SAS70 en de internal auditor

Maat: px
Weergave met pagina beginnen:

Download "SAS70 en de internal auditor"

Transcriptie

1 SAS70 binnenwerk :22 Pagina 1 Studio Mac_1 SAS70 en de internal auditor Practice Advisory IIA werkgroep SAS70 Mariska Baars (voorzitter) Rick Mulders Jan Ite Muller Nicolette Nuijs Han Zevenhuizen

2 SAS70 binnenwerk :22 Pagina 2 Studio Mac_1

3 SAS70 binnenwerk :22 Pagina 3 Studio Mac_1 Voorwoord De missie van IIA Nederland is om het beroep en vak "internal audit" in Nederland te ondersteunen, ontwikkelen en promoten, en daarvoor internal auditors, management en andere belanghebbenden te ondersteunen bij een succesvolle invulling van de internal auditfunctie. Hieraan wordt onder meer invulling gegeven met vaktechnische projecten waarin actuele onderwerpen worden uitgediept en waarvan de kennis vervolgens ter beschikking wordt gesteld aan de internal auditing belanghebbenden. Het IIA vaktechnische project "SAS70" heeft geleid tot deze Practice Advisory, tot stand gekomen door onderzoek en afstemming van kennis en visie met beroepsgenoten. Wij bedanken een ieder die aan de totstandkoming van deze Practice Advisory heeft meegewerkt. IIA werkgroep SAS70 Mariska Baars (voorzitter) Rick Mulders Jan Ite Muller Nicolette Nuijs Han Zevenhuizen De Commissie Vaktechniek, waaronder de werkgroep ressorteerde, en het bestuur van IIA Nederland zijn zeer verheugd met de publicatie van deze Practice Advisory. Wij willen dan ook de werkgroepleden bedanken voor hun inzet en gelukwensen met het resultaat. Wij bevelen lezing aan de leden van IIA Nederland van harte aan. Namens het bestuur IIA Nederland Namens de Commissie Vaktechniek Harrie de Poot Aad Vincenten, voorzitter 3

4 SAS70 binnenwerk :22 Pagina 4 Studio Mac_1

5 SAS70 binnenwerk :22 Pagina 5 Studio Mac_1 Inhoudsopgave VOORWOORD 3 1. INLEIDING 7 2. SAS DE AANLEIDING: UITBESTEDING DE OORSPRONG KENMERKEN EN DE INHOUD VAN HET SAS70 RAPPORT ROLLEN EN VERANTWOORDELIJKHEDEN HUIDIG EN TOEKOMSTIG GEBRUIK ALTERNATIEVEN SAS70 BIJ DE GEBRUIKERS ORGANISATIE: ROLLEN VAN DE INTERNAL AUDITOR INLEIDING ROLLEN INTERNAL AUDITOR VAN DE GEBRUIKERS ORGANISATIE Ex ante (voorafgaand aan het SAS70 rapport) Advisering management tijdens beginfase van uitbesteding Advisering management onder inhoud SAS Tijdens (SAS70 rapport ontvangen) Ex-post (na ontvangst SAS70 rapport) PRAKTISCH VRAAGSTUK 21 Aansluiting bij het interne beheersingsraamwerk van de gebruikers organisatie 4. SAS70 BIJ DE SERVICE PROVIDER: ROLLEN VAN DE INTERNAL AUDITOR INLEIDING ROLLEN INTERNAL AUDITOR VAN DE SERVICE PROVIDER Ex-ante (voorafgaand aan het SAS70 rapport) Advisering management over nut SAS Advisering management over inhoud SAS Advisering management over externe accountant Tijdens (SAS70 traject) Advisering management over uitvoering SAS70 traject SAS70 audit werkzaamheden internal auditor Ex-post (na afgifte SAS70 rapport) Advisering management over verbeteringen naar aanleiding van SAS Advisering management over onderhoud van SAS70 rapport ENKELE PRAKTISCHE VRAAGSTUKKEN Onder uitbesteding Generiek of maatwerk? 30 BIJLAGE 1 SAS70 VERGELEKEN 31 5

6 SAS70 binnenwerk :22 Pagina 6 Studio Mac_1

7 SAS70 binnenwerk :22 Pagina 7 Studio Mac_1 1. Inleiding 7

8 SAS70 binnenwerk :22 Pagina 8 Studio Mac_1 1. Inleiding Wet- en regelgeving eisen in toenemende mate van ondernemingen dat zij aantoonbaar in control zijn. Voor ondernemingen die processen hebben uitbesteed brengt dit een complicatie met zich mee: zij moeten de eis van aantoonbaarheid doorvertalen naar de service provider. Uitbesteding verandert immers niets aan hun eigen verantwoordelijkheid voor risicobeheersing. Bij het onderling aan elkaar afleggen van verantwoording over de kwaliteit van het in control zijn, is een oude bekende, het SAS70 rapport, nieuw leven ingeblazen. SAS70 is van oorsprong exclusief gekoppeld aan de jaarrekeningcontrole en primair bedoeld als communicatiemiddel tussen de externe accountants van de gebruikers organisatie en de service provider onderling. Echter, er is een ontwikkeling gaande waarbij SAS70 anders wordt ingezet, bijvoorbeeld als verantwoording over de operationele beheersing (niet/beperkt gekoppeld aan de jaarrekening) en in uiterste gevallen zelfs als kwaliteitscertificaat. Hoewel hier vaktechnische (AICPA) grenzen worden geraakt (overschreden), wordt met dit andere gebruik van een SAS70 rapport klaarblijkelijk invulling gegeven aan een informatiebehoefte. Naast de verschillende rollen die een internal auditor kan spelen in het SAS70 traject, brengen de (on)mogelijkheden van SAS70 ook uitdagingen voor de internal auditor met zich mee. Zijn kennis van de organisatie en vaktechnische achtergrond maken hem de aangewezen persoon het management te ondersteunen in een SAS70 traject. Dit geldt zowel binnen de gebruikers organisatie als binnen de service provider en zowel op het vlak van advisering als van audit werkzaamheden. Over deze uitdagingen, de praktische invulling er van en vraagstukken uit de praktijk gaat deze Practice Advisory. In hoofdstuk 2 wordt ingegaan op de theoretische achtergrond van SAS70. Vervolgens worden in de hoofdstukken 3 en 4 de rollen van de internal auditor in een SAS70 traject bij een gebruikers organisatie respectievelijk een service provider uitgewerkt. 8

9 SAS70 binnenwerk :22 Pagina 9 Studio Mac_1 Hoofdstuk 2 SAS70 9

10 SAS70 binnenwerk :22 Pagina 10 Studio Mac_1 2.1 De aanleiding: uitbesteding Uitbesteding heeft geleid tot een nieuwe indeling van ondernemingen: zij die uitbesteden (de gebruikers organisaties) en zij die de uitbestede services voor hun rekening nemen (de service providers). Zowel business processen als IT processen worden uitbesteed. Tot enkele jaren geleden had IT-outsourcing voornamelijk betrekking op het uitbesteden van de IT-infrastructuur en het beheer. Doordat het voor de gebruikers tegenwoordig bijna niet meer relevant is waar de ITsystemen zich fysiek bevinden en worden beheerd, wordt tegenwoordig steeds meer de gehele IT-organisatie (inclusief applicatiebeheer) uitbesteed. Ook worden hele administratieve processen uitbesteed, inclusief IT (back-office outsourcing). Bij uitbesteding blijft de gebruikers organisatie onverminderd verantwoordelijk voor de uitbestede processen. Ook voor het uitbestede gedeelte moet de gebruikers organisatie aantoonbaar kunnen voldoen aan wet- en regelgeving: - Wanneer het uitbestede proces is gekoppeld aan materiële posten van de jaarrekening, heeft de accountant voor de jaarrekeningcontrole van de gebruikers organisatie inzicht nodig in de kwaliteit van de procesbeheersing bij de service provider. - Vanuit Sarbanes Oxley heeft de gebruikers organisatie inzicht nodig in de kwaliteit van de procesbeheersing bij de service provider. - Financiële instellingen bijvoorbeeld hebben te maken met eisen vanuit Bazel II, en specifieke eisen van toezichthouders. Ook voor de door hen uitbestede processen gelden deze eisen. De service provider moet dus op zoek naar een middel om de informatiebehoefte van de gebruikers organisatie (de klant) in te vullen. Een veelgebruikt middel is SAS De oorsprong Het SAS70 rapport vindt zijn oorsprong in de jaarrekeningcontrole: het is een communicatiemiddel tussen externe accountants onderling in een situatie van uitbesteding: de service provider verstrekt met het rapport, inclusief accountantsmededeling, assurance aan de accountant van de gebruikers organisatie. Dit rapport moet worden opgesteld conform de richtlijnen van SAS70 1. Vanuit de (Nederlandse) jaarrekeningcontrole bezien begint de vraag naar assurance met COS "Inzake de taak van de accountant bij de uitbesteding van werkzaamheden aan een service organisatie" (ISA 402). 1 2 SAS70 staat voor Statement on Auditing Standards No. 70 van de Amerikaanse accountants organisatie AICPA. Na omnummering van de Amerikaanse standaarden staat SAS70 momenteel bekend als AU Section 324: Service Organizations Controle en Overige Standaarden (NivRA) 10

