In vrijwel iedere organisatie spelen IT en data een steeds belangrijkere rol. Dat levert waardevolle stuurinformatie op en inzicht in onder andere financiële en operationele processen. Maar een toenemende afhankelijkheid van IT-systemen brengt ook risico’s met zich mee, zoals cybercriminaliteit en mogelijke datalekken. RSM IT Audit evalueert de IT-beheersing binnen organisaties en adviseert over beveiliging om de risico’s te minimaliseren.

Register IT-auditor Raymond de Keijzer geeft sinds anderhalf jaar leiding aan het RSM IT Audit-team. “IT is niet meer weg te denken uit ons leven. Werden vroeger inkoopfacturen geaccordeerd met behulp van een blokstempel en minstens acht handtekeningen, nu schieten bedrijven orders over en weer bij elkaar in zonder dat daar nog een mens aan te pas komt. Overal zie je een groeiende mate van automatisering en dat maakt zekerheid over de kwaliteit van IT van steeds groter belang. Zeker nu bepaalde organisaties ook vanuit wet- en regelgeving moeten aantonen dat zij een goede beheersing over hun data hebben.” 

ONAFHANKELIJKE ASSURANCE

IT-auditing is een afzonderlijke discipline binnen het auditing-vakgebied en wordt steeds vaker gevraagd bij de uitvoering van accountantscontroles. De Keijzer: “Enerzijds zijn wij onderdeel van het accountantsteam bij klanten en assisteren we op het gebied van automatisering. Anderzijds hebben wij onze eigen opdrachten voor IT-audits bij bedrijven die onafhankelijke assurance willen hebben. Dat kan gaan om een nulmeting van een informatiesysteem, het ontsluiten en toegankelijk maken van data via rapportages en dashboards of een algemene beoordeling van de afstemming tussen bedrijfsprocessen en IT. We brengen de risico’s van informatiesystemen in kaart en formuleren maatregelen om deze te beheersen. En verder voeren we dan nog klantspecifieke controles uit, zoals ENSIA-audits bij gemeentelijke instellingen of DigiD-audits.” 

BESCHIKBAARHEID, INTEGRITEIT EN VERTROUWELIJKHEID 

Als ondernemer moet je inzicht hebben in je afhankelijkheid van ICT, benadrukt De Keijzer. “Je hoeft de krant maar open te slaan en je ziet de dreiging van cybercrime in de wereld. Niet onze core business, maar wij kunnen onze klanten wel een heel eind op weg helpen, zodat zij in elk geval voorbereid zijn. De vraag is altijd: wat gebeurt er als het systeem er vijf minuten uitligt? Bij een webshop als bol.com kan dat tot een enorme verliespost leiden, terwijl een ander bedrijf alle orders voor twee weken heeft klaarliggen. In het laatste geval heb je de tijd om de storing in de IT op te lossen en vindt de bedrijfsvoering ongehinderd plaats (beschikbaarheid). Andere belangrijke aandachtspunten zijn de juistheid van de data (integriteit) en wie er allemaal toegang hebben (vertrouwelijkheid). Heb je eenmaal inzichtelijk welke gegevens kritisch voor jouw organisatie zijn, dan kun je je maatregelen daarop afstemmen.”

INNOVATIE

Hoe belangrijk een systeem voor je organisatie is, hangt af van de gegevens die erin verwerkt worden. “Je ziet steeds meer bedrijven innoveren. Bijvoorbeeld zorginstellingen die valdetectieapparatuur gebruiken om te waarschuwen als een bewoner (uit bed) valt of organisaties waar goederen alleen nog door rijdende robots uit de magazijnen worden gehaald. Geweldig efficiënt, maar ligt het systeem eruit, dan krijg je geen vrachtwagen meer geladen. Daarom wil je weten: hoe is de algemene IT-beheersing ingeregeld en welke maatregelen zijn er getroffen om ervoor te zorgen dat alles blijft draaien als er iets fout gaat? Dit geldt overigens niet enkel voor cybercriminaliteit, want ook na een update of stroomuitval kan het mis zijn.”

DATA-ANALYSE 

Een ander hot topic waarmee veel ondernemingen tegenwoordig aan de slag willen, is data-analyse. De Keijzer: “Een voorbeeld dat altijd erg aanspreekt is de Formule 1, waarbij al die gewonnen races van Max Verstappen niet mogelijk zouden zijn zonder de nauwkeurige interpretatie van grote hoeveelheden data. Zo berekent Red Bull analytics lady Hannah Schmitz exact wanneer een coureur het beste een pitstop maakt of van banden wisselt. En dat is min of meer wat wij ook bij onze klanten doen, alleen op veel kleinere schaal uiteraard. Wij voeren specifieke data-analyses uit ten behoeve van financiële zaken (jaarrekeningcontrole), maar ook operationele procesanalyses.”  

VERBINDENDE SCHAKEL TUSSEN AFDELINGEN

Op dit moment bestaat het team uit zes gedreven medewerkers plus twee collega-accountants met een IT-audittitel. Daarnaast is er zicht op nieuwe collega’s en bouwt men gestaag verder uit. “We zijn een ‘virtuele afdeling’ in de zin dat we verspreid zitten over meerdere kantoren in het land. Van daaruit zijn we onderdeel van accountantsteams, we werken samen met de zogenaamde RSM-specials, zoals Sustainability Consulting, en we komen bij allerhande klanten over de vloer en denken mee over de koers die zij willen varen. Dat vind ik mooi aan ons vak. Ook voeren we gezamenlijk opdrachten uit met RSM US en RSM UK en er is regelmatig contact met RSM IT Audit Europe. Al deze verschillende contacten zijn waardevol, want in alle disciplines zitten raakvlakken met IT. Op deze manier fungeert ons team als verbindende schakel tussen de diverse disciplines en dat maakt RSM als geheel nóg gespecialiseerder.”

 

auteur  VANESSA VAN ZALM 

fotograaf  SANDER NIEUWENHUYS

Dit artikel verscheen in de meest recente editie van het RSMagazine, een magazine dat twee keer per jaar in heel Nederland wordt verspreid onder cliënten, relaties en andere geïnteresseerden. Ontvangt u het magazine nog niet, maar wel geïnteresseerd? Neem dan contact op met Angelique Timmer-Weisscher via [email protected]. Dan krijgt u het magazine voortaan ook kosteloos toegezonden!