Het Trojaanse paard van McAfee

Het verhaal van Troje is bij de meesten onder ons wel bekend. Na een jarenlange strijd stonden de Grieken nog steeds tegen de torenhoge en onneembare muren van Troje aan te kijken. Gelukkig hadden de Grieken Odysseus in hun midden die een list bedacht, namelijk het bouwen van een reusachtig houten paard gevuld met soldaten. Op een prachtige ochtend zagen de Trojanen een verlaten strand voor hun poort. Geen Griek te bekennen, behalve een houten paard dat een geschenk van de Grieken voor Pallas Athene bleek te zijn.

De Trojanen waren verheugd dat de Grieken zich eindelijk hadden teruggetrokken! Tegen de onheilspellingen in van Cassandra (vandaar: Cassandrasyndroom!) haalden de Trojanen het paard binnen de stadsmuren en vierden een overwinningsfeest. Later die nacht slopen Griekse soldaten uit het paard en openden de poorten waar de reeds verzamelde Griekse legers Troje binnen stroomden en de stad vernietigden. En zo was het einde van Troje een feit.

Wie had kunnen bedenken dat ongeveer 3200 jaar later het begrip Trojaans paard een veel gebruikte term in de wereld van automatisering zou zijn? En dan wel onder de noemer “kwaadaardige software”. Uiteindelijk werken de Trojaanse IT paarden volgens het zelfde principe: een gebruiker installeert een, in zijn of haar ogen, onschuldig programma. Echter in dit programma is een stuk kwaadaardige software verwerkt die, eenmaal binnen, vernietigend uit kan halen! In het ergste geval kan dit het einde van je systeem als gevolg hebben….. Zie hier de vergelijking met de Trojaanse oorlog. Lees verder →

Integratie van IT in de audit-aanpak voor het MKB

Niet nieuw is de toenemende automatiseringsgraad van MKB-bedrijven. In toenemende mate worden de bedrijfsprocessen geautomatiseerd en vaak geintegreerd in veelomvattende ERP-pakketten. Binnen het MKB wordt gebruik gemaakt van webwinkels, die rechtstreeks gekoppeld zijn aan de systemen van een MKB’er.

Geen nieuws dus. Het mag ook geen nieuws zijn dat deze ontwikkelingen ook de controleaanpak van de accountant in het MKB raken. De accountant die in veel gevallen niet of te weinig deze systemen betrok in de controleaanpak. De geschetste ontwikkelingen gaan deze houding vrijwel onmogelijk maken.

Binnen accountantsopleidingen wordt aandacht besteed aan de verschijningsvormen van IT. Ook wordt aandacht besteed aan IT in binnen de interne beheersing en binnen de controleaanpak van de accountant. Daarnaast is er al jarenlang een opleiding tot IT-auditor, die professionals opleidt tot het auditen en certificeren van (onderdelen van) geautomatiseerde omgevingen. Ook niets nieuws dus.

Toch worstelen veel accountantskantoren met de vraag hoe de IT in de auditaanpak te verwerken. Een deel van de accountants onderkent het probleem eenvoudigweg (nog) niet en controleert eenvoudigweg om de computer heen. De IT-auditors, die tenslotte hebben doorgeleerd, zien alle IT-aspecten in de reguliere accountantscontrole vooral als hùn domein. Zij weten er alles van, dat moet je niet aan die accountants overlaten. Zij zien het liefst een integrale rol voor de IT-auditor in de hele controle (met de budgettaire gevolgen van dien). En… de vers afgestudeerde accountants blijken toch niet allemaal zoveel te hebben opgestoken van de IT-componenten. Lees verder →