NL DE EN

Zeker weten dat IT voor uw bedrijf juist werkt? Investeer in veiligheid en zekerheid met IT-audit

IT-audit
I Stock 1239092934

Van het voorkomen van hacks of datalekken tot het analyseren van IT-processen in het kader van managementinformatie alsmede de jaarrekeningcontrole. Niet alleen de accountant, ook klanten en leveranciers willen steeds vaker weten hoe goed de onderneming waar ze zaken mee doen hun IT op orde heeft. De IT-audit specialisten van KroeseWevers hebben verstand van accountancy én van IT. Daarmee bieden ze de meerwaarde die ondernemingen nodig hebben om hun voorsprong in de markt te behouden of juist te realiseren.

De cruciale rol van IT

Financiële applicaties, crm-systemen, software voor de aansturing van logistieke processen. Zonder IT ‘draait’ of ‘loopt’ bijna niets in een bedrijf. IT helpt om nieuwe kansen in de markt te benutten, om te groeien en om bedrijfsprocessen beter en efficiënter te organiseren. Maar IT brengt ook nieuwe en vaak grote bedrijfsrisico’s met zich mee. Veel ondernemers weten alles over hun markt en over hun product, ze weten precies wat ze willen verkopen, waar en hoe ze dat het beste kunnen doen. Ze groeien daardoor snel, maar laten hun IT vaak onbewust niet meegroeien, waardoor ze risico’s kunnen lopen op het gebied van security en adequate managementinformatie.

De vier pijlers van IT-audit

Door aandacht te hebben voor de cruciale rol die IT speelt in de onderneming, kunnen bedrijven hun voorsprong in de markt behouden of juist een voorsprong realiseren. Met IT-audit heeft KroeseWevers kennis en expertise op het gebied van de volgende vier pijlers, waarmee ze klanten op het snijvlak van IT en accountancy kunnen ondersteunen:

  • Security en informatiebeveiliging

  • Assurance

  • IT-audits in het kader van de jaarrekeningcontrole

  • Data-analyse en business intelligence

Security: hoe goed is uw informatiebeveiliging?

Goede informatiebeveiliging helpt bedrijven om zich te beschermen tegen een cyberaanval, hack of datalek. “Dat gebeurt ons niet of bij ons valt niks te halen”, horen de IT-audit specialisten van KroeseWevers mkb-ondernemers regelmatig zeggen. Maar er hoeft niet altijd sprake te zijn van een gerichte aanval of kwade opzet. “Je wilt je bedrijfsnetwerk beschermen tegen ongeautoriseerde toegang, dat kan externe toegang zijn, maar ook intern hoeft niet iedereen overal bij te kunnen op je bedrijfsnetwerk.” Toegang tot privacygevoelige gegevens op het interne netwerk- van loonadministratie tot klantdata - zou bewust wel of bewust niet gegeven moeten worden binnen bedrijven. “Maar daarvoor moet er beleid zijn voor het toekennen van rollen en rechten op interne netwerken. In de praktijk zie je nog wel eens dat de rechten van de administrator steeds blind gekopieerd worden, dan kan iedereen overal bij.” De kans dat er in zo’n situatie een datalek ontstaat, en dat er dus gegevens bij iemand terecht komen waarvoor ze niet bedoeld zijn, wordt daarmee een stuk groter.

Vaak is het bij bedrijven een combinatie van een stukje onkunde en onwetendheid. “Informatiebeveiliging kan in hele kleine dingen zitten. Bijvoorbeeld in het procesmatig inrichten van vernieuwing van wachtwoorden, bijvoorbeeld elke 6 maanden”, geven zij als voorbeeld.

Nulmeting voor informatiebeveiliging

KroeseWevers IT-audit kan snel en vakkundig vaststellen hoe het in een bedrijf gesteld is met de informatiebeveiliging door een nulmeting informatiebeveiliging te doen. Met scantooling worden dan applicaties en bedrijfsnetwerken uitgelezen. Op die manier wordt gekeken waar de informatie staat, hoe de informatie is beveiligd en waar verbeteringen mogelijk en nodig zijn. De nulmeting kan een opstapje zijn naar een ISO 270001 certificering: met deze certificering kunnen bedrijven intern en extern de zekerheid bieden dat de informatiebeveiliging op orde is.

