2014 KPMG Advisory N.V

Maat: px
Weergave met pagina beginnen:

Download "2014 KPMG Advisory N.V"

Transcriptie

1 01

2 Uitbesteding & assurance 11 Nut en noodzaak van assurance reporting Auteurs: Rosemarie van Alst en Fons Basten Wie activiteiten uitbesteedt, wil graag zekerheid over de kwaliteit en integriteit van deze activiteiten. Een van de manieren om die te verkrijgen is rapportage hierover in de vorm van een assurancerapport. In dit artikel zetten we uiteen wat zo n assurancerapport precies behelst, geven we adviezen over hoe een assurancerapport dient te worden geïnterpreteerd en geven we een doorkijkje naar toekomstige ontwikkelingen. Het gestructureerd uitbesteden van processen is begonnen met de automatisering van bedrijfsprocessen. Die heeft ertoe geleid dat de verwerking van gegevens vaak niet meer onder de eigen aansturing plaatsvindt, maar wordt uitbesteed aan een externe organisatie. Om blind te vertrouwen op de door die organisatie geleverde kwaliteit is echter wel wat veel gevraagd. De gebruiker wil inzicht in de kwaliteit van de geleverde diensten. Dit betekent dat de gebruiker de serviceorganisatie zou moeten bezoeken om die kwaliteit in beeld te krijgen. Dat is voor beide partijen echter niet efficiënt. De oplossing die hiervoor gevonden is we spreken over ongeveer 30 jaar geleden is een audit ten behoeve van de uitbestedende organisatie. In de Nederlandse accountantsliteratuur werd dit al snel aangeduid met de term TPM, wat staat voor Third Party Mededeling. De TPM is de eerste vorm van een assurancerapportage. Voor pensioenfondsen is de strategische keuze om een deel van de bedrijfsprocessen door een gespecialiseerde dienstverlener te laten uitvoeren een normaal onderdeel van de bedrijfsvoering geworden. Een veel voorkomende uitbesteding is die van vermogensbeheer, maar uitbesteding

3 12 De Pensioenwereld in 2015 Het management van het pensioenfonds blijft verantwoordelijk voor de uitbestede activiteiten en wil dus weten hoe het zit met kwaliteitsaspecten als betrouwbaarheid, beschikbaarheid, sustainability, beveiliging en efficiëntie. kan op bijna elk proces betrekking hebben. Ook bij uitbesteding blijft het pensioenfonds te allen tijde verantwoordelijk voor de uitvoering. Deze constatering vormt de basis voor nut en noodzaak van assurancerapportages. Het gaat hierbij verder dan alleen het beschikbaar stellen van het assurancerapport; dit rapport krijgt pas toegevoegde waarde als het daadwerkelijk gelezen wordt. To assure is bevestigen dat iets waar is. Onder assurance verstaan we het verschaffen van zekerheid over informatie door een neutrale partij, om het vertrouwen bij de gebruikers van die informatie te versterken. Het pensioenfonds is in assurancetermen de gebruikersorganisatie, de organisatie die gebruikmaakt van diensten zoals geleverd door zijn dienstverlener (bijvoorbeeld een bank voor vermogensbeheer), ook wel de serviceorganisatie genoemd. Om comfort te krijgen over de uitbestede activiteiten kan de gebruikersorganisatie de serviceorganisatie vragen om een assurancerapport, ook wel aangeduid als Service Organisatie Control (SOC)-rapport. De serviceorganisatie legt daarin verantwoording af aan haar gebruikersorganisatie(s) (hier de pensioenfondsen). Ook de accountant van het pensioenfonds heeft behoefte aan zekerheid. Voor zijn controle heeft hij bewijs nodig dat interne controlemaatregelen met betrekking tot de uitbestede

4 Uitbesteding & assurance 13 processen op orde zijn. Een SOC-rapport dat aan alle vaktechnische eisen voldoet, maakt het voor de accountant van de gebruikersorganisatie mogelijk zich een oordeel te vormen over de kwaliteit van de uitbestede activiteiten zonder dat hij verdere controlewerkzaamheden bij de serviceorganisatie hoeft uit te voeren. Deze controlewerkzaamheden worden namelijk door de auditor van de serviceorganisatie uitgevoerd die hierover rapporteert aan de gebruikersorganisatie. In het verleden werden SOC-rapporten veelal opgesteld op basis van de Amerikaanse SAS 70-standaard. Deze standaard is niet meer van toepassing. De rapportages worden nu meestal uitgebracht onder de internationale standaard ISAE 3402 of ISAE Standaard ISAE 3402 dient te worden gebruikt voor de beoordeling van de interne beheersing van processen die van belang zijn voor de financiële verantwoording. Voor de overige beheersingsmaatregelen (niet gerelateerd aan financiële verantwoordingsprocessen) kan gebruik worden gemaakt van de assurancestandaard ISAE Een SOC-rapport is een rapport waarin een serviceorganisatie beschrijft hoe zij processen beheerst. In het rapport worden beheersingsdoelstellingen gedefinieerd en wordt het geheel van beheersingsmaatregelen dat de organisatie neemt om die doelstellingen te realiseren weergegeven. Een externe auditor voegt een verklaring auditorsrapport toe aan dit rapport van de serviceorganisatie. In dit auditorsrapport gaat de auditor in op de realisatie van de beheersingsdoelstellingen. In een toelichting beschrijft hij welke testen hij heeft uitgevoerd en wat het resultaat van zijn werkzaamheden is. Deze in een afzonderlijke sectie opgenomen toelichting vormt een verantwoording van de uitgevoerde testwerkzaamheden. Er zijn twee typen SOC-rapporten: Een type I-SOC-rapport beschrijft het proces en de beheersingsmaatregelen zoals deze op een bepaald moment geïmplementeerd zijn. Hierin beantwoordt de auditor de vraag: komt de beschrijving van het rapport overeen met de werkelijke situatie? Het type II-rapport betreft een periode, meestal 6 maanden tot 1 jaar. Het rapport beschrijft het proces en de beheersingsmaatregelen zoals deze gedurende de gedefinieerde periode hebben gewerkt. Het type I-rapport is vaak het fundament voor een toekomstig type II-rapport.

