Financial audit IT-integratie

  • Share

View this page in French  

In vijf decennia is de rol van IT-systemen in de bedrijfsvoering hand over hand toegenomen. Eerst op het niveau van individuele afdelingen, dan op bedrijfsniveau, vervolgens op groepsniveau en nu steeds meer over de grenzen van ondernemingen en organisaties heen. We kunnen ons nauwelijks nog een bedrijf inbeelden dat niet vertrouwt op één of meer vitale IT-systemen.  

De investeringen die bedrijven doen om deze systemen te implementeren en te onderhouden zijn vaak zeer belangrijk en het spreekt voor zich dat organisaties van hun auditoren verwachten dat zij de investeringen in technologie maximaal laten renderen in het kader van de auditwerkzaamheden.

Enorme transactievolumes

Bovendien zijn er organisaties met enorme transactievolumes die voor een belangrijk deel of volledig gedematerialiseerd zijn – denk maar aan banken, telco’s, nutsbedrijven, media & entertainment of ICT-bedrijven. Dit maakt het fysiek natrekken van informatie op papier onmogelijk, waardoor er gesteund moet worden op informatie die enkel digitaal beschikbaar is. Om met deze wijzigingen in de businessomgeving om te gaan en om aan de vereisten en verwachtingen van onze klanten te voldoen, bestaat er binnen EY een groep van domeinspecialisten die zich exclusief bezighouden met de analyse en het testen van IT-omgevingen, ITsystemen en binnen IT-systemen geïmplementeerde interne controles. Zij voeren deze werkzaamheden uit binnen het kader van de reguliere externe auditopdrachten van EY, maar ook op specifieke vraag van cliënten die een onafhankelijk oordeel wensen over de kwaliteit van hun ICT-organisatie, de ICT-beheersprocessen of de kwaliteit van de door hen geïmplementeerde systemen.

Eyeopeners voor het management

Het resultaat van deze procedures wordt formeel gerapporteerd aan het management van de geauditeerde organisatie in de vorm van een niettechnische (m.a.w. geen bits & bites en technospeak) managementletter die bestaat uit de volgende onderdelen: • bepaling van en duiding bij de maturiteit van de IT-organisatie en de ITprocessen volgens het COBIT-model (Control Objectives for IT and Related Technologies);

  • evaluatie van de effectiviteit van opzet, bestaan en werking van de onderzochte controle-objectieven binnen de processen: systeemimplementatie, systeemonderhoud en wijzigingsbeheer, logische en fysieke toegangsbeveiliging, back-up, restore en interface & jobscheduling;
  • duiding bij de risico’s die vastgestelde zwakheden met zich meebrengen voor de organisatie en voorstellen voor remediëring;
  • duiding van de resultaten aan de hand van resultaten van recente externe of EY-onderzoeken en surveys.

De ervaring leert dat deze rapporten vaak eyeopeners zijn voor het management en aan de basis liggen van verbeteringsplannen – opgezet in functie van de risico’s – die ervoor zorgen dat deze risico’s waaraan een organisatie op ITvlak is blootgesteld beter worden opgevolgd en aangepakt.