Mijn naam is Tom Lamers en ik ben inmiddels enkele jaren werkzaam bij Mazars. Hier heb ik de overstap gemaakt van de financial audit naar de IT audit. Hieronder zal ik nader uitleggen waarom ik die stap heb gemaakt en ook toelichten wat de werkzaamheden van een IT auditor inhouden.

Waarom heb ik gekozen voor de IT audit?

Na jaren actief te zijn geweest in de jaarrekeningcontroles als RA, bij één van de big four kantoren, was ik destijds toe aan een andere uitdaging. Daarom ben ik uit de accountancy gestapt. Hoewel ik niet lang buiten de accountancy werkzaam ben geweest, is in de periode dat ik buiten de accountancy actief ben geweest een ding bijgebleven: hoe afhankelijk organisaties zijn van systemen. Deze afhankelijkheid kan grote problemen met zich meebrengen, zeker als deze systemen niet goed functioneren. Het niet goed functioneren van systemen kan echter verschillende oorzaken hebben. Waarbij het zeker niet altijd aan het systeem hoeft te liggen, er kan ook sprake zijn van een foutieve configuratie. Een dergelijke situatie, vooral ook in combinatie met kennisgebrek bij de gebruikers, maakt het lastig om tot een duurzame oplossing te komen.

Dit heeft mij geïnspireerd om mijn affiniteit met IT verder na te jagen en daarom ben ik weer terug gegaan in de accountancy. Ik ben gestart met de opleiding Digital Auditing aan de Vrije Universiteit van Amsterdam. Deze eenjarige opleiding is specifiek opgezet voor theoretisch afgestudeerde accountants en RA’s die zich willen verdiepen in het brede spectrum van de IT audit. Deze opleiding geeft dan ook niet alleen inzicht in de IT Audit voor de jaarrekening, maar gaat ook in op data analyse en Third Party reporting (ISAE 3402 en SOC 1 en 2).

Na succesvol deze opleiding te hebben doorlopen, heeft mij dat in beweging gezet om mijzelf nog meer onder te dompelen in dit vakgebied. Ik heb ervoor gekozen om nog een jaar langer college te volgen. Waarbij ik het laatste jaar van de ITACA opleiding aan de Vrije Universiteit van Amsterdam heb gevolgd, om zo de theoretische opleiding tot Register EDP-auditor (hierna RE) te voltooien.
Om uiteindelijk als RE ingeschreven te worden, dient er een minimum van 4.500 praktijkuren te worden overlegd aan de NOREA. Uit de uren moet zichtbaar blijken dat er voldoende uren zijn gemaakt in de verschillende disciplines binnen de IT Audit.

Terwijl ik met het laatste collegejaar ben gestart, heb ik gelijktijdig de overstap gemaakt naar de IT Audit & Advisory (ITAA) afdeling. Om zo mijn opgedane kennis nog meer in de praktijk te brengen en om de benodigde praktijkuren te kunnen realiseren voor de RE titel.

Wat zijn de werkzaamheden van een IT auditor?

Waar het spectrum van de RA zich voornamelijk richt op de jaarrekening controle en alles wat daar aan processen, systemen en bijbehorende risico’s mee te maken heeft, is de jaarrekening controle voor de RE slechts één onderdeel van de werkzaamheden.

De kernactiviteiten van een IT-auditor, naast de IT audit voor de jaarrekening controle, zijn als volgt te kwalificeren:

• Specific (IT) audit & assurance (o.a. Third Party Reporting, ISAE, SOC)
• IT advisory
• IT security & privacy
• Troubleshooting / diagnoses stellen

De werkzaamheden op deze verschillende vakgebieden variëren van advies tot compliance op gebieden als: informatiebeveiliging, cybersecurity (waaronder ook penetratietesten), DigiD audits, IT Governance & Data Governance, datamigratie, IT volwassenheidsonderzoeken, conversieaudits, systemaudits, post-implementatie audits project assurance, quality assurance maar ook diagnoses stellen bij foutief gelopen projecten of slecht ingerichte applicaties.

