• Onze diensten

IT audit

Zoekt u ondersteuning op het gebied van IT Audit? Ons team beschikt over gecertificeerde IT-auditors (ook wel EDP-auditors genoemd) met zeer ruime ervaring bij een van de Big4-accountantskantoren op het gebied van IT Audit, die praktisch om weten te gaan met dilemma’s bij controles.

Volgens BW artikel 2:393 dient een accountant verslag uit te brengen aan de raad van commissarissen en in ieder geval melding te maken van bevindingen met betrekking tot de betrouwbaarheid en continuïteit van de geautomatiseerde gegevensverwerking. Maar ook wanneer een accountant gebruik wenst te maken van geautomatiseerde beheersingsmaatregelen of rapportages uit IT-systemen (controls afhankelijk van IT) dient te zijn aangetoond dat de IT General Controls in opzet voldoende zijn en gedurende de toetsingsperiode ook hebben gewerkt. Vanuit de reviews merken wij dat de aandacht voor de werkzaamheden van de accountant op het gebied van IT is aangescherpt en steeds meer onder het vergrootglas komt te liggen. Hoewel terecht, begrijpen wij dat niet ieder accountancykantoor een volwaardige IT-audit en/of data analyse afdeling ter beschikking heeft ter ondersteuning van (misschien slechts enkele) controleklanten. Wij kunnen u helpen met het uitvoeren van IT-audits en data-analyses, dossierreviews en training en on-the-job coaching van accountants en (junior) IT auditors.

Third Party Mededeling (ISAE3402/SOC1/SOC2)

Een Derdenverklaring of Third Party Mededeling (TPM) is een verklaring die afgegeven wordt door een onafhankelijk auditpartij over de kwaliteit van een ICT-dienstverlening en – beheersing van een organisatie. Een organisatie die haar processen of diensten door een auditor heeft laten toetsen volgens de ISAE 3402 standaard, laat aan haar opdrachtgevers zien dat processen betrouwbaar uitgevoerd worden en informatie voldoende beveiligd is.  In de VS wordt een dergelijke verantwoording een Service Organisation Control (SOC) 1 genoemd. Daarnaast wordt SOC 2 steeds populairder in Nederland. Voor een SOC 2 rapportage is niet de jaarrekening het uitgangspunt, maar de Trust Service Principles. De Trust Service Principles (TSP) is regelgeving uit de VS op het gebied van security, beschikbaarheid, processing integriteit en vertrouwelijkheid. Wij informeren u graag verder over alle ins- en outs en kunnen u ondersteunen bij de uitvoer van dergelijke audits. Wij hebben in 2011 zelfs een van de allereerste ISAE3402-onderzoeken in Nederland uitgevoerd.

DigiD

Alle organisaties die DigiD gebruiken moeten voldoen aan een beveiligingsnorm. Via een ICT-beveiligingsassessment moeten zij dit laten toetsen. Een IT-auditor toetst in een IT-audit of uw organisatie voldoet aan de norm. Wij beschikken over gecertificeerde DigiD IT-auditors die de toets voor u kunnen uitvoeren.

VIPP

VIPP is het implementatieprogramma voor ziekenhuizen (fase 1), overige instellingen voor medisch specialistische zorg (fase 2) en GGZ-instellingen (fase 3) om in drie jaar extra stappen te zetten om de patiënt digitale toegang te geven tot de eigen medische gegevens. Het VIPP-programma bestaat uit meerdere modules ofwel doelstellingen. Om te zien of een module gehaald is, moet een toetsing worden aangevraagd bij een gekwalificeerde IT-auditor. Zodra de toets is aangevraagd en goed bevonden, wordt het subsidiebedrag dat bij deze doelstelling hoort, toegekend door het ministerie van VWS. Wij beschikken over gecertificeerde VIPP IT-auditors die de toets voor u kunnen uitvoeren (en deze in 2018 en 2019 reeds hebben uitgevoerd voor klanten in fase 1 en 2 van het VIPP-programma).