11 SAS70 binnenwerk :22 Pagina 11 Studio Mac_1 2.3 Kenmerken en de inhoud van het SAS70 rapport De belangrijkste kenmerken 3 van het SAS70 rapport zijn: Het betreft een assurance report; Het gaat over uitbestede processen, beheersdoelstellingen en de beheersmaatregelen die nodig zijn om deze doelstellingen te realiseren; De beschreven processen en beheersmaatregelen moeten zijn gerelateerd aan het informatiesysteem van de gebruikers organisatie (jaarrekening); Er bestaan twee typen: type I over opzet en bestaan en type II over opzet, bestaan op een moment en de werking van beheersmaatregelen over een bepaalde periode; SAS70 is geen normenkader, het betreft voorschriften voor de rapportage (rapportage format) waarbinnen de opsteller zelf zijn normenset en beheersmaatregelen kiest (de externe accountant toetst overigens wel de mate waarin de door het management geformuleerde beheersdoelstellingen worden ondersteund door de beschreven beheersmaatregelen); Het SAS70 rapport kent een beperkte gebruikerskring en mag daarbuiten slechts worden verstrekt na uitdrukkelijke toetstemming van de certificerende accountant. Een SAS70 rapport bevat de volgende onderdelen: De mededeling van een externe accountant naar aanleiding van de audit op het SAS70 rapport; De beschrijving van de organisatie en beheersmaatregelen op organisatorisch niveau (de COSO componenten Control Environment, Risk Assessment, Information and Communication and Monitoring), de processen van de service provider en de beheersdoelstellingen (control objectives); Beschrijving van de beheersmaatregelen die zijn gerelateerd aan de uitbestede processen maar de verantwoordelijkheid zijn van de gebruikers organisatie (user control considerations); Beschrijving van de beheersmaatregelen (in COSO termen de control activities) die realisatie van de beheersdoelstellingen moeten waarborgen. In geval van type II: beschrijving van de externe accountant betreffende de uitgevoerde testwerkzaamheden en uitkomsten daarvan. Facultatief is het onderdeel Overige informatie waarin bijvoorbeeld belangrijke recente ontwikkelingen of maatregelen ten aanzien van continuïteit kunnen worden toegelicht. Over deze informatie verstrekt de externe accountant geen assurance. 3 Voor een volledig overzicht wordt verwezen naar de AICPA publication: Service Organizations: Applying SAS NO. 70 (May, 2004). 11

12 SAS70 binnenwerk :22 Pagina 12 Studio Mac_1 2.4 Rollen en verantwoordelijkheden Gevisualiseerd bestaat het SAS70 "spelersveld" uit: Internal Audit Gebruikers Organisatie Internal Audit Service Organisatie IT Infrastructuur IT Applicaties Bedrijfsproces A Bedrijfsproces B ABC B.V. Amsterdam Jaarrekening 200x IT Infrastructuur IT Applicaties Bedrijfsproces A Bedrijfsproces B 70 SAS APPROVED BY THE AUDITOR Bedrijfsproces C APPROVED BY THE AUDITOR Gebruikers organisatie: ontvanger van het SAS70 rapport, toetst het aan haar eisen voor interne beheersing over de uitbestede processen. Externe accountant van de gebruikers organisatie: Ontvanger van het SAS70 rapport en toetst het aan zijn behoefte voor de jaarrekening controle van de gebruikers organisatie. Service provider: verantwoordelijk voor het SAS70 rapport met uitzondering van de accountantsmededeling en bevindingen. Externe accountant van de service provider: verantwoordelijk voor certificering van het SAS70 rapport en het rapport van de service provider. Internal auditor: wanneer de gebruikers organisatie en de service provider beschikken over een internal audit functie, kunnen internal auditors op verschillende momenten rollen vervullen gedurende het SAS70 traject. In de volgende hoofdstukken zijn deze rollen nader uitgewerkt. 12

13 SAS70 binnenwerk :22 Pagina 13 Studio Mac_1 2.5 Huidig en toekomstig gebruik SAS70 is verbonden aan de jaarrekeningcontrole in een uitbestedingssituatie. Momenteel wordt een SAS70 rapport echter niet uitsluitend gebruikt voor de jaarrekeningcontrole. Ook bij de behoefte aan assurance in meer operationele zin (bijvoorbeeld ingegeven door de Wet Financieel Toezicht) krijgt SAS70 een nadrukkelijker rol. In uiterste gevallen wordt een SAS70 rapport gebruikt als een marketing instrument of (onterecht) gepresenteerd als een kwaliteitscertificaat. Hierbij kan de situatie ontstaan dat gebruik, of mogelijk in sommige gevallen misbruik, wordt gemaakt van de (randen van) de vaktechnische uitgangspunten. In hoofdstuk 4, bij de rol van de internal auditor van de service provider, wordt dit aspect nader toegelicht. 2.6 Alternatieven Omdat SAS70 momenteel erg populair is, wordt dit, in toenemende mate als standaard onderdeel tijdens contractonderhandelingen tussen service provider en gebruikers organisatie meegenomen. Er zijn echter ook alternatieven. Een SAS70 rapport is omvangrijk en brengt gemiddeld veel werk en (controle- en advies)- kosten met zich mee. Dit is niet altijd noodzakelijk. Wanneer bijvoorbeeld assurance op onderdelen (bijvoorbeeld specifieke (IT) controls) nodig is, hoeft men niet geïnteresseerd te zijn in het algemene gedeelte van het rapport (Control Environment enz.). Een alternatief kan zijn een Third Party Memorandum of een rapportage op basis van specifiek overeengekomen werkzaamheden. De werkzaamheden en kosten verbonden aan een TPM of een rapport van feitelijke bevindingen zijn vaak een stuk lager, terwijl het mogelijk is, vergeleken met SAS70, een voldoende mate van zekerheid te verstrekken. Naast assurance rapportages, kan een gebruikers organisatie, afhankelijk van haar informatie/ assurance behoefte, ook kijken naar kwaliteitskeurmerken van een service provider, bijvoorbeeld ISO certificeringen. ISO certificeringen kennen een andere basis en bieden in tegenstelling tot SAS70 geen assurance (in accountancy termen) maar kunnen wel aansluiten bij een informatiebehoefte van een gebruikers organisatie. Bijlage 1 bevat een vergelijking van SAS70 met TPM en ISO certificering. In hoofdstuk 4 wordt uitgewerkt welke afwegingen de internal auditor maakt in dit kader en het gebruik dat hij kan maken van de verschillende mogelijkheden. 13

14 SAS70 binnenwerk :22 Pagina 14 Studio Mac_1

15 SAS70 binnenwerk :22 Pagina 15 Studio Mac_1 Hoofdstuk 3 SAS70 bij de gebruikersorganisatie: rollen van de internal auditor 15

16 SAS70 binnenwerk :22 Pagina 16 Studio Mac_1 3.1 Inleiding Wet- en regelgeving vragen de gebruikers organisatie aantoonbaar in control te zijn. Voor de uitbestede activiteiten worden deze eisen veelal doorvertaald in de vraag om assurance van de gebruikers organisatie aan de service provider. Omdat het management van een gebruikers organisatie zich doorgaans liever (en terecht) focust op de core processing (operationele resultaten), komt het assurance vraagstuk vaak te liggen bij de auditors: de externe accountant en de internal auditor. 3.2 Rollen internal auditor van de gebruikers organisatie De taken en verantwoordelijkheden van de externe accountant in een SAS70 traject zijn beschreven in beroepsregels en vaktechnische voorschriften (AICPA guide SAS70). Dit is strikt gereguleerd. De internal auditor heeft echter een ander speelveld; hij ondersteunt het management als onderdeel van het totale risico management raamwerk van de organisatie. In een SAS70 traject kan de internal auditor grote toegevoegde waarde leveren, vooral door goed begrip te hebben van de (on)mogelijkheden van SAS70 kan hij het management ondersteunen in het effectief en efficiënt voldoen aan wet- en regelgeving en assurance daarbij. Door begrip te hebben van de (on)mogelijkheden van SAS70 kan de internal auditor zijn toegevoegde waarde vergroten in het ondersteunen van het management bij het effectief en efficiënt voldoen aan wet- en regelgeving in het geval van uitbesteding. 16

17 SAS70 binnenwerk :22 Pagina 17 Studio Mac_ Ex ante (voorafgaand aan het SAS70 rapport) In een vroeg stadium van het uitbestedingsproces dient het management te bepalen hoe inzicht in de kwaliteit van de risicobeheersing van de uit te besteden processen moet worden verkregen, welke vragen hierbij gesteld moeten worden (intern en aan de service provider) en hoe het "assuranceproces" zo efficiënt mogelijk kan worden ingericht Advisering management tijdens beginfase van uitbesteding Met het voornemen tot uitbesteding ontstaat een aantal vragen op het vlak van voldoen aan wet- en regelgeving. Daarom is het belangrijk dat de internal auditor in een vroeg stadium is aangesloten bij het proces van besluitvorming. De internal auditor vervult hierbij een adviesrol. Zaken die de internal auditor bij het management onder de aandacht kan brengen zijn: - Is de uitbesteding in lijn met de wet- en regelgeving die op de gebruikers organisatie van toepassing is: Mag het proces worden uitbesteed? - Is duidelijk hoe de uitbesteding zich verhoudt tot de compliance eisen van de gebruikers organisatie: welke regels worden geraakt? - Wordt getoetst of de service provider betrouwbaar is? - Welke controls zijn binnen de gebruikers organisatie gewenst ten behoeve van het monitoren van de uitbestede diensten (dit zal vaak nog moeten worden ingericht) Stellen wet- en regelgeving hier aan eisen? - De aard en omvang van de beheersmaatregelen van de gebruikers organisatie op de in- en uitgaande stromen richting de service provider (user controls). - Bij het opstellen van het uitbestedingscontract moeten afspraken worden opgenomen over de gewenste (minimaal) af te dekken beheersdoelstellingen en mogelijk zelfs de specifieke beheersmaatregelen bij de service provider. Daarnaast dient de aard, timing en frequentie waarop assurance wordt verkregen te worden opgenomen in het contract. De toegevoegde waarde van de internal auditor neemt toe, wanneer deze zo vroeg mogelijk betrokken wordt in het besluitvormingstraject van uitbesteding. In uitbestedingscontracten wordt veelal een right to audit bepaling opgenomen Dit betekent dat de gebruikers organisatie gedurende de looptijd van de uitbesteding audits kan laten uitvoeren bij de service provider door eigen of andere (externe) auditors. Dit kan naast afspraken over assurance worden opgenomen, zo houdt de gebruikers organisatie altijd het recht tot het doen van eigen waarnemingen. 17