5 14 De Pensioenwereld in 2015 In de praktijk leven er enkele misverstanden over wat een SOC-rapport precies is: 1. Het is geen certificaat: Een certificaat is beperkter dan een rapport. Bij een certificaat staan de normen en daarmee de scope vast. Een SOCrapport geeft een uitgebreide beschrijving volgens een vast format, terwijl een certificaat slechts vermeldt of de normen wel of niet zijn behaald. De lezer kan het rapport gebruiken voor een eigen evaluatie van de beheersingsmaatregelen binnen de serviceorganisatie. 2. Het rapport wordt niet opgesteld door de auditor: De SOC-rapportage wordt opgesteld door een serviceorganisatie. De verklaring van de auditor heeft zonder de beschrijving van het systeem en de daarbij behorende beheersingsmaatregelen geen betekenis. 3. ISAE 3402 geeft geen inhoudelijke norm: In feite is de ISAE 3402-standaard leeg. De serviceorganisatie bepaalt de scope, de beheersingsdoelstellingen en de beheersingsmaatregelen van het rapport en daarmee de norm. In de praktijk blijkt deze norm vaak in overleg met pensioenfondsen te worden bepaald. De aanwezigheid van een ISAE 3402-rapport geeft een indicatie van de volwassenheid van de administratieve organisatie van de serviceorganisatie. Accountant gebruikersorganisatie Pensioenfonds SOC-rapport Accountant serviceorganisatie Serviceorganisatie Figuur 1: De partijen die betrokken zijn bij een ISAE 3402 rapport

6 Uitbesteding & assurance 15 Door een SOC-rapport aan haar gebruikers beschikbaar te stellen voorkomt de serviceorganisatie dat zij capaciteit vrij moet maken voor het begeleiden van auditors van iedere gebruikersorganisatie. Serviceorganisaties die een SOCrapport beschikbaar stellen aan hun klanten hebben vaak een streepje voor op hun concurrenten die geen onafhankelijk inzicht in hun activiteiten verstrekken. Voor de accountant van de uitbestedende organisatie komt het SOC-rapport in de plaats van eigen testwerkzaamheden. Dit is mogelijk omdat het rapport niet alleen een oordeel van een collega bevat, maar ook omdat het rapport informatie bevat over de door die collega uitgevoerde testwerkzaamheden. Voor het management van de gebruikersorganisatie is het rapport enerzijds een bron om vast te stellen in hoeverre de afspraken uit de contracten zijn nagekomen. Anderzijds maakt het deel uit van het bouwwerk van interne controles. De informatie uit het SOC-rapport in combinatie met de eigen complementary user entity controls moet ertoe leiden dat het uitbestede proces aantoonbaar in control is. Naast rapporten bestemd voor een specifiek pensioenfonds zijn er ook rapporten die bestemd zijn voor een groep gebruikers (bijvoorbeeld meerdere pensioenfondsen en/of andere organisaties). Een SOC-rapport voor een groep gebruikers is vaak efficiënter voor de serviceorganisatie die hiervoor een generieke audit kan laten uitvoeren. Voor het individuele fonds kan dit betekenen dat zijn inbreng in de formulering van de beheersingsdoelstellingen van het SOC-rapport beperkt is. In de praktijk Uit onderzoek van KPMG 1 blijkt 70% van de pensioenfondsen gebruik te maken van assurancerapportages in de relatie met zijn pensioenuitvoerder. De pensioenfondsen zijn hierbij de gebruikersorganisatie, de pensioenuitvoerders de serviceorganisaties. Zoals in figuur 2 is aangegeven, worden deze rapportages door verschillende partijen binnen de pensioenfondsen gelezen, het meest door de fondsaccountant en de directies. 1 KPMG heeft in oktober 2014 een onderzoek uitgevoerd onder 91 pensioenfondsen; de uitkomsten hiervan zijn in de bijlagen van deze Pensioenwereld opgenomen (KPMG-onderzoek 2014).

7 16 De Pensioenwereld in % 2% 2% 19% 20% 32% 26% 77% 27% 45% 48% 29% Externe accountant Directie Risk en compliance afdeling Interne audit dienst Hoofd administratie Bestuurders Anders Afdeling inkoop Weet ik niet Figuur 2: Wie leest het ISAE 3402 rapport Leeswijzer voor een SOC-rapport Een SOC-rapport is geen garantie dat aan de beheersingsdoelstellingen is voldaan. Het is aan de lezer zelf om op basis van de beschrijving en de zekerheid in het auditorsrapport vast te stellen in hoeverre de beheersing van de uitbestede processen aan de daaraan gestelde kwaliteitseisen voldoet. De rapportage kan constateringen van ernstige tekortkomingen bevatten met, in de meest negatieve situatie, een afkeurend oordeel van de service auditor. Let op: het is van belang het SOC-rapport te lezen en te interpreteren ten behoeve van de situatie van de gebruikersorganisatie. De ISAE-standaard definieert wat ten minste in het rapport moet zijn opgenomen, maar bevat geen voorschriften voor de lay-out. In een SOC-rapport dienen de hieronder genoemde vijf onderwerpen te worden opgenomen. Deze worden vaak voorafgegaan door een inleiding of leeswijzer voor het rapport. Per onderdeel is aangegeven waarop gelet kan worden bij het lezen van het rapport.

8 Uitbesteding & assurance 17 Een SOC-rapport is geen garantie dat aan de beheersingsdoelstellingen is voldaan. 1. Auditorsrapport Het auditorsrapport is de rapportage die de auditor aan het SOC-rapport toevoegt. Al lijkt het auditorsrapport standaard te zijn, het moet worden gelezen; nuances zitten in de details. Naast de standaardtekst doet de auditor verslag van zijn bevindingen en formuleert hij een specifiek oordeel. Het eindoordeel van de audit en eventuele beperkingen van dit oordeel zijn opgenomen in het auditorsrapport. Let op de beperkingen in dit hoofdstuk. Een beperking bij de serviceorganisatie betekent vaak dat er bij de gebruikersorganisatie aanvullende maatregelen moeten worden genomen (en gecontroleerd door de accountant) om het risico van deze beperking te beheersen. De serviceorganisatie waaraan het werk is uitbesteed kan op haar beurt een deel van het proces uitbesteden aan een derde. Denk aan een serviceorganisatie die de salarisverwerking verzorgt en die voor de IT-infrastructuur gebruikmaakt van een derde partij. Volgens de standaard kan hier op twee manieren mee worden omgegaan: Carve-out: het aan de subserviceorganisatie uitbestede proces wordt niet in het rapport betrokken (in de Nederlandse standaard wordt dit de uitsluitingsmethode genoemd); Inclusive: het aan de subserviceorganisatie uitbestede proces wordt in het rapport opgenomen (in de Nederlandse standaard wordt dit de opnamemethode genoemd). In het auditorsrapport worden de subserviceorganisatie en de gehanteerde methode benoemd. Let op: carve-out van processen betekent dat het oordeel mogelijk niet het gehele proces van uitbesteding betreft.

