Softwarepakketten.nl
FiscaalOnline
HIX
Exact Software
VISMA eAccounting Accountancy

White papers

IT audits als deel van de jaarrekeningcontrole

Plaatsingsdatum 26-07-2024
Berichtdatum Juli 2024

Inhoud

  1. Introductie
  2. IT-audits worden steeds belangrijker
  3. Wat houdt een IT-audit in binnen de context van de jaarrekeningcontrole?
  4. Automatiseren van IT audits
  5. Design en operatie effectiviteit
  6. Hoe werkt Easy2audit?
  7. Wat zeggen onze klanten?
  8. De rapporten geleverd door Easy2audit

1. Introductie

IT-audits worden steeds belangrijker in onze digitale samenleving en zorgen voor de betrouwbaarheid en veiligheid van gegevens in digitale systemen. Ze helpen ons bij het beoordelen van de nodige maatregelen tegen interne en externe bedreigingen, wat met name van vitaal belang is bij controles van financiële overzichten waar de nauwkeurigheid van gegevens van groot belang is.

IT-audits, die van oudsher handmatig en tijdrovend waren, profiteren nu van automatisering, hierdoor kunnen auditors gemakkelijker waarde toevoegen door informatie te analyseren en te adviseren over effectief IT-gebruik. Easy2Audit transformeert IT-audits, het verbetert de efficiëntie, betrouwbaarheid van IT audits en maakt deze IT-audits toegankelijker voor professionals, ongeacht hun expertise op het gebied van cyberbeveiliging.

2. IT-audits worden steeds belangrijker

Onze samenleving is sterk gedigitaliseerd, en daar plukken we met zijn allen veel vruchten van. hiervan. Denk aan de toegenomen automatisering, die leidt tot grotere efficiëntie in veel processen en resulteert in kostenbesparingen en kortere doorlooptijden.

Automatisering betekent ook dat vaak repetitieve en weinig uitdagende taken niet langer door mensen hoeven te worden uitgevoerd. Daarentegen heeft het huidige niveau van digitalisering ons ook afhankelijker gemaakt van digitale systemen, wat ons kwetsbaarder maakt. Veel digitale processen hebben geen analoge alternatieven meer, of ze zijn niet langer geschikt voor de gewenste toepassing. Denk bijvoorbeeld aan het kiezen voor de analoge versie -een brief- is mogelijk bij het versturen van een e-mail, maar het is veel minder geschikt voor dagelijkse toepassingen, omdat het dagen kan duren voordat een bericht de ontvanger bereikt.

Vandaag de dag zijn eindejaarcontroles meestal alleen gebaseerd op cijfers vanuit digitale systemen. De accountants van vandaag moeten daarom ook weten of deze cijfers wel echt betrouwbaar zijn, wat ze niet zijn als deze systemen openstaan voor kwaadwillende partijen. Bovendien kunnen we IT-systemen niet langer simpelweg “negeren” bij het uitvoeren van audits, zoals nog niet zo lang geleden het geval was. Gelukkig zien we zien we een aanzienlijke toename in het aantal IT-audits dat wordt uitgevoerd als als onderdeel van eindejaarscontroles en zelfs compilatie opdrachten, mede dankzij de nieuwe ISA 315 wijziging, waarin de rol van IT wordt benadrukt. Daarnaast zijn IT audits een essentieel onderdeel van verschillende certificeringen, zoals ISO, SOC2 en ISAE3402.

Wat zijn IT general controls (ITGC)?
IT General Controls (ITGC) zijn de beheersmaatregelen die een organisatie heeft getroffen om ervoor te zorgen dat de IT-systemen betrouwbaar en integer zijn. Het zijn traditionele ICT-maatregelen, zoals het beheer van toegangsrechten, continuïteit en change management. Bij het onderdeel ITGC wordt gekeken naar de loggingsinformatie, de toegangsrechten en het wachtwoordbeheer van het algoritme. Daarbij gaat het hier om de inbeddingin de applicatie en de onderliggende componenten, zoals de database en het besturingssysteem. Belangrijkste normenkaders voor de IT General Controlszijn de internationale norm ISO/IEC 27002 en de BIO.

