Hoewel beveiliging waarschijnlijk niet bovenaan de prioriteitenlijst staat van besluitvormers bij accountantskantoren bij de adoptie van nieuwe technologische tools, is het wel een van de meest cruciale elementen om te overwegen bij het beoordelen welke leveranciershulpmiddelen in audits moeten worden opgenomen.
Vertrouwen in de integriteit van gegevens bij audits is van vitaal belang, dus accountants moeten er volledig zeker van zijn dat transactiegegevens nauwkeurig en volledig zijn en niet zijn gemanipuleerd. Uiteindelijk ligt de verantwoordelijkheid bij de partner die de opdracht na voltooiing goedkeurt.
Wereldwijd zijn er verschillende beveiligingscertificeringsstandaarden die grotendeels overeenkomen met vergelijkbare principes, met slechts enkele nuances.
Het is de moeite waard om de tijd te nemen om te begrijpen waarom beveiliging belangrijk is en waar u op moet letten bij leveranciers, aangezien dit audits minder risicovol maakt en cruciaal is bij het afwegen met welke auditsoftwareleveranciers u wilt samenwerken.
Wat is beveiliging?
Gegevensbeveiliging omvat drie cruciale pijlers: vertrouwelijkheid, integriteit en beschikbaarheid.
1. Vertrouwelijkheid
Bedrijfssoftware moet de gegevens die het verwerkt vertrouwelijk houden om te voorkomen dat deze in verkeerde handen vallen en om kopers het vertrouwen te geven dat gegevens niet zullen worden misbruikt.
Als dit niet gebeurt, worden zakelijke gebruikers blootgesteld aan juridische risico's en schade aan de merkreputatie. Beursgenoteerde bedrijven kunnen hierdoor bijzonder worden getroffen als gevolg van ongunstige bewegingen in hun aandelenkoers.
Binnen de EU moet de vertrouwelijkheid van gegevens die door softwareleveranciers worden bewaard en verwerkt, worden beschermd door de AVG. Het niet naleven hiervan kan leiden tot boetes van 4% van de jaarlijkse wereldwijde omzet van het bedrijf, of $20 miljoen, afhankelijk van welk bedrag hoger is.
2. Integriteit
Integriteit in de context van gegevensbeveiliging betekent dat gebruikers moeten kunnen vertrouwen op de nauwkeurigheid en geldigheid van gegevens die door bedrijfssoftware worden verwerkt.
Gegevens moeten nauwkeurig en consistent zijn gedurende hun levenscyclus, aangezien bedrijven er anders niet op kunnen vertrouwen.
In de praktijk betekent dit dat er systemen moeten zijn om gegevens te controleren op fouten om aan te tonen dat er geen compromissen zijn gesloten. Bovendien moeten er validatieprocedures op gegevens worden toegepast om ervoor te zorgen dat deze niet zijn gewijzigd tijdens overdrachten van en naar systemen.
3. Beschikbaarheid
Beschikbaarheid is cruciaal voor gegevensbeveiliging, aangezien systemen en applicaties gegevens beschikbaar moeten stellen wanneer gebruikers deze nodig hebben.
Software moet voldoende robuust zijn om denial-of-service-aanvallen te weerstaan, zodat gebruikers te allen tijde ononderbroken toegang hebben tot gegevens.
Denial of service kan leiden tot het niet-operationeel zijn van applicaties of, in ernstige omstandigheden, systemen in een onveilige staat brengen.
Hoe deze beveiligingsprincipes voldoen aan de behoeften van auditors
Beveiliging moet een belangrijke overweging zijn bij de leveranciersselectie voor auditors. Deze principes zijn fundamentele elementen voor softwarebeveiligingscontroles die interne controles voor de audit van financiële overzichten ondersteunen.
Auditors moeten vertrouwen op deze beveiligingscontroles om taken uit te voeren met de relevante mate van zekerheid.
Ze moeten bijvoorbeeld volledig kunnen vertrouwen op de integriteit van bankbalansbevestigingen aan het einde van het jaar om te bewijzen dat de saldi correct zijn afgestemd.
