IT Audit
Eén van de belangrijkste uitkomsten van het digitale debat dat de NBA op 3 april hield was de vaststelling dat de ontwikkelingen in ICT de toekomst van het accountantsberoep nog meer zullen gaan bepalen dan nu al het geval is. En de vraag of het beroep daar op dit moment voldoende op voorbereid is had eveneens een behoorlijke mate van consensus.
ICT zal naar verwachting een uiterst belangrijke rol gaan spelen in de toekomst van ons beroep zoals bijvoorbeeld de impact op het business model van kantoren, de impact op hoe wij werken en communiceren, de impact op systemen bij cliënten en de impact op controletechnieken. Nu is naar mijn mening aan dat laatste deels ook nu al wat te doen door gebruik te maken van de competenties die voorhanden zijn. Naar mijn mening zijn daar nog wel mogelijke verbeteringen aan te brengen en dan heb ik het bijvoorbeeld over de samenwerking met IT-auditors. In mijn eigen praktijk zie ik namelijk dat deze samenwerking die in mijn ogen cruciaal is voor een kwalitatief goede controle niet altijd optimaal is.
In het kader van het delen van ervaringen om deze samenwerking te verbeteren en nu al meer aandacht te besteden aan ICT ontwikkelingen heb ik een aantal praktische suggesties voor u:
-
Soms worden de IT-auditors behandeld als een soort 'onderaannemers' van het controleteam; dat betekent dat zij onvoldoende kunnen deelnemen aan de discussie over de beste controleaanpak en hun bijdrage dan vaak niet verder gaat dan de IT general controls want dat staat in de checklist; IT-auditors moeten dus wat mij betreft van het begin tot het eind medeverantwoordelijk zijn voor de gehele controleaanpak en uitgedaagd worden om alle mogelijke ICT-ontwikkelingen daarin volledig mee te nemen;
-
De beoordeling of er sprake is van een complex of niet complex IT-systeem wordt soms door het controleteam gedaan terwijl de specialist, de IT-auditor, er pas later wordt bijgehaald; IT-auditors zouden in mijn ogen dus de beoordeling van het systeemlandschap moeten doen;
-
In de planningsfase zou specifiek de effecten van de IT-toepassingen en de processen daaromheen op de agenda moeten worden gezet om 'underauditing' maar ook 'overauditing' te voorkomen;
-
De rapportage over de IT-punten in de management letter is soms erg technisch van aard; mijn advies is dat het controleteam inclusief IT-auditors om de tafel gaat zitten voordat de management letter wordt geschreven om te bezien wat de issues zijn, wat de consequenties daarvan zijn voor de controleaanpak, en hoe deze punten het beste aan de cliënt gecommuniceerd kunnen worden;
-
Een voorbeeld is logische toegangsbeveiliging; als leek betekent deze terminologie weinig voor mij, maar als gesteld wordt dat bepaalde personen in de organisatie teveel bevoegdheden hebben, zodat zij de bestaande functiescheidingen kunnen doorbreken en er dus frauderisico's ontstaan, dan zorgt dat ervoor dat degene die het leest de opmerkingen serieus neemt omdat de mogelijke effecten helder zijn; advies: zorg dat IT-punten zodanig zijn geformuleerd dat een leek begrijpt wat er wordt bedoeld en welke risico's er worden gelopen;
-
Daarbij valt het mij op dat de IT-auditors vaak zoveel van de systemen afweten dat zij ook kunnen aangeven hoe de cliënt hier beter en efficiënter gebruik van kan maken; mijn advies: zorg dat verplicht in elke management letter ook het verbeterpotentieel helder wordt aangegeven;
-
Op basis van ervaringscijfers per sector en per soort systeem is het mogelijk om een schatting te maken van het percentage uren dat IT-audit zou moeten hebben als onderdeel van het urenbudget; mijn advies aan kantoorleidingen is om die percentages als targets op te leggen, zodat de discussie waarom het bij deze cliënt allemaal niet nodig is, kan worden overgeslagen;
-
Laatste advies is dat jaarlijks de IT-auditor meegaat naar de opdrachtgever/toezichthouder om bovenstaande zaken te bespreken en dat dit niet wordt overgelaten aan het auditteam.
Het lijken wellicht open deuren, maar in mijn ervaring gaat dit toch te vaak niet goed genoeg, met als gevolg een controle die beter en efficiënter had gekund en een cliënt die de toegevoegde waarde van zijn accountant onvoldoende ziet.
Het feit dat Tuacc IT auditing op de agenda heeft gezet met als doelstelling om te komen tot een IT integrated audit approach vind ik dan ook een uitstekend initiatief. De NBA doet graag mee.
Gerelateerd
NOREA onderzoekt rol IT-auditor bij duurzaamheids-informatie
NOREA, de beroepsvereniging van IT-auditors, heeft recent een position paper gepubliceerd over audits van duurzaamheidsinformatie. De organisatie vraagt om te reageren...
Zijn kinderen online veilig?
De IT-auditor vervult een preventieve rol in onze digitale samenleving om het algemeen belang te dienen.
NOREA publiceert manifest over digitale weerbaarheid en verslaggevingsstandaard voor IT-beheersing
NOREA, de beroepsorganisatie van IT-auditors, heeft recent een manifest uitgebracht dat moet bijdragen aan de digitale weerbaarheid van de samenleving. Ook is een...
NOREA: Ziekenhuizen gaan gebukt onder toenemende auditlast
Ziekenhuizen hebben te maken met een toenemende auditlast, blijkt uit onderzoek van NOREA.
Het is geen populaire mening, maar accountants zijn ook maar mensen
Het moet afgelopen zijn met het idee dat een individuele accountant alles maar moet kunnen. Het maakt de accountant blind en komt de kwaliteit van de controle niet...