ISAE 3402: Externe auditor niet langer nodig!
|
|
- Nora Bogaert
- 8 jaren geleden
- Aantal bezoeken:
Transcriptie
1 ISAE 3402: Externe auditor niet langer nodig! DBedrijven De Rapportagestandaard ISAE 3402 is inmiddels besteden al sinds jaar en dag activiteiten uit aan andere bedrijven. Om kosten te drukken, om zich een jaar geleden geïntroduceerd. Hoewel de standaard in grote lijnen overeenkomt met zijn voorganger SAS 70, zijn er ook verschillen. Deze beter te kunnen richten op de kernactiviteiten of om meer flexibiliteit in de eigen dienstverlening te creëren. verschillen, waaronder de tekenbevoegdheid van Wanneer gebruikersorganisaties activiteiten uitbesteden, willen en de Register EDP Auditor (de IT-auditor) bij een ISAE moeten deze bedrijven zekerheden 3402-verklaring, bieden meer mogelijkheden voor hebben dat de kwaliteit van de uitbestede dienstverlening voldoende is. de rol van de interne IT-auditor. De betrokkenheid Hierbij moeten dus onder andere de van een externe auditor bij het afgeven van een interne controle en de continuïteit op orde zijn. Wanneer de serviceorganisatie niet in staat is om de gewenste ISAE 3402-verklaring is in dat geval niet meer strikt noodzakelijk. In dit artikel wordt op basis van de kwaliteit te leveren kan dat leiden tot een continuïteitsrisico voor de Nederlandse NOREA-vertaling van de ISAE 3402, gebruikersorganisatie. Het is voor de genaamd Richtlijn 3402, uiteengezet hoe de gebruikersorganisatie van belang om het risico op het optreden van verstoringen in de dienstverlening naar additionele mogelijkheden die ISAE 3402 aan interne RE s biedt, ingevuld kunnen worden. de eigen klanten zo beperkt mogelijk te houden. Verklaringen die de kwaliteit van de interne beheersing bij de DENNIS BUITENDIJK EN ALEXANDER SLUITER serviceorganisatie bevestigen, zijn dan ook een veelgebruikt middel om inzicht te krijgen in de werking van interne beheersmaatregelen bij die serviceorganisatie. In dit artikel staan we stil bij een aantal in het oog springende verschillen tussen ISAE 3402 en SAS 70. Deze verschillen zijn al eerder benoemd in dit blad [EWAL10]. Wij constateren nog een belangrijk verschil dat niet eerder werd benoemd, te weten de rol die de intern opererende RE conform ISAE 3402 kan spelen, waardoor betrokkenheid van de externe auditor niet altijd meer nodig is. In dit artikel vatten wij de verschillen tussen SAS 70 en ISAE 3402 samen en gaan we daarna in op de mogelijkheden die deze bieden voor de praktijk. In de beschreven verschillen liggen kansen voor de organisatie om zelf transparant verantwoording af te leggen (het zogenaamde in control statement) met onafhankelijke assurance door de interne auditfunctie. Aan de hand van verschillende varianten voor de invulling van de rollen binnen een ISAE 3402-traject benoemen we de voor- en nadelen van de rolverdelingen en geven we aan welke randvoorwaarden gelden. We eindigen met een conclusie. SAS 70 Tot de introductie van ISAE 3402 was het Statement on Auditing Standards no. 70: Service Organizations, beter bekend onder de naam SAS 70, een veelgebruikt middel bij het geven van onafhankelijke assurance. De van origine Amerikaanse standaard SAS 70 heeft sinds de introductie wereldwijd een flinke groei doorgemaakt en 10 de IT-Auditor nummer
2 in veel sectoren bekendheid verworven als de meest gebruikte stan daard voor het verkrijgen van (een redelijke mate van) zekerheid over de beheersing van uitbestede processen. In de SAS 70-standaard wordt geen uitsluitsel gegeven over de mate waarin een externe auditor gebruik mag maken van de inzet van de interne auditafdeling. Wel zijn de volgende mogelijkheden beschreven als wijze waarop de externe auditor gebruik kan maken van de inzet van de interne auditafdeling [EWAL09]: direct assis tance, waarbij de medewerker van de interne auditafdeling wordt ingezet als deelnemer aan het auditteam. nature, timing and extent van de werkzaamheden van de service auditor aan de door de interne auditafdeling uitgevoerde werkzaamheden. Bij het gebruikmaken van de diensten van de interne auditafdeling dient wel rekening gehouden te worden met de mate van expertise van de interne auditor en diens onafhankelijkheid, zoals vastgelegd in de Code of Ethics [NORE06]. Overigens geldt dit natuurlijk voor elke auditor wanneer deze auditwerkzaamheden uitvoert. De SAS 70-standaard schrijft niet voor op welke wijze de externe auditor moet verantwoorden of (en op welke wijze) er gebruikgemaakt wordt van de werkzaamheden van de interne auditor. ISAE 3402 In 2011 heeft de SAS 70 een internationale opvolger gekregen in de vorm van de International Standard on Assurance Engagements 3402, oftewel ISAE Figuur 1 toont een overzicht van de ISAE 3402-werkzaamheden. De ISAE 3402 vertoont op veel vlakken sterke gelijkenissen met de SAS 70-standaard. Bij nadere bestudering komt echter ook een aantal verschillen naar voren. Beide standaarden geven de mogelijkheid om gebruik te maken van het werk van interne auditors. Het verschil tussen beide standaarden is de wijze van verantwoording van dat werk. Onder de SAS 70-standaard hoeft geen uitsluitsel te worden gegeven over de werkzaamheden van interne auditors waar de externe auditor op steunt. In de ISAE 3402-standaard is vastgelegd dat, wanneer de externe auditor werk van de interne auditors gebruikt om er (delen van) zijn conclusie op te baseren, zowel deze werkzaamheden als de door de externe auditor gevolgde procedures ten aanzien van die werkzaamheden, beschreven moeten worden. In theorie is het onder de ISAE 3402-standaard mogelijk om de werkzaamheden van de externe auditor te beperken tot het uitvoeren van een review op de door de interne auditafdeling uitgevoerde werkzaamheden. In dat opzicht zijn de mogelijkheden in lijn met wat onder SAS 70 toegestaan is. Een ander verschil tussen ISAE 3402 en SAS 70 is het vereiste onder ISAE 3402 van een formele managementbewering over de beheersing. Van Figuur 1: Overzicht van 3402-werkzaamheden de IT-Auditor nummer
3 het management wordt verwacht dat het een mededeling afgeeft over de interne beheersing. Het management behoort de beheersmaatregelen te monitoren om vast te stellen dat deze effectief zijn. De monitoring houdt in dat uitzonderingen worden gerapporteerd, tijdig correcties worden uitgevoerd en de effectiviteit ervan wordt beoordeeld. Deze monitoring kan plaatsvinden door continue activiteiten, separate evaluaties of een combinatie van beide [EWAL10]. Door de vereiste toevoeging van een formele managementbewering wordt niet alleen het management meer bewust gemaakt van haar verantwoordelijkheid ten aanzien van de beheersdoelstellingen en maatregelen, maar wordt ook meer transpa rantie gecreëerd. Het management legt namelijk expliciet en separaat verantwoording af, naast het oordeel van de auditor in het rapport. Dit is een wezenlijk verschil met de SAS 70-standaard waarin de conclusie van de externe auditor voldoende is. Een verdere verandering, die in het bijzonder van belang is voor de beroepsgroep IT-auditors, is dat met de introductie van de ISAE 3402-standaard ook officieel tekenbevoegdheid is ontstaan voor de Register EDP Auditor. De Nederlandse NOREA-vertaling van de ISAE 3402-standaard geeft de mogelijkheid aan de Register EDP Auditor om, gegeven een aantal