IT-audit en MKB-controle - Accountancy Nieuws
IT-audit en MKB-controle - Accountancy Nieuws
IT-audit en MKB-controle - Accountancy Nieuws
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
AnAccountants<strong>controle</strong>Maak <strong>IT</strong> startpunt van <strong>controle</strong>-aanpak<strong>IT</strong>-<strong>audit</strong> <strong>en</strong> <strong>MKB</strong>-<strong>controle</strong>Charles Rabe <strong>en</strong> Robert JohanDe tijd dat de klassieke accountant <strong>en</strong> EDP-<strong>audit</strong>or langs elkaar werk<strong>en</strong>, is voorbij. Automatiseringin het <strong>MKB</strong> leidt ertoe dat e<strong>en</strong> groot gedeelte van de interne <strong>controle</strong> isgeautomatiseerd. Daarvoor is e<strong>en</strong> <strong>controle</strong>aanpak nodig, waarin <strong>IT</strong> op de eerste plaatswordt gezet gedur<strong>en</strong>de de hele <strong>controle</strong>, <strong>IT</strong> first dus. In zo’n <strong>controle</strong> werk<strong>en</strong> <strong>IT</strong>-Auditor<strong>en</strong> accountant nauw sam<strong>en</strong> om tot e<strong>en</strong> slimmere <strong>en</strong> efficiëntere <strong>controle</strong> te kom<strong>en</strong>.Dan wordt er gebruik gemaakt van de geautomatiseerde <strong>controle</strong>s in het <strong>IT</strong>-systeem.Er wordt e<strong>en</strong> duidelijke keuze gemaakt welke <strong>controle</strong>werkzaamhed<strong>en</strong> de accountantnog wel - maar ook niet - doet.Om het systeem he<strong>en</strong> <strong>controle</strong>r<strong>en</strong>Met de komst van de WTA is detijd voorbij dat het <strong>controle</strong>teamvoor e<strong>en</strong> interim control<strong>en</strong>aar de klant gaat, zonder <strong>en</strong>ige sturingvan de accountant-partner. Binn<strong>en</strong> SRAis er e<strong>en</strong> goed initiatief opgezet (SRA <strong>IT</strong><strong>audit</strong> kring) om tuss<strong>en</strong> de SRA-kantor<strong>en</strong>ervaring<strong>en</strong> uit te wissel<strong>en</strong> hoe de <strong>IT</strong>-<strong>audit</strong>oringezet wordt tijd<strong>en</strong>s de <strong>controle</strong> bijhet <strong>MKB</strong>. In deze kring is duidelijk date<strong>en</strong> <strong>IT</strong>-<strong>audit</strong>or nog veel te beperkt wordtingezet in de <strong>MKB</strong>-<strong>controle</strong>. En als de <strong>IT</strong><strong>audit</strong>orwordt ingezet, is er ge<strong>en</strong> of onvoldo<strong>en</strong>deaansluiting van de werkzaamhed<strong>en</strong>van de accountant <strong>en</strong> zijn team ophet werk van de <strong>IT</strong>-<strong>audit</strong>or. Dit kan bije<strong>en</strong> <strong>controle</strong> leid<strong>en</strong> tot e<strong>en</strong> onjuiste accountantsverklaring.Klassiek voorbeeldhoe dit (verkeerd) uitwerkt is de passagein de managem<strong>en</strong>tletter over de betrouwbaarheid<strong>en</strong> continuïteit van de gegev<strong>en</strong>sverwerking,omdat dat nu e<strong>en</strong>maal wettelijkzo is voorgeschrev<strong>en</strong>. Dan wordtbijvoorbeeld e<strong>en</strong> opmerking van de <strong>IT</strong><strong>audit</strong>oringevoegd over het ontbrek<strong>en</strong> vane<strong>en</strong> adequaat passwordbeleid, zonder datdit effect heeft voor de accountantsverklaring(zie kader).Ondergeschov<strong>en</strong> kindje<strong>IT</strong> in de <strong>controle</strong> is nog steeds e<strong>en</strong> ondergeschov<strong>en</strong>kindje <strong>en</strong> wordt teveel gezi<strong>en</strong>als