API

De afgelopen jaren is een enorme groei zichtbaar van (intelligente) applicaties, die aan elkaar gekoppeld worden middels Application Programming Interface (API) technologie om waardevolle data en services te ontsluiten. Bij het bouwen van een API is het van belang dat een API management systeem in gebruik is op basis waarvan gewaarborgd wordt dat de processen inzake ontwikkeling, testen, acceptatie en installatie van de API op een beheersbare wijze worden uitgevoerd. Naast het functionele aspect (juistheid en volledigheid ontsloten data of betrouwbare werking ontsloten services) voor de werking van de API is ook de beveiliging van de API van cruciaal belang. Uiteraard is het belang van de API beveiliging groter in het geval het een API betreft tussen externe systemen in plaats van tussen systemen binnen een organisatie of intern netwerk. Wij hebben een audit product ontwikkeld, waarbij op basis van een set van normen assurance gegeven kan worden over de betrouwbaarheid en beveiliging van een API.

Advies

IT governance, risk & compliance management

Digitale transformatie is aan de orde van de dag. Het vervangen van oude technologie door dynamische (cloud)oplossingen. Bedrijven beleggen de performance van IT-dienstverlening steeds vaker bij externe partijen. Daarbij wordt de invloed van wet- en regelgeving steeds groter. Deze ontwikkelingen leiden tot vraagstukken op het gebied van integratie, inrichting en verantwoordelijkheid. Hoe houd je hier als organisatie grip op en reduceer je de verbonden risico’s tegen aanvaardbare kosten? Wij helpen u met het vinden van de juiste balans tussen performance, risico’s en kosten.

Security & privacy assessments

Er gaat geen dag voorbij zonder verontrustend nieuws over een cyberaanval, computervirus of datalek. Organisaties die de risico’s van veiligheidsdreigingen negeren lopen een groot risico dat hun waardevolle digitale informatie niet goed is beschermd. Wij kunnen u ondersteunen bij het opzetten van een effectieve beveiligingsstrategie (op basis van ISO27001 of NEN7510) of bij het in kaart brengen van uw huidige en geambieerde niveau van informatiebeveiliging. Daarnaast informeren wij u graag verder over de Europese privacywetgeving (AVG) en kunnen wij privacy scans en privacy audits uitvoeren.

Quality Assurance bij implementaties

Bij de uitvoer van IT-implementatieprojecten gaat nog wel eens iets mis, waardoor de uitkomst niet of niet helemaal voldoet aan de verwachtingen. Mogelijke oorzaken zijn onrealistische doelstellingen of slecht project management. Wij hebben ruime ervaring met kwaliteitsborging binnen IT-projecten en begrijpen daarnaast ook goed de verwachtingen die uw accountant vanuit oogpunt van de jaarrekeningcontrole heeft. Door risico’s tijdig te onderkennen, in te schatten op kans en (financiële) impact kunnen er ruim voor go-live maatregelen worden genomen om eventuele negatieve gevolgen te beperken. Wij ontzorgen u door onze cyclische aanpak die de fasering van uw project volgt.

Data-analyse

U wilt uw data analyseren en deze informatie gebruiken om inzicht te krijgen in het behalen van uw bedrijfsdoelstellingen en het verbeteren van financiële resultaten. Hierbij zorgt de toename van de hoeveelheid data via diverse interne- en externe kanalen voor extra uitdagingen. Wij kunnen u ondersteunen bij het inbedden van business intelligence in uw organisatie. Denk hierbij aan geautomatiseerde rapportages, dashboards en analytics. Ook in de accountancywereld is data-analyse via diverse tools een belangrijke ontwikkeling. Wij hebben een sterke voorkeur voor integratie van transactie- (process mining) en gegevensgerichte data-analyse in controles en zijn, in samenwerking met financial auditors, actief in het opzetten en uitvoeren van analyse strategieën ter verhoging van de kwaliteit van accountancy controles.