randvoorwaarden, het dossier op te stellen en af te tekenen. Zoals al eerder in dit blad geconcludeerd, is hier sprake van een belangrijke wijziging voor IT- dan voorheen gezien als een beroepsgroep op wiens oordeel kan worden vertrouwd [EWAL10]. Een ISAE 3402-rapport dient volgens de door IFAC omschreven ISAE 3402-standaard [IFAC10-1] door een professionele auditor in een publieke praktijk afgetekend te worden. Hierbij moet deze auditor voldoen aan de Code of Ethics for Professional Accountants [IFAC10-2] die is opgesteld door de International Ethics Standards Board for Accoun tants. Deze code wordt ook wel als de IESBA Code aangeduid. In deze IESBA Code wordt een professionele auditor in een publieke praktijk omschreven als een persoon die lid is van de IFAC en daarnaast, ongeacht functie (bijvoorbeeld RE en/ of RA), behoort tot een onderneming die professionele diensten levert op het gebied van auditing, zoals een externe auditfirma. Dit leidt tot de conclusie dat volgens de ISAE 3402-standaard alleen medewerkers van commerciële kantoren ISAE 3402-verklaringen mogen ondertekenen. In de Nederlandse vertaling van de ISAE 3402-standaard bekend als Richtlijn 3402, opgesteld door de NOREA en NIVRA [NORE10] wordt echter de term beroepsbeoefenaar gebruikt. Daarbij wordt door de NOREA specifiek verwezen naar de IT-auditor, mits deze voldoet aan het Reglement Gedragscode Code of Ethics [NORE06]. Deze code is van toepassing op iedere in het RE-register ingeschreven IT-auditor. Hij schrijft kort gezegd voor dat de IT-auditor: In de naar het Nederlands vertaalde standaard wordt dus geen koppeling gelegd met een externe auditfirma. Dit biedt mogelijkheden voor de interne IT-auditor, die zijn expertise op het vakgebied en zijn kennis over de serviceorganisatie kan inzetten. GEBRUIK WERKZAAMHEDEN INTERNE AUDITOR DOOR EXTERNE AUDITOR ONDER ISAE 3402 Een externe auditor van een serviceorganisatie, die wil steunen op de werkzaamheden van een interne auditor, moet volgens Richtlijn 3402 een aantal zaken in acht nemen. Hij moet bijvoorbeeld inzicht verwerven in de kwaliteit van de interne auditfunctie. Zo moet hij bepalen of: professionele zorgvuldigheid communicatie zal plaatsvinden tussen de interne auditors en de auditor van de serviceorganisatie. Vervolgens moet de externe auditor bepalen of en in welke mate er van de werkzaamheden van de interne auditors gebruik kan worden gemaakt. De aard en reikwijdte van de door de interne auditors uitgevoerde of uit te voeren werkzaamheden moeten overwogen worden. Ook moet er een afweging worden gemaakt of die werkzaamheden significant zijn voor de auditor van de serviceorganisatie. Tot slot wordt omschreven dat er een overweging moet worden gemaakt van de mate van subjectiviteit die is gehanteerd bij de evaluatie van de onderbouwende informatie, die ter ondersteuning van de conclusies is verzameld. ROLVERDELING Over de ISAE 3402-standaard en de werkzaamheden van de interne auditor is al veel geschreven. De auteurs hebben het dan vaak over werkzaamheden die ondersteunend zijn voor de verklaring van de externe auditor. Ook het Instituut van Internal Auditors Nederland (IIA) heeft een praktijkhandreiking geschreven over de ISAE 3402-standaard en de interne auditor [IIA11]. Hierin beschrijft dit instituut onder andere de mogelijke inzetmomenten van de interne auditor binnen een ISAE 3402 bij de serviceorganisatie. Deze inzetmomenten zijn als volgt te verdelen: (ex-ante). 12 de IT-Auditor nummer
4 Het lijkt er op dat het IIA zich bij haar praktijkhandreiking laat leiden door de internationale standaard en niet door de Nederlandse vertaling. In de Nederlandse vertaling van de ISAE 3402 wordt immers geen onderscheid gemaakt tussen de interne en de externe auditor, maar wordt alleen de beroepsbeoefenaar genoemd, zijnde de RE in het geval van de op IT-processen van toepas sing zijnde ISAE Deze additionele mogelijkheden vanuit de Nederlandse vertaling worden nergens expliciet in de praktijkhandrei king aangegeven, terwijl ze de interne IT-auditor juist op de kaart kunnen zetten. TEKENBEVOEGDHEID RE: EXTERN OF TOCH OOK INTERN? Onder de eisen die door Richtlijn 3402 gesteld worden aan de aanvaarding en continuering van Richtlijn 3402-opdrachten worden eigenschappen genoemd die bij uitstek van toepassing zijn op interne auditors. Zo wordt onder meer de eis gesteld, dat de auditor kennis heeft van de betreffende sector en inzicht heeft in informatietechnologie en -systemen. Bij de RE op een interne auditpositie zal deze kennis aanwezig zijn. Het is aannemelijk dat de kennis en het inzicht meer toegespitst zullen zijn op de situatie waarover de Richtlijn 3402-verklaring wordt afgegeven. Zoals gezegd, legt Richtlijn 3402 officieel de tekenbevoegdheid van de RE vast. Deze RE-tekenbevoegdheid is echter alleen in Nederland van toepassing. Immers, de Nederlandse vertaling maakt melding van de beroepsbeoefenaar en alleen in Nederland is de beroepsaanduiding Register EDP Auditor bekend en erkend en daarmee de tekenbevoegdheid verleend. Richtlijn 3402 biedt een aantal rolverdelingen aan die bij de uitvoer van een 3402-opdracht gebruikt kunnen worden. Gegeven de tekenbevoegdheid van de RE zijn er zelfs situaties denkbaar waarbij er geen externe auditor nodig is! Er kan gebruikgemaakt worden van de RE die werkzaam is op een interne den aan precies dezelfde Code of Ethics als de RE s bij externe auditfirma s. Om mogelijke perceptuele knelpunten te verkleinen, is er wel een aantal randvoorwaarden die in acht moeten worden genomen. De volgende randvoorwaarden borgen de onafhankelijkheid, deskundigheid en kwaliteit van werkzaamheden, verricht door een RE op een interne auditpositie: auditcharter borgt de onafhanke lijke positie van de auditfunctie binnen een organisatie en is daarmee een middel om de inte griteit en objectiviteit van het oordeel van een RE in een interne auditpositie verder te waarborgen. toetsing door een beroepsorganisatie [NORE11-1]. Door de NOREA zijn in het Reglement Kwaliteitsbeheersing NOREA (RKBN) [NORE09] de kwaliteitsbeheersingmaatregelen beschreven, die van toepassing zijn op alle professionele diensten die RE s verlenen. Hierbij is professionele dienst gedefinieerd als: De werkzaamheden die de IT-auditor uitvoert binnen een IT-auditorganisatie, waarvoor IT-auditdeskundigheid en deskundigheid op aanverwante terreinen is vereist. De wijze van toetsing is nader uitgewerkt in het Reglement Kwaliteitsonderzoek NOREA (RKON) [NORE11-2]. Inmiddels hebben de beroepsorganisaties van financial-, IT- en operational auditors (respectievelijk de NBA, de NOREA en het IIA) het initiatief genomen om tot een gezamenlijke kwaliteitstoets te komen. Bij interne auditafdelingen, waarbinnen veelal meerdere auditdisciplines vertegenwoordigd zijn, kan daardoor bijvoorbeeld gebruik worden gemaakt van de toetsing door het Instituut van Internal Auditors Nederland (IIA). Deze beroepsorganisatie is al door de NBA geaccrediteerd om een gezamenlijke kwaliteitstoets voor interne auditfuncties uit te voeren. De verge lijkbare accreditatie door de NOREA is op moment van schrijven nog in behandeling. De Nederlandse tekst voor de ISAE 3402-standaard biedt dus mogelijkheden om op een andere manier dan voorheen invulling te geven aan Richtlijn 3402-opdrachten. We zullen hieronder deze mogelijkheden binnen een 3402-onderzoek verder uiteenzetten door zowel te beschrijven wat twee bekende, veel toegepaste rolverdelingen (varianten 1 en 2) zijn, als een tweetal voorbeelden te geven van mogelijke rolverdelingen (varianten 3 en 4) die nog niet eerder benoemd zijn in de literatuur. We hanteren hierbij een aantal uitgangspunten. Op basis van de hierboven beschreven theorie luiden deze als volgt: gister ingeschreven IT-auditor (RE). ten door Nederlandse be drijven of instellingen, uitgevoerd door Nederlandse organisaties. over de IT-systemen en de bijbehorende processen. In de varianten zullen steeds de volgende drie onderwerpen c.q. vragen centraal staan: ondersteunt deze? ). nend voor het dossier van de 3402-verklaring ( Wie kan deze uitvoeren? ). deze op? ). de IT-Auditor nummer