9 18 De Pensioenwereld in 2015 In de laatste paragraaf van het auditorsrapport is in de meeste gevallen vermeld dat het rapport uitsluitend bestemd is voor gebruik door de specifieke gebruikers en hun accountants. De distributieverantwoordelijkheid ligt bij de serviceorganisatie. Gezien het vertrouwelijke karakter van het rapport moet de serviceorganisatie hier verantwoord mee omgaan. Het rapport is beslist niet bedoeld voor een vrije publicatie op het internet. 2. Managementbewering In de managementbewering verklaart het management van de serviceorganisatie dat het rapport aan de vereisten van de standaard voldoet. Er vindt geen audit plaats op de managementbewering door de serviceauditor. Het gehele rapport moet worden gezien als een beschrijving van het systeem en de beheersingsmaatregelen, voorzien van twee kwaliteitsuitspraken: één door het management en één door de auditor. Overigens is te verwachten dat beide statements dezelfde strekking hebben. Het zou vreemd zijn als het management zonder toelichting verklaart in control te zijn, terwijl de auditor met bevindingen komt die hier strijdig mee zijn. 3. De systeembeschrijving Het proces waarop het SOC-rapport betrekking heeft wordt in de ISAE 3402-standaard systeem genoemd. De systeembeschrijving is de verantwoordelijkheid van de serviceorganisatie, die in deze sectie beschrijft op welke wijze de procesbeheersing is ingericht en welke maatregelen (controls) zij heeft getroffen om deze situatie te handhaven. De beschrijving moet van een dusdanig niveau zijn dat de uitbestedende organisatie in staat is om zich een beeld te vormen van de interne beheersing van de serviceorganisatie en de specifiek met betrekking tot de uitvoering van uitbestede processen getroffen controlemaatregelen. In de praktijk wordt voor de beschrijving vaak het COSOmodel gevolgd, met de volgende opbouw: Inleiding, Control environment, Risk assessment, Control activities, Information & Communication, Monitoring en End-user control considerations. De term systeem dekt dus veel meer af dan alleen het informatiesysteem. De beschrijving van de organisatie vertelt iets over het geheel van interne beheersing, maar ook over de relatie met de eindgebruiker. De reikwijdte van het SOC-rapport moet van toegevoegde waarde zijn voor de gebruiker. Het rapport moet aansluiten bij een dienst die als geheel wordt afgenomen. Het is aan te raden om de reikwijdte van het rapport voorafgaand aan het onderzoek vast te stellen, zodat gebruikers en serviceorganisatie hierover hetzelfde beeld hebben.

10 Uitbesteding & assurance 19 Om praktische redenen is vaak een korte beschrijving van de control activities opgenomen en wordt voor de uitwerking verwezen naar de volgende sectie van het rapport, waarin de auditor verslag doet van de wijze waarop hij voor een type II-onderzoek de werking van deze beheersingsmaatregelen heeft vastgesteld. De COSO-elementen Control environment, Risk assessment, Information & Communication en Monitoring worden ook wel samenvattend aangeduid met entity level controls. Samen met de algemene proces- en structuurbeschrijving vormen zij het randvoorwaardelijk kader van de control activities. Om een sluitend geheel van beheersingsmaatregelen te krijgen moeten dikwijls ook door de gebruikersorganisatie controles worden uitgevoerd. Het betreft hier controles die door de serviceorganisatie niet uitgevoerd kunnen worden: denk hierbij bijvoorbeeld aan de beheersing van de volledigheid van mutatiebestanden zoals deze door de gebruikersorganisatie aan de serviceorganisatie worden aangeleverd. Let op: user control considerations betreffen controles die door de gebruikersorganisatie zijn geïmplementeerd en door de accountant van de gebruikersorganisatie worden gecontroleerd. 4. Beheersingsdoelstellingen en -maatregelen aangevuld met de informatie verstrekt door de auditor In dit hoofdstuk documenteert de auditor de testaanpak. De auditor beschrijft in het rapport de beheersingsmaatregelen, de uitgevoerde tests en de testresultaten. Dit hoofdstuk bevat de bevindingen per beheersingsmaatregel en eventuele verbeterpunten en geeft de volwassenheid van de serviceorganisatie weer. 5. Overige informatie In deze sectie kan de serviceorganisatie eventueel nadere informatie opnemen die niet thuishoort in de systeembeschrijving. De sectie Overige informatie valt buiten de scope van de audit. Het onderzoek van de auditor gaat niet verder dan vast te stellen dat de inhoud van deze sectie niet strijdig is met zijn beeld van de organisatie en de systeembeschrijving.

11 20 De Pensioenwereld in 2015 Het is aan de lezer(s) om op basis van de beschrijving en de zekerheid in het auditorsrapport vast te stellen in hoeverre de beheersing van de uitbestede processen aan de daaraan gestelde eisen voldoet en of het rapport daarmee bruikbaar is voor bijvoorbeeld de controle van de externe accountant. Bevatten het auditorsrapport en de aanvullende informatie van de auditor geen bevindingen, dan is het onwaarschijnlijk dat de inhoud van de rapportage leidt tot aanpassingen in de werkzaamheden ten behoeve van de controle van het pensioenfonds. Uit het eerder genoemde KPMG-onderzoek blijkt dat bij 23% van de ondervraagden het gebruiken van het SOC-rapport tot wijzigingen in de uitvoering leidt (zie ook figuur 3). Dit kan veroorzaakt worden door de gedefinieerde end-user control considerations, een oordeel met beperking of een oordeelsonthouding. De wijzigingen betreffen veelal aanvullende werkzaamheden bij de serviceorganisatie en in mindere mate opvolging door de externe accountant van het fonds of door het fonds zelf. 6% Ja 12% 23% Nee 75% Binnen mijn organisatie Bij de accountantscontrole Bij de uitvoeringsorganisatie Figuur 3: Heeft het gebruiken van het SOC-rapport tot wijzigingen in de uitvoering geleidt?

12 Uitbesteding & assurance 21 Tot slot In de afgelopen jaren zijn de in dit artikel beschreven SOC-rapporten steeds meer een standaard geworden ingeval een pensioenfonds bepaalde processen uitbesteedt. Uit de praktijk blijkt dat deze rapporten maar beperkt worden gebruikt door de ontvangende pensioenfondsen. De lezerskring van het rapport is vaak beperkt tot een aantal personen, waaronder met name de externe accountant. De uitdaging voor de serviceorganisatie is ervoor te zorgen dat deze rapporten door meerdere personen worden gelezen, vooral gezien het feit dat de totstandkoming ervan vaak kostbaar is. De ontvangende partij zou zich moeten realiseren dat de serviceorganisatie vaak veel tijd en energie steekt in het tot stand brengen van een SOC-rapport. In aanvulling daarop brengt ook het accountantskantoor kosten in rekening voor zijn reviewwerkzaamheden. Wij verwachten (en hopen) dan ook dat de rapporten toegankelijker worden, waardoor ze een breder publiek krijgen en de toegevoegde waarde ervan stijgt.

