Valkuilen MKB-gerichte IT-audits

Bron: Accountancynieuws auteur Jack van Crooij (IT-auditor Full Finance Consultants)

Als kwaliteitsbewuste accountant, die net de rapportages van de AFM heeft gelezen, besluit u om uw controleaanpak voor komend jaar aan te passen en meer aandacht aan IT te gaan besteden. U leest zich grondig in en laat u zelfs trainen door een IT-auditor om uw kennis op peil te brengen. Kortom, u bent tot de tanden gewapend.

De eerste klant met wie u aan de slag wilt gaan: een mooi familiebedrijf dat al meer dan veertig jaar bestaat, in de kleinmetaal, stevig gegroeid door innovatieve en kwalitatief hoogwaardige producten, en jawel, sinds twee jaar controleplichtig. Directie wordt gevoerd door senior en junior samen, administratie door 9 mensen en 180 man personeel. Kortom, een leuke klant voor wie u al sinds jaar en dag de jaarrekening samenstelde en bij wie u nu de controle mag doen voor een heel scherpe prijs. Want, eerlijk is eerlijk, senior ziet dat hele controlegedoe niet zitten. Maar goed, als het moet dan moet het. U stelt uw klant uiteraard vooraf een aantal vragen om na te gaan in hoeverre u gebruik kunt maken van een meer systeemgerichte integrated audit approach, zoals dat dan zo mooi heet. Of in simpel Nederlands – u moet het immers uw klant ook nog uitleggen – u wilt de IT-beheersing en de geprogrammeerde controles toetsen om te kijken of u erop kunt steunen voor de jaarrekeningcontrole. De klant snapt na enig aandringen ook wel dat dit eigenlijk moet, alles gebeurt nu eenmaal steeds meer geautomatiseerd. Maar als het maar niet meer kost! Chapeau, goed bezig tot zover!

De koude douche

Maar u voelt hem aankomen, die koude douche. Te mooi om waar te zijn, als dit zomaar kan. Eens even kijken wat u zoal gaat aantreffen op het gebied van IT-beheersing. Vinkt u maar eens mee in de onderstaande afspiegeling van automatisering in het MKBsegment.

De NBP-methode...

Even kijken, hebt u er meer dan zes aangevinkt? Hoeveel zin heeft het dan, denkt u, op basis van een dergelijk profiel om een systeemgerichte benadering van uw controle te gaan kiezen en dan ook nog eens dwars door de IT-omgeving heen? Dat wordt niks, zegt u? Daar kon u nog wel eens gelijk in hebben. Dat riekt naar veel extra tijd en kosten, op een toch al te krap controlebudget. Dat is geen goed idee. Gaan we over naar plan B, de volledig gegevensgerichte controle met behulp van data-analyse. Dat wordt logboeken doorspitten om na te gaan of niemand de suboptimale toegangsbeveiliging heeft misbruikt. Aan elkaar knopen van databases om een sluitende geld-goederenbeweging op te bouwen. Interne managementrapportages in Excel opnieuw opbouwen in een data-analyseomgeving om de gepresenteerde bedragen in de jaarrekening te controleren… Uw assistenten bezwijken bijna onder de tijdsdruk voor het maken van de complexe data-analyses. Oeps, kleinigheidje, iemand had vergeten om te vertellen dat je eerst een goed datamodel moet hebben om een analyse te kunnen uitvoeren? Kortom, ook dat gaat niets worden. Zucht! Dan toch maar terug naar de dossierkast vol met ordners, voor plan C. Ouderwets controleren van vinken en parafen om de werking van het systeem vast te stellen en met Excel aan de slag om waar nodig gegevensgericht detailcontroles uit te voeren. De NBP-methode dus (nothing beats paper), al dan niet ondersteund door een modern stukje software voor werkprogramma’s en dossiervorming. Wel even opletten dat u niet per ongeluk te veel vinkjes zet, anders is het snel gedaan met de efficiency. Wat moet u anders? Nóg meer geld vragen voor een controle die de klant toch al als een noodzakelijk kwaad ervaart is geen realistische optie, hoe hard de AFM ook slaat.

Op zoek naar de oase

Kan het dan echt niet, zo’n integrated ITaudit? Jagen we met elkaar, accountants en IT-auditors, al jaren een fata morgana na? Ik geef toe, de weg naar de echte oase is niet makkelijk. Maar die is wél te vinden, mits u samen met uw klant aan de slag gaat om het nodige te veranderen. Daar ligt gelijk ook de kern van de oplossing. Begin eerst met een adviestraject om het niveau van de ITbeheersing bij uw klant structureel te verbeteren. De controleomgeving is immers nog helemaal niet geschikt voor een andere aanpak. Als u probeert dit probleem tijdens de controle op te lossen, dan voorspel ik u mislukking en grote budgetoverschrijdingen. Als u in staat bent om deze werkzaamheden als advies neer te zetten, dan snijdt het mes aan twee kanten. Budgettair wellicht een ietwat pijnlijke vraag: hebt u daar een externe IT-auditor bij nodig? Minder pijnlijk antwoord van een ITauditor: soms wel, dat hangt ervan af hoever uw eigen expertise reikt. Nog niet zo ver, zegt u? Geen schande, u hebt immers als accountant al genoeg bij te houden zaken. Maar het is wel een serieus aandachtspunt. Anders staat u op een dag voor een lege dossierkast en kunt u echt geen controle meer uitvoeren. Een wezenlijk verschil in benadering bij het inzetten van een extern deskundige: óf u krijgt een vis en u hebt eten voor een dag, óf u leert zelf vissen en u hebt nooit meer honger. Zo is het ook met het inzetten van een IT-auditor. Zorg eerst dat u als controlerend accountant zelf voldoende kennis krijgt van de materie.

Daarmee voorkomt u:

a. overmatige afhankelijkheid van de externe IT-auditor;b. een te vage opdrachtformulering vooraf;c. foutieve interpretatie van de onderzoeksuitkomsten achteraf;d. een verkeerde inschatting van restrisico’s achteraf;e. de pijnlijke tik op de vingers van de AFM.

Met de juiste kennis kunt u prima zelf al een gedegen adviestraject vooraf met uw controleklanten opstarten, waardoor de kans op een succesvolle integrated IT-auditaanpak met sprongen stijgt en audit toch nog toegevoegde waarde levert voor uw cliënt.