Zeker weten dat IT voor uw bedrijf juist werkt? Investeer in veiligheid en zekerheid met IT-audit

Zeker weten dat IT voor uw bedrijf juist werkt? Investeer in veiligheid en zekerheid met IT-audit

Van het voorkomen van hacks of datalekken tot het analyseren van IT-processen in het kader van managementinformatie alsmede de jaarrekeningcontrole. Niet alleen de accountant, ook klanten en leveranciers willen steeds vaker weten hoe goed de onderneming waar ze zaken mee doen hun IT op orde heeft. “Als afdeling IT-audit van KroeseWevers hebben we verstand van accountancy én van IT. Daarmee bieden we de meerwaarde die ondernemingen nodig hebben om hun voorsprong in de markt te behouden of juist te realiseren”, zegt Mark Langenakker, manager IT-audit.

De cruciale rol van IT

Financiële applicaties, crm-systemen, software voor de aansturing van logistieke processen. Zonder IT ‘draait’ of ‘loopt’ bijna niets in een bedrijf. Volgens Mark helpt IT om nieuwe kansen in de markt te benutten, om te groeien en om bedrijfsprocessen beter en efficiënter te organiseren. Maar IT brengt ook nieuwe en vaak grote bedrijfsrisico’s met zich mee. “Veel ondernemers weten alles over hun markt en over hun product, ze weten precies wat ze willen verkopen, waar en hoe ze dat het beste kunnen doen. Ze groeien daardoor snel, maar laten hun IT vaak onbewust niet meegroeien, waardoor ze risico’s kunnen lopen op het gebied van security en adequate managementinformatie.”

De vier pijlers van IT-audit

Door aandacht te hebben voor de cruciale rol die IT speelt in de onderneming, kunnen bedrijven hun voorsprong in de markt behouden of juist een voorsprong realiseren, volgens Mark Langenakker. Met IT-audit heeft KroeseWevers kennis en expertise op het gebied van de volgende vier pijlers, waarmee ze klanten op het snijvlak van IT en accountancy kunnen ondersteunen:

  • Security en informatiebeveiliging

  • Assurance

  • IT-audits in het kader van de jaarrekeningcontrole

  • Data-analyse en business intelligence

Security: hoe goed is uw informatiebeveiliging?

Goede informatiebeveiliging helpt bedrijven om zich te beschermen tegen een cyberaanval, hack of datalek. “Dat gebeurt ons niet of bij ons valt niks te halen”, hoort Mark Langenakker mkb-ondernemers regelmatig zeggen. Maar er hoeft niet altijd sprake te zijn van een gerichte aanval of kwade opzet. “Je wilt je bedrijfsnetwerk beschermen tegen ongeautoriseerde toegang, dat kan externe toegang zijn, maar ook intern hoeft niet iedereen overal bij te kunnen op je bedrijfsnetwerk.” Toegang tot privacygevoelige gegevens op het interne netwerk- van loonadministratie tot klantdata - zou bewust wel of bewust niet gegeven moeten worden binnen bedrijven. “Maar daarvoor moet er beleid zijn voor het toekennen van rollen en rechten op interne netwerken. In de praktijk zie je nog wel eens dat de rechten van de administrator steeds blind gekopieerd worden, dan kan iedereen overal bij.” De kans dat er in zo’n situatie een datalek ontstaat, en dat er dus gegevens bij iemand terecht komen waarvoor ze niet bedoeld zijn, wordt daarmee een stuk groter.

Vaak is het bij bedrijven een combinatie van een stukje onkunde en onwetendheid. “Informatiebeveiliging kan in hele kleine dingen zitten. Bijvoorbeeld in het procesmatig inrichten van vernieuwing van wachtwoorden, bijvoorbeeld elke 6 maanden”, geeft Mark Langenakker als voorbeeld.

Nulmeting voor informatiebeveiliging

KroeseWevers IT-audit kan snel en vakkundig vaststellen hoe het in een bedrijf gesteld is met de informatiebeveiliging door een nulmeting informatiebeveiliging te doen. Met scantooling worden dan applicaties en bedrijfsnetwerken uitgelezen. Op die manier wordt gekeken waar de informatie staat, hoe de informatie is beveiligd en waar verbeteringen mogelijk en nodig zijn. De nulmeting kan een opstapje zijn naar een ISO 270001 certificering: met deze certificering kunnen bedrijven intern en extern de zekerheid bieden dat de informatiebeveiliging op orde is.