5 MOGELIJKE ROLVERDELING BIJ DE SERVICEORGANISATIE Variant 1 In deze variant worden enkel werkzaamheden verricht door het management en de externe auditor. Voor variant 1 zal het management de werkzaamheden ten behoeve van het in control statement of de managementverklaring zelf uitvoeren of delegeren aan zijn eerste- en tweedelijns medewerkers. De externe auditor van de serviceorganisatie geeft de 3402 verklaring af. Hierbij maakt hij gebruik van de door het management uitgevoerde werkzaamheden (door middel van het uitvoeren van reviewwerkzaamheden) en eigen vaststellingen. Voorwaarde hierbij is dat de serviceorganisatie voldoende inzicht heeft in de eigen beheersing, door middel van monitoring activiteiten. De medewerkers hebben voldoende tijd nodig om deze monitoring uit te kunnen voeren. Voordelen: eigen beheersing en met name de monitoring daarvan op orde. Kennis is bij de organisatie zelf in huis (eerste- en tweedelijn). auditor heeft voor sommige partij - en meer het karakter van een onafhankelijk oordeel. groot aandeel in de werkzaamheden wordt uitgevoerd door de externe auditor. Er kunnen eventueel kosten bespaard worden door de interne auditor (indien aanwezig) op te nemen in het auditteam van de externe auditor (zie ook de eerdere paragraaf Rolverdeling zoals het IIA deze benoemt). de kennis die aanwezig is bij de interne auditor. Variant 2 In deze variant speelt naast het manage ment en de externe auditor ook de interne auditor een rol. Doordat de interne IT-auditor meer kennis heeft van en inzicht in de bedrijfsvoering en bijbehorende secundaire processen dan de externe auditor, kan deze het management ondersteunen bij het afgeven van de managementmededeling over de beheersing. Op basis van de werkzaamheden van de interne IT-auditor zal het management in staat zijn een onderbouwde mededeling af te geven. Net als bij variant 1 geeft de externe IT-auditor (RE) op basis van zowel eigen onderzoek als de in control werkzaamheden van de business de verklaring af. Voordelen: werkzaamheden ten behoeve van de managementverklaring. De opdrachtgever maakt optimaal gebruik van de kennis en kunde van de auditor op het gebied van risicobeheersing. auditor heeft voor sommige partij - en meer het karakter van een onafhankelijk oordeel. groot aandeel in de werkzaamheden wordt uitgevoerd door de externe auditor. kennis nodig en hoeft de eigen monitoring niet op orde te hebben. Variant 3 Het management van de serviceorganisatie wordt ondersteund door de externe IT-auditor bij het afgeven van de managementmededeling. De externe accountant helpt bij het opstellen van de key controls en het monitoren daarvan en maakt het dossier op. Wanneer de externe auditor ook de externe accountant van de serviceorganisatie is, kan gebruikgemaakt worden van dezelfde werkzaamheden die ook voor de jaarrekeningcontrole van belang zijn (of de huisaccountant ook in de toe- komst verklaringen mag geven naast werkzaamheden uitvoeren voor de jaarrekening is overigens onderwerp van maatschappelijke discussie). Met andere woorden, het management geeft een mededeling af op basis van de werkzaamheden van de externe IT-auditor. De interne ITauditor geeft, als onafhankelijke beroepsbeoefenaar, de 3402-verklaring af. Door de hoge kosten voor inhuur lijkt deze variant eerder een theoretische dan een praktisch haalbare. Voordeel: voordelen benoemen. verdiepen in de business. door een interne auditor heeft voor sommige partijen minder het karakter van een onafhankelijk oordeel. de andere varianten) door inhuur van de externe auditor voor de werkzaamheden ten behoeve van de managementverklaring. monitoring. De business heeft zelf minder kennis nodig en hoeft haar eigen monitoring niet op orde te hebben. Variant 4 In deze laatste variant worden de in control werkzaamheden door de serviceorganisatie zelf uitgevoerd en geeft de interne IT-auditor de verklaring af. Wanneer deze werkwijze acceptabel is voor de ontvangende partij van de ISAE 3402-verklaring, kan hier behoorlijk op de kosten bespaard worden. Wel vraagt dit een serviceorganisatie die aantoonbaar in control is. Dit houdt in dat er een degelijk framework met controlemaatregelen aanwezig is en dat de organisatie dit zelf monitort. Hierbij is een zekere mate van volwassenheid van de organisatie vereist. 14 de IT-Auditor nummer
6 variant 1 variant 2 variant 3 variant 4 in control werkzaamheden eerste- en tweede lijn business interne auditor externe auditor eerste- en tweede lijn business verklaring management management management management management ISAE 3402-verklaring externe auditor externe auditor interne auditor interne auditor volwassenheid interne beheersing mogelijke perceptie onafhankelijkheid gebruik interne kennis en kunde kosten Tabel 1: Rolverdeling samengevat Voordelen: beheersing en monitoring op orde. Kennis is bij de organisatie zelf in huis. worden optimaal gebruikt. de overige varianten, met name doordat geen externe auditor ingehuurd hoeft te worden. door een interne auditor heeft voor sommige partijen minder het karakter van een onafhankelijk oordeel. In tabel 1 is de rolverdeling binnen de benoemde varianten nog eens samengevat. ONAFHANKELIJKHEID De (on)afhankelijkheid van de auditor speelt in ons vakgebied een belangrijke rol. Een voor de hand liggend argument tegen het inzetten van de varianten 3 en 4, waarin een interne auditor een 3402-opdracht uitvoert, is dat de interne auditfunctie minder onafhankelijk zou kunnen zijn. Er wordt daarbij al snel geredeneerd dat de interne auditor bij zijn werkgever (de serviceorganisatie) op de loonlijst staat en dat er dientengevolge sprake is van financiële afhankelijkheid. Wanneer daarbij ook het logo van de serviceorganisatie aanwezig is op het assurancerapport, kan dit de perceptie van verminderde onafhankelijkheid versterken. Dit terwijl de verschillende Registerfuncties naar de buitenwereld uitdragen dat onder andere de gevoerde titel een hoge mate van kwaliteit en onafhankelijkheid waarborgt (zie ook de Code of Ethics), waarbij de gepresenteerde feiten voor waarheid mogen worden aangenomen. In de praktijk lijkt deze aanname, wanneer het gaat om assuranceverklaringen, ineens niet intern opererende RE wordt (ook door beroepsgenoten!) niet zonder meer voor waarheid aangenomen. Liever lijkt men een dossier en een verklaring op het briefpapier van een externe auditfirma te zien. Dit terwijl de eisen en randvoorwaarden die aan die werkzaam is op een interne auditafdeling