Bovendien, wanneer banktransacties na het einde van het jaar worden opgevraagd voor doeleinden na de balansdatum, moeten auditors ervoor zorgen dat de geleverde gegevens voldoen aan de reikwijdte en dat de gegevens afkomstig zijn van een geautoriseerde partij en niet zijn gemanipuleerd.
Gebrek aan vertrouwen in de beveiliging van gegevens die in deze processen worden gebruikt, belemmert het vermogen van partners om audits goed te keuren.
Een andere reden waarom auditors moeten vertrouwen op beveiliging voor audittechnologie, is vanwege efficiëntie bij de personeelsbezetting en het stroomlijnen van processen. Voordelen van nieuwe audittechnologieën zijn onder meer automatiseringsfuncties die tijd besparen op kernauditworkflows en een mate van zekerheid bieden die verder gaat dan de mogelijkheden van menselijke auditors. Dit kan bijvoorbeeld het analyseren van 100% van de transacties omvatten om afwijkingen op te sporen.
Het is ook essentieel voor auditkantoren om te kunnen vertrouwen op de beveiliging van hun softwareleveranciers om automatisering te gebruiken ter ondersteuning en aanvulling van de inspanningen van het personeel. Als auditpartners niet zeker kunnen zijn van de onderliggende beveiliging van de gebruikte tools, zullen taken meer handmatige en menselijke inspanningen vereisen en extra personele middelen in beslag nemen. Ze zullen ook langer duren om op te leveren, wat de winstmarges aantast.
De gouden standaarden waarop u moet letten
Om aan de beveiligingseisen te voldoen, moeten auditkantoren minimaal leveranciers kiezen met een Informatiebeveiligingsbeheersysteem (ISMS) dat breed en volledig is in zijn reikwijdte. Dit moet alle risico's en bedreigingen met betrekking tot vertrouwelijkheid, integriteit en beschikbaarheid aanpakken.
Vergelijkbaar met de zekerheidsstandaarden voor financiële overzichten, zijn er internationale certificeringen voor beveiliging. Het kiezen van leveranciers die deze certificeringen hebben, zou auditors extra zekerheid moeten geven dat zij voldoen aan de hoogste beveiligingsniveaus.
De meest gebruikte standaarden zijn SOC2 (meer gangbaar in de VS) en ISO 27001 (vaker gebruikt in Europa).
Beide certificeringen garanderen dat aan de hoogste beveiligingsniveaus wordt voldaan. Er is overlap tussen de twee, maar er zijn enkele verschillen. Deze omvatten de manier waarop ze worden beheerd (het American Institute of Certified Public Accountants voor SOC2 en de ANSI-ASQ National Accreditation Board voor ISO 27001), en ISO 27001 wordt beschouwd als een moeilijkere certificering voor leveranciers om te behalen.
Uiteindelijk zullen auditors waarschijnlijk leveranciers kiezen die certificeringen toepassen in de geografische locaties van hun klanten.
Controleer vandaag nog de beveiliging van uw huidige leveranciers
Als u al samenwerkt met aanbieders van audittechnologie, beoordeel dan hun benadering van beveiliging om er zeker van te zijn dat deze voldoende geschikt is voor het doel. Als er geen formele accreditaties zijn, neem dan contact op met leveranciers en zorg ervoor dat zij een ISMS hebben geïmplementeerd.
Bij Circit voldoet onze beveiliging aan de hoogste standaarden voor onszelf en onze klanten. Naast formeel ISO 27001-gecertificeerd te zijn, is het platform volledig AVG-conform en al onze inhoud is versleuteld. We ondergaan momenteel een SOC2-accreditatie.
De beveiliging van gegevens wordt versterkt door de creatie van een uitgebreid en onveranderlijk audittraject, tussen alle partijen, inclusief auditkantoren en hun klanten, dat tijdstempels, IP-adressen en eindgebruikersinformatie insluit.
Lees hier meer over onze aanpak.