Assurance: zekerheid geven aan partijen in de markt

Zekerheid kunnen bieden over de manier waarop IT-processen georganiseerd zijn, wordt sowieso steeds belangrijker voor bedrijven om opdrachten te krijgen of te behouden. Mark Langenakker ziet de vraag naar assurance-rapporten zoals de ISAE 3402 en ISAE 3000 verder toenemen. “Als je als bedrijf een IT-dienst uitbesteedt blijf je daarvoor eindverantwoordelijk. Steeds meer bedrijven worden zich daarvan bewust en realiseren zich hoeveel datastromen er heen en weer gaan. Ze willen terecht weten van degene waar ze een dienst aan hebben uitbesteed: bied je echt de kwaliteit die je zegt te bieden als het gaat om het verwerken van (financiële) informatie? Hoe goed heb jij al je IT-processen op orde? We merken echt dat die vragen steeds meer komen.” Met de ISAE 3402 en ISAE 3000 ligt er een onafhankelijke verklaring die onderschrijft dat de IT-processen voldoen aan internationale kwaliteitsstandaarden. ISAE 3402 wordt toegepast wanneer financiële en/of operationele processen zijn uitbesteed aan een service-organisatie. Denk aan een salarisverwerker en vermogens- of debiteurenbeheer. ISAE 3000 is algemeen toepasbaar bij een breed scala aan vraagstukken, zoals zekerheid bij de beheersing van persoonsgegevens. “Je kunt met behulp van dergelijke verklaringen als aanbieder van uitbestede IT-diensten concurrentievoordeel behalen. Je laat zien aan je opdrachtgevers, klanten of leveranciers dat je jaarlijks getest en geaudit wordt en dat je een rapport hebt dat onderschrijft dat al je IT-processen op orde zijn.”

IT-audits en controle van de jaarrekening

Ondernemingen die controleplichtig zijn merken al jaren dat IT een steeds grotere rol speelt bij de controle van de jaarrekening. “Als accountant willen we bij de jaarrekeningcontrole ook iets kunnen zeggen over de betrouwbaarheid van IT en de betrouwbaarheid van data. Hoe kom je aan je data, waar staat je data en wie heeft er allemaal toegang tot de data? We moeten als accountant de conclusie kunnen trekken dat bedrijven op hun IT kunnen bouwen” KroeseWevers heeft met IT-audit de kennis en expertise in huis om uitspraken te doen over de IT in een bedrijf, legt Mark Langenakker uit. “We kijken wat voor een onderneming de belangrijkste applicaties zijn, we kijken naar de rollen en rechten van systemen, maar we bekijken ook waar de data is opgeslagen en wie de database allemaal kan benaderen. We bekijken dus het hardeningsbeleid van een server, het wachtwoordbeleid, firewalls, virusscanners en hoe logins zijn vormgegeven. Dat gaat behoorlijk diep.” De manier waarop de IT-controles plaatsvinden is steeds geavanceerder. “We zijn als afdeling IT-audit continu op zoek naar tooling waarmee we als accountants kunnen blijven voldoen aan de toenemende regeldruk, de kwaliteit van onze controles kunnen borgen en ondertussen zo efficiënt mogelijk kunnen controleren om te voorkomen dat de tijdsinvestering en kosten voor de ondernemer hoog oplopen.”

Scantooling

Hiernaast zie je de uitkomsten van scantooling op het gebied van security/hardeningsbeleid.

De afbeelding toont de uitkomsten van het hardeningsbeleid van de gescande server afgezet tegen een internationale benchmark voor cyberveiligheid. De gepresenteerde percentages geven aan hoe de gescande server scoort ten opzichte van de gestelde benchmark.