moet aan dezelfde beroepseisen voldoen als de externe auditor, ook voor wat betreft objectiviteit en deskundigheid. Maar we kunnen niet zomaar voorbijgaan gaan aan de perceptie van verminderde onafhankelijkheid wanneer het een interne RE betreft. Daar ligt voor het vakgebied dan ook een uitdaging om de gebruikersorganisatie en haar accountant te overtuigen van de kwaliteit en onafhankelijkheid die verbonden zijn aan het voeren van de beroepsaanduiding RE. Bij het maken van de afspraken voor een verklaring zal de interne RE aan moeten tonen dat hij voldoende kwaliteit bezit en voldoet aan alle eisen zoals deze al eerder in dit artikel genoemd zijn. De aansluiting bij het IIA en de kwa liteitstoets kunnen hierbij een belangrijke rol spelen, vooral ook bij het aantoonbaar maken van kwaliteit en onafhankelijkheid. Wanneer de gebruikersorganisatie vertrouwen heeft in de kwaliteit van de interne RE en de interne auditfunctie als geheel, kan ook het kostenaspect meegenomen worden bij het overtuigen. Door de overlap van werkzaamheden kunnen de kosten omlaag vergeleken met de kosten voor een verklaring door een externe auditor. CONCLUSIE Volgens de literatuur brengt de invoering van Richtlijn 3402 als belangrijke wijziging met zich mee dat ook de IT-auditor mag tekenen. Tot nu toe werd in de literatuur niet vermeld dat de Richtlijn spreekt over de beroepsbeoefenaar en dat daarmee, mits aan specifieke voorwaarden wordt voldaan, ook mogelijkheden bestaan voor de interne RE. Het vakgebied ziet de ISAE 3402-standaard eerder als een update van de SAS 70 dan als een wezenlijk andere standaard. Zoals uiteengezet in dit artikel zien wij geen vaktechnische bezwaren om, gegeven de randvoorwaarden die daaraan gesteld worden, als internal auditfunctie assurance te verschaffen over de managementverklaring van de eigen organisatie. Hierbij dient wel rekening te worden gehouden met de perceptie van de ontvangende partij. Wanneer het logo van de serviceorganisatie aanwezig is op het assurancerapport, kan de onafhankelijkheid van de auditor in twijfel getrokken worden door de ontvangende de IT-Auditor nummer
7 auditwerkveld. Wanneer de gebruikersorganisatie en haar accountant overtuigd kunnen worden van de kwaliteit van de interne auditfunctie van de serviceorganisatie hebben de interne auditfunctie en de RE in het bijzonder met de introductie van Richtlijn 3402 meer mogelijkheden gekregen om toegevoegde waarde te bieden. En dat niet alleen voor de organisatie waarbinnen zij opereren, maar ook voor de overige stakeholders bij een assurancetraject. Haar kennis van het bedrijf en de bijbehorende processen, in combinatie met de factoren onafhankelijkheid en deskundigheid, maken de interne auditfunctie bij uitstek geschikt om een ISAE 3402-verklaring af te geven. Het feit dat het management voor de verantwoording moet tekenen, kan werken als een aanjager voor een verbeterde beheersing van de bedrijfsvoering. ISAE 3402 biedt met name aan de interne auditfunctie en de daarbinnen opererende RE uitstekende mogelijkheden om onafhankelijke assurance te geven bij de verantwoording die een organisatie zelf aflegt. Dit sluit aan bij andere ontwikkelingen binnen het vakgebied, zoals de kwaliteitscertificering door NOREA en in het verlengde daarvan de onderlinge accreditatie van NOREA, NBA en IIA. Daarnaast sluiten deze mogelijkheden aan bij eisen die wet- en regelgeving stellen aan de interne audit functie, zoals bijvoorbeeld Solvency II voor verzekeraars, of Basel II/III voor banken. Gebruikmaken van deze mogelijkheden versterkt de positie van de RE, die daarmee zowel zichzelf als de interne auditfunctie beter op de kaart kan zetten. Literatuur [EWAL09] Zekerheid bij uitbesteding, Drs. R.Ch.T. Ewals RE, Handboek IT-Auditing, februari [EWAL10] ISAE 3402: Een nieuw hoofdstuk voor de IT-auditor, René Ewals, IT-Auditor, nummer 3, [IFAC10-1] International Federation of Accountants, International Standard on Assurance Engagements (ISAE) 3402 assurance reports on controls at a service organization, [IFAC10-2] International Federation of Accountants, Handbook of the code of ethics for professional accountants, [IIA11] Instituut Internal Auditors (IIA), ISAE 3402 en de Internal Auditor, praktijkhandleiding, [NORE06] NOREA, Reglement Gedragscode ( Code of Ethics ), [NORE09] NOREA, Reglement Kwaliteitsbeheersing NOREA (RKBN), [NORE10] NOREA, NOREA richtlijn 3402 assurancerapporten betreffende interne beheersingsmaatregelen bij een serviceorganisatie, [NORE11-1] NOREA, Introductie Kwaliteitsonderzoek NOREA, [NORE11-2] NOREA, B4.2 Stappenplan Kwaliteitsonderzoek NOREA, Ing. D. N. (Dennis) Buitendijk EMITA werkt als IT-auditor bij Coöperatie VGZ, (voorheen UVIT). Daarvoor werkte hij bij Ernst & Young. Dennis is lid van de IIA Commissie Young Professionals. Dit artikel is geïnspireerd op de scriptie waarmee hij in 2011 de IT Audit opleiding aan de Vrije Universiteit Amsterdam afrondde. Drs. A. F. (Alexander) Sluiter RE is werkzaam als Senior IT-auditor bij Univé Verzekeringen. Daarvoor werkte hij onder andere bij UVIT (Univé-VGZ-IZA-TRIAS) en Deloitte. Alexander rondde in 2008 zijn IT Audit opleiding aan de Vrije Universiteit Amsterdam af. 16 de IT-Auditor nummer
ISA 610, GEBRUIKMAKEN VAN DE WERKZAAMHEDEN VAN INTERNE AUDITORS
INTERNATIONAL STANDARD ON AUDITING (ISA) ISA 610, GEBRUIKMAKEN VAN DE WERKZAAMHEDEN VAN INTERNE AUDITORS Deze Internationale controlestandaard (ISA) werd in 2009 in de Engelse taal gepubliceerd door de
Nadere informatieCollege Kwaliteitsonderzoek JAARVERSLAG 2016
JAARVERSLAG 2016 Amsterdam, 16 mei 2017 1 Inhoudsopgave 1. Inleiding 3 2. CKO en samenvatting werkzaamheden 5 3. Toelichting op de werkzaamheden CKO 6 4. Financiële aspecten kwaliteitsonderzoeken 8 5.
Nadere informatieMKB Cloudpartner Informatie TPM & ISAE 3402 2016
Third Party Memorandum (TPM) Een Derde verklaring of Third Party Mededeling (TPM) is een verklaring die afgegeven wordt door een onafhankelijk audit partij over de kwaliteit van een ICT-dienstverlening
Nadere informatieCollege Kwaliteitsonderzoek CKO JAARVERSLAG 2018
CKO JAARVERSLAG 2018 Amsterdam, 16 mei 2019 1 Inhoudsopgave 1. Inleiding 3 2. CKO en samenvatting werkzaamheden 5 3. Toelichting op de werkzaamheden CKO 7 3.3 Uitgevoerde onderzoeken 3.4 Bevindingen Bijlage
Nadere informatieRichtlijn 4401 Opdrachten tot het verrichten van overeengekomen specifieke werkzaamheden met betrekking tot informatietechnologie
Richtlijn 4401 Opdrachten tot het verrichten van overeengekomen specifieke werkzaamheden met betrekking tot informatietechnologie Inleiding 1-3 Doel van de opdracht tot het verrichten van overeengekomen
Nadere informatieOPKOMST VAN EEN NIEUWE WERELDWIJDE ASSURANCESTANDAARD ISAE 3402: einde van SAS 70 in zicht?
OPKOMST VAN EEN NIEUWE WERELDWIJDE ASSURANCESTANDAARD ISAE 3402: einde van SAS 70 in zicht? Dit artikel is geschreven om u te informeren over de ontwikkelingen op het gebied van third party reporting 1,
Nadere informatieRonald van der Wal Enterprise Risk Services
Beoordeling van een service auditor s rapport in het kader van de jaarrekeningcontrole en de rol van de IT auditor Auteurs: Niels Smit Enterprise Risk Services Deloitte Accountants B.V. Mobile: +31 (0)
Nadere informatieToezien op privacy naleving bij (IT) leveranciers; ISO of ISAE 3000?
