Home Administratie 7 tips om je goed voor te bereiden op een IT-audit

7 tips om je goed voor te bereiden op een IT-audit

2272
DELEN
7 tips om je goed voor te bereiden op een IT-audit

Automatisering en ICT komen steeds hoger op de agenda te staan. Waar IT-processen ooit hun intrede deden en groeiden tussen het kluwen van bedrijfsprocessen, ontstaat nu steeds meer de noodzaak om dat alles te optimaliseren. Is er wel nog een match tussen de IT-systemen en de doelstellingen van de organisatie? Is er voldoende ondersteuning? Kan het nog beter? Waar schuilen de risico’s? Het zijn stuk voor stuk vragen die ook de accountant zich zal stellen, zeker nu de IT-audit geïntegreerd werd in de controle-aanpak. Hoe kan je je echter optimaal voorbereiden vooraleer de IT-audit plaatsvindt? Wij geven alvast zeven tips.

# 1. Doe de nodige voorbereiding

Voor een externe auditor is het lang niet altijd even eenvoudig om inzicht te krijgen in de bedrijfsprocessen, de risico’s en de interne regels. Niet alleen gaat zo heel wat tijd en moeite verloren, bovendien loop je het risico dat de it audit niet de gewenste resultaten met zich meebrengt. Maak daarom vooraf een rapport met alle belangrijke informatie, heb aandacht voor licenties, voor restricties, voor veiligheidsmaatregelen en neem ook de ervaringen en bekommernissen van de medewerkers mee op. Ook de juridische afdeling kan bijvoorbeeld helpen om de brug tussen vertrouwelijkheidsclausules en cyberbeveiliging te verklaren.

# 2. Raadpleeg eerdere auditverslagen

Bij een IT-audit staat risicobeoordeling nu eenmaal centraal. Aan de basis zullen we steeds de eerdere auditrapporten terugvinden. Wat waren de plus- en minpunten en hoe is de onderneming daar nadien mee omgegaan? Niet alleen is dat belangrijk voor het intern rapport, bovendien kan je ook nog enkele aanpassingen doorvoeren én krijg je meteen een beter idee van de nalevingsrisico’s en van het verloop van de audit.

# 3. Voer vooraf een controle uit

Vooraleer een officiële controle wordt uitgevoerd, kan je ook zelf al een eigen controle uitvoeren. De bevindingen en vragen kunnen dan ook in alle transparantie worden overgelegd, terwijl je in de tussentijd bekend raakt met het volledige audit-proces. De voorafgaande controle helpt eveneens met het verhogen van de nauwkeurigheid van de toekomstige IT-audit  en garandeert dat je ook in de tussentijd al enkele cruciale maatregelen kan treffen. De bevindingen van de voorafgaande controle neem je tot slotte op in het voorafgaand rapport.

# 4. Tref veiligheidsmaatregelen

Bijna dagelijks komen ze wel in het nieuws: computervirussen, datadiefstal en cyberaanvallen. Lang niet alleen de nieuwe Europese privacywetgeving moet de onderneming aanzetten tot het beveiligen van data. Afwachten tot de IT-audit? Veiligheid gaat boven alles, waardoor je maar beter ook vooraf de nodige maatregelen treft. Het afschermen van mobiele apparaten, is bijvoorbeeld een echte must. Welke maatregelen je reeds kan treffen zal dan weer blijken uit de eigen voorafgaande controleanalyse.

# 5. Zorg voor voldoende technische kennis

Om een goede (interne) IT-audit uit te voeren, is technische kennis onontbeerlijk. Ook tijdens de normale bedrijfsvoering moeten de juiste mensen aan het roer van het technisch toezicht staan. Voldoende overleg met betrekking tot de verschillende risico’s, is minstens even belangrijk. Niet alleen houd je IT-auditors zo langer op afstand, bovendien garandeer je ook een nauwkeuriger verloop van zo’n audit. Het aantrekken van geschikte technische kennis is ook zelf een uitdaging, zonder dat dat voor de HR-afdeling onoverkomelijk mag zijn.

# 6. Breng het gebruik van persoonlijke gegevens in kaart

Steeds meer komt de nadruk te liggen op de verzameling, de verwerking, het gebruik en de beveiliging van persoonlijke gegevens. Ook bij een IT-audit zal dat het geval zijn. Breng daarom vooraf in kaart hoe de persoonlijke gegevens bijeengebracht werden, hoe de toestemming verkregen werd, hoe de persoonlijke gegevens gebruikt worden en hoe de beveiliging verloopt. Hier zullen zowel de juridische als de technische afdeling uitbundig moeten samenwerken. Desgevallend kunnen ook nu al tijdelijke maatregelen getroffen worden. Eventuele twijfelgevallen kunnen ook gewoon in alle transparantie aan de IT-auditors voorgelegd worden, die hun bevindingen in het auditrapport uit de doeken zullen doen.

# 7.  Zorg voor bewustwording

Een IT-audit hoeft echt niet als een kwalijke onderneming aanzien worden. Managers moeten zich dan ook niet alleen bewust zijn van de voordelen van gestroomlijnde IT-processen maar ook van de vele risico’s die er mogelijks aan verbonden zijn. Een adequate beveiliging is dan ook belangrijk voor alle lagen van de onderneming. Bewustwordingscampagnes, overleg en trainingen zijn onrechtstreeks een meerwaarde voor de feitelijke audit.

LAAT EEN REACTIE ACHTER

Please enter your comment!
Please enter your name here