In de praktijk zijn de werkzaamheden van een IT auditor erg afwisselend. Zo ben ik vanuit mijn eigen praktijk betrokken bij een aantal Third Party Reports (zoals DigiD audits, ISAE 3000) en ben ik betrokken bij adviesopdrachten waarin ik bijvoorbeeld ondersteuning bied bij de inrichting van een ERP systeem als onderdeel van de implementatie ervan voor een geheel nieuwe entiteit.

Momenteel zijn echter de meeste werkzaamheden die ik uitvoer in het kader van de IT Audit voor de jaarrekening controle. Alle werkzaamheden die ik in dit kader uitvoer worden altijd in overleg bepaald met het controle team, om zo voor iedere klant de werkzaamheden uit te voeren die relevant zijn voor de controle. Hierin heb ik te maken met een grote variëteit in klanten en tegelijkertijd met verschil aan diepgang van de werkzaamheden. Kijkend naar de klanten heb ik te maken met lokale organisaties zoals: woningbouw, goede doelen, fintech, productie, retail, detacheringen of payrolling. Maar ook met grote internationale spelers, waarin ook de mondiale IT-activiteiten in scope zijn en niet enkel die in Nederland.

De diepgang van de werkzaamheden kunnen variëren van een of twee gesprekken en het opvragen van ondersteunende documentatie om een initieel beeld te krijgen van de IT omgeving, maar ook een uitgebreide IT audit waarin voor meerdere applicaties de IT general controls worden getoetst, het toetsen van application controls voor één of meerdere applicaties tot een onderzoek doen naar de daadwerkelijke IT werkelijkheid/ IT configuratie. Deze application controls kunnen toezien op een 3-way match, facturen workflow, wijziging crediteuren stamgegevens of het vaststellen van de verschillende controls rondom het urenschrijven en accorderen.

Een belangrijk onderdeel in de IT Audit op de jaarrekeningcontroles betreft datamigraties. Van een datamigratie is sprake wanneer een organisatie vanuit de oude applicatie naar een volledig nieuwe applicatie migreert. Een voorbeeld hiervan is een organisatie die van Exact naar SAP overstapt of een organisatie die van Exact naar een Cloud toepassing van AFAS overstapt. In beide gevallen is er sprake van een datamigratie, waarbij de complexiteit van de oude en nieuwe applicatie en activiteiten van de organisatie van invloed zijn op de scope van de werkzaamheden.

De oude en nieuwe applicatie functioneren allebei op een andere manier en dat betekent niet alleen dat de data juist en volledig moet worden overgezet, ook de juiste inrichting van de nieuwe applicatie is van belang voor een goede werking. Het kan betekenen dat de inhoudelijke processen bij de klant veranderen. Dit omvat ook de juiste implementatie van controls (zoals een 3-way match of accorderen van uren) en de beschikbaarheid van deugdelijke rapportages.

Een ander belangrijk aspect hierin is ook de logische toegangsbeveiliging (de correcte inrichting van de rollen en rechten van de verschillende functionarissen). Als de functiescheiding niet vanaf dag één is geborgd in de nieuwe applicatie, dan levert dit extra risico’s op in de controle van de jaarrekening.

Een onderwerp wat momenteel erg relevant is geworden en continue het nieuws haalt is cybersecurity. Dit is cybersecurity in de vorm van procedures, risico analyses en awareness; cyber governance. Maar ook cybersecurity in de IT werkelijkheid; het daadwerkelijk uitvoeren van cybersecurity assessments. Hierin is van alles mogelijk; van het voorbereiden van een aanval middels OSINT technieken, tot het daadwerkelijk uitvoeren van attack & penetration testing. De IT auditor werkt in dergelijke onderzoeken nauw samen met cybersecurity specialisten.

De rol van IT binnen organisaties is nog steeds volop in beweging en wordt steeds belangrijker en relevanter. Vanuit onze zijde denken wij daarom proactief mee bij de opzet en uitvoering van de werkzaamheden bij de jaarrekening controle. Daarnaast gaan wij graag in gesprek met klanten of controle teams om de beheersing van de IT omgeving, waar mogelijk, te verbeteren.