18 SAS70 binnenwerk :22 Pagina 18 Studio Mac_ Advisering management over inhoud SAS70 De internal auditor die het management adviseert over de inhoud van het SAS70 rapport, neemt hierbij onder meer het volgende in acht: - Overleg met de externe accountant; - Wet- en regelgeving waar de gebruikers organisatie aan moet voldoen; - De wijze waarop de gebruikers organisatie de in- en uitgaande stromen richting service provider controleert; - De risico-analyse van internal audit. Overleg met de externe accountant De externe accountant van de gebruikers organisatie is één van de primaire belanghebbenden bij het SAS70 rapport van de service provider. Voor het bepalen van diens informatiebehoefte, zal de externe accountant beginnen met een analyse op basis van jaarrekening van de gebruikers organisatie: welke posten worden geraakt door de uitbesteding, wat is de impact, in andere woorden, zijn de geraakte posten van materieel belang? Vervolgens zal hij een koppeling maken van deze posten naar processen en systemen om te komen tot het inzicht in de beheersomgeving en specifieke beheersmaatregelen waarover zekerheid dient te worden verkregen. Toepasselijke wet- en regelgeving voor de gebruikers organisatie Sarbanes Oxley stelt eisen aan de in Amerika beurs genoteerde ondernemingen, waartoe onder meer het opnemen van een In control Statement behoort. Vanuit de service provider kan hiervoor input worden geleverd met een SAS70 rapport. Financiële instellingen die onder toezicht van De Nederlandsche Bank vallen, moeten voldoen aan regelgeving betreffende het beheersen van onder meer de operationele en IT risico's. Waar relevant of noodzakelijk zal de instelling de eigen controls, die deze aspecten borgen, willen terugvinden in het SAS70 rapport van de service provider. De wijze waarop de gebruikers organisatie de in- en uitgaande stromen richting service provider controleert Bij uitbesteding vindt er informatie uitwisseling plaats tussen de gebruikers organisatie en de service provider. De beheersmaatregelen die de gebruikers organisatie heeft, beïnvloeden de assurance vraag aan de service provider. Wanneer de gebruikers organisatie bijvoorbeeld dagelijks vaststelt dat de terugontvangen data gelijk is aan de aan de service provider verzonden data is mogelijk minder of andere assurance nodig dan wanneer dergelijke totaalcontroles niet (kunnen) worden uitgevoerd. Risico-analyse conform de eigen audit risico-analyse methodiek De internal auditor beschikt veelal over een auditplanning gebaseerd op een risico-analyse. De inhoud van de risico-analyse kan goed worden benut als input voor de te bepalen informatiebehoefte omdat deze gegevens zal bevatten over aard, omvang en belangrijkste risico's en controls van de processen. 18

19 SAS70 binnenwerk :22 Pagina 19 Studio Mac_1 Wanneer op basis van interne inventarisatie de gewenste inhoud helder is moet worden gewaarborgd dat de controls waarover assurance wordt gewenst, overeenkomen met de controls van het SAS70 rapport dat de service provider gaat opleveren. Ter voorkoming van een mis-match achteraf, is het van het grootste belang dat vooraf goede afspraken gemaakt worden over de gewenste informatie (of noodzakelijke controle-informatie) tussen de betrokken partijen. Dit betekent dat: - Een overleg plaatsvindt tussen gebruikers organisatie, service provider, de betrokken externe accountants aan beide kanten en de betrokken internal auditors. - Voor alle partijen vastgelegd wordt wat er in het SAS70 rapport moet staan: welke processen (scope), welke beheersdoelstellingen en mogelijks zelfs welke beheersmaatregelen. Indien de service provider al de beschikking heeft over één of meerdere SAS70 rapporten zal de internal auditor, mogelijk in samenwerking met de externe accountant, de inhoud van het bestaande rapport toetsen aan de assurance behoefte. Het is van groot belang zo vroeg mogelijk bij alle betrokken partijen helder te hebben voor welke aspecten assurance verkregen moet worden Tijdens (SAS70 rapport ontvangen) Internal auditors voeren in de praktijk vaak een toetsing uit op het SAS70-rapport. Deze toetsing richt zich op de vraag of het SAS70-rapport de informatiebehoefte afdekt en of het overeenkomt met de eerdere gemaakte afspraken. De volgende vragen komen hierbij onder meer aan de orde: Toetsing op nakoming afspraken Komen de scope, de periode en de controls overeen met de control objectives en de gemaakte afspraken? Is het type rapport (type I, type II) conform afspraken? Wanneer verschillen bestaan met de gemaakte afspraken, dient hiervoor overleg plaats te vinden, zie paragraaf Ex-post. Inhoudelijke toetsing De inhoudelijke toetsing van het ontvangen SAS70 rapport moet leiden tot een antwoord op de vraag of de risico's bezien vanuit de gebruikers organisatie zijn afgedekt. In de praktijk komt het voor dat een mismatch bestaat tussen gewenste en verkregen assurance. Bijvoorbeeld ten aanzien van: De periode die het SAS70 rapport afdekt De periode (werking) van het SAS70 rapport (type II) sluit niet aan op de gevraagde periode. De oplossing kan gevonden worden door het vragen om additionele zekerheid over de ontbrekende periode aan de service provider, welke bijvoorbeeld verkregen kan worden middels additionele gegevensgerichte werkzaamheden van de externe accountant of internal auditor (daarom strekt het tot de aanbeveling een "right to audit" clausule op te nemen) of een managementverklaring over de ontbrekende periode. 19

20 SAS70 binnenwerk :22 Pagina 20 Studio Mac_1 De strekking van de accountantsmededeling in het ontvangen SAS70 rapport De door de accountant geconstateerde afwijkingen kunnen op twee manieren terugkomen in het SAS70 rapport: Afwijkingen die het (positieve) oordeel niet beïnvloeden, de accountant volstaat hier met het vermelden van de afwijking(en) bij de beschrijving van de uitgevoerde werkzaamheden. Afwijkingen die het oordeel beïnvloeden. Dit wordt opgenomen in de accountantsmededeling. Voor de gerapporteerde afwijkingen zal de impact moeten worden beoordeeld op het beheersingsraamwerk van de gebruikers organisatie. Dit zal zowel de externe accountant als de interne auditor van de gebruikers organisatie doen. Onderdeel van de impact analyse zijn ook de beheersingsmaatregelen van de gebruikers organisatie, mogelijk hebben bepaalde beheersingsmaatregelen bij de gebruikers organisatie een mitigerend effect op tekortkomingen bij de service provider. Bij onvoldoende zekerheid geldt ook hier dat getracht zal moeten worden additioneel zekerheid te verkrijgen door extra auditwerkzaamheden en/of een management verklaring Ex-post (na ontvangst SAS70 rapport) De analyse van het ontvangen SAS70 rapport resulteert in een antwoord op de vraag of het ontvangen rapport de informatiebehoefte afdekt. Indien het rapport de informatiebehoefte niet afdekt terwijl dit wel contractueel is overeengekomen dan moet door de gebruikers organisatie worden aangedrongen op naleving van het contract. Wanneer één en ander nog niet contractueel is geregeld zullen aanvullende afspraken (uitbestedingscontract, SLA) moeten worden overeengekomen. Het ontvangen SAS70 rapport moet worden getoetst op inhoud en naleving van gemaakte afspraken. Waar nodig kan dit leiden tot bijstelling van contractuele afspraken. 20

21 SAS70 binnenwerk :22 Pagina 21 Studio Mac_1 3.3 Praktisch vraagstuk Aansluiting bij het interne beheersingsraamwerk van de gebruikers organisatie Een SAS70 rapport kan aanleiding zijn voor de gebruikers organisatie om (nog eens) kritisch te kijken naar het internal control framework van de organisatie: zijn definities van processen en beheersingmaatregelen helder en staan de belangrijkste beheersmaatregelen (ook wel key controls genoemd) vast? Een helder raamwerk biedt voordelen bij uitbesteding. Zo kan op eenvoudige wijze de identificatie plaatsvinden van de beheersmaatregelen die uitbesteed worden aan de service provider en dientengevolge in de SAS70-rapportage moeten worden opgenomen. Ook wanneer meerdere processen aan mogelijk verschillende service providers worden uitbesteed levert een helder raamwerk voordelen op: aan de hand van het raamwerk kan worden vastgesteld welke assurance bij welke service provider moet worden neergelegd en kan worden bepaald of en in hoeverre de verschillende assurance rapportages op elkaar aansluiten, met andere woorden, of het geheel van (relevante) processen (en risico's) van gebruikers organisatie en service providers is afgedekt. Duidelijk moge zijn dat hier een mooie rol voor de internal auditor is weggelegd als initiator, dat wil zeggen, als diegene dit het management attendeert op noodzaak dan wel wenselijkheid van een dergelijk raamwerk. Ten aanzien van het raamwerk kan de internal auditor een adviserende of beoordelende rol vervullen. 21