e<strong>en</strong> separaat onderdeel; e<strong>en</strong> checklist.Bij bestandsanalyses wordtde gehele administratieingelez<strong>en</strong> <strong>en</strong> vindter rapportage opuitzondering<strong>en</strong> plaats.De accountant bepaalt de <strong>audit</strong>risks <strong>en</strong>voert de werkzaamhed<strong>en</strong> buit<strong>en</strong> het <strong>IT</strong>systeem om. <strong>IT</strong>-<strong>audit</strong>risico’s word<strong>en</strong> overhoofd gezi<strong>en</strong>.Als er e<strong>en</strong> <strong>IT</strong>-<strong>audit</strong>or wordt ingezet, isdeze <strong>audit</strong> te weinig gericht op <strong>audit</strong>Het straffeloos ‘om het systeem he<strong>en</strong> <strong>controle</strong>r<strong>en</strong>’ bij e<strong>en</strong> ERP/<strong>IT</strong>-systeem waarbijhet passwordbeleid (auth<strong>en</strong>ticatie) niet goed is geregeld zal in veel gevall<strong>en</strong>di<strong>en</strong><strong>en</strong> te leid<strong>en</strong> tot e<strong>en</strong> aanpassing van de accountantsverklaring. Auth<strong>en</strong>ticatieis e<strong>en</strong> onvervangbare maatregel van interne <strong>controle</strong>. Achteraf is veelal nietmeer vast te stell<strong>en</strong> of de functiescheiding heeft gewerkt. Hoe kunt u vaststell<strong>en</strong>dat, indi<strong>en</strong> ook papier<strong>en</strong> spor<strong>en</strong> ontbrek<strong>en</strong>, bijvoorbeeld de magazijnmeester e<strong>en</strong>ontvangst heeft ingevoerd, indi<strong>en</strong> de administrateur ook zijn password k<strong>en</strong>t.Minder erg is het als de autorisaties niet goed zijn ingesteld, maar er wel sprakeis van e<strong>en</strong> goede auth<strong>en</strong>ticatie. Immers, dan kan met <strong>IT</strong>-<strong>audit</strong>software achterafword<strong>en</strong> vastgesteld wie wat heeft gedaan in het systeem <strong>en</strong> welke gevolg<strong>en</strong> ditzou moet<strong>en</strong> hebb<strong>en</strong> voor de <strong>controle</strong> c.q de accountantsverklaring.risks, maar te veel op business risks. Devertaling naar de jaarrek<strong>en</strong>ing<strong>controle</strong> ishierdoor moeilijk te mak<strong>en</strong>. De klassiekeEDP-<strong>audit</strong>or <strong>en</strong> accountant sprek<strong>en</strong>niet dezelfde taal <strong>en</strong> de accountant kande bevinding<strong>en</strong> niet vertal<strong>en</strong> naar de<strong>controle</strong>.De SRA ondersteunt accountantskantor<strong>en</strong>in het <strong>MKB</strong> door het aanbied<strong>en</strong> vandiverse praktijkhandreiking<strong>en</strong> <strong>en</strong> training<strong>en</strong>.Er is echter onvoldo<strong>en</strong>de hulp bijhet selecter<strong>en</strong> van de juiste uit te voer<strong>en</strong>werkzaamhed<strong>en</strong>. Daardoor wordt de indrukgewekt dat er heel veel werkzaamhed<strong>en</strong>moet<strong>en</strong> word<strong>en</strong> uitgevoerd, terwijldit vanuit budgettaire red<strong>en</strong><strong>en</strong> veelal niethaalbaar zal zijn. Hierdoor <strong>en</strong> door hetontbrek<strong>en</strong> van voldo<strong>en</strong>de k<strong>en</strong>nis bij deaccountantskantor<strong>en</strong> in het <strong>MKB</strong> is deacceptatiegraad bij deze kantor<strong>en</strong> onvoldo<strong>en</strong>de<strong>en</strong> word<strong>en</strong> deze product<strong>en</strong> te veelgezi<strong>en</strong> als extra werkzaamhed<strong>en</strong>, naastde <strong>controle</strong>werkzaamhed<strong>en</strong>. Gezi<strong>en</strong> e<strong>en</strong>product