Scantooling

(Veiligheids)updates

In het verlengde van de afbeelding hierboven is in de afbeelding hier rechts zichtbaar of de gescande server bij is met het updaten van alle (veiligheids)updates en patches, of de anti-virussanner een actuele versie betreft en wat de eventuele risico’s zijn met betrekking tot kwetsbaarheden in de programmatuur. Het is van belang om bij te zijn met updates en patches om de programmatuur veilig en functioneel te houden.

(Veiligheids)updates

Active Directory

De afbeelding toont de uitkomsten van de scantooling met betrekking tot de Active Directory. Dit geeft bijvoorbeeld inzicht in het aantal gebruikers, het type gebruikers en hun bijbehorende rollen en rechten op het bedrijfsnetwerk. Op basis hiervan kunnen eventuele veiligheidsrisico`s geconstateerd worden.

Active Directory

Data-analyse en business intelligence

Data-analyse is één van de manieren waarop KroeseWevers steeds meer en betere bedrijfs- en managementinformatie ontsluit. “Door data-analyse zien we steeds meerbij bedrijven tijdens de controles, waardoor de kwaliteit toeneemt”, aldus de manager IT-audit. De data-analyse gebeurt met slimme tools, zoals Power BI, waarbij data op verschillende manieren gecombineerd en gevisualiseerd wordt. Dat levert vaak veel nieuwe inzichten op. “Stel dat je een probleem hebt in je productieomgeving en je vraagt je af of je er een nieuwe machine bij moet zetten? Dan kun je dat met behulp van data-analyse inzichtelijk en visueel maken. Door het visueel te maken zet je als het ware een gevoel of vermoeden op papier. Vaak zeggen mensen vervolgens: ja, dat wist ik gevoelsmatig al wel, maar met data neem je een beslissing op basis van feiten, niet op basis van gevoel.”

Data-analyse en business intelligence worden al ingezet bij de controles van jaarrekeningen, maar ook voor de inrichting van managementdashboards. Met business intelligence en data-analyse kan het management of de directie snellere en betere bedrijfsbeslissingen nemen. Dit kan in ieder bedrijf waarin administraties en processen zijn gedigitaliseerd die veel data genereren. Als er slimme koppelingen worden gelegd kan die data een waardevolle bron worden van informatie. Kansen, risico’s, actuele cijfers, prognoses. Alles kan inzichtelijk gemaakt worden. “Je moet als onderneming toch je IT inrichten, doe het dan op zo’n manier dat je er het optimale voordeel uit haalt.”

Voorbeeld van data-analyse in de praktijk met behulp van Power BI

Via deze link is een voorbeeld te zien van data-analyse in de praktijk met behulp van Power BI. Dit betreft een voorbeeld van een ondernemer die wereldwijd fietsen verkoopt. De vraag was om de verkopen in kaart te brengen (naar type fiets), onder andere de omzet, het aantal verkochte fietsen en de grootste afnemers (landen).

Meer informatie?

Wilt u met uw bedrijf meer weten over IT-audit en de mogelijkheden voor uw onderneming? De specialisten van KroeseWevers adviseren u graag over passende stappen in uw organisatie. Neem voor een vrijblijvende afspraak contact met op met KroeseWevers IT-audit, de collega’s helpen u graag verder.

Wilt u meer weten? Neem dan contact met ons op.

Vind contactpersonen bij u in de regio
Mark Langenakker - KroeseWevers
Mark Langenakker MSc RA EMITA
Manager IT-audit
Stuur een mail +31 (0)3 14 37 48 59
015 L8821 bewerkt
Wout Poorterman
IT-auditor
Stuur een mail +31 (0)5 33 03 43 10
Luuk Egbers - KroeseWevers
Luuk Egbers MSc EMITA
IT-auditor
Stuur een mail +31 (0)3 14 37 48 09
Hulp nodig? +31 (0)53 850 49 00
Contact opnemen
KroeseWevers maakt gebruik van cookies

Om u beter en persoonlijker te helpen, gebruiken wij cookies. Wij gebruiken cookies voor het bijhouden van statistieken, maar ook voor marketingdoeleinden. Door op ‘zelf instellen’ te klikken, kunt u meer lezen over onze cookies en uw voorkeuren aanpassen. Door op ‘Accepteren’ te klikken, gaat u akkoord met het gebruik van alle cookies zoals omschreven in onze cookieverklaring.