Algemene Verordening Gegevensbescherming (AVG) en de impact bij uitbesteding DATABEVEILIGING Toezien op privacy naleving bij (IT) leveranciers; ISO 27001 of ISAE 3000? Het uitbesteden van bedrijfsprocessen
Nadere informatieNOREA Richtijn 3402 ASSURANCE-RAPPORTEN BETREFFENDE INTERNE BEHEERSINGSMAATREGELEN BIJ EEN SERVICEORGANISATIE
NOREA Richtijn 3402 ASSURANCE-RAPPORTEN BETREFFENDE INTERNE BEHEERSINGSMAATREGELEN BIJ EEN SERVICEORGANISATIE (Van toepassing op assurance-rapporten van IT-auditors van de serviceorganisatie over verslagperioden
Nadere informatieINHOUD. Paragraaf
Richtlijn 3000 is ontleend aan de Standaard 3000 van NBA en vastgesteld door de NOREA-ledenvergadering op 14 december 2016. RICHTLIJN 3000 (HERZIEN) ASSURANCE-OPDRACHTEN DOOR IT-AUDITORS. (Van toepassing
Nadere informatieThird Party Audits Onderzoek naar de toegevoegde waarde van Third Party Audits voor gebruikersorganisaties en serviceorganisaties
Scriptievoorstel v0.3 Het effect van organisatiecultuur op de IT-auditaanpak Third Party Audits Onderzoek naar de toegevoegde waarde van Third Party Audits voor gebruikersorganisaties en serviceorganisaties
Nadere informatieDe mogelijke rollen van de internal auditor in een ISAE 3402-traject
De mogelijke rollen van de internal auditor in een ISAE 3402-traject Gebruik met bronvermelding toegestaan Erasmus Universiteit Rotterdam Postinitiële opleiding Internal Auditing & Advisory Erasmus School
Nadere informatieVerschillen en overeenkomsten tussen SOx en SAS 70
Compact 2007/3 Verschillen en overeenkomsten tussen SOx en SAS 70 Drs. J.H.L. Groosman RE Sinds de bekende boekhoudschandalen is er veel aandacht voor de interne beheersing en goed ondernemingsbestuur,
Nadere informatieOordelen van en door RE s
Oordelen van en door RE s Mr. Drs. Jan Roodnat RE RA Drs. Ing. P.D. Verstege RE RA Werkgroep Oordelen NOREA 14 november 2006 Overzicht presentatie Opdracht Werkgroep Oordelen NOREA Auditproces Nationale
Nadere informatieISAE 3402 en de internal auditor
ISAE 3402 en de internal auditor Praktijkhandreiking Instituut van Internal Auditors Nederland ISAE 3402 en de internal auditor Praktijkhandreiking Instituut van Internal Auditors Nederland Disclosure
Nadere informatieISAE 3402: een nieuw hoofdstuk voor de IT-auditor
ISAE 3402: een nieuw hoofdstuk voor de IT-auditor De SAS70-standaard is sinds jaar en dag dé internationale standaard voor het geven van zekerheid over uitbestede processen. Door de IAASB is eind december
Nadere informatieControleverklaringen. Nieuwe stijl, heldere taal
Controleverklaringen Nieuwe stijl, heldere taal NIVRA-NOvAA 2010 Disclaimer Het NIVRA en de NOvAA hebben zich ten doel gesteld voor een zo betrouwbaar mogelijke uitgave te zorgen. Niettemin zijn het NIVRA
Nadere informatieREGLEMENT PERMANENTE EDUCATIE REGISTER OPERATIONAL AUDITORS
REGLEMENT PERMANENTE EDUCATIE REGISTER OPERATIONAL AUDITORS Artikel 1 Auditor Bestuur Begrippen en afkortingen Een persoon die een objectief onderzoek uitvoert met als doel een onafhankelijk oordeel te
Nadere informatieZeker-OnLine is een onafhankelijk en transparant keurmerk voor online administratieve diensten (ook wel administratieve cloudoplossingen genoemd).
Zeker-OnLine is een onafhankelijk en transparant keurmerk voor online administratieve diensten (ook wel administratieve cloudoplossingen genoemd). Transacties Financiële registratie Rapportering BTW aangifte
Nadere informatieIT-audit in vogelvlucht. Jeanot de Boer 24 april 2012
IT-audit in vogelvlucht Jeanot de Boer 24 april 2012 Agenda Introductie Wat is IT-audit Hoe is IT-audit in Nederland geregeld? Het IT-audit proces Wat is de toegevoegde waarde van IT-audit Enkele praktijkvoorbeelden
Nadere informatieDit document maakt gebruik van bladwijzers. Consultatiedocument Gewijzigde Standaard 3000 en Stramien 4 juni 2015
Dit document maakt gebruik van bladwijzers. Consultatiedocument 4 juni 2015 Consultatieperiode loopt tot 1 september 2015 Consultatiedocument gewijzigde Standaard 3000 en Stramien Inhoudsopgave 1 Inleiding
Nadere informatieSAS 70 herzien, focus ISAE 3402 blijft op beheersingsmaatregelen
38 SAS 70 herzien, focus ISAE 3402 blijft op beheersingsmaatregelen financiële verantwoording Drs. Jaap van Beek RE RA en drs. Marco Francken RE RA CISA Drs. J.J. van Beek RE RA is als partner werkzaam
Nadere informatieSeminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars!
Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! 1! Inrichting van de IAF! zoals het moet! Esther Poelsma RA CIA! 2! Programma! Even voorstellen Waarom een IAF? Wat is de rol van een
Nadere informatieMeer duidelijkheid over samenstellingsopdrachten met komst Standaard 4410
Spotlight Meer duidelijkheid over samenstellingsopdrachten met komst Standaard 4410 Robert van der Glas - Statutaire compliance, Tax Reporting & Strategy De NBA heeft onlangs de herziene standaard uitgebracht
Nadere informatieINTERNATIONAL STANDARD ON AUDITING (ISA)
INTERNATIONAL STANDARD ON AUDITING (ISA) ISA 610 (Herzien in 2013), Gebruikmaken van de werkzaamheden van interne auditors Copyright IFAC Deze Internationale controlestandaard (ISA) werd in 2015 in de
Nadere informatieDNB BEOORDELINGSKADER VOOR DE AUDITFUNCTIE BIJ TRUSTKANTOREN INGEVOLGE DE RIB WTT 2014
DNB BEOORDELINGSKADER VOOR DE AUDITFUNCTIE BIJ TRUSTKANTOREN INGEVOLGE DE RIB WTT 2014 In het kader van de integere bedrijfsvoering is een trustkantoor met ingang van 1 januari 2015 verplicht om zorg te
Nadere informatieHet assurance-raamwerk De accountant en het verstrekken van zekerheid
Het assurance-raamwerk De accountant en het verstrekken van zekerheid Koninklijk Nederlands Instituut van Registeraccountants Inhoudsopgave 1 Inleiding 3 2 Het begrip assurance en maatschappelijke ontwikkelingen
Nadere informatieSAS 70 maakt plaats voor ISAE 3402
SAS 70 maakt plaats voor ISAE 3402 Sinds enkele jaren is een SAS 70-rapportage gemeengoed voor serviceorganisaties om verantwoording af te leggen over de interne beheersing. Inmiddels is SAS 70 verouderd
Nadere informatieJacques Herman 21 februari 2013
KING bijeenkomst Audit- en Pentestpartijen Toelichting op de DigiD Rapportage template en de NOREA Handreiking DigiD ICT-beveiligingsassessments Jacques Herman 21 februari 2013 Samenvatting van de regeling
Nadere informatieINTERNATIONAL STANDARD ON AUDITING (ISA)
INTERNATIONAL STANDARD ON AUDITING (ISA) ISA 706, PARAGRAFEN TER BENADRUKKING VAN BEPAALDE AANGELEGENHEDEN EN PARAGRAFEN INZAKE OVERIGE AANGELEGENHEDEN IN DE CONTROLEVERKLARING VAN DE ONAFHANKELIJKE AUDITOR
Nadere informatieInterne beheersing: Aan assurance verwante opdrachten Inleiding. Het kwaliteitsonderzoek. Regelgeving. Vragenlijst.
Interne beheersing: Aan assurance verwante opdrachten 2010 Naam vragenlijst: Vertrouwelijk Inleiding In het kader van de Verordening Kwaliteitsonderzoek is het accountantskantoor geselecteerd voor een
Nadere informatieINTERNATIONALE CONTROLESTANDAARD 610 HET IN AANMERKING NEMEN VAN DE INTERNE AUDITWERKZAAMHEDEN
INTERNATIONALE CONTROLESTANDAARD 610 HET IN AANMERKING NEMEN VAN DE INTERNE AUDITWERKZAAMHEDEN INHOUDSOPGAVE Paragrafen Inleiding... 1-4 Reikwijdte en doelstellingen van de interne audit... 5 Verhouding
Nadere informatieINHOUD. Alleen voor identificatiedoeleinden RSM Nederland Risk Advisory Services B.V. 26 april 2018 w.g. M. Hommes RE
Rapportage ENSIA Aan : Gemeente Olst- Wijhe College van B&W Van : M. Hommes Datum : Betreft : Collegeverklaring gemeente Olst- Wijhe d.d. 24 april 2018 INHOUD 1 Conclusie... 3 2 Basis voor de conclusie...
