie bewust kiest, kiest voor toekomstbestendigheid”
ICT & AI | Waarom inzicht nog geen advies is
ICT & AI | De accountant als rekenwonder
Waarom werken zoveel kantoren nog met on-premise software (en wat kost dat eigenlijk)? 
ICT & AI | Sturen begint bij actuele data
Feike Cats: “Tevreden klanten? Leg de lat hoger.”
Finergie: “We willen ons onderscheiden met moderne software”
Iedereen wil AI. Maar je processen draaien nog op Excel en post-its.
Hoe standaardisering de stille revolutie in finance ontketende
‘De accountant is essentieel voor ondernemers in het mkb’
Waarom jouw DGA-cliënt echt een arbeidsovereenkomst nodig heeft
De bonnetjes zitten nog in de broekzak: zo verkort je je maandritme
Geen papier meer: wat de overstap naar iXBRL-deponeren van je kantoor vraagt
Het herbeleggen van de Herinvesteringsreserve (HIR) in een vastgoedbeleggingsfonds?
Je helpt klanten met hun administratie — maar hoe zit het met die van jouzelf?
Ketenmachtigingen centraal beheren: zo werkt u slimmer met eHerkenning
de autonome AI-boekhouder
De continuïteitsveronderstelling tijdens een WHOA-traject
Eenvoudig bankrekeningen koppelen met Twinfield, Exact Online en Snelstart
Van Mook: “Met Minox Focus wil ik groeien naar twee keer zoveel klanten.”
Van losse monitoringactiviteiten naar één efficiënt proces
ICT & AI | Met metadata meer duiding in de mappenjungle
Te veel tijd kwijt aan factuurverwerking? Dit is hoe AI het oplost
Uitspraak Hoge Raad: subsidie voor tuchtrechtspraak advocatuur is belast met btw
Informer Money genomineerd voor Best FinTech Startup of the Year België
Wwft-compliance in 2026: doen we het beter dan vorig jaar?
ICT & AI | Volledig automatische factuurverwerking: zo kom je er
Wat betekent verdere automatisering voor de rol van accountant?
Pensioencommunicatie anno 2026 mag burgerlijk ongehoorzaam
Billijke vergoeding: wanneer, hoe hoog en berekening
Een partner met een Amerikaans paspoort – en jij moet het oplossen
Het functiegemak van de INT bij adviezen over en aangiften van erf-en schenkbelasting.
Zomer. Tijd om je loopbaan onder de loep te nemen.
DAC8 leidt tot 15 procent hogere crypto-compliancekosten
5 signalen dat jouw relatiebeheer niet meer werkt (en hoe je dat oplost)
Fusies en overnames | Met waardebepalingen bedrijfsadvies dichter bij de ondernemer
Zkr en SRA bundelen krachten voor efficiëntere Wwft-compliance bij accountantskantoren 
Driver-based models: de essentiële bouwstenen voor elk finance team
Werven op klik is willekeurig. Zo verminder je verloop structureel.
Sturen op cijfers: de 7 KPI’s die elk accountantskantoor moet meten
ABN Amro slokt NIBC op: wat deze overname zegt over de veranderende financiële markt
Boekhoudlandschap sterk gefragmenteerd, softwarekampioen ontbreekt (nog) in Europa
Hoe Hoek en Blok het ondertekenproces drastisch verbeterde
ICT & AI | Betrokkenheid sleutel tot succesvolle onboarding
Govers bouwt aan een volwassen digitaal fundament voor governance, security en AI
Van najagen naar verwerken: waarom vraagposten je proces blokkeren (en hoe je dat stopt)
De rol van private equity bij fusies en overnames
ICT & AI | Data als fundament voor innovatie
Microsoft Copilot gebruiken? Zorg dat je eerst SharePoint op orde hebt 
De rustigste kantoren winnen de AI-wedloop
Cyberbeveiligingswet definitief: dit moet je accountantskantoor vóór 15 augustus geregeld hebben
ICT & AI | Grote belofte AI op klantdossiers, maar praktijk stelt teleur
“Waarom CRM in de accountancy vaak meer ruis dan overzicht brengt”
ICT & AI | “Accountancywerk verandert sneller dan de meeste kantoren beseffen”
De cijfers kloppen. Maar klopt de cultuur ook?
De mensen achter de loonstrook: in gesprek met Susan Hendriks
Klanten soepel bedienen met AFAS SB
Speech to text in compliance software: zo besparen accountants twintig minuten per dossier
Risicocategorieën AI Act blijven onderbelicht, terwijl de verplichtingen al gelden
Groeipad in de samenstelpraktijk: van gevorderd assistent naar client manager
Automatisering heeft direct invloed op declarabele uren 
De volgende stap in AI: HR-assistent Loket begrijpt nu je eigen documenten
Complimenten geven aan medewerkers: dit kan het opleveren  
Fiscaal onzakelijksheidsvermoeden bij verkoop aandelen na splitsing in strijd met Fusierichtlijn
AV-Top 50 | Hoog tijd voor opleiding die jongeren aanspreekt
Wie bepaalt of een bestuurder een tegenstrijdig belang heeft? De Hoge Raad geeft duidelijkheid!
Welke ontwikkelingen in het financieringslandschap zijn van belang voor de accountant?

