IT-Audit - toelichting

Waar UTAH je kan helpen met de IT-audit

Hierna wordt toegelicht op welke punten wij onder andere ondersteuning kunnen bieden.

Voorbereidingsfase

In de voorbereidingsfase wordt vastgesteld of de controleopdracht aanvaard of gecontinueerd kan worden. Op zich wordt in deze fase geen gedetailleerde IT-beschrijving vastgelegd, maar moet wel worden geconcludeerd of al dan niet een IT-specialist bij de opdracht wordt betrokken. De accountant moet dus wel op hoofdlijnen bekend zijn met de IT-omgeving van de klant. Bij nieuwe klanten kan dat bijvoorbeeld door een interview op hoofdlijnen.

Veel bedrijven in het MKB hebben de afgelopen jaren grote wijzigingen aangebracht in hun IT-voorzieningen. Goedkoper geworden hard- en software en een behoefte aan efficiency en snelle informatie hebben hier flink aan bijgedragen. In de voorbereidingsfase van een te continueren controleopdracht is het daarom belangrijk om in een vroeg stadium kennis te nemen van wijzigingen in de IT-omgeving van de klant.

Tijdens gesprekken met de opdrachtgever en met de leden van het team wordt een inventarisatie gemaakt van frauderisico’s. Hierbij is aandacht nodig voor specifieke IT-omgevingen waarbij zich frauderisico’s kunnen voordoen. Wanneer IT een belangrijke rol speelt, is de aanwezigheid van de IT-auditor bij deze gesprekken onmisbaar, zodat de inventarisatie van frauderisico’s de vereiste diepgang zal hebben en daarmee een effectief element van de voorbereiding is.

Het betreft hierbij ook fraude door derden. Denk hierbij aan webwinkels en betalingen via credit cards, iDEAL of Paypal, waarbij zich nieuwe vormen van ‘IT-fraude’ kunnen voordoen.

Het verdient aanbeveling om, wanneer te verwachten is dat de IT-voorzieningen een belangrijke rol zullen gaan spelen bij de uitvoering van de opdracht, dit in de opdrachtbevestiging expliciet te benoemen. Hierbij kan dan worden aangegeven dat specifieke IT-werkzaamheden uitgevoerd worden zodat de opdrachtgever zich tijdig kan voorbereiden. Dit kan gericht zijn op interviews met IT-functionarissen, beschikbaar stellen van documentatie en informatie over de werking van de interne IT-beheersingsprocessen beoordelen van specifieke query’s en dergelijke.

Eigenlijk is de beschikbaarheid van personen en documentatie geen specifiek IT-aandachtspunt maar een onderwerp dat al in algemene termen in de opdrachtbevestiging wordt genoemd. Maar doordat vooral in het MKB de aandacht voor IT bij de jaarrekeningcontrole nog niet altijd ‘ingeburgerd’ is, kan tijdige communicatie over dit onderwerp latere discussies over nut en noodzaak helpen voorkomen.

Risicoanalyse- en planningsfase

Ten behoeve van een goede risicoanalyse zal in de planningsfase een gedegen inzicht moeten worden verkregen in de organisatie inclusief haar IT-omgeving. Uit ervaring is gebleken dat zelfs de MKB-klanten eigenlijk niet altijd het volledige zicht hebben op hun IT-omgeving. De aandacht van de ondernemer ligt er (meestal) niet.

Hierna geven wij een hele korte bloemlezing van zaken die we het afgelopen jaar regelmatig tegen kwamen. Het zal niet veel moeite kosten om bij deze onderwerpen zelf de adviesmogelijkheden voor uw klant te bedenken. Het blijkt dat in het MKB veelal weinig aandacht voor dit soort onderwerpen is en dus ook niet voor de daarmee samenhangende bedrijfs- en continuïteitsrisico’s.

Door de automatiseringsomgeving goed in kaart te brengen, krijgt de accountant zicht in de risico’s voor de jaarrekeningcontrole en krijgt hij als spin-off een scala aan mogelijkheden tot natuurlijk advies, op een terrein waar de ondernemer veelal zelf niet bij stilstaat. Mits goed gepresenteerd, geeft dit zeker onverwachte meerwaarde voor de ondernemer.

• Nog steeds klanten met omgevingen waarop Windows XP draait, zonder dat ze zich hiervan (laat staan van de consequent