Nadere informatieSeminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level!
Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level! 1! 1. Introductie Agenda! 2. Stand van zaken in de Cyber Security wereld 3. Verschillende soorten
Nadere informatieReglement externe kwaliteitstoetsing interne audit functies van IIA Nederland
Reglement externe kwaliteitstoetsing interne audit functies van IIA Nederland Vastgesteld in de Algemene Ledenvergadering van IIA Nederland van 7 december 2016. Hoofdstuk I Begripsbepalingen Artikel 1
Nadere informatie2014 KPMG Advisory N.V
01 Uitbesteding & assurance 11 Nut en noodzaak van assurance reporting Auteurs: Rosemarie van Alst en Fons Basten Wie activiteiten uitbesteedt, wil graag zekerheid over de kwaliteit en integriteit van
Nadere informatieSAS 70: Tekenbevoegdheid voor de IT-Auditor?
SAS 70: Tekenbevoegdheid voor de IT-Auditor? Scriptie Postgraduate IT-Audit Opleiding Vrije Universiteit Amsterdam Jacob van der Blij M.Sc. & Poké Chen M.Sc. April 2008 Bedrijfscoach: Michael van der Meulen
Nadere informatieINTERNATIONAL STANDARD ON AUDITING (ISA)
INTERNATIONAL STANDARD ON AUDITING (ISA) ISA 610 (Herzien 2013), Gebruikmaken van de werkzaamheden van interne auditors Copyright IFAC Deze Internationale controlestandaard (ISA) werd in 2016 in de Engelse
Nadere informatieDe toegevoegde waarde van een ISAE 3402-
De toegevoegde waarde van een ISAE 3402- verklaring Een isae 3402-verklaring is een specifieke vorm van third party assurance en heeft toegevoegde waarde voor services en gebruikerss. Er is echter nog
Nadere informatieENSIA assurance rapport DigiD en Suwinet verantwoordingsjaar 2018 Gemeente Leusden
ENSIA assurance rapport verantwoordingsjaar 2018 BKBO bv Kenmerk BKBO/181113-2-2/AR drs. M.B.H. IJpelaar RE CEH CISA Dit assurancerapport heeft 9 pagina s www.bkbo.nl FEIT Ook al zegt men dat de wetenschap
Nadere informatieStichting Registered Tax Assurance Providers. Reglement toetreding register. Vastgesteld en in werking getreden op 12 september 2012
1 Stichting Registered Tax Assurance Providers (RTAP) Reglement toetreding Register Vastgesteld en in werking getreden op 12 september 2012 Artikel 1 Definities Aspirant Tax Assurance Provider Bestuur
Nadere informatieReglement externe kwaliteitstoetsing interne audit functies van IIA Nederland
Reglement externe kwaliteitstoetsing interne audit functies van IIA Nederland Vastgesteld in de Algemene Ledenvergadering van IIA Nederland van 16 mei 2019. Hoofdstuk I Begripsbepalingen Artikel 1 1. Dit
Nadere informatieCharco & Dique. De auditfunctie bij trustkantoren. Risk Management & Compliance
De auditfunctie bij trustkantoren Trustkantoren zijn vanaf 1 januari 2015 verplicht om een auditfunctie in te voeren. In deze brochure geven wij een toelichting op de auditfunctie, een overzicht van alle
Nadere informatieInleiding 1 4 3. Begrippen en definities 5 3. Doelstellingen van een privacy-audit 6 7 4. Opdrachtaanvaarding 8 9 4
Inhoudsopgave Paragraaf Pagina 2 Inleiding 1 4 3 Begrippen en definities 5 3 Doelstellingen van een privacy-audit 6 7 4 Opdrachtaanvaarding 8 9 4 Deskundigheidseisen en het gebruik maken van deskundigen
Nadere informatieReglement externe kwaliteitstoetsing interne audit functies van IIA Nederland
Reglement externe kwaliteitstoetsing interne audit functies van IIA Nederland Vastgesteld in de Algemene Ledenvergadering van IIA Nederland van 10 december 2018. Hoofdstuk I Begripsbepalingen Artikel 1
Nadere informatieISA 710, TER VERGELIJKING OPGENOMEN INFORMATIE - OVEREENKOMSTIGE CIJFERS EN VERGELIJKENDE FINANCIELE OVERZICHTEN
INTERNATIONAL STANDARD ON AUDITING (ISA) ISA 710, TER VERGELIJKING OPGENOMEN INFORMATIE - OVEREENKOMSTIGE CIJFERS EN VERGELIJKENDE FINANCIELE OVERZICHTEN Deze Internationale controlestandaard (ISA) werd
Nadere informatieHandleiding uitvoering ICT-beveiligingsassessment
Handleiding uitvoering ICT-beveiligingsassessment Versie 2.1 Datum : 1 januari 2013 Status : Definitief Colofon Projectnaam : DigiD Versienummer : 2.0 Contactpersoon : Servicecentrum Logius Postbus 96810
Nadere informatieSIS FINANCE. voor professionals door professionals. consulting. interim management. finance professionals. SIS finance
FINANCE consulting interim management professionals duurzame relaties met onze opdrachtgevers, gebaseerd op kennis van zaken, commitment en oplossingsgerichtheid. OVER FINANCE Finance is een middelgroot
Nadere informatieAudit Assurance bij het Applicatiepakket Interne Modellen Solvency II
Confidentieel 1 Audit Assurance bij het Applicatiepakket Interne Modellen Solvency II 1 Inleiding Instellingen die op grond van art. 112, 230 of 231 van de Solvency II richtlijn (richtlijn 2009/139/EC)
Nadere informatieINTERNATIONAL STANDARD ON AUDITING (ISA)
INTERNATIONAL STANDARD ON AUDITING (ISA) ISA 720, DE VERANTWOORDELIJKHEDEN VAN DE AUDITOR MET BETREKKING TOT ANDERE INFORMATIE IN DOCUMENTEN WAARIN GECONTROLEERDE FINANCIËLE OVERZICHTEN ZIJN OPGENOMEN
Nadere informatieInternal Audit Charter
Interne Audit Dienst Versie 3.0 (vervangt bij vaststelling door RvB vorige versie 2.0) Pagina 1 van 5 Artikel 1 Het doel, de bevoegdheden en verantwoordelijkheden van de internal auditfunctie zijn in dit
Nadere informatieNOREA Richtijn 3402 ASSURANCE-RAPPORTEN BETREFFENDE INTERNE BEHEERSINGSMAATREGELEN BIJ EEN SERVICEORGANISATIE INHOUD
Vertaling NEDERLANDS ISA 3402 NOREA Richtijn 3402 ASSURANCE-RAPPORTEN BETREFFENDE INTERNE BEHEERSINGSMAATREGELEN BIJ EEN SERVICEORGANISATIE (Van toepassing op assurance-rapporten van auditors van de serviceorganisatie
Nadere informatieAls basis voor de NOREA Richtlijn Documentatie is gehanteerd ISA 230.
NOREA Richtlijn Documentatie Achtergrond Uitgangspunt is om een Richtlijn Documentatie op te stellen die geldend is voor de professionele diensten van een IT-auditor, zoals omschreven in paragraaf 1. Als
Nadere informatieDe accountant en het bestuursverslag Visie NBA Young Profs
De accountant en het bestuursverslag Visie NBA Young Profs Aanleiding Op 13 november 2015 publiceerde de NBA haar consultatiedocument De accountant en het bestuursverslag: Verder kijken dan de jaarrekening.
Nadere informatieBeoordelingskader en normering onderzoek kwaliteit EVC-procedures in Nederland
KWALITEITSCODE EVC Beoordelingskader en normering onderzoek kwaliteit EVC-procedures in Nederland CODE 1. DOEL Het doel van EVC is het zichtbaar maken, waarderen en erkennen van individuele competenties.