3. Wat houdt een IT-audit in binnen de context van de jaarrekeningcontrole?

Het doel van een IT-audit binnen de jaarrekeningcontrole is dus het vaststellen of er op gegevens/data gesteund kan worden door te bepalen of de digitale systemen waarop deze worden bewaard en verwerkt goed (genoeg) beveiligd zijn tegen dreigingen van binnen én buiten de organisatie. Maar hoe wordt dit eigenlijk gecontroleerd? Accountants schakelen vaak ervaren IT-auditors in om dit deel van de audit goed te beleggen. Deze ITauditors kunnen zowel bij de accountant in-house werken als voor een speciale organisatie die zich volledig richt op het uitvoeren van deze werkzaamheden. Bij IT-audits wordt vaak gekeken naar de IT General Controls, dit zijn de meest belangrijke controls en het is dan ook vereist dat deze juist zijn geconfigureerd voordat er op application controls gesteund kan worden. Om een IT-audit behapbaar te houden wordt meestal een selectie van belangrijke systemen gecontroleerd die relevant zijn voor de jaarrekeningcontrole. Je kunt hierbij denken aan systemen waarop de meest belangrijke processen en applicaties van een organisatie draaien. Je kunt hierbij denken aan SQL databases, en de applicatie laag waaronder bijvoorbeeld ERP systemen vallen en de active directory op de domain controller. Het verzamelen van deze informatie is een tijds- en kennisintensieve aangelegenheid. Vaak wordt dit nog handmatig gedaan. Dit betekent dat de auditor en de systeembeheerder samen achter het systeem zitten heel veel verschillende menu’s doorklikken om de instellingen te tonen en hier vervolgens screenshots van te maken en op te slaan om ze vervolgens te beoordelen aanvullende vragen te stellen en te verwerken in de (jaarrekening-)dossiers. Het kan op deze traditionele manier wel zo’n 16 tot 40 uur kosten om alle informatie juist en volledig te verzamelen en te archiveren voor een kleine selectie aan systemen. Het exacte aantal hangt heel erg af van de complexiteit van het netwerk en het aantal te toetsen systemen. Zowel voor de auditor als de systeembeheerder is dit natuurlijk niet de meeste effectieve besteding van hun tijd, om nog maar te zwijgen over de weinig inspirerende aard van deze enorme taak.

4. Automatiseren van IT audits

Als auditor wil je je natuurlijk concentreren op zoveel mogelijk waarde toevoegen voor de klant. Deze waarde ligt hem voornamelijk in het analyseren van informatie én op basis hiervan een gedegen advies uitbrengen voor de klant en de accountant te helpen en te adviseren hoe IT te gebruiken binnen de jaarrekeningcontrole. Vroeger vonden sommige organisaties het wel prima om veel uren te spenderen aan het ophalen van data, er waren immers genoeg mensen beschikbaar om dit op te pakken. De huidige tekorten aan deskundige professionals zorgen er echter voor dat óók deze organisaties hun tijd liever efficiënt benutten, zodat zij meer klanten kunnen helpen.

Met Easy2audit automatiseer je het verzamelen van audit informatie op eenvoudige wijze. De informatie is direct beschikbaar in overzichtelijke rapportages waarin je bijvoorbeeld account policies en rollen en rechten van gebruikers terugvindt. Dit bespaart de IT-auditor enorm veel tijd, en verhoogt de betrouwbaarheid van de informatie aanzienlijk omdat de informatie direct vanuit de bron wordt uitgelezen indien gewenst zelfs zonder tussenkomst van de klant, in plaats van dat er een ‘print screen’ wordt ontvangen die soms gemaakt is zonder dat de IT-auditor hierbij aanwezig was Opzet, bestaan én werking Het controleren van de werking van maatregelen is moeilijk en gebeurt eigenlijk nog veel te weinig. De noodzaak om hier meer focus op te leggen wordt onder andere onderstreept in de herziene COS315. Easy2audit helpt bij dit doel. Het uitvoeren van de scripts kan namelijk ook volledig geautomatiseerd worden. Dit betekent dat het script gedurende het jaar volledig automatisch een audit kan uitvoeren en de details naar de auditor kan opsturen. Hiermee beperk je je als auditor dus niet meer tot opzet en bestaan van maatregelen, maar kun je ook daadwerkelijk iets zeggen over de werking, of wel operationeel effectiveness.