zoals de Praktijkhandreiking Automatiseringis dit jammer.Om e<strong>en</strong> efficiënte <strong>en</strong> slimme <strong>controle</strong> uit tekunn<strong>en</strong> voer<strong>en</strong> zal de moderne <strong>IT</strong>-<strong>audit</strong>orde klant beter moet<strong>en</strong> begrijp<strong>en</strong> <strong>en</strong> moet<strong>en</strong>d<strong>en</strong>k<strong>en</strong> vanuit de <strong>audit</strong> risks. De klassiekeaccountant di<strong>en</strong>t de overstap te mak<strong>en</strong> naare<strong>en</strong> <strong>IT</strong> first <strong>audit</strong>, waarbij op de risico’s inde interne <strong>controle</strong> van het <strong>IT</strong>-systeem vande cliënt de eerste focus wordt gelegd, <strong>en</strong>de daaraan gerelateerde <strong>audit</strong> risks word<strong>en</strong>vertaald naar de <strong>controle</strong>aanpak. De <strong>IT</strong> firstaccountant neemt de stap om te kunn<strong>en</strong>steun<strong>en</strong> op <strong>IT</strong> <strong>en</strong> durft dan ook traditionelewerkzaamhed<strong>en</strong> los te lat<strong>en</strong>; gewoon nietmeer uit te voer<strong>en</strong> dus.<strong>IT</strong> first <strong>controle</strong>aanpakIn wez<strong>en</strong> is e<strong>en</strong> <strong>IT</strong> first <strong>controle</strong> aanpake<strong>en</strong>voudig. Voor het mitiger<strong>en</strong> van <strong>audit</strong>risico’s maakt de accountant gebruik vande interne <strong>controle</strong>s die de cliënt zelf uitvoert.E<strong>en</strong> belangrijk verschil met klassieke<strong>controle</strong>s is echter dat iedere con-20 www.accountancynieuws.nl
Accountants<strong>controle</strong>Antrole met <strong>IT</strong> zal start<strong>en</strong>, omdat de meesteinterne <strong>controle</strong>s bij de cliënt in het <strong>MKB</strong>zijn geautomatiseerd <strong>en</strong> de meeste risico’svoortkom<strong>en</strong> uit de interne <strong>controle</strong>s.De <strong>controle</strong> start dus met e<strong>en</strong> <strong>IT</strong>-<strong>audit</strong>ordie de <strong>IT</strong> <strong>en</strong> de mate waarin <strong>IT</strong> e<strong>en</strong> rolheeft in de interne beheersing inv<strong>en</strong>tariseert.In dit stadium di<strong>en</strong>t er tev<strong>en</strong>s aandachtte word<strong>en</strong> besteed aan g<strong>en</strong>eral <strong>IT</strong>controls. Voor veel accountants is dit ‘e<strong>en</strong>ver van mijn bed show.’ Helaas, want decliënt loopt namelijk veel meer risico(business risk) indi<strong>en</strong> het systeem toegankelijkis via het Internet. De accountantkan hier niet omhe<strong>en</strong>, omdat de risico’svoor de jaarrek<strong>en</strong>ing (<strong>audit</strong> risk)steeds groter word<strong>en</strong>.ControleplanNa de inv<strong>en</strong>tarisatie door de <strong>IT</strong>-<strong>audit</strong>orvindt er overleg plaats met de <strong>IT</strong> First accountant:overleg over <strong>audit</strong> (inclusief <strong>IT</strong>)risico’s <strong>en</strong> de aanwezige geautomatiseerdeinterne <strong>controle</strong>s. Sam<strong>en</strong> bepal<strong>en</strong> zijhet <strong>controle</strong>plan.Heel belangrijk is het om vast te stell<strong>en</strong>wat er met <strong>IT</strong> wordt gedaan <strong>en</strong> wat er dus...angst bij de traditioneleaccountant: niet meer gegev<strong>en</strong>sgericht<strong>controle</strong>r<strong>en</strong><strong>en</strong> vertrouw<strong>en</strong> op de applicationcontrols (fysiek ietsvink<strong>en</strong> of vastpakk<strong>en</strong> kanimmers niet meer).niet (meer) handmatig wordt gedaan.Hier zit met name de angst bij de traditioneleaccountant: niet meer gegev<strong>en</strong>sgericht<strong>controle</strong>r<strong>en</strong> <strong>en</strong> vertrouw<strong>en</strong> op deapplication controls (fysiek iets vink<strong>en</strong> ofvastpakk<strong>en</strong> kan immers niet meer).Vervolg<strong>en</strong>s besprek<strong>en</strong> de <strong>IT</strong>-<strong>audit</strong>or <strong>en</strong> deaccountant sam<strong>en</strong> met de cliënt het <strong>controle</strong>plan.Indi<strong>en</strong> <strong>IT</strong> ge<strong>en</strong> grote rol heeftin de beheersing, blijkt mete<strong>en</strong> de grotetoegevoegde waarde van de aanpak, want95% van de onderneming<strong>en</strong> zou gebaatzijn bij de inzet van <strong>IT</strong> bij interne <strong>controle</strong>s.E<strong>en</strong> goed adviesmom<strong>en</strong>t dus. Maarook mete<strong>en</strong> begrip voor de werkzaamhed<strong>en</strong>van de accountant <strong>en</strong> de kost<strong>en</strong>van de <strong>controle</strong>. Immers, indi<strong>en</strong> er nietadequaat is geautomatiseerd di<strong>en</strong>t er e<strong>en</strong>Interne system<strong>en</strong> <strong>en</strong> InternetWaar voorhe<strong>en</strong> e<strong>en</strong> muur werd opgetrokk<strong>en</strong> tuss<strong>en</strong> de interne system<strong>en</strong> <strong>en</strong> hetInternet zi<strong>en</strong> we dat deze muur steeds verder – ook in het <strong>MKB</strong> - afbrokkelt. Immers:system<strong>en</strong> tuss<strong>en</strong> onder andere afnemers, leveranciers <strong>en</strong> andere relatiesword<strong>en</strong> steeds meer met elkaar gekoppeld. Daarnaast gev<strong>en</strong> organisaties derd<strong>en</strong>steeds meer toegang tot hun system<strong>en</strong> via het Internet om bijvoorbeeld de statusvan e<strong>en</strong> order te kunn<strong>en</strong> volg<strong>en</strong>.Consequ<strong>en</strong>tie: er ontstaan steeds meer mogelijkhed<strong>en</strong> voor kwaadwill<strong>en</strong>d<strong>en</strong>om toegang te krijg<strong>en</strong> tot de system<strong>en</strong> van e<strong>en</strong> <strong>MKB</strong>-organisatie of onderneming.Je kunt je afvrag<strong>en</strong> in hoeverre dit e<strong>en</strong> business risk is, laat staan e<strong>en</strong> <strong>audit</strong> risk.Veelal wordt dit door de ondernemer zelf afgedaan met de opmerking: ‘bij onsvalt toch niets te hal<strong>en</strong>’ of ‘ik vind het niet erg als mijn prijz<strong>en</strong> bek<strong>en</strong>d zijn bij deconcurr<strong>en</strong>t<strong>en</strong>’.Echter: er is wel degelijk heel veel te hal<strong>en</strong> bij slecht beveiligde system<strong>en</strong>, zekervoor wat het criminele Internetcircuit betreft. Immers voor spammers is e<strong>en</strong>slecht beveiligde (web)mailserver prachtig. Voor het aanvall<strong>en</strong> van andere system<strong>en</strong>is het ideaal om slecht beveiligde system<strong>en</strong> te misbruik<strong>en</strong> zodat alle spor<strong>en</strong>daarhe<strong>en</strong> leid<strong>en</strong>. Er wordt naarstig gezocht naar slecht beveiligde system<strong>en</strong> voorhet plaats<strong>en</strong> <strong>en</strong> distribuer<strong>en</strong> van illegale foto’s, video’s <strong>en</strong> software.Consequ<strong>en</strong>ties kunn<strong>en</strong> dan al snel zijn: het afsluit<strong>en</strong> van