Nadere informatieGemeente Veenendaal. ICT-beveiligingsassessment. Suwinet Inkijk Ten behoeve van gemeenten Rhenen en Renswoude. Audit Services
Gemeente Veenendaal ICT-beveiligingsassessment Suwinet Inkijk Ten behoeve van gemeenten Rhenen en Renswoude Datum rapport: 6 april 2018 Rapportnummer: AAS2018-254 Dit rapport heeft 13 pagina s Inhoudsopgave
Nadere informatiePraktijkhandreiking 1115 Aanpassing van het oordeel in de controleverklaring bij materiële tekortkomingen in de toelichting op de jaarrekening
Praktijkhandreiking 1115 Aanpassing van het oordeel in de controleverklaring bij materiële tekortkomingen in de toelichting op de jaarrekening NIVRA en NOvAA gebruiken de merknaam NBA (Nederlandse Beroepsorganisatie
Nadere informatieAssurancerapport van de onafhankelijke IT-auditor
Assurancerapport van de onafhankelijke IT-auditor Aan: College van burgemeester en wethouders van gemeente Renswoude Ons oordeel Wij hebben de bijgevoegde Collegeverklaring ENSIA 2017 inzake informatiebeveiliging
Nadere informatieISA 320, MATERIALITEIT BIJ DE PLANNING EN UITVOERING VAN EEN CONTROLE
INTERNATIONAL STANDARD ON AUDITING (ISA) ISA 320, MATERIALITEIT BIJ DE PLANNING EN UITVOERING VAN EEN CONTROLE Deze Internationale controlestandaard (ISA) werd in 2009 in de Engelse taal gepubliceerd door
Nadere informatieUitbestedingsbeleid Stichting Pensioenfonds van de ABN AMRO Bank N.V.
Uitbestedingsbeleid Stichting Pensioenfonds van de ABN AMRO Bank N.V. [geldend vanaf 1 juni 2015, PB15-220] Artikel 1 Definities De definities welke in dit uitbestedingsbeleid worden gebruikt zijn nader
Nadere informatieFormat assurance over de juistheid van de collegeverklaring ENSIA 2017 van gemeente [naam gemeente]
Format assurance over de juistheid van de collegeverklaring ENSIA 2017 van gemeente [naam gemeente] Opdrachtbevestiging Versie [1.0] Datum [ ] Status [ ] 1 Colofon Titel Assurance over de juistheid van
Nadere informatieInleiding 1. Opdrachtaanvaarding 2 t/m 7. Planning en uitvoering professionele dienst 8 t/m 12. Dossier 13 t/m 16. Rapportage 17 t/m 20
INHOUDSOPGAVE Artikel Inleiding 1 Opdrachtaanvaarding 2 t/m 7 Planning en uitvoering professionele dienst 8 t/m 12 Dossier 13 t/m 16 Rapportage 17 t/m 20 Eindoordeel 21 t/m 24 B4.4 Vragenlijst Dossierreview
Nadere informatieB2 Reglement Beroepsbeoefening IT-auditors
B2 Reglement Beroepsbeoefening IT-auditors INHOUDSOPGAVE Artikel Inleiding 1 t/m 4 Vereisten 5 Onderwerpen 6 t/m 7 Richtlijnen 8 t/m 12 Handreikingen 13 t/m 17 Studies 18 TOEPASSINGSGERICHTE EN OVERIGE
Nadere informatieMeer aandacht voor het bestuursverslag in de controleverklaring
Januari 2017 Meer aandacht voor het bestuursverslag in de controleverklaring De accountant rapporteert over materiële onjuistheden De leden van de Koninklijke NBA vormen een brede, pluriforme beroepsgroep
Nadere informatieWerkprogramma Risicobeheersing Volmachten 2018
Accountantsprotocol Werkprogramma Risicobeheersing Volmachten 2018 versie 4.0 Accountantsprotocol versie 4.0 Werkprogramma Risicobeheersing Volmachten 2018 1 van 7 Colofon Dit Accountantsprotocol Werkprogramma
Nadere informatieReglement van Toelating
Reglement van Toelating Begripsbepalingen Artikel 1. Voor de toepassing van dit reglement wordt verstaan onder: de Orde: de Nederlandse Orde van Register EDP-Auditors; het Bestuur: het bestuur van de Nederlandse
Nadere informatieAssurancerapport importeurs ten behoeve van het aanleveren van CvO-gegevens
Assurancerapport importeurs ten behoeve van het aanleveren van CvO-gegevens Eigenaar: RDW, Divisie R&I Versiebeheer: Internal Audit RDW Datum: 12 januari 2016 Versie: 1.3 Inhoudsopgave 1 INLEIDING... 3
Nadere informatieISA 520, CIJFERANALYSES
INTERNATIONAL STANDARD ON AUDITING (ISA) ISA 520, CIJFERANALYSES Deze Internationale controlestandaard (ISA) werd in 2009 in de Engelse taal gepubliceerd door de International Auditing and Assurance Standards
Nadere informatieExterne assurance-regels voor het interne IT-audit beroep
Externe assurance-regels voor het interne IT-audit beroep Het Raamwerk en de Richtlijn 3000 voor assuranceopdrachten door IT-auditors [NORE08-1, NORE08-2] van de NOREA is vanaf 1 januari 2008 van kracht
Nadere informatieAcademy. pen inschrijving NAJAAR. Programma. Ons Open Inschrijving cursusaanbod voor najaar 2018 bestaat uit: Beheersing van uitbesteding.
Programma NAJAAR 2018 Solutional Academy heeft als doelstelling onze kennis en expertise zoveel mogelijk te delen met mensen die werkzaam zijn in de asset management- en pensioensector. Hierbij treft u
Nadere informatieGrip op fiscale risico s
Grip op fiscale risico s Wat is een Tax Control Framework? Een Tax Control Framework (TCF) is een instrument van interne beheersing, specifiek gericht op de fiscale functie binnen een organisatie. Een
Nadere informatieGedragseffecten in de (internal) audit-professie. 25-jarig jubileum Internal Auditing & Advisory 29 juni 2018
Gedragseffecten in de (internal) audit-professie 25-jarig jubileum Internal Auditing & Advisory 29 juni 2018 1 Introductie John Bendermacher RA CIA 57 jaar Chief Audit Executive ABN AMRO Voorheen SNS REAAL,
Nadere informatieConsultatiedocument Nieuwe Nederlandse Standaard 3001N voor directe opdrachten 21 juli 2016
Dit document maakt gebruik van bladwijzers Consultatiedocument Nieuwe Nederlandse Standaard 3001N voor directe opdrachten 21 juli 2016 Consultatieperiode loopt tot 27 september 2016 vóór 09.00 uur Consultatiedocument
Nadere informatieConsultatiedocument Evaluatie VGBA en ViO Wat hebben wij tot nu toe gehoord
Dit document maakt gebruik van bladwijzers Wat hebben wij tot nu toe gehoord 19 juli 2019 Consultatieperiode loopt tot 13 september 2019 09.00 uur Uw reactie zien wij graag voor 13 september 09.00 uur
Nadere informatieB4 Reglement Kwaliteitsonderzoek NOREA (RKON) Preambule
Preambule Een hoofddoel van NOREA is: het bevorderen van de kwaliteit van de beroepsuitoefening door de leden, voor zover deze beroepsuitoefening binnen het vakgebied, IT-auditing, valt of daaraan raakt
Nadere informatieNOREA Visie 2020. - Brigitte Beugelaar. 14 september 2015
NOREA Visie 2020 - Brigitte Beugelaar 14 september 2015 NOREA, de beroepsorganisatie van IT-auditors Opgericht in 1992 1635 registerleden 253 aspirant-leden, d.w.z. in opleiding 123 geassocieerde leden,
Nadere informatieInternal Audit Charter BNG Bank
Internal Audit Charter BNG Bank Koninginnegracht 2 2514 AA Den Haag T 070 3750 750 www.bngbank.nl Vastgesteld door de Raad van Bestuur op 12 februari 2018 en goedgekeurd door de Raad van Commissarissen
Nadere informatieCloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.