22 SAS70 binnenwerk :22 Pagina 22 Studio Mac_1 22

23 SAS70 binnenwerk :22 Pagina 23 Studio Mac_1 Hoofdstuk 4 SAS70 bij de service provider: rollen van de internal auditor 23

24 SAS70 binnenwerk :22 Pagina 24 Studio Mac_1 4.1 Inleiding Dit hoofdstuk behandelt de rollen die de internal auditor van de service provider kan vervullen. De keuze voor een bepaalde rol hangt onder meer af van kosten-/baten overwegingen en/of het gekozen samenwerkingsmodel tussen interne- en externe accountant. 4.2 Rollen internal auditor van de service provider Het SAS70 rapport van de service provider wordt van een accountantsmededeling voorzien door de externe accountant. Dit sluit niet uit dat er een aantal belangrijke taken zijn weg gelegd voor de internal auditor. De internal auditor van de service provider beschikt over een aantal eigenschappen welke hem bij uitstek geschikt maken voor het adviseren van het management in een SAS70 traject: - Kennis van de organisatie van de service provider: zowel intern (beheersings raamwerk) als extern: het speelveld waarin de service provider opereert (eisen van stakeholders zoals klanten, toezichthouder(s) en externe accountant). - Vaktechnische kennis: kennis van het assurance raamwerk: de verschillende mogelijkheden die de service provider kan benutten om te voldoen aan de informatiebehoefte van stakeholders. Door de (on)mogelijkheden van SAS70 goed te kennen, kan de internal auditor zijn toegevoegde waarde vergroten in het ondersteunen van het management bij het effectief en efficiënt invullen van assurance behoeften van externe partijen Ex-ante (voorafgaand aan het SAS70 rapport) Advisering management over nut SAS70 De internal auditor moet het management duidelijk maken dat door toenemende wet- en regelgeving en ontwikkelingen in de markt (transparantie, (cross-border) outsourcing, toenemende complexiteit producten en beheersomgeving) de vraag naar assurance van gebruikers organisatie(s) toeneemt. Een ander, concreter, argument is die van efficiency in verantwoording. Wanneer de service provider contracten heeft met meerdere gebruikers organisaties waarin een "right to audit" clausule is opgenomen, is de service provider verplicht (meerdere) andere auditors toe te laten. In dat geval is het efficiënter om met een (SAS70) rapport meerdere gebruikers organisatie(s) tevreden te stellen. Overigens kan het extern aantonen dat de onderneming in control is, een concurrentievoordeel zijn: potentiële nieuwe klanten kunnen met een SAS70 rapport overtuigd worden van de kwaliteit van risicobeheersing van de service provider. 24

25 SAS70 binnenwerk :22 Pagina 25 Studio Mac_ Advisering management over inhoud SAS70 Omdat de internal auditor op de hoogte is van externe en interne vereisten kan deze adviseren wat in het SAS70 rapport moet staan. Vaststelling van scope (proces), control objectives en controls Tot de scope van het SAS70 rapport moet minimaal behoren de door de gebruikers organisatie uitbestede processen. Aanknopingspunten voor de exacte inhoud (scope, beheersdoelstellingen en beheersmaatregelen) zijn: - Overleg met de gebruikers organisatie. Bij de start van een SAS70 traject verdient het aanbeveling een overleg te organiseren tussen de auditors van de gebruikers organisatie en die van de service provider; en - De gemaakte afspraken tussen de gebruikers organisatie en de service provider, in het algemeen vastgelegd in service level agreements. Wanneer sprake is van veel gebruikers organisaties en het eerste punt niet haalbaar is, is het een optie om uitsluitend uit te gaan van de deze afspraken. - Wet- en regelgeving kan ook input leveren voor de inhoud van het rapport: welke beheersdoelstellingen moeten minimaal worden gerealiseerd vanuit deze regels. Het SAS70 rapport bevat ten eerste de beschrijving van de service organisatie. Hier wordt aan de hand van de COSO componenten Control Environment, Risk Assessment, Information en Communication en Monitoring de organisatie beschreven. Deze beschrijving wordt in principe opgesteld door de organisatie, een alternatief is dat de internal auditor een voorzet doet (gezien zijn kennis van COSO) en deze laat toetsen door de organisatie. Na de beschrijving van de organisatie wordt specifiek beschreven over welke beheersdoelstellingen assurance wordt verstrekt, bijvoorbeeld, integriteit van uitgevoerde processen. De beheersmaatregelen beschrijven vervolgens op detailniveau de werkzaamheden die bij de service provider worden uitgevoerd om de beheersdoelstellingen te realiseren. Generiek of maatwerk Bij voorkeur wordt één generiek SAS70 rapport ontwikkeld: één rapport waarmee aan meerdere partijen assurance kan worden verstrekt. Dit heeft kostentechnische voordelen. Wanneer het niet anders kan, kunnen ook maatwerk SAS70 rapporten worden ontwikkeld maar dan dient (onder mee) duidelijkheid te bestaan over wie de kosten draagt (zie Praktische vraagstukken in paragraaf 4.3). Normenkader Zoals eerder gezegd, is SAS70 geen normenkader. SAS70 schrijft voor hoe het rapport moet worden ingedeeld en wat beschreven moet worden, maar stelt geen inhoudelijke eisen aan de beheersdoelstellingen en de beheersmaatregelen. Voor het algemene gedeelte, waarin de organisatie wordt beschreven wordt geadviseerd COSO te volgen. Dit houdt in dat beschreven wordt hoe de Control Environment eruit ziet (inclusief de verschillende COSO elementen) en hoe de componenten Risk Assessment, Information and Communication en Monitoring zijn ingericht. Aan de component Control Activities wordt invulling gegeven met de beschrijving van de beheersmaatregelen. 25

SAS70 en de internal auditor

SAS70 en de internal auditor SAS70 binnenwerk 07-01-2008 21:03 Pagina 1 Studio Mac_1 SAS70 en de internal auditor Practice Advisory IIA werkgroep SAS70 Mariska Baars (voorzitter) Rick Mulders Jan Ite Muller Nicolette Nuijs Han Zevenhuizen

Nadere informatie

ISAE 3402 en de internal auditor

ISAE 3402 en de internal auditor ISAE 3402 en de internal auditor Praktijkhandreiking Instituut van Internal Auditors Nederland ISAE 3402 en de internal auditor Praktijkhandreiking Instituut van Internal Auditors Nederland Disclosure

Nadere informatie

MKB Cloudpartner Informatie TPM & ISAE 3402 2016

MKB Cloudpartner Informatie TPM & ISAE 3402 2016 Third Party Memorandum (TPM) Een Derde verklaring of Third Party Mededeling (TPM) is een verklaring die afgegeven wordt door een onafhankelijk audit partij over de kwaliteit van een ICT-dienstverlening

Nadere informatie

2014 KPMG Advisory N.V

2014 KPMG Advisory N.V 01 Uitbesteding & assurance 11 Nut en noodzaak van assurance reporting Auteurs: Rosemarie van Alst en Fons Basten Wie activiteiten uitbesteedt, wil graag zekerheid over de kwaliteit en integriteit van

Nadere informatie

SAS 70 maakt plaats voor ISAE 3402

SAS 70 maakt plaats voor ISAE 3402 SAS 70 maakt plaats voor ISAE 3402 Sinds enkele jaren is een SAS 70-rapportage gemeengoed voor serviceorganisaties om verantwoording af te leggen over de interne beheersing. Inmiddels is SAS 70 verouderd

Nadere informatie

CobiT. Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1

CobiT. Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1 CobiT Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1 Control objectives for information and related Technology Lezenswaardig: 1. CobiT, Opkomst, ondergang en opleving

Nadere informatie

SAS 70 en daarna: controls reporting in een breder kader

SAS 70 en daarna: controls reporting in een breder kader SAS 70 en daarna: controls reporting in een breder kader Stefan Verweij en Suzanne Keijl, Systems & Process Assurance Ondernemingen besteden in toenemende mate processen uit, ook processen die in het verleden

Nadere informatie

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce. Cloud Computing, een inleiding ICT Accountancy & Financials congres 2013: Cloud computing en efactureren 10 december 2013 Jan Pasmooij RA RE RO: jan@pasmooijce.com 10 december 2013 1 Kenmerken van Cloud

Nadere informatie

OPKOMST VAN EEN NIEUWE WERELDWIJDE ASSURANCESTANDAARD ISAE 3402: einde van SAS 70 in zicht?