Assurance: zekerheid geven aan partijen in de markt

Zekerheid kunnen bieden over de manier waarop IT-processen georganiseerd zijn, wordt sowieso steeds belangrijker voor bedrijven om opdrachten te krijgen of te behouden. KroeseWevers IT-audit ziet de vraag naar assurance-rapporten zoals de ISAE 3402 en ISAE 3000 verder toenemen. “Als je als bedrijf een IT-dienst uitbesteedt blijf je daarvoor eindverantwoordelijk. Steeds meer bedrijven worden zich daarvan bewust en realiseren zich hoeveel datastromen er heen en weer gaan. Ze willen terecht weten van degene waar ze een dienst aan hebben uitbesteed: bied je echt de kwaliteit die je zegt te bieden als het gaat om het verwerken van (financiële) informatie? Hoe goed heb jij al je IT-processen op orde? We merken echt dat die vragen steeds meer komen.” Met de ISAE 3402 en ISAE 3000 ligt er een onafhankelijke verklaring die onderschrijft dat de IT-processen voldoen aan internationale kwaliteitsstandaarden. ISAE 3402 wordt toegepast wanneer financiële en/of operationele processen zijn uitbesteed aan een service-organisatie. Denk aan een salarisverwerker en vermogens- of debiteurenbeheer. ISAE 3000 is algemeen toepasbaar bij een breed scala aan vraagstukken, zoals zekerheid bij de beheersing van persoonsgegevens. “Je kunt met behulp van dergelijke verklaringen als aanbieder van uitbestede IT-diensten concurrentievoordeel behalen. Je laat zien aan je opdrachtgevers, klanten of leveranciers dat je jaarlijks getest en geaudit wordt en dat je een rapport hebt dat onderschrijft dat al je IT-processen op orde zijn.”

IT-audits en controle van de jaarrekening

Ondernemingen die controleplichtig zijn merken al jaren dat IT een steeds grotere rol speelt bij de controle van de jaarrekening. “Als accountant willen we bij de jaarrekeningcontrole ook iets kunnen zeggen over de betrouwbaarheid van IT en de betrouwbaarheid van data. Hoe kom je aan je data, waar staat je data en wie heeft er allemaal toegang tot de data? We moeten als accountant de conclusie kunnen trekken dat bedrijven op hun IT kunnen bouwen” KroeseWevers heeft met IT-audit de kennis en expertise in huis om uitspraken te doen over de IT in een bedrijf, leggen de specialisten van IT-audit uit. “We kijken wat voor een onderneming de belangrijkste applicaties zijn, we kijken naar de rollen en rechten van systemen, maar we bekijken ook waar de data is opgeslagen en wie de database allemaal kan benaderen. We bekijken dus het hardeningsbeleid van een server, het wachtwoordbeleid, firewalls, virusscanners en hoe logins zijn vormgegeven. Dat gaat behoorlijk diep.” De manier waarop de IT-controles plaatsvinden is steeds geavanceerder. “We zijn als afdeling IT-audit continu op zoek naar tooling waarmee we als accountants kunnen blijven voldoen aan de toenemende regeldruk, de kwaliteit van onze controles kunnen borgen en ondertussen zo efficiënt mogelijk kunnen controleren om te voorkomen dat de tijdsinvestering en kosten voor de ondernemer hoog oplopen.”

Scantooling

Hiernaast zie je de uitkomsten van scantooling op het gebied van security/hardeningsbeleid.

De afbeelding toont de uitkomsten van het hardeningsbeleid van de gescande server afgezet tegen een internationale benchmark voor cyberveiligheid. De gepresenteerde percentages geven aan hoe de gescande server scoort ten opzichte van de gestelde benchmark.

Scantooling

(Veiligheids)updates

In het verlengde van de afbeelding hierboven is in de afbeelding hier rechts zichtbaar of de gescande server bij is met het updaten van alle (veiligheids)updates en patches, of de anti-virussanner een actuele versie betreft en wat de eventuele risico’s zijn met betrekking tot kwetsbaarheden in de programmatuur. Het is van belang om bij te zijn met updates en patches om de programmatuur veilig en functioneel te houden.

(Veiligheids)updates

Active Directory

De afbeelding toont de uitkomsten van de scantooling met betrekking tot de Active Directory. Dit geeft bijvoorbeeld inzicht in het aantal gebruikers, het type gebruikers en hun bijbehorende rollen en rechten op het bedrijfsnetwerk. Op basis hiervan kunnen eventuele veiligheidsrisico`s geconstateerd worden.