MKB Cloudpartner Informatie TPM & ISAE 3402 2016

MKB Cloudpartner Informatie TPM & ISAE 3402 2016 Third Party Memorandum (TPM) Een Derde verklaring of Third Party Mededeling (TPM) is een verklaring die afgegeven wordt door een onafhankelijk audit partij over de kwaliteit van een ICT-dienstverlening

Nadere informatie

Verschillen en overeenkomsten tussen SOx en SAS 70

Verschillen en overeenkomsten tussen SOx en SAS 70 Compact 2007/3 Verschillen en overeenkomsten tussen SOx en SAS 70 Drs. J.H.L. Groosman RE Sinds de bekende boekhoudschandalen is er veel aandacht voor de interne beheersing en goed ondernemingsbestuur,

Nadere informatie

ADVISORY. Praktijkgids 4. Service Organisatie Control-rapport, ISAE 3402. kpmg.nl

ADVISORY. Praktijkgids 4. Service Organisatie Control-rapport, ISAE 3402. kpmg.nl ADVISORY Praktijkgids 4 Service Organisatie Control-rapport, ISAE 3402 kpmg.nl 2 Praktijkgids 4, Service Organisatie Control-rapport, ISAE 3402 Praktijkgids 4, Service Organisatie Control-rapport, ISAE

Nadere informatie

De Pensioenwereld in 2013 1 FINANCIAL SERVICES. kpmg.nl. 2014 KPMG Advisory N.V

De Pensioenwereld in 2013 1 FINANCIAL SERVICES. kpmg.nl. 2014 KPMG Advisory N.V De Pensioenwereld in 2013 1 FINANCIAL SERVICES De Pensioenwereld in 2015 kpmg.nl De Pensioenwereld in 2015 4 De Pensioenwereld in 2015 Voorwoord Stilstaand water gaat stinken, zo luidt een bekende wijsheid.

Nadere informatie

Gemeente Veenendaal. ICT-beveiligingsassessment. Suwinet Inkijk Ten behoeve van gemeenten Rhenen en Renswoude. Audit Services

Gemeente Veenendaal. ICT-beveiligingsassessment. Suwinet Inkijk Ten behoeve van gemeenten Rhenen en Renswoude. Audit Services Gemeente Veenendaal ICT-beveiligingsassessment Suwinet Inkijk Ten behoeve van gemeenten Rhenen en Renswoude Datum rapport: 6 april 2018 Rapportnummer: AAS2018-254 Dit rapport heeft 13 pagina s Inhoudsopgave

Nadere informatie

SAS 70 en daarna: controls reporting in een breder kader

SAS 70 en daarna: controls reporting in een breder kader SAS 70 en daarna: controls reporting in een breder kader Stefan Verweij en Suzanne Keijl, Systems & Process Assurance Ondernemingen besteden in toenemende mate processen uit, ook processen die in het verleden

Nadere informatie

OPKOMST VAN EEN NIEUWE WERELDWIJDE ASSURANCESTANDAARD ISAE 3402: einde van SAS 70 in zicht?

OPKOMST VAN EEN NIEUWE WERELDWIJDE ASSURANCESTANDAARD ISAE 3402: einde van SAS 70 in zicht? OPKOMST VAN EEN NIEUWE WERELDWIJDE ASSURANCESTANDAARD ISAE 3402: einde van SAS 70 in zicht? Dit artikel is geschreven om u te informeren over de ontwikkelingen op het gebied van third party reporting 1,

Nadere informatie

SAS 70 herzien, focus ISAE 3402 blijft op beheersingsmaatregelen

SAS 70 herzien, focus ISAE 3402 blijft op beheersingsmaatregelen 38 SAS 70 herzien, focus ISAE 3402 blijft op beheersingsmaatregelen financiële verantwoording Drs. Jaap van Beek RE RA en drs. Marco Francken RE RA CISA Drs. J.J. van Beek RE RA is als partner werkzaam

Nadere informatie

Het assurance-raamwerk De accountant en het verstrekken van zekerheid

Het assurance-raamwerk De accountant en het verstrekken van zekerheid Het assurance-raamwerk De accountant en het verstrekken van zekerheid Koninklijk Nederlands Instituut van Registeraccountants Inhoudsopgave 1 Inleiding 3 2 Het begrip assurance en maatschappelijke ontwikkelingen

Nadere informatie

Toezien op privacy naleving bij (IT) leveranciers; ISO of ISAE 3000?

Toezien op privacy naleving bij (IT) leveranciers; ISO of ISAE 3000? Algemene Verordening Gegevensbescherming (AVG) en de impact bij uitbesteding DATABEVEILIGING Toezien op privacy naleving bij (IT) leveranciers; ISO 27001 of ISAE 3000? Het uitbesteden van bedrijfsprocessen

Nadere informatie

SAS 70 maakt plaats voor ISAE 3402

SAS 70 maakt plaats voor ISAE 3402 SAS 70 maakt plaats voor ISAE 3402 Sinds enkele jaren is een SAS 70-rapportage gemeengoed voor serviceorganisaties om verantwoording af te leggen over de interne beheersing. Inmiddels is SAS 70 verouderd

Nadere informatie

SOC 1-rapportages Onderzoek naar ervaringen in de praktijk met een wereldwijde standaard

SOC 1-rapportages Onderzoek naar ervaringen in de praktijk met een wereldwijde standaard SOC 1-rapportages Onderzoek naar ervaringen in de praktijk met een wereldwijde standaard Anno Perk MSc, Stacy Warner CISA en drs. Marcel Fikke RE RA CISA Het uitbesteden van processen heeft altijd impact

Nadere informatie

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce. Cloud Computing, een inleiding ICT Accountancy & Financials congres 2013: Cloud computing en efactureren 10 december 2013 Jan Pasmooij RA RE RO: jan@pasmooijce.com 10 december 2013 1 Kenmerken van Cloud

Nadere informatie

RiskTransparant, deel 2. De waarde van een ISAE rapport? welke waarde heeft een ISAE voor het bestuur: in control of een illusie van control

RiskTransparant, deel 2. De waarde van een ISAE rapport? welke waarde heeft een ISAE voor het bestuur: in control of een illusie van control RiskTransparant, deel 2 De waarde van een ISAE rapport? welke waarde heeft een ISAE voor het bestuur: in control of een illusie van control In deze tweede serie uit een reeks van zeven delen, delen wij