OPKOMST VAN EEN NIEUWE WERELDWIJDE ASSURANCESTANDAARD ISAE 3402: einde van SAS 70 in zicht? OPKOMST VAN EEN NIEUWE WERELDWIJDE ASSURANCESTANDAARD ISAE 3402: einde van SAS 70 in zicht? Dit artikel is geschreven om u te informeren over de ontwikkelingen op het gebied van third party reporting 1,

Nadere informatie

Frequentiemodel Internal Audit Friesland Bank. K.T. Kloosterman Leeuwarden, 31 mei 2005

Frequentiemodel Internal Audit Friesland Bank. K.T. Kloosterman Leeuwarden, 31 mei 2005 Frequentiemodel Internal Audit Friesland Bank K.T. Kloosterman Leeuwarden, 31 mei 2005 Agenda 1) Algemeen Internal Audit 2) Waarom frequenteren van onderzoeken 3) Totstandkoming en inhoud Missie Internal

Nadere informatie

Praktijkervaringen binnen SAS70-trajecten

Praktijkervaringen binnen SAS70-trajecten Compact 2005/2 Praktijkervaringen binnen SAS70-trajecten Drs. ing. S.R.M. van den Biggelaar RE en drs. P.C.V. Waldenmaier RE RA Het uitbesteden van bedrijfsprocessen aan derden wint aan populariteit. Recentelijk

Nadere informatie

Het assurance-raamwerk De accountant en het verstrekken van zekerheid

Het assurance-raamwerk De accountant en het verstrekken van zekerheid Het assurance-raamwerk De accountant en het verstrekken van zekerheid Koninklijk Nederlands Instituut van Registeraccountants Inhoudsopgave 1 Inleiding 3 2 Het begrip assurance en maatschappelijke ontwikkelingen

Nadere informatie

2014 KPMG Advisory N.V

2014 KPMG Advisory N.V 02 Uitbesteding & assurance 23 Overwegingen bij uitbesteding back- en mid-office processen van vermogensbeheer Auteurs: Alex Brouwer en Mark van Duren Is het zinvol voor pensioenfondsen en fiduciair managers

Nadere informatie

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system!

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system! Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system!! Tom Veerman! Triple A Risk Finance B.V.! 1! Programma! Solvency II stand

Nadere informatie

1. FORMAT PLAN VAN AANPAK

1. FORMAT PLAN VAN AANPAK INHOUDSOPGAVE 1. FORMAT PLAN VAN AANPAK 1.1. Op weg naar een kwaliteitsmanagementsysteem 1.2. Besluit tot realisatie van een kwaliteitsmanagementsysteem (KMS) 1.3. Vaststellen van meerjarenbeleid en SMART

Nadere informatie

RiskTransparant, deel 2. De waarde van een ISAE rapport? welke waarde heeft een ISAE voor het bestuur: in control of een illusie van control

RiskTransparant, deel 2. De waarde van een ISAE rapport? welke waarde heeft een ISAE voor het bestuur: in control of een illusie van control RiskTransparant, deel 2 De waarde van een ISAE rapport? welke waarde heeft een ISAE voor het bestuur: in control of een illusie van control In deze tweede serie uit een reeks van zeven delen, delen wij

Nadere informatie

Accountantsprotocol declaratieproces. revalidatiecentra fase 2 : bestaan en

Accountantsprotocol declaratieproces. revalidatiecentra fase 2 : bestaan en Accountantsprotocol declaratieproces revalidatiecentra fase 2 : bestaan en werking Versie 29 september 2015 Inhoud 1. Inleiding en uitgangspunten 3 2. Onderzoeksaanpak accountant 4 2.1 Doel en reikwijdte

Nadere informatie

Controleprotocol subsidies gemeente Alkmaar voor verantwoording subsidies > 250.000

Controleprotocol subsidies gemeente Alkmaar voor verantwoording subsidies > 250.000 Controleprotocol subsidies gemeente Alkmaar voor verantwoording subsidies > 250.000 1 Algemeen Op grond van de Kaderverordening Subsidieverstrekking van de gemeente Alkmaar kunnen subsidies worden verstrekt.

Nadere informatie

Risicomanagement en NARIS gemeente Amsterdam

Risicomanagement en NARIS gemeente Amsterdam Risicomanagement en NARIS gemeente Amsterdam Robert t Hart / Geert Haisma 26 september 2013 r.hart@risicomanagement.nl / haisma@risicomanagement.nl 1www.risicomanagement.nl Visie risicomanagement Gemeenten

Nadere informatie

Actieplan naar aanleiding van BDO-onderzoek. Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012

Actieplan naar aanleiding van BDO-onderzoek. Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012 Actieplan naar aanleiding van BDO-onderzoek Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012 Inhoudsopgave - Actieplan GVB Raad van Commissarissen GVB Holding N.V. n.a.v. BDO-rapportage 13

Nadere informatie

Handleiding uitvoering ICT-beveiligingsassessment

Handleiding uitvoering ICT-beveiligingsassessment Handleiding uitvoering ICT-beveiligingsassessment Versie 2.1 Datum : 1 januari 2013 Status : Definitief Colofon Projectnaam : DigiD Versienummer : 2.0 Contactpersoon : Servicecentrum Logius Postbus 96810

Nadere informatie

Een OVER-gemeentelijke samenwerking tussen Oostzaan en Wormerland

Een OVER-gemeentelijke samenwerking tussen Oostzaan en Wormerland OVER OOSTZAAN Een OVER-gemeentelijke samenwerking tussen Oostzaan en Wormerland WORMERLAND. GESCAND OP 13 SEP. 2013 Gemeente Oostzaan Datum : Aan: Raadsleden gemeente Oostzaan Uw BSN : - Uw brief van :

Nadere informatie

Controleverklaring van de onafhankelijke accountant

Controleverklaring van de onafhankelijke accountant Controleverklaring van de onafhankelijke accountant Aan: de algemene vergadering van Nederlandse Waterschapsbank N.V. Verklaring over de jaarrekening 2014 Ons oordeel Wij hebben de jaarrekening 2014 van

Nadere informatie

Ronald van der Wal Enterprise Risk Services

Ronald van der Wal Enterprise Risk Services Beoordeling van een service auditor s rapport in het kader van de jaarrekeningcontrole en de rol van de IT auditor Auteurs: Niels Smit Enterprise Risk Services Deloitte Accountants B.V. Mobile: +31 (0)

Nadere informatie

GEMEENTELIJKE TELECOMMUNICATIE MOBIELE COMMUNICATIE. Bijlage 04 Kwaliteitsborging en auditing

GEMEENTELIJKE TELECOMMUNICATIE MOBIELE COMMUNICATIE. Bijlage 04 Kwaliteitsborging en auditing GEMEENTELIJKE TELECOMMUNICATIE MOBIELE COMMUNICATIE Bijlage 04 Kwaliteitsborging en auditing Inhoud 1 Inleiding 3 2 Aantonen kwaliteitsborging van de dienstverlening 4 3 Auditing 5 3.1 Wanneer toepassen

Nadere informatie

Auteurs: Jan van Bon, Wim Hoving Datum: 9 maart 2009. Cross reference ISM - COBIT

Auteurs: Jan van Bon, Wim Hoving Datum: 9 maart 2009. Cross reference ISM - COBIT Auteurs: Jan van Bon, Wim Hoving Datum: 9 maart 2009 Cross reference ISM - COBIT ME: Monitor & Evaluate Cross reference ISM - COBIT Management summary Organisaties gebruiken doorgaans twee soorten instrumenten

Nadere informatie

Controleprotocol provincie Utrecht

Controleprotocol provincie Utrecht Controleprotocol provincie Utrecht Controleprotocol voor de accountantscontrole bij door de provincie Utrecht gesubsidieerde instellingen Januari 2010 Controleprotocol provincie Utrecht 1 van 7 Controleprotocol

Nadere informatie

Niet-financiële informatie (NFI) in Nederland

Niet-financiële informatie (NFI) in Nederland Niet-financiële informatie (NFI) in Nederland Koninklijk NIVRA Michèl J.P. Admiraal RA IBR 7 december 2009 1 Inhoud van deze presentatie 1. Voorstellen spreker 2. State of the art in Nederland 3. NIVRA

Nadere informatie

SAP Risk-Control Model. Inzicht in financiële risico s vanuit uw SAP processen

SAP Risk-Control Model. Inzicht in financiële risico s vanuit uw SAP processen SAP Risk-Control Model Inzicht in financiële risico s vanuit uw SAP processen Agenda 1.Introductie in Risicomanagement 2.SAP Risk-Control Model Introductie in Risicomanagement Van risico s naar intern

Nadere informatie

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag André Salomons Smart SharePoint Solutions BV Cloud security en de rol van de accountant ICT Accountancy praktijkdag Cloud security moet uniformer en transparanter, waarom deze stelling? Links naar de artikelen

Nadere informatie

INTERNATIONALE CONTROLESTANDAARD 610 HET IN AANMERKING NEMEN VAN DE INTERNE AUDITWERKZAAMHEDEN

INTERNATIONALE CONTROLESTANDAARD 610 HET IN AANMERKING NEMEN VAN DE INTERNE AUDITWERKZAAMHEDEN INTERNATIONALE CONTROLESTANDAARD 610 HET IN AANMERKING NEMEN VAN DE INTERNE AUDITWERKZAAMHEDEN INHOUDSOPGAVE Paragrafen Inleiding... 1-4 Reikwijdte en doelstellingen van de interne audit... 5 Verhouding

Nadere informatie

Kennismakings- informatiebijeenkomst gemeente Utrecht (nieuwe) raadsleden Raadsleden centraal Goede raad voor een sterke gemeenteraad

Kennismakings- informatiebijeenkomst gemeente Utrecht (nieuwe) raadsleden Raadsleden centraal Goede raad voor een sterke gemeenteraad Kennismakings- informatiebijeenkomst gemeente Utrecht (nieuwe) raadsleden Raadsleden centraal Goede raad voor een sterke gemeenteraad 10 juni 2014 Gemeente Utrecht Agenda 1. Wie is de gemeentelijke accountant?

Nadere informatie

ACS meerdaagse opleidingen i.s.m. Auditing.nl

ACS meerdaagse opleidingen i.s.m. Auditing.nl ACS meerdaagse opleidingen i.s.m. Auditing.nl ACS biedt in 2014 weer enkele actuele, interessante opleidingen aan op het eigen kantoor in de rustieke omgeving van Driebergen. Kernwoorden zijn kleinschaligheid,

Nadere informatie

De definitieve Code Corporate Governance, enige beschouwingen vanuit risicoperspectief.