Active Directory

Data-analyse en business intelligence

Data-analyse is één van de manieren waarop KroeseWevers steeds meer en betere bedrijfs- en managementinformatie ontsluit. “Door data-analyse zien we steeds meer bij bedrijven tijdens de controles, waardoor de kwaliteit toeneemt”, aldus de manager IT-audit. De data-analyse gebeurt met slimme tools, zoals Power BI, waarbij data op verschillende manieren gecombineerd en gevisualiseerd wordt. Dat levert vaak veel nieuwe inzichten op. “Stel dat je een probleem hebt in je productieomgeving en je vraagt je af of je er een nieuwe machine bij moet zetten? Dan kun je dat met behulp van data-analyse inzichtelijk en visueel maken. Door het visueel te maken zet je als het ware een gevoel of vermoeden op papier. Vaak zeggen mensen vervolgens: ja, dat wist ik gevoelsmatig al wel, maar met data neem je een beslissing op basis van feiten, niet op basis van gevoel.”

Data-analyse en business intelligence worden al ingezet bij de controles van jaarrekeningen, maar ook voor de inrichting van managementdashboards. Met business intelligence en data-analyse kan het management of de directie snellere en betere bedrijfsbeslissingen nemen. Dit kan in ieder bedrijf waarin administraties en processen zijn gedigitaliseerd die veel data genereren. Als er slimme koppelingen worden gelegd kan die data een waardevolle bron worden van informatie. Kansen, risico’s, actuele cijfers, prognoses. Alles kan inzichtelijk gemaakt worden. “Je moet als onderneming toch je IT inrichten, doe het dan op zo’n manier dat je er het optimale voordeel uit haalt.”

Meer informatie?

Wilt u met uw bedrijf meer weten over IT-audit en de mogelijkheden voor uw onderneming? De specialisten van KroeseWevers adviseren u graag over passende stappen in uw organisatie. Neem voor een vrijblijvende afspraak contact met op met KroeseWevers IT-audit, de collega’s helpen u graag verder.

Zeker weten dat IT voor uw bedrijf juist werkt? Investeer in veiligheid en zekerheid met IT-audit
25-03-2021

Bekijk ook deze artikelen

Is uw financiële administratie al klaar voor de toekomst?
Blog

Is uw financiële administratie al klaar voor de toekomst?
KroeseWevers digitaliseert financiële administratie Golfclub Zwolle
Case

KroeseWevers digitaliseert financiële administratie Golfclub Zwolle

Wilt u meer weten? Neem dan contact met ons op.

Vind contactpersonen bij u in de regio
Luuk Egbers - KroeseWevers
Luuk Egbers RA
Controleleider
+31 (0)3 14 37 48 09
Nieuws:

KroeseWevers en Moore MTH gaan samen verder!

Lees nieuwsbericht
Contact
Vind een vestiging in de buurt
Blijf op de hoogte, meld u aan voor directe updates!

Door het invullen van uw gegevens geeft u KroeseWevers toestemming voor het verzenden van de nieuwsbrief. Lees onze privacyverklaring.

Wij maken gebruik van cookies om uw ervaring op onze website te optimaliseren. Maar ook voor het bijhouden van statistieken en voor marketingdoeleinden. Door op ‘Zelf instellen’ te klikken, kunt u meer lezen over onze cookies en uw voorkeuren aanpassen. Door op 'Accepteren' te klikken, gaat u akkoord met het gebruik van alle cookies zoals omschreven in onze cookieverklaring. U kunt uw toestemming op elk moment wijzigen of intrekken.

Functionele cookies
Wij plaatsen functionele cookies om te zorgen dat basisfuncties van onze website goed werken en om uw cookie-instellingen goed vast te kunnen leggen. De functionele cookies zijn noodzakelijk om onze website goed te laten functioneren, daarom kunt u deze cookies niet uitschakelen. Deze cookies verzamelen geen persoonsgegevens.
Ingeschakeld Uitgeschakeld
Analyserende cookies
Elke dag meten en analyseren wij het gebruik van onze online kanalen om onze bezoekers de beste ervaring te bieden. Met de analyserende cookies doen we kennis op. Deze informatie gebruiken we om onze sites elke dag weer een beetje beter te maken, in het voordeel van de bezoekers van onze website.
Ingeschakeld Uitgeschakeld
Marketing en social media cookies
Deze cookies gebruiken we voor marketingdoeleinden, waardoor u onze online kanalen persoonlijker kan ervaren. Denk hierbij aan gepersonaliseerde content of gepersonaliseerde communicatie op social media.
Ingeschakeld Uitgeschakeld