Terug
Audit 16-03-23

‘IT-audit verhoogt toegevoegde waarde controle jaarrekening’ 

Tax

De IT-audit maakt deel uit van de verplichte controle door de accountant. Maar de behoefte aan bijvoorbeeld een cybersecurity assessment stijgt uit boven de wettelijk afgedwongen controle, en neemt alleen maar toe. Accountants- en advieskantoor Crowe Foederer heeft een eigen IT-dochter, ACA-IT Solutions, die dergelijke IT-assessments uitvoert. “Wij worden met open armen ontvangen.”

Zeker, menig accountant heeft verstand van IT. “Ik sta zelfs versteld van wat deze heren allemaal weten, zegt Michael Waterman. Hij is Cybersecurity Architect van ACA IT-Solutions over Roel Derks, Manager Audit van accountants- en advieskantoor Crowe Foederer en Roel van den Berg, partner van Crowe Foederer. 

Ze zijn inderdaad niet helemaal ‘IT-nitty’, zoals ze zelf onderstrepen. “Maar de wereld wordt hoe langer hoe complexer”, zeggen Derks en Van den Berg. “Om bij te blijven moet je als accountant steeds vaker kennis van anderen inschakelen. Dat geldt op allerlei gebieden, maar zeker op het gebied van IT, waar de ontwikkelingen elkaar nu eenmaal in een pijlsnel tempo opvolgen.” De verregaande automatisering bij cliënten en verder toenemende (cyber)risico’s zijn van invloed op de betrouwbaarheid en continuïteit van geautomatiseerde gegevensverwerking. Een punt dat bij bestuurders en commissarissen hoog op de agenda staat en waar van de accountant wordt verwacht dat hij hierover rapporteert. En natuurlijk is de IT-audit ook vast onderdeel van de wettelijk verplichte controle van de jaarrekening 

Vruchtbare samenwerking bij IT-audit
Allemaal redenen waarom Crowe Foederer sinds een jaar of vier voor audits samenwerkt met dochterbedrijf ACA-IT Solutions, een full service IT-dienstverlener voor het grotere mkb. Voor Crowe Foederer voert ACA-IT Solutions regelmatig IT-assessments uit, waarbij de nadruk op de Cybersecurity ligt. 

Het bedrijf voert dan onder regie van de controlerende accountant een assessment uit. Die regisseursrol kan de accountant beter vervullen naarmate hij sterker ‘IT-savy’ is. Maar, benadrukken Derks en Van den Berg: hun kennis gaat niet zo ver dat ze een hele IT-omgeving kunnen doorgronden. Dat laten ze graag over aan ACA-IT Solutions: “Wij kunnen dan met onze kennis en expertise voor verdieping zorgen”, zoals Waterman zegt. “Kortom: zowel voor de accountant als voor ons geldt: schoenmaker blijf bij je leest. Dan is de samenwerking het vruchtbaarst.” 

Die samenwerking maakt het de controlerende accountant in de eerste plaats mogelijk om zich met recht te kunnen uitspreken over, zoals dat heet ‘de betrouwbaarheid en de continuïteit van de geautomatiseerde gegevensverwerking’ bij een klant. Maar de IT-assessment gaat verder dan dat. “We kijken met name op het gebied van cybersecurity breder en dieper dan strikt noodzakelijk is voor de financiële audit bij de controle van de jaarrekening”, zegt Waterman.  

Zijn Cybersecurity-collega’s en hij baseren zich op de zogeheten CIS Controls (https://www.cisecurity.org/controls/cis-controls-list), een internationaal geaccepteerd framework van best practice-richtlijnen voor ICT-beveiliging dat uit drie onderdelen bestaat. In de eerste plaats de basismaatregelen die iedere organisatie op orde moet hebben, zoals een veilige configuratie van hard- en software en regelmatige controle daarop. Fundamentele maatregelen gaan over de beveiliging van software, apparatuur en het netwerk, het backup-beleid en autorisatiebeleid. Dan zijn er de organisatorische maatregelen, zoals de invoering van een awareness programma en regelmatige tests. 