de Internetverbinding door de provider. Dat is heel vervel<strong>en</strong>dwanneer e<strong>en</strong> groot deel van de omzet via de website loopt; imagoschade door het publicer<strong>en</strong> van misbruik van de eig<strong>en</strong> system<strong>en</strong>; claims als gevolg van het beschadig<strong>en</strong> van system<strong>en</strong> van derd<strong>en</strong> via de eig<strong>en</strong>system<strong>en</strong>.De cliënt zou hierbij wel e<strong>en</strong>s wat onzekerder op zijn stoel kunn<strong>en</strong> gaan schuiv<strong>en</strong>(business risk) <strong>en</strong> de accountant kan zich afvrag<strong>en</strong> of dit materiële gevolg<strong>en</strong> ofzelfs continuïteitsrisico’s kan hebb<strong>en</strong> voor de organisatie (<strong>audit</strong> risks).Deze issues zijn uiteindelijk e<strong>en</strong>voudig vast te stell<strong>en</strong> door inzet van geautomatiseerdetools waarbij snel inzicht wordt verkreg<strong>en</strong> in de beveiliging van deInternetkoppeling.klassieke <strong>controle</strong> plaats te vind<strong>en</strong> <strong>en</strong> zaler om het systeem he<strong>en</strong> moet<strong>en</strong> word<strong>en</strong>ge<strong>controle</strong>erd. Indi<strong>en</strong> de ondernemingwel goed is geautomatiseerd, dan kan deaccountants<strong>controle</strong> efficiënt uitgevoerdword<strong>en</strong>. E<strong>en</strong> beloning voor de inspanning<strong>en</strong>van de onderneming.Systeemgerichte werkzaamhed<strong>en</strong>Op basis van het <strong>controle</strong>plan word<strong>en</strong>systeemgerichte werkzaamhed<strong>en</strong> uitgevoerd.De <strong>IT</strong>-<strong>audit</strong>or voert sam<strong>en</strong> metde <strong>IT</strong> first accountant de lijn<strong>controle</strong>s uitdoor sam<strong>en</strong> met de cliënt aan het schermte zitt<strong>en</strong>, e<strong>en</strong> waarneming ter plaatsedus. Dit is misschi<strong>en</strong> wel het meestkrachtige, maar ook het minst gebruikte<strong>controle</strong>middel. De clarity richtlijn<strong>en</strong> onderschrijv<strong>en</strong>dat dit middel kan word<strong>en</strong>ingezet. Accountants zijn helaas nogsteeds meer g<strong>en</strong>eigd andere <strong>controle</strong>middel<strong>en</strong>in te zett<strong>en</strong>. Met name de herhalingvan werkzaamhed<strong>en</strong>, narek<strong>en</strong><strong>en</strong> van uitkomst<strong>en</strong>of verificatie zijn populair. E<strong>en</strong>vastlegging van e<strong>en</strong> waarneming terplaatse hoeft helemaal niet moeilijk tezijn. Iedere assist<strong>en</strong>t accountant heefte<strong>en</strong> smart phone waarmee e<strong>en</strong> filmpjemee kan word<strong>en</strong> opg<strong>en</strong>om<strong>en</strong> <strong>en</strong> als <strong>controle</strong>-informatiein het digitale dossierkan word<strong>en</strong> opgehang<strong>en</strong>.De <strong>IT</strong>-<strong>audit</strong>or <strong>en</strong> de accountant bepal<strong>en</strong>sam<strong>en</strong> in hoeverre het <strong>controle</strong>plan veranderdmoet word<strong>en</strong>: is er nog meer met<strong>IT</strong> te <strong>controle</strong>r<strong>en</strong> of moet het minderomdat de <strong>IT</strong> het niet toelaat?Indi<strong>en</strong> de <strong>controle</strong>-aanpak wordt gewijzigd,vindt er opnieuw overleg plaats metde directie van de onderneming, immersde interne beheersing in de <strong>IT</strong> blijkt tochanders te zijn dan de directie dacht. Ookwww.accountancynieuws.nl 21