De definitieve Code Corporate Governance, enige beschouwingen vanuit risicoperspectief. De definitieve Code Corporate Governance, enige beschouwingen vanuit risicoperspectief. In de Code van Commissie Peters De Veertig Aanbevelingen (juni 1997) staat in zeer algemene termen iets over risicobeheersing.

Nadere informatie

Besluit tot wijziging van de Nadere voorschriften controleen overige standaarden Vastgesteld 18 december 2008

Besluit tot wijziging van de Nadere voorschriften controleen overige standaarden Vastgesteld 18 december 2008 Besluit tot wijziging van de Nadere voorschriften controleen overige standaarden Vastgesteld 18 december 2008 1 Besluit tot wijziging van de Nadere voorschriften controle- en overige standaarden Vastgesteld

Nadere informatie

SiSa cursus 2013. Gemeente en accountant. 21 november 2013

SiSa cursus 2013. Gemeente en accountant. 21 november 2013 SiSa cursus 2013 Gemeente en Welkom Even voorstellen EY: Stefan Tetteroo RA Page 1 Agenda Doelstelling Accountant en gemeente Onze visie inzake de betrokken actoren Coördinatie- en controlefunctie binnen

Nadere informatie

Advies. Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie

Advies. Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie DIENST Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie Advies over en ondersteuning bij het initieel inrichten/optimaliseren

Nadere informatie

REGLEMENT AUDITCOMMISSIE TELEGRAAF MEDIA GROEP N.V.

REGLEMENT AUDITCOMMISSIE TELEGRAAF MEDIA GROEP N.V. REGLEMENT AUDITCOMMISSIE TELEGRAAF MEDIA GROEP N.V. Dit Reglement is goedgekeurd door de Raad van Commissarissen van Telegraaf Media Groep N.V. op 17 september 2013. 1. Inleiding De Auditcommissie is een

Nadere informatie

ACS meerdaagse opleidingen i.s.m. Auditing.nl

ACS meerdaagse opleidingen i.s.m. Auditing.nl ACS meerdaagse opleidingen i.s.m. Auditing.nl ACS biedt in 2015 weer enkele actuele, interessante opleidingen aan op het eigen kantoor in de rustieke omgeving van Driebergen. Kernwoorden zijn kleinschaligheid,

Nadere informatie

ICT Accountancy. Praktijkdag Webwinkels en Boekhouden

ICT Accountancy. Praktijkdag Webwinkels en Boekhouden ICT Accountancy Praktijkdag Webwinkels en Boekhouden Thema Betrouwbaar Administreren Misbruik Afrekensystemen Misbruik Afrekensystemen Internationaal probleem Veel oplossingsrichtingen Overleg Belastingdienst

Nadere informatie

ZekereZorg3 Informatieveiligheid in de Zorg. Nico Huizing RE RA

ZekereZorg3 Informatieveiligheid in de Zorg. Nico Huizing RE RA ZekereZorg3 Informatieveiligheid in de Zorg Nico Huizing RE RA Ziekenhuizen in Nederland * Najaar 2008: IGZ toetst 20 ziekenhuizen, norm NEN7510, rapport 12/ 08 * Opdracht IGZ: lever per 1/2/ 09 plan van

Nadere informatie

Auditstatuut. Systeemtoezicht Wegvervoer

Auditstatuut. Systeemtoezicht Wegvervoer Auditstatuut Systeemtoezicht Wegvervoer Datum: 17 januari 2013 Status: vastgesteld versie 1.0 Pagina 1 van 9 Inhoud 1 Voorwoord 3 2 Audits 4 2.1 Systeemcriteria 4 3 Traject audit 5 3.1 Self-assessment

Nadere informatie

Grip op diversiteit aan beveiligingseisen: Compliant zijn en blijven, maar hoe? VIAG themadag Drs. D.J. van der Poel RE RA 21 maart 2014

Grip op diversiteit aan beveiligingseisen: Compliant zijn en blijven, maar hoe? VIAG themadag Drs. D.J. van der Poel RE RA 21 maart 2014 1 Grip op diversiteit aan beveiligingseisen: Compliant zijn en blijven, maar hoe? VIAG themadag Drs. D.J. van der Poel RE RA 21 maart 2014 Inhoud 2 Inleiding: enige trends in de markt In het speelveld

Nadere informatie

ISAE 3402: Externe auditor niet langer nodig!

ISAE 3402: Externe auditor niet langer nodig! ISAE 3402: Externe auditor niet langer nodig! DBedrijven De Rapportagestandaard ISAE 3402 is inmiddels besteden al sinds jaar en dag activiteiten uit aan andere bedrijven. Om kosten te drukken, om zich

Nadere informatie

4.3 Het toepassingsgebied van het kwaliteitsmanagement systeem vaststellen. 4.4 Kwaliteitsmanagementsysteem en de processen ervan.

4.3 Het toepassingsgebied van het kwaliteitsmanagement systeem vaststellen. 4.4 Kwaliteitsmanagementsysteem en de processen ervan. ISO 9001:2015 ISO 9001:2008 Toelichting van de verschillen. 1 Scope 1 Scope 1.1 Algemeen 4 Context van de organisatie 4 Kwaliteitsmanagementsysteem 4.1 Inzicht in de organisatie en haar context. 4 Kwaliteitsmanagementsysteem

Nadere informatie

Algemene Ledenvergadering 5 april 2012

Algemene Ledenvergadering 5 april 2012 Jaarplan 2013 Algemene Ledenvergadering 5 april 2012 Commissie Vaktechniek 1 Doel van de commissie De commissie Vaktechniek heeft tot doel de leden en het bestuur van IIA Nederland te ondersteunen op het

Nadere informatie

De nieuwe ISO norm 2015 Wat nu?!

De nieuwe ISO norm 2015 Wat nu?! De nieuwe ISO norm 2015 Wat nu?! Stichting QualityMasters Nieuwland Parc 157 3351 LJ Papendrecht 078-3030060 info@qualitymasters.com www.qualitymasters.com 02-2015 Inhoud Inleiding pagina 3 Van Oud naar

Nadere informatie

INTERNATIONALE CONTROLESTANDAARD 402 IN OVERWEGING TE NEMEN FACTOREN BIJ DE CONTROLE VAN ENTITEITEN DIE GEBRUIKMAKEN VAN SERVICE-ORGANISATIES

INTERNATIONALE CONTROLESTANDAARD 402 IN OVERWEGING TE NEMEN FACTOREN BIJ DE CONTROLE VAN ENTITEITEN DIE GEBRUIKMAKEN VAN SERVICE-ORGANISATIES INTERNATIONALE CONTROLESTANDAARD 402 IN OVERWEGING TE NEMEN FACTOREN BIJ DE CONTROLE VAN ENTITEITEN DIE GEBRUIKMAKEN VAN SERVICE-ORGANISATIES INHOUDSOPGAVE Paragrafen Inleiding... 1-3 Door de auditor in

Nadere informatie

DOORSTAAT UW RISICOMANAGEMENT DE APK?

DOORSTAAT UW RISICOMANAGEMENT DE APK? WHITEPAPER DOORSTAAT UW RISICOMANAGEMENT DE APK? DOOR M. HOOGERWERF, SENIOR BUSINESS CONS ULTANT Risicomanagement is tegenwoordig een belangrijk onderdeel van uw bedrijfsvoering. Dagelijks wordt er aandacht

Nadere informatie

MEMO AAN DE GEMEENTERAAD

MEMO AAN DE GEMEENTERAAD MEMO AAN DE GEMEENTERAAD Aan T.a.v. Datum Betreft Van Ons kenmerk CC De gemeenteraad - 23 maart 2012 Interim-controle 2011 Deloitte Het college 112623 Paraaf Datum Controller RP 22-3-2012 Directie Geachte

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol. Datum: dd-mm-jj

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol. Datum: dd-mm-jj BUSINESS CASE: Versie Naam opdrachtgever Naam opsteller Datum: dd-mm-jj Voor akkoord: Datum: LET OP: De bedragen in deze business case zijn schattingen op grond van de nu beschikbare kennis en feiten.