Nadere informatie

2014 KPMG Advisory N.V

2014 KPMG Advisory N.V 02 Uitbesteding & assurance 23 Overwegingen bij uitbesteding back- en mid-office processen van vermogensbeheer Auteurs: Alex Brouwer en Mark van Duren Is het zinvol voor pensioenfondsen en fiduciair managers

Nadere informatie

Oordelen van en door RE s

Oordelen van en door RE s Oordelen van en door RE s Mr. Drs. Jan Roodnat RE RA Drs. Ing. P.D. Verstege RE RA Werkgroep Oordelen NOREA 14 november 2006 Overzicht presentatie Opdracht Werkgroep Oordelen NOREA Auditproces Nationale

Nadere informatie

Nut en noodzaak van SAS 70

Nut en noodzaak van SAS 70 Compact 2007/3 Nut en noodzaak van SAS 70 Drs. S.R. van Bellen RA, drs. J.P. Hoogstra RE en drs. M.A. Francken RE RA CISA De uitbesteding van processen in de financiële sector heeft ertoe geleid dat de

Nadere informatie

Richtlijn 4401 Opdrachten tot het verrichten van overeengekomen specifieke werkzaamheden met betrekking tot informatietechnologie

Richtlijn 4401 Opdrachten tot het verrichten van overeengekomen specifieke werkzaamheden met betrekking tot informatietechnologie Richtlijn 4401 Opdrachten tot het verrichten van overeengekomen specifieke werkzaamheden met betrekking tot informatietechnologie Inleiding 1-3 Doel van de opdracht tot het verrichten van overeengekomen

Nadere informatie

Voordat sprake kan zijn van een TPM, moet aan een aantal voorwaarden worden voldaan:

Voordat sprake kan zijn van een TPM, moet aan een aantal voorwaarden worden voldaan: Wat is een Third Party Mededeling? Het uitbesteden van processen is binnen hedendaagse organisaties erg gebruikelijk. Maar hoe kunt u als dienstleverlener uw (potentiële) klanten overtuigen van de kwaliteit

Nadere informatie

ENSIA guidance DigiD-assessments

ENSIA guidance DigiD-assessments ENSIA guidance DigiD-assessments Joep Janssen Werkgroep DigiD assessments v 31 oktober 2018 Agenda De testaanpak 2018 DigiD normenkader 2.0 Nieuwe bijlage DigiD Vooruitzichten 2019 2 DigiD assurance Richtlijn

Nadere informatie

Praktijkervaringen binnen SAS70-trajecten

Praktijkervaringen binnen SAS70-trajecten Compact 2005/2 Praktijkervaringen binnen SAS70-trajecten Drs. ing. S.R.M. van den Biggelaar RE en drs. P.C.V. Waldenmaier RE RA Het uitbesteden van bedrijfsprocessen aan derden wint aan populariteit. Recentelijk

Nadere informatie

IT Beleid Bijlage R bij ABTN

IT Beleid Bijlage R bij ABTN IT Beleid Dit document heeft 8 pagina s Versiebeheer Versie Auteur Datum Revisie V1.0 Bestuur 18 december 2018 Nieuwe bijlage i Inhoudsopgave 1. Inleiding 1 2. Scope van het IT Beleid 1 3. IT risico s

Nadere informatie

Opdrachtgeverschap 2.0. Toezien op de afspraken in de verwerkersovereenkomst

Opdrachtgeverschap 2.0. Toezien op de afspraken in de verwerkersovereenkomst Opdrachtgeverschap 2.0 Toezien op de afspraken in de verwerkersovereenkomst Doel van deze presentatie Zelf een mening hebben over welke certificering/ verklaring het beste past bij een af te nemen dienst

Nadere informatie

38 De Pensioenwereld in 2015

38 De Pensioenwereld in 2015 04 38 De Pensioenwereld in 2015 Uitbesteding & assurance 39 Assurance als waarborg voor beheerste transities Auteurs: Robert van Haastert en Martijn Vrins Veel pensioenfondsen migreren naar andere uitvoerders,

Nadere informatie

Uitbesteding in de pensioensector:

Uitbesteding in de pensioensector: Uitbesteding in de pensioensector: Bevindingen vanuit de toezichtspraktijk Prof. Dr. O.C.H.M. Sleijpen EYe on Pensions 14 januari 2014 Uitbesteding in de Pensioensector Topics: A. Wettelijke bepalingen

Nadere informatie

Academy. pen inschrijving NAJAAR. Programma. Ons Open Inschrijving cursusaanbod voor najaar 2018 bestaat uit: Beheersing van uitbesteding.

Academy. pen inschrijving NAJAAR. Programma. Ons Open Inschrijving cursusaanbod voor najaar 2018 bestaat uit: Beheersing van uitbesteding. Programma NAJAAR 2018 Solutional Academy heeft als doelstelling onze kennis en expertise zoveel mogelijk te delen met mensen die werkzaam zijn in de asset management- en pensioensector. Hierbij treft u

Nadere informatie

Besluit tot wijziging van de Nadere voorschriften controleen overige standaarden Vastgesteld 18 december 2008

Besluit tot wijziging van de Nadere voorschriften controleen overige standaarden Vastgesteld 18 december 2008 Besluit tot wijziging van de Nadere voorschriften controleen overige standaarden Vastgesteld 18 december 2008 1 Besluit tot wijziging van de Nadere voorschriften controle- en overige standaarden Vastgesteld

Nadere informatie

Handleiding uitvoering ICT-beveiligingsassessment

Handleiding uitvoering ICT-beveiligingsassessment Handleiding uitvoering ICT-beveiligingsassessment Versie 2.1 Datum : 1 januari 2013 Status : Definitief Colofon Projectnaam : DigiD Versienummer : 2.0 Contactpersoon : Servicecentrum Logius Postbus 96810

Nadere informatie

Beleidsregel Kaderregeling Administratieve Organisatie en Interne Controle inzake DBC-registratie en facturering

Beleidsregel Kaderregeling Administratieve Organisatie en Interne Controle inzake DBC-registratie en facturering Beleidsregel Kaderregeling Administratieve Organisatie en Interne Controle inzake DBC-registratie en facturering 1. ALGEMEEN a. Deze beleidsregel is van toepassing op organen voor gezondheidszorg als vermeld

Nadere informatie

Controle protocol Stichting De Friesland

Controle protocol Stichting De Friesland Controle protocol Stichting De Friesland 1. Doelstelling Stichting De Friesland heeft van de Belastingdienst de ANBI (algemeen nut beogende instelling) verkregen. Ten aanzien van de verantwoording van

