IT-auditing voor controllers
Als controller ben je afhankelijk van cijfers, processen en rapportages die steeds vaker volledig door IT-systemen lopen. IT-auditing helpt je beoordelen of die informatie betrouwbaar genoeg is om op te sturen, te verantwoorden en op te controleren. Juist in een omgeving met ERP, workflows, koppelingen en cloudoplossingen is dat geen specialistisch randonderwerp meer, maar onderdeel van goed controlwerk.
Werk je met geautomatiseerde processen, autorisaties, interfaces of digitale dossieropbouw, dan krijg je automatisch te maken met IT-risico's en IT-controls. Op deze pagina lees je wat IT-auditing voor controllers praktisch betekent, waar je op moet letten en wanneer het verstandig is om IT- en AVG-collega's aan te haken.
Waarom IT-auditing relevant is voor controllers
De klassieke controlvraag blijft hetzelfde: kun je vertrouwen op de informatie waarop je stuurt en verantwoordt? Alleen ontstaat die informatie nu meestal via systemen, koppelingen en geautomatiseerde controles. Daardoor verschuift een deel van het controlwerk van handmatige checks naar het begrijpen van de inrichting en beheersing van IT.
Voor controllers is IT-auditing vooral relevant omdat het helpt om:
- de betrouwbaarheid van financiële en operationele rapportages beter te beoordelen
- te begrijpen waar een proces afhankelijk is van systeeminstellingen, autorisaties en interfaces
- eerder risico's te signaleren in plaats van pas bij de jaarrekeningcontrole
- beter onderbouwd samen te werken met interne audit, IT, privacy en externe accountant
IT-auditing voor controllers gaat dus niet over zelf technisch specialist worden, maar over voldoende inzicht krijgen in de IT-kant van beheersing om de juiste vragen te stellen en de juiste documentatie beschikbaar te hebben.
Waar kijk je als controller naar bij IT-auditing?
Niet elk IT-risico is direct een controlprobleem. Relevant zijn vooral de onderdelen die invloed hebben op volledigheid en juistheid van informatie (en vaak ook op tijdigheid en continuïteit in de uitvoering). In de praktijk gaat het vaak om een combinatie van general IT controls en procesgerichte applicatiecontroles.
General IT controls
General IT controls vormen de basis onder betrouwbare systeemverwerking. Als deze basis zwak is, wordt het moeilijker om te steunen op geautomatiseerde controles in processen. Voor controllers zijn met name deze gebieden van belang:
- Toegangsbeheer - wie heeft toegang tot systemen, rollen en kritieke transacties?
- Wijzigingsbeheer - worden systeemwijzigingen gecontroleerd getest, goedgekeurd en ingevoerd?
- IT-operations - zijn back-ups, incidentafhandeling, batchverwerking en monitoring voldoende beheerst?
Geautomatiseerde controles in processen
Daarnaast kijk je naar controles die direct in het proces of systeem zijn ingebouwd. Denk aan een 3-way match in Purchase-to-Pay, blokkades op facturatie, workflowstappen in payroll of systeemgestuurde validaties op stamgegevens. Als zulke controles goed zijn ingericht en aantoonbaar werken, geeft dat vaak meer comfort dan uitsluitend handmatige eindcontroles.
De koppeling met de jaarrekeningcontrole
Voor veel controllers wordt het belang van IT-auditing pas echt zichtbaar tijdens de jaarrekeningcontrole. De accountant wil dan niet alleen weten welke controles er op papier bestaan, maar ook of de onderliggende systemen en toegangsrechten voldoende beheerst zijn.
Zijn de IT-controls op orde, dan kan er vaker worden gesteund op systeemgerichte beheersing. Zijn er zwaktes in bijvoorbeeld autorisatiebeheer of change management, dan leidt dat vaak tot extra detailwerk, meer vragen in het dossier en minder voorspelbaarheid in de controleaanpak.
Voor jou als controller betekent dat concreet dat je voorbereid moet zijn op vragen over:
- procesbeschrijvingen en risk-control-matrices
- rollen en autorisaties binnen kritieke processen
- periodieke user access reviews
- wijzigingen in systemen, parameters of workflows
- logbestanden, incidentregistratie en back-up- of herstelprocedures
Hoe eerder je deze informatie samenbrengt, hoe kleiner de kans op verrassingen later in het verantwoordings- of controleproces.
Veelvoorkomende IT-risico's in controllerprocessen
De relevantie van IT-auditing zit vaak in herkenbare processen. Je hoeft daarvoor niet elk technisch detail te kennen, wel waar de belangrijkste kwetsbaarheden zitten.
| Proces | Voorbeelden van IT-risico's | Waar je als controller op let |
|---|---|---|
| Purchase-to-Pay | Bijvoorbeeld onjuiste of ongeautoriseerde leveranciersinrichting, te ruime autorisaties en het verwerken van facturen zonder passende matching/goedkeuring | Autorisatiematrix, 3-way match, beheersing van wijzigingen in stamgegevens, uitzonderingsrapportages |
| Order-to-Cash | Bijvoorbeeld onjuiste prijs- of conditiesettings, gebrekkige kredietchecks en fouten in (geautomatiseerde) facturatie of interfaces | Parameters, blokkades (zoals kredietblokkades), logging van wijzigingen, interface tussen order en facturatie |
| HR en Payroll | Bijvoorbeeld onbevoegde mutaties, ontbrekende of omzeilde workflowstappen en onvoldoende functiescheiding | Vier-ogen-principe (functiescheiding), mutatielogs, workflow-inrichting, periodieke controles op gebruikersrechten |
Wanneer schakel je IT- en AVG-collega's in?