Vacatures

Assistent Accountant / Relatiemanager, Elysee Accountants
PIA Group
Senior Assistent Accountant – Kesteren
WEA Deltaland
Gevorderd assistent accountant
BonsenReuling
Assistent accountant Agri & Food – Groningen
aaff
Corporate Finance Advisor
KNAV
Accountant – Eindhoven
aaff
Gevorderd assistent accountant Audit – Almelo
BonsenReuling
Gevorderd Assistent Accountant Audit
PIA Group
Accountant Agri & Food – Uden
aaff
Senior assistent accountant | samenstel
Scab
Zelfstandig Assistent Accountant Samenstelpraktijk
PIA Group
Accountant Agri & Food – Roosendaal
aaff
Controleleider
Scab
Medior assistent accountant • Druten
WEA Deltaland
Accountant Agri & Food – Gorinchem
aaff
Audit assistent
KNAV
Klantadviseur Accountancy (32-40 uur)
Finnerz
Relatiebeheerder
BonsenReuling
Supervisor controlling & accounting
KNAV
Eindverantwoordelijk Accountant Samenstel (RA of AA)
PIA Group
Accountant Agri & Food – Terneuzen
aaff
Accountant Agri & Food –  Heythuysen
aaff
Junior manager audit
Bentacera
Abonneer nieuwsbrief AV

Meest gelezen

  • Ontslag op staande voet bij accountantskantoor onterecht, maar billijke vergoeding blijft uit 10.6k weergaven
  • Onderzoek EY brengt ernstige onregelmatigheden in Amersfoort aan het licht 8.7k weergaven
  • Fiscalist blijft acht jaar in frauderegister na hypotheekfraude 5.4k weergaven
  • Belastingdienst: gebrekkige rittenregistratie blijft veelvoorkomende oorzaak van fiscale correcties 3.7k weergaven
  • OM ontkracht verklaring over contant geld onvoldoende: vrijspraak in witwaszaak 3.2k weergaven

Vraag en aanbod

Administratiekantoor ter overname gezocht
Mbi-kandidaat gezocht voor accountantskantoor uit de regio Eindhoven
Mbi-kandidaat gezocht voor accountantskantoor uit Twente
Ter overname aangeboden: Accountantskantoor regio Den Haag
Mbi-kandidaten en/of accountantskantoor gezocht in Zeeland
Samenwerking aangeboden voor wettelijke controles
Ter overname gezocht: administratiekantoren in heel Nederland
Administratiekantoor regio Hendrik Ido Ambacht ter overname gezocht
Samenwerking gezocht/aangeboden door audit-onlykantoor
Ter overname aangeboden: accountantskantoor in West-Friesland

Accountancy Vanmorgen (AV) is het platform voor accountants en iedereen die geïnteresseerd is in nieuws, trends, ontwikkelingen, achtergronden en wetenswaardigheden in en rond accountancy en ondernemerschap.

Accountancy Vanmorgen is een uitgave van MOCuitgevers.

 

Categorie

  • Nieuws
  • Blog
  • Partners
  • Opleidingen
  • Vacatures
  • AV-events

Info

  • Over ons
  • Adverteren
  • Vrienden
  • Contact
  • Shop
  • Algemene voorwaarden MOCuitgevers Vanmorgen
  • Annuleringsvoorwaarden
  • Privacybeleid
  • LinkedIn
  • Mail
  • Instagram
Cookies
Om u beter van dienst te kunnen zijn, maakt Accountancy Vanmorgen gebruik van cookies. Klik op instellingen om de cookie instellingen te wijzigen.
  • Ik ga akkoord
  • Instellingen
  • Functionele cookies zijn noodzakelijk voor de werking van deze website.
  • We gebruiken Google Analytics, netjes geanonimiseerd.
  • We gebruiken de marketing cookies om gepersonaliseerde advertenties te tonen.
  • Annuleren
  • Ik ga akkoord

Instellingen