Nadere informatie

Compliance Charter. Voor pensioenfondsen die pensioenadministratie en/of vermogensbeheer geheel of gedeeltelijk hebben uitbesteed

Compliance Charter. Voor pensioenfondsen die pensioenadministratie en/of vermogensbeheer geheel of gedeeltelijk hebben uitbesteed Compliance Charter Voor pensioenfondsen die pensioenadministratie en/of vermogensbeheer geheel of gedeeltelijk hebben uitbesteed September 2008 Inhoudsopgave 1 Voorwoord 1 2 Definitie en reikwijdte 2 3

Nadere informatie

Controleprotocol Multidisciplinaire zorg 2016

Controleprotocol Multidisciplinaire zorg 2016 Controleprotocol Multidisciplinaire zorg 2016 1 Doelstelling In het kader van de NZa-beleidsregel BR/REG-17171 Huisartsenzorg en multidisciplinaire zorg heeft CZ voor de jaren 2015 en 2016 overeenkomsten

Nadere informatie

HOEBERT HULSHOF & ROEST

HOEBERT HULSHOF & ROEST Inleiding Artikel 1 Deze standaard voor aan assurance verwante opdrachten heeft ten doel grondslagen en werkzaamheden vast te stellen en aanwijzingen te geven omtrent de vaktechnische verantwoordelijkheid

Nadere informatie

Beheersing uitbesteding in de pensioensector Naar balans tussen regels en vertrouwen

Beheersing uitbesteding in de pensioensector Naar balans tussen regels en vertrouwen Beheersing uitbesteding in de pensioensector Naar balans tussen regels en Drs. Peter van Toledo RE RA, drs. Jacco van Kleef RA en Suzanne Stoof MSc RA Pensioenfondsen hebben een groot deel van hun processen

Nadere informatie

Controle- en onderzoeksprotocol Ketenzorg CZ 2013

Controle- en onderzoeksprotocol Ketenzorg CZ 2013 Controle- en onderzoeksprotocol Ketenzorg CZ 2013 1 Doelstelling In het kader van de NZA beleidsregel BR/CU-7074 Integrale bekostiging multidisciplinaire zorgverlening chronische aandoeningen (DM type

Nadere informatie

Ronald van der Wal Enterprise Risk Services

Ronald van der Wal Enterprise Risk Services Beoordeling van een service auditor s rapport in het kader van de jaarrekeningcontrole en de rol van de IT auditor Auteurs: Niels Smit Enterprise Risk Services Deloitte Accountants B.V. Mobile: +31 (0)

Nadere informatie

Workshop Pensioenfondsen. Gert Demmink

Workshop Pensioenfondsen. Gert Demmink Workshop Pensioenfondsen Gert Demmink 13 november 2012 Integere Bedrijfsvoering Integere bedrijfsvoering; Bas Jennen Bestuurderstoetsingen; Juliette van Doorn Integere bedrijfsvoering, beleid & uitbesteding

Nadere informatie

De toegevoegde waarde van een ISAE 3402-

De toegevoegde waarde van een ISAE 3402- De toegevoegde waarde van een ISAE 3402- verklaring Een isae 3402-verklaring is een specifieke vorm van third party assurance en heeft toegevoegde waarde voor services en gebruikerss. Er is echter nog

Nadere informatie

Controle protocol. 1 Doelstelling. 2 Eisen en aanwijzingen. 3 Toleranties en gewenste zekerheid

Controle protocol. 1 Doelstelling. 2 Eisen en aanwijzingen. 3 Toleranties en gewenste zekerheid Controle protocol 1 Doelstelling Het CZ Fonds moet voldoen aan de eisen van het convenant vastgelegd in 1998 tussen Zorgverzekeraars Nederland en de overheid van de Besteding Reserves Voormalige Vrijwillige

Nadere informatie

Nieuwe ontwikkelingen IT-gerelateerde Service Organisation Controlrapportages

Nieuwe ontwikkelingen IT-gerelateerde Service Organisation Controlrapportages Nieuwe ontwikkelingen IT-gerelateerde Service Organisation Controlrapportages SOC 2 en SOC 3 Han Boer RE RA en drs. Jaap van Beek RE RA In de Verenigde Staten zijn nieuwe richtlijnen ontwikkeld voor assurancerapporten

Nadere informatie

ISAE 3402 en de internal auditor

ISAE 3402 en de internal auditor ISAE 3402 en de internal auditor Praktijkhandreiking Instituut van Internal Auditors Nederland ISAE 3402 en de internal auditor Praktijkhandreiking Instituut van Internal Auditors Nederland Disclosure

Nadere informatie

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag André Salomons Smart SharePoint Solutions BV Cloud security en de rol van de accountant ICT Accountancy praktijkdag Cloud security moet uniformer en transparanter, waarom deze stelling? Links naar de artikelen

Nadere informatie

Stichting Pensioenfonds KAS BANK

Stichting Pensioenfonds KAS BANK Stichting Pensioenfonds KAS BANK Compliance Charter Januari 2017 Inhoudsopgave 1 Voorwoord... 2 2 Definitie en reikwijdte... 2 3 Missie van compliance... 2 Integriteit van het bestuur... 3 Integere bedrijfsvoering...

Nadere informatie

ADVISORY. Praktijkgids 5. Assurancerapporten voor IT-serviceorganisaties SOC 2. september 2014. kpmg.nl

ADVISORY. Praktijkgids 5. Assurancerapporten voor IT-serviceorganisaties SOC 2. september 2014. kpmg.nl ADVISORY Praktijkgids 5 Assurancerapporten voor IT-serviceorganisaties SOC 2 september 2014 kpmg.nl 2 Praktijkgids 5, Assurancerapporten voor IT-serviceorganisaties SOC 2 Praktijkgids 5, Assurancerapporten

Nadere informatie

Controleprotocol subsidies gemeente Alkmaar voor verantwoording subsidies > 250.000

Controleprotocol subsidies gemeente Alkmaar voor verantwoording subsidies > 250.000 Controleprotocol subsidies gemeente Alkmaar voor verantwoording subsidies > 250.000 1 Algemeen Op grond van de Kaderverordening Subsidieverstrekking van de gemeente Alkmaar kunnen subsidies worden verstrekt.

