Als controller wil je harde zekerheid over de betrouwbaarheid van cijfers die volledig door IT-systemen worden gegenereerd. IT auditing voor controllers gaat precies daarom: begrijpen welke IT-risico’s je cijfers raken, welke controles echt werken en hoe je de jaarrekeningcontrole sneller, goedkoper en met meer zekerheid doorloopt. In dit artikel krijg je praktische handvatten rond GITC, geautomatiseerde controles, data-analyse en de toepassing van ISA 315 in jouw organisatie.
Waarom IT-auditing onmisbaar is voor controllers
Processen zijn gedigitaliseerd en ketens lopen over meerdere applicaties en clouds. Traditionele steekproeven alleen volstaan dan niet meer. IT-auditing laat je beoordelen of de IT-omgeving zó is ingericht dat financiële processen betrouwbaar draaien. Het resultaat voor jou: minder verrassingen bij de jaarrekeningcontrole, duidelijkheid over waar je op kunt steunen en waar aanvullende substantieve werkzaamheden nodig zijn. Denk aan sneller afronden van P2P- en payroll-dossiers omdat je kunt aantonen dat kritieke systeemcontroles effectief zijn. Werk je in de (semi)publieke sector? Dan sluit dit naadloos aan op Risicomanagement voor overheid en non-profit binnen de planning & control-cyclus.
IT-audit in de jaarrekeningcontrole: wat moet je als controller weten
Auditors bepalen of ze op IT-controles kunnen steunen. Twee begrippen zijn cruciaal: General IT Controls (GITC) en geautomatiseerde applicatiecontroles. GITC borgen de randvoorwaarden, zoals toegangsbeheer, wijzigingsbeheer en IT-operations. Als GITC niet op orde zijn, kan een auditor vaak niet steunen op geautomatiseerde controles en neemt de hoeveelheid detailwerk toe.
Voorbeelden die je dossier sterker maken:
- Purchase-to-Pay: 3-way match en leveranciersstamgegevens met rollen en autorisaties gescheiden.
- Order-to-Cash: kredietlimietcontrole, prijsafspraken als systeemparameter, factuurblokkades bij uitzonderingen.
- HR/Payroll: functiemutaties via workflow met logging en 4-ogen, salarisrun met exception-rapportages en hergoedkeuring na wijzigingen.
Praktisch voorbereiden doe je met actuele procesbeschrijvingen, een risk-control-matrix, bewijs van periodieke user access reviews, change tickets met testresultaten en een incident- en back-uplog. Zo kan de auditor gericht testen en kun jij reliance op IT-controles onderbouwen. Een stevig fundament voor datakwaliteit en governance leg je met Datamanagement in de praktijk.
Standaard 315 in de praktijk: van IT-risico naar effectieve controle
Accountancystandaard 315 vraagt om een diep begrip van het IT-landschap en de risico’s die de financiële verslaggeving raken. Voor controllers betekent dit gestructureerd werken van risico naar controle en bewijs.
Zo pak je het aan:
- Breng het IT-landschap in kaart: welke applicaties, databases, integraties en serviceproviders zijn relevant voor de cijfers.
- Koppel risico’s aan beweringen bij de jaarrekening: juistheid, volledigheid, bestaan, cut-off, classificatie.
- Identificeer IT-afhankelijke en geautomatiseerde controles die het risico mitigeren, inclusief parameters en workflows.
- Toets GITC: toegangsbeheer (MFA, SoD, UAR), wijzigingsbeheer (ontwikkelen-testen-goedkeuren), operations (back-ups, batchverwerking, monitoring, incidentafhandeling).
- Bepaal de impact: als GITC en key controls effectief zijn, kan de auditor meer steunen op IT en neemt de detailcontrole af.
Voor de publieke sector komt daar vaak bij: eisen rond privacy en informatiebeveiliging, en afhankelijkheden van ketenleveranciers met bijvoorbeeld ISAE 3402-rapportages. Controllers die hun AVG-verantwoordelijkheden willen borgen, kiezen voor de Opleiding Functionaris Gegevensbescherming (AVG). Continu data-analyse, bijvoorbeeld met process mining voor audit en controle, kan helpen om uitzonderingen vroeg te vinden en bevindingen onder ISA 315 te onderbouwen.
Wil je je kennis versneld toepassen? Bekijk de opleidingen bij SBO, zoals de Opleiding Interne Auditor (VIC), of kies een incompany traject.
Belangrijkste IT-auditcontroles voor controllers
- Toegangsbeheer: user lifecycle, periodieke UAR, MFA, segregation of duties.
- Wijzigingsbeheer: gescheiden omgevingen, test- en goedkeuringssporen, noodwijzigingen geborgd.
- IT-operations: back-ups getest, batchjobs gemonitord, incidenten geregistreerd en opgelost.
- Interfaces: reconciliaties, hash-totals en foutafhandeling tussen systemen.
- Configuraties: parameters voor btw, betaalblokkades, tolerantiegrenzen en prijzen beheerst.
- Logging en monitoring: exception-rapportages beoordeeld en opgevolgd.
- Derde partijen: ISAE 3402-rapportages beoordelen en gaps afdekken.
Betrouwbare audittrails vragen ook om helder datagovernance en eigenaarschap. De Opleiding Data Steward helpt je dit structureel in te richten.
Veelgestelde vragen
Welke soorten IT-auditcontroles bestaan er?
Grofweg vier: General IT Controls (toegang, wijzigingen, operations), geautomatiseerde applicatiecontroles, IT-dependent manual controls en entity-level controls. Bij uitbesteding hoort ook het beoordelen van ISAE 3402-rapportages van serviceproviders.
Kan een auditor controller worden?
Ja. Skills als risicodenken, procesinzicht en documenteren sluiten goed aan. Voor een controllerrol heb je extra focus nodig op stuurinformatie, businesscases en stakeholdermanagement. Kennis van data-analyse en automatisering versnelt de overstap.
Wat zijn de 5 C's van auditing?
Criteria, Condition, Cause, Consequence en Corrective action. Ze helpen om bevindingen helder te onderbouwen en gericht verbeteracties te formuleren, zodat management en auditcommissie snel de juiste besluiten kunnen nemen.