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie

De logica achter de ISA s en het interne controlesysteem

De logica achter de ISA s en het interne controlesysteem De logica achter de ISA s en het interne controlesysteem In dit artikel wordt de logica van de ISA s besproken in relatie met het interne controlesysteem. Hieronder worden de componenten van het interne

Nadere informatie

HOEBERT HULSHOF & ROEST

HOEBERT HULSHOF & ROEST Inleiding Artikel 1 Deze standaard voor aan assurance verwante opdrachten heeft ten doel grondslagen en werkzaamheden vast te stellen en aanwijzingen te geven omtrent de vaktechnische verantwoordelijkheid

Nadere informatie

Advies commissie BBV aan ministerie van BZK mei 2013. Van een rechtmatigheidsoordeel naar een rechtmatigheidsverantwoording

Advies commissie BBV aan ministerie van BZK mei 2013. Van een rechtmatigheidsoordeel naar een rechtmatigheidsverantwoording Van een rechtmatigheidsoordeel naar een rechtmatigheidsverantwoording Samenvatting Mede op verzoek van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties heeft de commissie BBV een onderzoek

Nadere informatie

Symposium Uitbesteding & Cloud computing. De Nederlandsche Bank. Amsterdam, 14 juni 2012

Symposium Uitbesteding & Cloud computing. De Nederlandsche Bank. Amsterdam, 14 juni 2012 Symposium Uitbesteding & Cloud computing De Nederlandsche Bank 1 Amsterdam, 14 juni 2012 Agenda symposium uitbesteding & cloud computing 13.30-14.00 Ontvangst met koffie 14.00-14.15 Welkomstwoord door

Nadere informatie

Uitvoering van rechtstreeks verzekerde regelingen

Uitvoering van rechtstreeks verzekerde regelingen RAPPORT Prins Willem-Alexanderlaan 651 Postbus 700 7300 HC Apeldoorn Telefoon (055) 579 39 48 www.achmea.nl Uitvoering van rechtstreeks verzekerde regelingen Rapportage Intern toezicht in het kader van

Nadere informatie

Regelgeving. Certificeringsprocedure Acceptant Payment Service Provider (APSP) Versie 1.0 1 februari 2012 12.008_LB Cert

Regelgeving. Certificeringsprocedure Acceptant Payment Service Provider (APSP) Versie 1.0 1 februari 2012 12.008_LB Cert Certificeringsprocedure Acceptant Payment Service Provider (APSP) Versie 1.0 1 februari 2012 12.008_LB Cert Inhoudsopgave 1. Algemeen 3 1.1 Doel van de certificeringsprocedure 3 1.2 Reikwijdte van de certificeringsprocedure

Nadere informatie

Audit Assurance bij het Applicatiepakket Interne Modellen Solvency II

Audit Assurance bij het Applicatiepakket Interne Modellen Solvency II Confidentieel 1 Audit Assurance bij het Applicatiepakket Interne Modellen Solvency II 1 Inleiding Instellingen die op grond van art. 112, 230 of 231 van de Solvency II richtlijn (richtlijn 2009/139/EC)

Nadere informatie

Leidraad PLAN VAN AANPAK OP WEG NAAR EEN CERTIFICEERBAAR KWALITEITSMANAGEMENTSYSTEEM

Leidraad PLAN VAN AANPAK OP WEG NAAR EEN CERTIFICEERBAAR KWALITEITSMANAGEMENTSYSTEEM Pagina 1 van 6 Leidraad PLAN VAN AANPAK OP WEG NAAR EEN CERTIFICEERBAAR KWALITEITSMANAGEMENTSYSTEEM In het onderstaande is een leidraad opgenomen voor een Plan van aanpak certificeerbaar kwaliteitsmanagementsysteem.

Nadere informatie

Energie management Actieplan

Energie management Actieplan Energie management Actieplan Conform niveau 3 op de CO 2 -prestatieladder 2.2 Auteur: Mariëlle de Gans - Hekman Datum: 30 september 2015 Versie: 1.0 Status: Concept Inhoudsopgave 1 Inleiding... 2 2 Doelstellingen...

Nadere informatie

Het gevolg van transitie naar de cloud SaMBO-ICT & KZA. 16 januari 2014 Doetinchem

Het gevolg van transitie naar de cloud SaMBO-ICT & KZA. 16 januari 2014 Doetinchem Het gevolg van transitie naar de cloud SaMBO-ICT & KZA 16 januari 2014 Doetinchem Agenda Introductie Aanleiding Samenvatting handreiking Uitkomsten workshop netwerkbijeenkomst Afsluiting 2 Introductie

Nadere informatie

Charco & Dique. De auditfunctie bij trustkantoren. Risk Management & Compliance

Charco & Dique. De auditfunctie bij trustkantoren. Risk Management & Compliance De auditfunctie bij trustkantoren Trustkantoren zijn vanaf 1 januari 2015 verplicht om een auditfunctie in te voeren. In deze brochure geven wij een toelichting op de auditfunctie, een overzicht van alle

Nadere informatie

SAS 70 herzien, focus ISAE 3402 blijft op beheersingsmaatregelen

SAS 70 herzien, focus ISAE 3402 blijft op beheersingsmaatregelen 38 SAS 70 herzien, focus ISAE 3402 blijft op beheersingsmaatregelen financiële verantwoording Drs. Jaap van Beek RE RA en drs. Marco Francken RE RA CISA Drs. J.J. van Beek RE RA is als partner werkzaam

Nadere informatie

Readiness Assessment ISMS

Readiness Assessment ISMS Readiness Assessment van ISMS ISO/IEC27001:2005 1 Senior Internal/IT auditor Luyke Tjebbes EMIA RO CISA Lead Auditor ISO/IEC27001:2005 Projectleider ISO assessment 2 Wat is ISO 27001 eigenlijk? ISO/IEC

Nadere informatie

NORA Sessie 5. 29 mei 2013 in Amersfoort Agenda en een samenvatting. Jaap van der Veen

NORA Sessie 5. 29 mei 2013 in Amersfoort Agenda en een samenvatting. Jaap van der Veen NORA Sessie 5 29 mei 2013 in Amersfoort Agenda en een samenvatting Jaap van der Veen Agenda 29-5-2013 1. Welkom 2. Presentatie Eric Brouwer en Joris Dirks over Kennismodel NORA-Wiki en hoe we onze informatie

Nadere informatie

Op naar een excellente controle

Op naar een excellente controle Op naar een excellente controle Welke controlewerkzaamheden kunnen verder geoptimaliseerd worden om kosten te besparen of om meer toegevoegde waarde te kunnen bieden aan cliënten? Hoe kunnen deze werkzaamheden

Nadere informatie

Compliance Program. Voor pensioenfondsen die pensioenadministratie en/of vermogensbeheer geheel of gedeeltelijk hebben uitbesteed

Compliance Program. Voor pensioenfondsen die pensioenadministratie en/of vermogensbeheer geheel of gedeeltelijk hebben uitbesteed Compliance Program Voor pensioenfondsen die pensioenadministratie en/of vermogensbeheer geheel of gedeeltelijk hebben uitbesteed September 2008 Inhoudsopgave 1 Inleiding 1 1.1 Voorwoord 1 1.2 Definitie

Nadere informatie

Informatiebeveiliging, noodzakelijk kwaad of nuttig? www.dnvba.nl/informatiebeveiliging. DNV Business Assurance. All rights reserved.

Informatiebeveiliging, noodzakelijk kwaad of nuttig? www.dnvba.nl/informatiebeveiliging. DNV Business Assurance. All rights reserved. 1 Informatiebeveiliging, noodzakelijk kwaad of nuttig? Mike W. Wetters, Lead Auditor DNV Albertho Bolenius, Security Officer GGzE Informatiebeveiliging. Noodzakelijk kwaad of nuttig? 3 Wat is informatiebeveiliging?

Nadere informatie

Controleprotocol Jaarrekening Gemeente De Bilt 2014

Controleprotocol Jaarrekening Gemeente De Bilt 2014 Behoort bij raadsbesluit d.d. 29 januari 2015 tot vaststelling van het 'Controleprotocol 2014'. Controleprotocol Jaarrekening 2014 Inhoudsopgave 1. Samenvatting... 3 2. Inleiding... 3 2.1 Doelstelling...

Nadere informatie

Uitwerking onderdelen werkplan

Uitwerking onderdelen werkplan Uitwerking onderdelen werkplan Het Nationaal Platform Data Model (NPDM) heeft een werkplan opgesteld om richting te geven aan de activiteiten voor de komende maanden en inzicht te krijgen in de benodigde

Nadere informatie

BluefieldFinance Samenvatting Quickscan Administratieve Processen Light Version

BluefieldFinance Samenvatting Quickscan Administratieve Processen Light Version BluefieldFinance Samenvatting Quickscan Administratieve Processen Light Version Introductie Quickscan De financiële organisatie moet, net zo als alle andere ondersteunende diensten, volledig gericht zijn

Nadere informatie

IN ZES STAPPEN MVO IMPLEMENTEREN IN UW KWALITEITSSYSTEEM

IN ZES STAPPEN MVO IMPLEMENTEREN IN UW KWALITEITSSYSTEEM IN ZES STAPPEN MVO IMPLEMENTEREN IN UW KWALITEITSSYSTEEM De tijd dat MVO was voorbehouden aan idealisten ligt achter ons. Inmiddels wordt erkend dat MVO geen hype is, maar van strategisch belang voor ieder

Nadere informatie

Risk & Compliance Charter Clavis Family Office B.V.