Nadere informatie

De mogelijke rollen van de internal auditor in een ISAE 3402-traject

De mogelijke rollen van de internal auditor in een ISAE 3402-traject De mogelijke rollen van de internal auditor in een ISAE 3402-traject Gebruik met bronvermelding toegestaan Erasmus Universiteit Rotterdam Postinitiële opleiding Internal Auditing & Advisory Erasmus School

Nadere informatie

IT-audit in vogelvlucht. Jeanot de Boer 24 april 2012

IT-audit in vogelvlucht. Jeanot de Boer 24 april 2012 IT-audit in vogelvlucht Jeanot de Boer 24 april 2012 Agenda Introductie Wat is IT-audit Hoe is IT-audit in Nederland geregeld? Het IT-audit proces Wat is de toegevoegde waarde van IT-audit Enkele praktijkvoorbeelden

Nadere informatie

Accountantsprotocol voor de aanvraag van het predicaat Koninklijk en Hofleverancier

Accountantsprotocol voor de aanvraag van het predicaat Koninklijk en Hofleverancier Copro 16118C Accountantsprotocol voor de aanvraag van het predicaat Koninklijk en Hofleverancier Versie 2.0 Amsterdam, 30 november 2016 Inhoudsopgave 1. Algemeen Kader... 3 1.1 Bestuurlijke mededeling...

Nadere informatie

Third Party Audits Onderzoek naar de toegevoegde waarde van Third Party Audits voor gebruikersorganisaties en serviceorganisaties

Third Party Audits Onderzoek naar de toegevoegde waarde van Third Party Audits voor gebruikersorganisaties en serviceorganisaties Scriptievoorstel v0.3 Het effect van organisatiecultuur op de IT-auditaanpak Third Party Audits Onderzoek naar de toegevoegde waarde van Third Party Audits voor gebruikersorganisaties en serviceorganisaties

Nadere informatie

Integrated audit: SAS 70: het verlengstuk van internal control over financial reporting

Integrated audit: SAS 70: het verlengstuk van internal control over financial reporting Compact 2006/2 Integrated audit: SAS 70: het verlengstuk van internal control over financial reporting Drs. ing. S.R.M. van den Biggelaar RE, drs. S. Janssen RE en drs. G.J.L. Lamberiks Het uitbesteden

Nadere informatie

Verbetermogelijkheden. SAS 70-rapport. Compact_ 2008_1 43. Introductie

Verbetermogelijkheden. SAS 70-rapport. Compact_ 2008_1 43. Introductie Compact_ 2008_1 43 Het opstellen van een SAS 70-rapport brengt meestal aanzienlijke kosten met zich mee. Maar er zijn mogelijkheden om de investering te beperken en tegelijkertijd de waarde van een dergelijk

Nadere informatie

ICT Accountancy. Praktijkdag Webwinkels en Boekhouden

ICT Accountancy. Praktijkdag Webwinkels en Boekhouden ICT Accountancy Praktijkdag Webwinkels en Boekhouden Thema Betrouwbaar Administreren Misbruik Afrekensystemen Misbruik Afrekensystemen Internationaal probleem Veel oplossingsrichtingen Overleg Belastingdienst

Nadere informatie

Compliance charter Stichting Pensioenfonds van de ABN AMRO Bank N.V.

Compliance charter Stichting Pensioenfonds van de ABN AMRO Bank N.V. Compliance charter Stichting Pensioenfonds van de ABN AMRO Bank N.V. [geldend vanaf 26 september 2018, PF18-177] Artikel 1 Definities De definities welke in dit compliance charter worden gebruikt, worden

Nadere informatie

Denk je iets af te weten van SAS70 verklaringen en Third Party Mededelingen? Verslag van de NOREA-bijeenkomst regio Apeldoorn

Denk je iets af te weten van SAS70 verklaringen en Third Party Mededelingen? Verslag van de NOREA-bijeenkomst regio Apeldoorn IT-auditors bijeen Denk je iets af te weten van SAS70 verklaringen en Third Party Mededelingen? Verslag van de NOREA-bijeenkomst regio Apeldoorn Thea Gerritse De Regio Apeldoorn van de NOREA hield op 1

Nadere informatie

Databeveiliging en Hosting Asperion

Databeveiliging en Hosting Asperion Databeveiliging en Hosting Asperion www.asperion.nl info@asperion.nl Het Asperion Datacenter Uw gegevens veilig en professioneel bewaard Administraties bevatten vertrouwelijke informatie en daar moet vanzelfsprekend

Nadere informatie

Frequentiemodel Internal Audit Friesland Bank. K.T. Kloosterman Leeuwarden, 31 mei 2005

Frequentiemodel Internal Audit Friesland Bank. K.T. Kloosterman Leeuwarden, 31 mei 2005 Frequentiemodel Internal Audit Friesland Bank K.T. Kloosterman Leeuwarden, 31 mei 2005 Agenda 1) Algemeen Internal Audit 2) Waarom frequenteren van onderzoeken 3) Totstandkoming en inhoud Missie Internal

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

Reglement van de auditcommissie van de Raad van Toezicht van Hogeschool Van Hall Larenstein

Reglement van de auditcommissie van de Raad van Toezicht van Hogeschool Van Hall Larenstein Reglement van de auditcommissie van de Raad van Toezicht van Hogeschool Van Hall Larenstein Dit gewijzigd reglement is op 10 december 2012 vastgesteld op grond van artikel 9 van het reglement van de raad

Nadere informatie

SAS70 en de internal auditor

SAS70 en de internal auditor SAS70 binnenwerk 17-01-2008 16:22 Pagina 1 Studio Mac_1 SAS70 en de internal auditor Practice Advisory IIA werkgroep SAS70 Mariska Baars (voorzitter) Rick Mulders Jan Ite Muller Nicolette Nuijs Han Zevenhuizen

Nadere informatie

SAS70 en de internal auditor

SAS70 en de internal auditor SAS70 binnenwerk 07-01-2008 21:03 Pagina 1 Studio Mac_1 SAS70 en de internal auditor Practice Advisory IIA werkgroep SAS70 Mariska Baars (voorzitter) Rick Mulders Jan Ite Muller Nicolette Nuijs Han Zevenhuizen

Nadere informatie

PROFIELSCHETS. Philips Pensioenfonds NIET UITVOEREND BESTUURDER 1/5. Stichting Philips Pensioenfonds

PROFIELSCHETS. Philips Pensioenfonds NIET UITVOEREND BESTUURDER 1/5. Stichting Philips Pensioenfonds PROFIELSCHETS NIET UITVOEREND BESTUURDER Stichting Stichting behoort tot de grootste ondernemingspensioenfondsen van Nederland met een belegd vermogen van bijna 18 miljard euro. Het pensioenfonds voert

