En mag je aan de slag met de accountantscontrole. Een administratieve last waar je waarschijnlijk echt niet op zit te wachten. Maar zo’n accountantscontrole heeft ook zeker voordelen! En als je de administratie automatiseert hou je dus alleen de meerwaarde over. Hoe je dat doet? Dat lees je in deze blog.
De meerwaarde van een accountantscontrole
Eigenlijk is de meerwaarde van een accountantscontrole simpel uit te leggen: de accountantscontrole biedt zekerheid. Zekerheid dat de financiële verantwoording in de vorm van de jaarrekening klopt. En aangezien die jaarrekening door verschillende belanghebbenden (denk aan aandeelhouders en banken) kan worden gebruikt, wil je dat deze klopt.
Daarnaast kan het ook de beheersing van je IT systemen verbeteren. Tijdens de accountantscontrole krijg je namelijk advies over zaken die wel en niet goed gaan in je systeem en kun je dus weer een paar mooie verbeterslagen maken!
3 belangrijke pijlers
De accountantscontrole bestaat uit 3 belangrijke pijlers:
- Logische toegangsbeveiliging
- Change management
- Continuïteit
Logische toegangsbeveiliging
De controle op logische toegangsbeveiliging geeft je de zekerheid over wat iemand gedaan heeft (wie doet wat) en de zekerheid dat deze collega daar ook rechten voor heeft.
De logische toegangsbeveiliging begint met identificatie. Daarbij moet je ervoor zorgen dat de namen van de gebruikers in de software kloppen. Kies daarom altijd voor ‘named users’ in plaats van een gebruiker die heet ‘secretariaat’.
Daarnaast wordt er gekeken naar de authenticatie. Hoe weet je zeker dat de gebruiker ook echt deze personen is? Dit kun je regelen door bijvoorbeeld gebruik te maken van multi-factor authenticatie.
Ook wordt er gekeken naar de autorisatie. Mag deze collega daadwerkelijk deze taak uitvoeren in de software? Hiervoor is het dus ook belangrijk dat je de rechten in je software goed hebt ingesteld. Netjes op groepen, niet op individuele gebruikers.
Als laatste spelen ook key-users een belangrijke rol tijdens de controle van logische toegangsbeveiliging. Deze gebruikers hebben natuurlijk meer rechten dan andere gebruikers. Dat kun je niet voorkomen, maar je moet er wel voor zorgen dat key-users geen gebruikers binnen de dagelijkse operatie zijn. Een financieel medewerker of medewerker salarisadministratie die ook key-user is kan bijvoorbeeld zichzelf rechten geven om mutaties te accorderen terwijl die daar volgens zijn of haar functie helemaal geen rechten heeft.
Functiescheiding is dus essentieel. En door signalen bouwen kun je eenvoudig instellen dat wanneer een key-user die niet geautoriseerd is voor een bepaalde actie deze toch uitvoert, je hier een seintje van krijgt.
Change management
Het is belangrijk om gestructureerd wijzigingen door te voeren zodat de dagelijkse werkzaamheden niet verstoort worden en ook het beheer van de software hetzelfde blijft.
Heb je een wijziging zoals een nieuwe functionaliteit of een verbeterd proces? Zorg er dan altijd voor dat:
- De wijziging getest is
- De wijziging goed werkt
- De wijziging geaccepteerd is door de gebruikers
- Er geen beheersing wegvalt
Continuïteit
Tijdens de accountantscontrole wordt continuïteit vanuit een wettelijk perspectief bekeken: heb jij voldoende de continuïteit van je systemen gewaarborgd?
Het is daarom belangrijk dat je goed nadenkt over de vraag ‘hoeveel data mag ik eigenlijk verliezen?’ en ‘als mijn systemen eruit liggen, hoe lang mag dat dan zijn?’ leg antwoorden op deze vragen ook vast in de procesbeschrijvingen.
Ook is het verstandig om te testen wat er gebeurd wanneer de systemen niet beschikbaar zijn. Brengt dat de continuïteit van jouw organisatie in gevaar? En op welke manier dan?
Daarnaast is privacy ook een belangrijk onderdeel van de continuïteit. Natuurlijk ben je verplicht om aan de privacy-wetgeving te voldoen. Volgens het verwerkingsregister mag je bepaalde gegevens verwerken.
Aan deze gegevens zijn dan door de wetten weer bewaartermijnen gekoppeld. Zorg ervoor dat je beschrijft welke gegevens je waarom en hoe lang bewaart en richt ook in de software in dat data na deze periode wordt verwijderd.
Alles borgen in de software
Je ziet het. Er moet ontzettend veel worden vastgelegd, geregeld en gedaan. Zorg er daarom voor dat je de 3 belangrijke pijlers borgt in je software. Dit kun je doen door het maken van een controleportaal.
In dit controleportaal stel je vervolgens beschikbaar:
- Analyses over bijvoorbeeld autorisatie;
- Rapporten over bijvoorbeeld logging;
- Documenten die gaan over procesbeschrijvingen;
- Processen (workflows) die aantonen welke wijzigingen er zijn geweest;
- Signalen over uitzonderingen.
Je geeft je accountant eenvoudig toegang tot het systeem en doordat hij of zij alles op één plek terug kan vinden verloopt deze controle dus een stuk sneller.
Ontbreekt er toch nog iets? Zorg er dan voor dat ook dit als een taak ingestuurd kan worden zodat jij grip hebt op je werk en ook deze wijziging weer is vastgelegd in de software.