Cloud Computing, een inleiding ICT Accountancy & Financials congres 2013: Cloud computing en efactureren 10 december 2013 Jan Pasmooij RA RE RO: jan@pasmooijce.com 10 december 2013 1 Kenmerken van Cloud
Nadere informatievoorzitter NOREA Adri de Bruijn NIVRA-NOREA-aanpak privacy-certificering privacy-audit
Adri de Bruijn voorzitter NOREA NIVRA-NOREA-aanpak privacy-audit privacy-certificering Platform Informatiebeveiliging, 13 april 25 Nr 1 2 3 4 5 6 7 8 9 1 Waarom een privacy-certificaat? Reden % Het aantoonbaar
Nadere informatieISA 510, INITIËLE CONTROLEOPDRACHTEN - BEGINSALDI
INTERNATIONAL STANDARD ON AUDITING (ISA) ISA 510, INITIËLE CONTROLEOPDRACHTEN - BEGINSALDI Deze Internationale controlestandaard (ISA) werd in 2009 in de Engelse taal gepubliceerd door de International
Nadere informatieISO 9000:2000 en ISO 9001:2000. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V.
ISO 9000:2000 en ISO 9001:2000 Een introductie Algemene informatie voor medewerkers van: SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 11 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2 VERSIEBEHEER...
Nadere informatieSAS 70 en daarna: controls reporting in een breder kader
SAS 70 en daarna: controls reporting in een breder kader Stefan Verweij en Suzanne Keijl, Systems & Process Assurance Ondernemingen besteden in toenemende mate processen uit, ook processen die in het verleden
Nadere informatieNaam/logo beoordelende organisatie. Beoordelingsrapport Onderzoek Kwaliteit EVC-procedures. Verlenging. [naam EVC-aanbieder] Datum:
Naam/logo beoordelende organisatie Beoordelingsrapport Onderzoek Kwaliteit EVC-procedures Verlenging [naam EVC-aanbieder] Datum: Colofon Titel: Beoordelingsrapport Onderzoek Kwaliteit EVC-procedures, Verlenging
Nadere informatieKlaagster, is het bestuur van de Nederlandse Orde van Register EDP-Auditors, hierna mede
Tuchtrechtspraak Raad van Tucht, Amsterdam 2017-2 Klaagster, is het bestuur van de Nederlandse Orde van Register EDP-Auditors, hierna mede aangeduid als NOREA of het bestuur. Verweerder is lid van de NOREA
Nadere informatieA7 Richtlijn Permanente Educatie (wijzigingsvoorstel 2018, ter consultatie)
A7 Richtlijn Permanente Educatie (wijzigingsvoorstel 2018, ter consultatie) Doelstelling Artikel 1 Permanente educatie (PE) heeft tot doel de voor de adequate beroepsuitoefening benodigde deskundigheid
Nadere informatieII. VOORSTELLEN VOOR HERZIENING
II. VOORSTELLEN VOOR HERZIENING 2. VERSTEVIGING VAN RISICOMANAGEMENT Van belang is een goed samenspel tussen het bestuur, de raad van commissarissen en de auditcommissie, evenals goede communicatie met
Nadere informatieMeerwaarde Internal Audit functie. 16 maart 2017
Meerwaarde Internal Audit functie Even voorstellen: Jantien Heimel 2 Even voorstellen: Jeannette de Haan 3 Inhoud 1. Kennismaking 2. Hoe kijken commissarissen aan tegen Internal Audit? Filmpje 3. Wat is
Nadere informatieISA 700, HET VORMEN VAN EEN OORDEEL EN HET RAPPORTEREN OVER FINANCIËLE OVERZICHTEN
INTERNATIONAL STANDARD ON AUDITING (ISA) ISA 700, HET VORMEN VAN EEN OORDEEL EN HET RAPPORTEREN OVER FINANCIËLE OVERZICHTEN Deze Internationale controlestandaard (ISA) werd in 2009 in de Engelse taal gepubliceerd
Nadere informatieThird-partymededelingen: de ervaringen van de gebruikersorganisaties
31 Third-partymededelingen: de ervaringen van de gebruikersorganisaties Mw. drs. S. van der Eijk-van Eck en drs. K.H.G.J.M. Ho RE RA Het begrip third-partymededeling (TPM) is onder IT-auditors inmiddels
Nadere informatieISA 600, BIJZONDERE OVERWEGINGEN CONTROLES VAN FINANCIËLE OVERZICHTEN VAN EEN GROEP (INCLUSIEF DE WERKZAAMHEDEN VAN AUDITORS VAN GROEPSONDERDELEN)
INTERNATIONAL STANDARD ON AUDITING (ISA) ISA 600, BIJZONDERE OVERWEGINGEN CONTROLES VAN FINANCIËLE OVERZICHTEN VAN EEN GROEP (INCLUSIEF DE WERKZAAMHEDEN VAN AUDITORS VAN GROEPSONDERDELEN) Deze Internationale
Nadere informatieSIS FINANCE. voor professionals door professionals. consulting. interim management. finance professionals SIS. finance
FINANCE consulting interim management professionals over sis... duurzame relaties met onze opdrachtgevers gebaseerd op kennis van zaken, commitment en oplossingsgerichtheid. Finance is een middelgroot
Nadere informatieBesluit tot wijziging van de Nadere voorschriften controleen overige standaarden Vastgesteld 18 december 2008
Besluit tot wijziging van de Nadere voorschriften controleen overige standaarden Vastgesteld 18 december 2008 1 Besluit tot wijziging van de Nadere voorschriften controle- en overige standaarden Vastgesteld
Nadere informatieINTERNATIONALE CONTROLESTANDAARD 260 COMMUNICATIE OVER CONTROLE-AANGELEGENHEDEN MET HET TOEZICHTHOUDEND ORGAAN
INTERNATIONALE CONTROLESTANDAARD 260 COMMUNICATIE OVER CONTROLE-AANGELEGENHEDEN MET HET TOEZICHTHOUDEND ORGAAN INHOUDSOPGAVE Paragrafen Inleiding... 1-4 Relevant orgaan... 5-10 Te communiceren controle-aangelegenheden
Nadere informatiePraktijkhandreiking 1119 Nadere toelichtingen in de controleverklaring 24 april 2012
Nadere toelichtingen in de controleverklaring 24 april 2012 Datum: 24 april 2012 Onderwerp: Van toepassing op: Status: Accountants die controleopdrachten uitvoeren Praktijkhandreiking Relevante regelgeving
Nadere informatieSAS70 en de internal auditor
SAS70 binnenwerk 17-01-2008 16:22 Pagina 1 Studio Mac_1 SAS70 en de internal auditor Practice Advisory IIA werkgroep SAS70 Mariska Baars (voorzitter) Rick Mulders Jan Ite Muller Nicolette Nuijs Han Zevenhuizen
Nadere informatieSAS70 en de internal auditor
SAS70 binnenwerk 07-01-2008 21:03 Pagina 1 Studio Mac_1 SAS70 en de internal auditor Practice Advisory IIA werkgroep SAS70 Mariska Baars (voorzitter) Rick Mulders Jan Ite Muller Nicolette Nuijs Han Zevenhuizen
Nadere informatieI T S X. Informatiebeveiliging, IT Audit & Compliance, Security as a Service, Risicomanagement, Educatie
I T S X Understanding the Tools, the Players and the Rules Informatiebeveiliging, IT Audit & Compliance, Security as a Service, Risicomanagement, Educatie Voorwoord Ralph Moonen Arthur Donkers Mijn naam
Nadere informatieOns oordeel Wij hebben de jaarrekening 2016 van Lavide Holding N.V. te Alkmaar gecontroleerd.
Aan: de aandeelhouders en de Raad van Commissarissen van Lavide Holding N.V. Grant Thornton Accountants en Adviseurs B.V. De Passage 150 Postbus 71003 1008 BA Amsterdam T 088-676 90 00 F 088-676 90 10
Nadere informatiePraktijkhandreiking 1106 INTERNE ROULATIE BIJ NIET-OOB S Vastgesteld in de bestuursvergadering van 16 december 2009. Ingetrokken per dec '14
Praktijkhandreiking 1106 INTERNE ROULATIE BIJ NIET-OOB S Vastgesteld in de bestuursvergadering van 16 december 2009 1 PRAKTIJKHANDREIKING INTERNE ROULATIE BIJ NIET-OOB S Praktijkhandreiking 1106 Datum:
Nadere informatie