Accountant en IT-auditor: van samenwerking tot gele Post-its!

banner Arjan Suijker, Accountant en IT-auditor

De traditionele accountant die tijdens een controle de voorraadadministratie van de klant op papier geprint wil hebben en daarmee aan de slag gaat, is inmiddels wel uitgestorven. Echter, is de moderne accountant met een laptop met daarop een digitale versie van diezelfde voorraadadministratie wèl helemaal klaar voor de toekomst? De vraag ‘wat moet de accountant doen met de black box die IT heet?’ komt regelmatig terug. Mijn antwoord daarop is: samenwerking zoeken met de IT-auditor!

Zelf ben ik vijf jaar geleden na mijn afstuderen als accountant gestart met de IT-audit opleiding. In de wereld waarbij IT-system steeds belangrijker worden, vond ik het goed om zelf ook meer kennis van IT op te doen. En zo heb ik tijdens mijn werkzaamheden als accountant ook meer aandacht kunnen besteden aan de relevante IT-aspecten bij een onderneming. En het bijkomende voordeel dat ik nu zowel de wereld van de accountant als de wereld van de IT-auditor kan samenbrengen. Spijt van mijn keuze voor de IT-auditopleiding, heb ik dus tot op de dag van vandaag niet gehad.

Is de samenwerking tussen accountants en IT-auditors de afgelopen jaren verbeterd? Ja! Kan het nog beter? Wederom: Ja! Maar hoe doen we dit dan in de praktijk? Deze samenwerking begint al doordat de accountant in de planningsfase van een controle de juiste scope bepaalt en de juiste onderzoeksvragen aan de IT-auditor mee geeft. De accountant bepaalt bijvoorbeeld welke systemen van belang zijn voor de cijfers zoals die in de jaarrekening terecht komen. In deze fase van het onderzoek verkent de accountant ook samen met de IT-auditor op welke beheersingsmaatregelen in de automatiseringsomgeving de accountant voor de systeemgerichte controle wil steunen. De IT-auditor test deze geautomatiseerde controles in het systeem (de application controls) nadat vastgesteld is dat ook de basis van de automatiseringsomgeving (de general IT-controls) op orde is.

Een voorbeeld: in de accountantscontrole is het begrip functiescheiding erg belangrijk, denk aan een medewerker die zowel een factuur kan inboeken als de betaling kan verrichten. Dit zou immers ongewenst kunnen zijn. Bij een klant van de accountant heeft men een ERP-pakket in gebruik. Bestellingen, goederenontvangst, facturen etc. lopen allemaal via dit pakket. Er komen geen papieren documenten meer aan te pas. Gebruikers van het systeem kunnen verschillende bevoegdheden hebben die in het systeem worden ingeregeld. De IT-auditor komt in beeld wanneer er mogelijk gebruikers zijn die dubbele functies hebben, wat de gewenste functiescheiding zou doorbreken. De accountant verzoekt de IT-auditor daarom om na te gaan of de functiescheidingen op orde zijn. Daarbij zal de IT-auditor van de accountant willen weten welke functies niet mogen samengaan. De AO/IB (Administratieve Organisatie en Interne Beheersing) beschrijving binnen een bedrijf kan helpen dit te bepalen. De IT-auditor gaat allereerst na of de basis van de automatisering op orde is. Bij een positieve conclusie op die vraag kijkt de IT-auditor aan de hand van de autorisatietabel of er sprake is van het ongewenst samengaan van functies. Het werk van de IT-auditor houdt hier echter niet op, want voor de accountant is het ook van belang om te weten of deze gebruikers daadwerkelijk transacties hebben gedaan waarbij ze hun dubbele functies hebben gebruikt. Dit zijn voor de accountant namelijk de risicovolle transacties die extra bekeken moeten worden.

Maar let op, de werkelijke wereld is altijd complexer dan de theorie. Stel dat de IT-auditor geen afwijkingen heeft aangetroffen, geeft dit voorbeeld van een goede afstemming tussen accountant en IT-auditor dan de garantie dat er geen risico meer is van doorbreking van functiescheiding? Zeker niet! Want wie heeft er nog nooit de gele Post-its op beeldschermen gezien? Ogen en oren open dus bij een controle. Een kritische blik is zowel voor de accountant als de IT-auditor van belang!

reacties