2 min read
Purchase to pay proces in de cloud slimme stap voor controleplichtigen
Redactie Easy Systems 17 mei 2021
Wanneer je organisatie een groei doormaakt, heb je ook te maken met meer transacties: meer verkopen, meer inkopen en dus ook meer facturen. De druk op je financiële afdeling neemt toe.
Bovendien wordt je organisatie als de groei doorzet, mogelijk controleplichtig en moet je de organisatie voorbereiden op controle van de jaarrekeningen.
Een purchase to pay oplossing kan je helpen groei op te vangen en tegelijkertijd een rol spelen in de voorbereidingen voor controle van de jaarrekening. Waar gaat allemaal op gelet worden en is de organisatie daar klaar voor? Een belangrijk punt die je keuze voor een purchase to pay oplossing flink zal beïnvloeden is dat de accountant de betrouwbaarheid en continuïteit van geautomatiseerde gegevensverwerking beoordeelt.
Hoe makkelijk is het tegenwoordig nog voor organisaties om zich echt goed te beveiligen tegen alle cyberrisico's? - Ron van Deun, Registeraccountant
Waarom beoordeelt de accountant IT-security?
De accountant heeft de wettelijke plicht te beoordelen of de beveiliging en continuïteit van geautomatiseerde processen geborgd zijn. Zijn of haar bevindingen worden vastgelegd in het accountantsverslag. Het wettelijk kader daarvoor, volgt uit Art. 2:393 Lid 4 BW.
"De accountant brengt omtrent zijn onderzoek verslag uit aan de raad van commissarissen en aan het bestuur. Hij maakt daarbij ten minste melding van zijn bevindingen met betrekking tot de betrouwbaarheid en continuïteit van de geautomatiseerde gegevensverwerking."
Waarom is een cloudoplossing gewenst als je controleplichtig bent?
Behalve naar de onderliggende transacties die ten grondslag liggen aan de cijfers, kijkt de accountant die de controle uitvoert ook welke maatregelen een organisatie heeft genomen op het vlak van IT-security. Denk bijvoorbeeld aan maatregelen om persoonsgegevens veilig en correct te verwerken om daarmee te voldoen aan de AVG en in dat kader ook in welk land de data opgeslagen staat. Europa heeft tenslotte andere wetgeving dan bijvoorbeeld de Verenigde Staten. Een ander voorbeeld van maatregelen waar de accountant op let is op het vlak van identificatie, autorisatie en authenticatie om de risico's in het kader van de jaarrekeningcontrole in te kunnen schatten.
Expert Ron van Deun aan het woord
Ron van Deun, Registeraccountant bij WVDB: "Hoe makkelijk is het tegenwoordig nog voor organisaties om zich echt goed te beveiligen tegen alle cyberrisico's? Identiteitsfraude, datalekken... organisaties hebben nogal wat security zaken om zich mee bezig te houden. Met het vele thuiswerken komt daar nog een extra dimensie bij, want hoe veilig is de thuiswerkomgeving van waaruit alle medewerkers willen inloggen op bedrijfssoftware?
Functiescheiding, een belangrijk aspect van interne beheersing, is in een cloud infrastructuur eenvoudiger (centraal) in te regelen en beter te controleren
Steeds meer gesprekken met klanten, en echt niet alleen de controleplichtigen, gaan over hoe je nou het beste je gegevens beveiligd. Een cloudomgeving kan bijdragen om dit risico beter te beheersen. Zeker voor het MKB, die vaak geen grote IT-afdeling heeft, is het moeilijk om zelf goed te regelen en de eigen servers goed te beveiligen, daar komt veel bij kijken. Functiescheiding bijvoorbeeld, is een belangrijk aspect van interne beheersing, en dit is in een cloud infrastructuur eenvoudiger (centraal) in te regelen en beter te controleren."
Risico's onder controle met cloudomgeving
Een cloudoplossing - één die bewezen veilig is - kan hierbij ondersteunen. Heb je als controleplichtige organisatie zelf relevante ISO certificaten, zoals ISO 27001 voor informatiebeveiliging, dan kan de accountant hier rekening mee houden in zijn risicoanalyse. Biedt je leverancier een cloudomgeving die ISO 27017 gecertificeerd is, dan heb je de risico's op het vlak van datasecurity goed onder controle.
Een cloudleverancier kan een veiliger omgeving bieden dan de meeste organisaties zelf kunnen inrichten. De kosten voor een dergelijk hoog beveiligingsniveau zijn voor één organisatie te hoog, terwijl een cloudleverancier groter kan inkopen en daardoor betere prijsafspraken kan bedingen. Belangrijk blijft uiteraard wel dat je zelf ook kritisch blijft naar je leverancier en je goed laat informeren over de genomen veiligheidsmaatregelen.