5. Design en operatie effectiviteit

De werking van maatregelen controleren is moeilijk en wordt eigenlijk nog veel te weinig gedaan. De noodzaak om hier meer aandacht aan te besteden wordt onder andere onderstreept in de herziene ISA 315 regeling. Easy2audit helpt hierbij. De scripts kunnen ook volledig geautomatiseerd worden, wat betekent dat het script gepland een audit kan uitvoeren gedurende het jaar (zelfs willekeurig) en de details naar de auditor gestuurd worden.

Dit betekent dat u als auditor niet langer beperkt bent tot het ontwerpen van maatregelen, maar daadwerkelijk iets kunt zeggen over hun operationele effectiviteit. 

6. Hoe werkt Easy2audit?

Bij Easy2audit is gebruiksvriendelijkheid een topprioriteit. De eenvoud van de applicatie zorgt ervoor dat zelfs nieuwe gebruikers al snel aan de slag kunnen met het automatiseren van hun audits. Bovendien zijn zowel de uitvoering en interpretatie van de resultaten mogelijk zonder enige technische kennis van IT.

Nu kun je een compleet rapport ontvangen over de belangrijkste beveiligingsmaatregelen van de systemen van uw klant, die u kunt gebruiken om uitspraken te doen over de betrouwbaarheid hiervan. In deze situatie start jij zelf het script (samen met een systeembeheerder) en de IT-audit wordt automatisch uitgevoerd. Het starten van dit script kan ook worden geautomatiseerd. U kunt bijvoorbeeld ervoor kiezen om het script een paar keer per jaar op een willekeurige datum en tijd te activeren. Dit bespaart nog meer tijd, zowel voor de auditor als de systeembeheerder. Door een willekeurige component in te bouwen, verhoog je de betrouwbaarheid zelfs meer en kun je daadwerkelijk de werking controleren van de ontworpen maatregelen.

7. Wat zeggen onze klanten?

Robert Johan RE CISSP van SOLL-IT gebruikt Easy2audit vooral voor jaarrekeningcontroles en specifieke IT-audits.
"Het gebruiken van Easy2audit is een fluitje van een cent. Wanneer ik werk met klanten begrijpen ze meteen hoe ze zelf de audit kunnen uitvoeren. In het verleden kon het samenwerken met onze klanten om de juiste gegevens te krijgen veel tijd in beslag nemen. Met Easy2audit is het proces kort en de resultaten zijn zo snel beschikbaar dat onze klanten graag meewerken. Bovendien is het voor onze klanten duidelijk welke scripts worden uitgevoerd op hun servers en hoeft er niets bij de klant zelf geïnstalleerd te worden. Bovendien is de output van de scripts gemakkelijk leesbaar."

8. De rapporten geleverd door Easy2audit

Easy2audit rapporteert op de volgende controlles.

  • Hardening;
  • Patching & vulnerabilities;
  • Anti-virus;
  • User rights (AD analysis).

Wil je meer leren over deze onderwerpen? Neem dan contact op met het team van Easy2audit.
Of bezoek zelf de website: easy2audit.com.

De volgende twee afbeeldingen zijn voorbeelden van de rapporten die je ontvangt na het uitvoeren van het easy2audit script. 

Active directory report

SQL database report

Categorie(n) Branche > Accountantskantoren, Audit, dossierbeheer en data analyse, GRC en Assuring
Bronvermelding Easy2Audit
Internet URL Easy2Audit

Automatisch op de hoogte blijven?
Schrijf u in voor onze gratis periodieke nieuwsbrief.

Terug

Woensdag 5 februari 2025
RGS MKB praktijkdag
Met o.a implementatie van RGS MKB decimaal rekeningschema, kengetallen, rapportages, rgs brugstaat, controles boekhouding, rgs ready, versiebeheer en nieuwe boekingsdimensies. Speciaal aandacht voor het nieuwe rapport "Boekhoudsoftware en ondersteuning van BTW".. 
Meer info en aanmelden.



AFAS Software



Bjorn Lunden


RADAR Software


Tecknow



Onerzoeksbureau GBNED