Risk & Compliance Charter Clavis Family Office B.V. Risk & Compliance Charter Clavis Family Office B.V. Datum: 15 april 2013 Versie 1.0 1. Inleiding Het Risk & Compliance Charter (charter) bevat de uitgeschreven principes, doelstellingen en bevoegdheden

Nadere informatie

Digikoppeling adapter

Digikoppeling adapter Digikoppeling adapter Versie 1.0 Datum 02/06/2014 Status Definitief Van toepassing op Digikoppeling versies: 1.0, 1.1, 2.0, 3.0 Colofon Logius Servicecentrum: Postbus 96810 2509 JE Den Haag t. 0900 555

Nadere informatie

1. AUDITINSTRUCTIE SCORECARD COPRO 8120

1. AUDITINSTRUCTIE SCORECARD COPRO 8120 1. AUDITINSTRUCTIE SCORECARD COPRO 8120 1.1. Inleiding DTe vraagt ter verificatie van de aangeleverde cijfers een assurance-rapport van een externe accountant. Een assurance-rapport dient eenmaal per jaar

Nadere informatie

Ons kenmerk C100/05.0016522. Aantal bijlagen 1

Ons kenmerk C100/05.0016522. Aantal bijlagen 1 Directie Bestuur & Organisatie Directie Algemeen Aan de Commissie AB Korte Nieuwstraat 6 65 PP Nijmegen Telefoon (024) 329 9 Telefax (024) 329 22 92 E-mail gemeente@nijmegen.nl Postadres Postbus 905 6500

Nadere informatie

PROJECT INITIATION DOCUMENT

PROJECT INITIATION DOCUMENT PROJECT INITIATION DOCUMENT Versie: Datum: x.x dd-mm-jj DOCUMENTATIE Versie Naam opdrachtgever Naam opsteller Datum: dd-mm-jj Voor akkoord: Datum:. INHOUDSOPGAVE 1. Managementsamenvatting

Nadere informatie

Workshop Pensioenfondsen. Gert Demmink

Workshop Pensioenfondsen. Gert Demmink Workshop Pensioenfondsen Gert Demmink 13 november 2012 Integere Bedrijfsvoering Integere bedrijfsvoering; Bas Jennen Bestuurderstoetsingen; Juliette van Doorn Integere bedrijfsvoering, beleid & uitbesteding

Nadere informatie

Global Project Performance

Global Project Performance Return on investment in project management P3M3 DIAGNOSTIEK IMPLEMENTATIE PRINCE2 and The Swirl logo are trade marks of AXELOS Limited. P3M3 -DIAGNOSTIEK (PROJECT PROGRAMMA PORTFOLIO MANAGEMENT MATURITY

Nadere informatie

Algemene toelichting Intern controleplan 2012

Algemene toelichting Intern controleplan 2012 Algemene toelichting Intern controleplan 2012 Inhoudsopgave: 1. Algemeen 3 2. Uitgangspunten interne controleplan 2012 3 2.1 Waarom een intern controleplan? 3 2.2 Controleaanpak 3 2.3 Uitvoering van de

Nadere informatie

Meer duidelijkheid over samenstellingsopdrachten met komst Standaard 4410

Meer duidelijkheid over samenstellingsopdrachten met komst Standaard 4410 Spotlight Meer duidelijkheid over samenstellingsopdrachten met komst Standaard 4410 Robert van der Glas - Statutaire compliance, Tax Reporting & Strategy De NBA heeft onlangs de herziene standaard uitgebracht

Nadere informatie

5-daagse bootcamp IT Risk Management & Assurance

5-daagse bootcamp IT Risk Management & Assurance 5-daagse bootcamp IT Risk Management & Assurance Verhoog het niveau van uw risicomanagement processen vóór 1 juni naar volwassenheidsniveau 4! ISO31000 DAG 1 DAG 2 DAG 3 OCHTEND NIEUW ISO27005 DAG 3 MIDDAG

Nadere informatie

CMS Ronde Tafel. Cloud Continuity. Ir. Jurian Hermeler Principal Consultant

CMS Ronde Tafel. Cloud Continuity. Ir. Jurian Hermeler Principal Consultant CMS Ronde Tafel Cloud Continuity Ir. Jurian Hermeler Principal Consultant Introductie Quint Wellington Redwood Onafhankelijk Management Adviesbureau Opgericht in 1992 in Nederland Ruim 20 jaar ervaring

Nadere informatie

Nederlandse Beroepsorganisatie van Accountants t.a.v. Adviescollege voor Beroepsreglementeting Postbus 7984 1008 AD AMSTERDAM

Nederlandse Beroepsorganisatie van Accountants t.a.v. Adviescollege voor Beroepsreglementeting Postbus 7984 1008 AD AMSTERDAM E Ernst & Young Accountants LLP Telt +31 88 407 1000 Boompjes 258 Faxt +31 88407 8970 3011 XZ Rotterdam, Netherlands ey.corn Postbus 2295 3000 CG Rotterdam, Netherlands Nederlandse Beroepsorganisatie van

Nadere informatie

FUND GOVERNANCE CODE VAN DELTA LLOYD ASSET MANAGEMENT N.V.

FUND GOVERNANCE CODE VAN DELTA LLOYD ASSET MANAGEMENT N.V. FUND GOVERNANCE CODE VAN DELTA LLOYD ASSET MANAGEMENT N.V. I. INLEIDING Doel Delta Lloyd Asset Management N.V. (DLAM) wenst de DUFAS Principles of Fund Governance na te leven. De onderhavige code heeft

Nadere informatie

Reglement audit committee van de raad van commissarissen

Reglement audit committee van de raad van commissarissen Reglement audit committee van de raad van commissarissen Vaststelling en wijziging reglement. Artikel 1. 1.1. Dit reglement is vastgesteld door de raad van commissarissen met ingang van 1 januari 2016.

Nadere informatie

Slide 1. Slide 2 Introduktie. Slide 3 Deze les: 2 onderwerpen. Les 1 Definities en belang Informatie Technologie. Intro docent Opzet/tentamenstof

Slide 1. Slide 2 Introduktie. Slide 3 Deze les: 2 onderwerpen. Les 1 Definities en belang Informatie Technologie. Intro docent Opzet/tentamenstof Slide 1 Les 1 Definities en belang Informatie Technologie IT A Basics en toepassing Informatie Technologie Versie 4.1 Sept 2014 Slide 2 Introduktie Intro docent Opzet/tentamenstof Stof/vraagstukken behandeld

Nadere informatie

voor de beleggingscommissie van Stichting Pensioenfonds voor Verloskundigen (hierna: SPV).

voor de beleggingscommissie van Stichting Pensioenfonds voor Verloskundigen (hierna: SPV). REGLEMENT BELEGGINGSCOMMISSIE voor de beleggingscommissie van Stichting Pensioenfonds voor Verloskundigen (hierna: SPV). Artikel 1 Vaststelling en reikwijdte Dit reglement geeft, in aanvulling op de statuten,

Nadere informatie

medisch specialisten 2014

medisch specialisten 2014 Controleprotocol Verantwoordingsdocument honoraria medisch specialisten 2014 10 juli 2015 Inhoud 1. Uitgangspunten 3 1.1 Inleiding 3 1.2 Procedures 3 1.3 Leeswijzer 3 2. Onderzoeksaanpak 4 2.1 Beleidskader

Nadere informatie

SVHT-IT. Mission statement

SVHT-IT. Mission statement SVHT-IT Mission statement Wij leveren oplossingen en diensten aan het MKB op het gebied van ICT, waarbij service, flexibiliteit en een persoonlijke relatie met de klant voorop staan SVHT-IT is een onderneming

Nadere informatie

MONITORING COMMISSIE CODE BANKEN. Aanbevelingen toekomst Code Banken

MONITORING COMMISSIE CODE BANKEN. Aanbevelingen toekomst Code Banken MONITORING COMMISSIE CODE BANKEN Aanbevelingen toekomst Code Banken 22 maart 2013 Inleiding De Monitoring Commissie Code Banken heeft sinds haar instelling vier rapportages uitgebracht. Zij heeft daarin

Nadere informatie

Oordelen van en door RE s

Oordelen van en door RE s Oordelen van en door RE s Mr. Drs. Jan Roodnat RE RA Drs. Ing. P.D. Verstege RE RA Werkgroep Oordelen NOREA 14 november 2006 Overzicht presentatie Opdracht Werkgroep Oordelen NOREA Auditproces Nationale

Nadere informatie

Formulering oordeel van een IT-auditor

Formulering oordeel van een IT-auditor 30 Formulering oordeel van een IT-auditor Drs. R.J.M. van Langen RA, T. Shioda en mw. drs. M.J.A. Koedijk RA De aard en reikwijdte van de IT-auditwerkzaamheden in het algemeen zijn zeer divers. Wel zal

Nadere informatie

Energiemanagementplan Carbon Footprint

Energiemanagementplan Carbon Footprint Energiemanagementplan Carbon Footprint Rapportnummer : Energiemanagementplan (2011.001) Versie : 1.0 Datum vrijgave : 14 juli 2011 Klaver Infratechniek B.V. Pagina 1 van 10 Energiemanagementplan (2011.001)

Nadere informatie

Interne audits, het rendement

Interne audits, het rendement Interne audits, het rendement HKZ Kwaliteitsdag Olav Kloek 8 april 2014 SAFER, SMARTER, GREENER Strategie van de organisatie Herontwerp van organisaties, door: Nieuw financieringsstelsel Zelfsturende/zelfregulerende

Nadere informatie

Hoofdlijnen Corporate Governance Structuur

Hoofdlijnen Corporate Governance Structuur Hoofdlijnen Corporate Governance Structuur 1. Algemeen Deugdelijk ondernemingsbestuur is waar corporate governance over gaat. Binnen de bedrijfskunde wordt de term gebruikt voor het aanduiden van hoe een

Nadere informatie

Algemeen. 6. Publicatie Priciples De meest actuele versie van deze Principles of Fund Governance is te vinden op www.gilissen.nl.

Algemeen. 6. Publicatie Priciples De meest actuele versie van deze Principles of Fund Governance is te vinden op www.gilissen.nl. FUND GOVERNANCE Algemeen 1. Compliance functie Een directielid van de Beheerder is aangesteld als Compliance Officer. Deze ziet toe op de correcte naleving van: (i) de Prospectussen van de TG Fondsen;

Nadere informatie

NTA 8620 versus ISO-systemen. Mareille Konijn 20 april 2015

NTA 8620 versus ISO-systemen. Mareille Konijn 20 april 2015 NTA 8620 versus ISO-systemen Mareille Konijn Voorstellen Mareille Konijn Lid van de NEN-werkgroep Senior HSE consultant Industry, Energy & Mining T: 088 348 21 95 M: 06 50 21 34 27 mareille.konijn@rhdhv.com

Nadere informatie