Een belangrijk onderdeel van goed controlwerk is weten waar je expertise van anderen nodig hebt. Zeker bij IT-auditing voor controllers is samenwerking essentieel. Je hoeft niet zelf alles te toetsen, maar wel tijdig te signaleren wanneer een vraagstuk verder gaat dan financiële beheersing alleen.
Het is verstandig om IT- of AVG-collega's te betrekken als:
- de betrouwbaarheid van cijfers sterk afhankelijk is van systeeminrichting of koppelingen
- autorisaties, logging of wijzigingsbeheer onduidelijk zijn
- privacy, gegevensverwerking of bewaartermijnen een rol spelen
- er nieuwe applicaties, cloudoplossingen of interfaces worden ingevoerd
- bevindingen uit interne controle niet goed verklaard kunnen worden vanuit het proces alleen
Juist dat samenspel tussen control, audit, IT en privacy maakt het mogelijk om risico's sneller te duiden en verbeteracties beter te richten.
Wat levert meer IT-auditinzicht je op als controller?
Controllers die IT-risico's en IT-controls beter kunnen duiden, kunnen meer zekerheid krijgen over de vraag of een proces echt beheerst is of dat controles vooral op papier bestaan. Ook helpt het om beter onderbouwd in gesprek te gaan met management, auditors en accountants.
- meer grip op de betrouwbaarheid van data en rapportages
- betere onderbouwing van interne beheersing en VIC-werkzaamheden
- snellere signalering van tekortkomingen in processen en systemen
- efficiëntere voorbereiding op audits en externe controles
- duidelijker inzicht in wanneer specialistische ondersteuning nodig is
Verdiepen in IT-auditing binnen jouw controlpraktijk
Wil je als controller sterker worden in het beoordelen van interne beheersing, auditvraagstukken en het moment waarop je IT- en AVG-collega's moet inschakelen, dan is praktische verdieping waardevol. SBO biedt opleidingen, cursussen, congressen en incompany-trajecten voor professionals in onder meer internal audit, AO/IC, Planning & Control en controllersopleiding.
Een relevant voorbeeld is de opleiding interne auditor Interne Auditor VIC, waarin ook aandacht is voor wanneer en waarom je IT- en AVG-collega's betrekt. Zo vertaal je audit- en controlvraagstukken beter naar je eigen organisatie en dagelijkse praktijk.
Veelgestelde vragen
Wat is IT-auditing voor controllers?
IT-auditing voor controllers is het beoordelen van de mate waarin IT-systemen, geautomatiseerde processen en IT-controls voldoende zekerheid geven over betrouwbare informatie en beheersbare risico's. De focus ligt niet op techniek om de techniek, maar op de impact op rapportages, processen en interne beheersing.
Moet een controller zelf een IT-auditor zijn?
Nee. Een controller hoeft geen volwaardig IT-auditor te zijn, maar wel genoeg inzicht te hebben om relevante IT-risico's te herkennen, de juiste vragen te stellen en tijdig specialisten uit IT, audit of privacy te betrekken.
Wat is het verschil tussen handmatige controles en geautomatiseerde controles?
Handmatige controles worden door medewerkers uitgevoerd, bijvoorbeeld een review of afstemming. Geautomatiseerde controles zijn in systemen ingebouwd, zoals validaties, workflows, blokkades of matchingregels. In veel processen werken beide samen, maar geautomatiseerde controles zijn vaak bepalend voor schaalbaarheid en consistentie binnen controlling.
Wanneer is IT-auditing vooral belangrijk in de jaarrekeningcontrole?
Vooral wanneer financiële processen sterk afhankelijk zijn van ERP-systemen, autorisaties, interfaces en workflowgestuurde verwerking. Dan beïnvloedt de kwaliteit van IT-controls direct hoeveel zekerheid de accountant kan ontlenen aan de systeemomgeving en hoeveel aanvullende detailcontrole nodig is. In die context zijn ook AI-trends voor controllers relevant, omdat digitalisering en technologische ontwikkelingen nieuwe beheersingsvragen met zich meebrengen.
Met een achtergrond in Beleids- en Organisatiewetenschappen ontwikkelt Lotte opleidingen en congresprogramma’s op het snijvlak van zorg, datagedreven werken, transformatie en innovatie. Zij vertaalt complexe maatschappelijke en organisatorische vraagstukken naar inspirerende en praktijkgerichte programma’s die professionals ondersteunen bij verandering en vernieuwing. Vanuit haar expertise in organisatieontwikkeling en innovatie richt zij zich op thema’s als toekomstbestendige zorg, digitale transformatie en (project)management. Daarbij combineert zij inhoudelijke scherpte met een creatieve en verbindende aanpak, waarbij zij samen met experts en professionals werkt aan actuele, impactvolle en vernieuwende programma’s.