Beter risicomanagement
De assessmentszijn gaandeweg uitgegroeid tot bijdragen aan wat Waterman ‘Business Driven Cybersecurity’ noemt. “Toen we enkele jaren geleden begonnen, moesten we elkaars taal leren begrijpen. Onze assessments waren vaak erg gericht op technische details – op het niveau van ‘dat bestand moet worden aangepast’. Gaandeweg zijn wij de informatie begrijpelijker gaan maken voor de business, om duidelijk te maken welke cyberrisico’s er worden gelopen en zijn we aanbevelingen gaan geven voor maatregelen om de organisatie veilig te houden.”

Kortom: nu kunnen bedrijven dankzij de audits hun risicomanagement ook beter onderbouwen. Bedrijven bijvoorbeeld makkelijker bepalen of ze geen steken hebben laten vallen bij het aanleggen van een verdedigingslinie tegen cyberaanvallen. Ook kan een audit een bedrijf helpen te bepalen of het al voldoet aan de nieuwe NIS 2-richtlijn. Die gaat bijna alle bedrijven in de loop van dit jaar verplichten om ingrijpende cybersecurity-maatregelen te nemen. Bestuursleden zijn hoofdelijk aansprakelijk om alle verplichtingen na te komen. 

En niet alleen de kwetsbaarheid voor externe bedreigingen kan met zo’n audit in kaart worden gebracht, ook de interne risico’s komen aan bod. Zo kan de audit uitwijzen in hoeverre een onderneming gevaar op fraude loopt doordat de IT-systemen niet goed beschermd zijn en oneigenlijk toegang tot data kan plaatsvinden, mogelijk zelfs om de financiële administratie te manipuleren. “Het is zelfs voorgekomen dat dit gebeurde terwijl we een audit uitvoerden”, zegt Waterman. 

Stijgende kwetsbaarheid voor cybercriminaliteit 
De noodzaak tot dergelijke gedegen audits om het risicomanagement van een onderneming robuuster te maken neemt toe. In feite is Cyberveiligheid een continue wapenwedloop, met bedrijven en hun beveiligers en criminelen als strijdende partijen. Waarbij de criminelen vaak op voorsprong staan. Zij kunnen snel handelen, zonder te worden gehinderd door allerlei wetten, regels en gedragscodes.  Ongestoord kunnen zij werken aan nieuwe, nog krachtiger methoden om data te kapen, te beschadigen, te kopiëren of op andere manieren te misbruiken. Om daar enig tegenwicht te bieden, is het voor bedrijven zaak voortdurend waakzaam te zijn en zich keer op keer aan te passen aan nieuwe bedreigingen. 

“Maar veel bedrijven werken nog zoals ze in 2003 deden”, zegt Waterman. Vaak beperken ze zich tot een aantal van de basismaatregelen uit het CIS framework. “Maar het ontbreekt nogal eens aan inzicht in de kwetsbaarheden in de organisatie. De mensen die er werken zijn lang niet altijd getraind om alert te zijn op geavanceerde aanvalsmethoden zoals phishing.”Het draagt ertoe bij dat cybercriminaliteit oprukt”. Inmiddels worden twee op de vijf bedrijven erdoor geraakt, bijna tweeënhalf keer zoveel als in 2019. En de verwachting is dat de komende jaren tachtig tot negentig procent van de bedrijven geraakt zal worden. We moeten daar echt tegen optreden. Niet alleen omdat Cybercriminaliteit bedrijven raakt, maar ook mensen – de werknemers, de klanten, hele gezinnen kunnen er de dupe van worden.”

Hoopgevend is wel dat de IT-audits bij de bedrijven waar Crowe Foederer en ACA-IT Solutions over de vloer komen zeer op prijs worden gesteld. “We worden met open armen ontvangen”, zeggen Derks en Van den Berg. “En klanten stellen de aanbevelingen en adviezen die wij na een controle geven zeer op prijs. De toegevoegde waarde van de samenwerking tussen een accountantskantoor en een Cybersecurity-specialist is alleen al daarom aanzienlijk. 

Bron