Nadere informatie

INTERNATIONALE CONTROLESTANDAARD 402 IN OVERWEGING TE NEMEN FACTOREN BIJ DE CONTROLE VAN ENTITEITEN DIE GEBRUIKMAKEN VAN SERVICE-ORGANISATIES

INTERNATIONALE CONTROLESTANDAARD 402 IN OVERWEGING TE NEMEN FACTOREN BIJ DE CONTROLE VAN ENTITEITEN DIE GEBRUIKMAKEN VAN SERVICE-ORGANISATIES INTERNATIONALE CONTROLESTANDAARD 402 IN OVERWEGING TE NEMEN FACTOREN BIJ DE CONTROLE VAN ENTITEITEN DIE GEBRUIKMAKEN VAN SERVICE-ORGANISATIES INHOUDSOPGAVE Paragrafen Inleiding... 1-3 Door de auditor in

Nadere informatie

Horizontaal Toezicht als basis van vertrouwen in de zorgketen

Horizontaal Toezicht als basis van vertrouwen in de zorgketen Horizontaal Toezicht als basis van vertrouwen in de zorgketen Risicobeheersing in het gehele proces De invoering van Horizontaal Toezicht in ziekenhuizen lijkt een additionele controlesystematiek te zijn,

Nadere informatie

1. AUDITINSTRUCTIE SCORECARD COPRO 8120

1. AUDITINSTRUCTIE SCORECARD COPRO 8120 1. AUDITINSTRUCTIE SCORECARD COPRO 8120 1.1. Inleiding DTe vraagt ter verificatie van de aangeleverde cijfers een assurance-rapport van een externe accountant. Een assurance-rapport dient eenmaal per jaar

Nadere informatie

Accountantsprotocol voor de aanvraag van het predicaat Koninklijk en Hofleverancier

Accountantsprotocol voor de aanvraag van het predicaat Koninklijk en Hofleverancier Copro 18021D Accountantsprotocol voor de aanvraag van het predicaat Koninklijk en Hofleverancier Versie 3.0 Juli 2018 Inhoudsopgave 1. Algemeen Kader... 3 1.1 Bestuurlijke mededeling... 3 1.2 Rapportage

Nadere informatie

De accountant en het bestuursverslag Visie NBA Young Profs

De accountant en het bestuursverslag Visie NBA Young Profs De accountant en het bestuursverslag Visie NBA Young Profs Aanleiding Op 13 november 2015 publiceerde de NBA haar consultatiedocument De accountant en het bestuursverslag: Verder kijken dan de jaarrekening.

Nadere informatie

Compliance Charter. Pensioenfonds NIBC

Compliance Charter. Pensioenfonds NIBC Compliance Charter Pensioenfonds NIBC Vastgesteld in bestuursvergadering 9 december 2016 Inleiding Pensioenfonds NIBC voert de pensioenregeling van NIBC Bank N.V. uit. Het pensioenfonds is een stichting

Nadere informatie

ISA 610, GEBRUIKMAKEN VAN DE WERKZAAMHEDEN VAN INTERNE AUDITORS

ISA 610, GEBRUIKMAKEN VAN DE WERKZAAMHEDEN VAN INTERNE AUDITORS INTERNATIONAL STANDARD ON AUDITING (ISA) ISA 610, GEBRUIKMAKEN VAN DE WERKZAAMHEDEN VAN INTERNE AUDITORS Deze Internationale controlestandaard (ISA) werd in 2009 in de Engelse taal gepubliceerd door de

Nadere informatie

Uitbestedingsbeleid 2015

Uitbestedingsbeleid 2015 Uitbestedingsbeleid 2015 versie 16 juni 2015 1 1. Inleiding Stichting Bedrijfstakpensioenfonds TrueBlue (verder: TrueBlue) heeft uit strategische overwegingen delen van haar bedrijfsprocessen en activiteiten

Nadere informatie

Investment Due Diligence Beleid

Investment Due Diligence Beleid Investment Due Diligence Beleid Achmea Investment Management Versie 0.5 INHOUDSOPGAVE 1. Inleiding...3 2. Doelstellingen...3 3. Definitie en reikwijdte...4 4. Aandachtsgebieden en procesbeschrijving...5

Nadere informatie

Programma van eisen voor de Europese aanbesteding van Accountancydiensten.

Programma van eisen voor de Europese aanbesteding van Accountancydiensten. Programma van eisen voor de Europese aanbesteding van Accountancydiensten. Kenmerk: CTM 169773 Versie CONCEPT Datum 12-12-2017 1.1. Omvang van de opdracht De accountantsdiensten omvatten de volgende werkzaamheden:

Nadere informatie

Werkprogramma Risicobeheersing Volmachten 2018

Werkprogramma Risicobeheersing Volmachten 2018 Accountantsprotocol Werkprogramma Risicobeheersing Volmachten 2018 versie 4.0 Accountantsprotocol versie 4.0 Werkprogramma Risicobeheersing Volmachten 2018 1 van 7 Colofon Dit Accountantsprotocol Werkprogramma

Nadere informatie

Controleverklaring van de onafhankelijke accountant

Controleverklaring van de onafhankelijke accountant Controleverklaring van de onafhankelijke accountant Aan: de Algemene Vergadering van Aandeelhouders en de Raad van Commissarissen van Nederlandse Waterschapsbank N.V. Verklaring over de jaarrekening 2015

Nadere informatie

Accountants kunnen prima rapporteren over het jaarverslag van goede doelen organisaties

Accountants kunnen prima rapporteren over het jaarverslag van goede doelen organisaties Accountants kunnen prima rapporteren over het jaarverslag van goede doelen organisaties Gert-Peter den Hollander Samenvatting Voor goededoelenorganisaties (en andere organisaties zonder winststreven) is

Nadere informatie

Inspiratiedag. Workshop 1: Risicogestuurde interne controle. 15 september 2016

Inspiratiedag. Workshop 1: Risicogestuurde interne controle. 15 september 2016 Inspiratiedag Workshop 1: Risicogestuurde interne controle 15 september 2016 Programma Inleiding Risicomanagement Interne beheersing Relatie met de externe accountant Van interne controle naar beheersing

Nadere informatie

fysieke beveiliging onder controle Good Governance op het gebied van fysieke beveiliging Thimo Keizer

fysieke beveiliging onder controle Good Governance op het gebied van fysieke beveiliging   Thimo Keizer fysieke beveiliging onder controle Good Governance op het gebied van fysieke beveiliging www.fysiekebeveiliging.nl Thimo Keizer Good Governance op het gebied van fysieke beveiliging 2016 www.fysiekebeveiliging.nl

Nadere informatie

Stichting Pensioenfonds Wolters Kluwer Nederland. Compliance program. Vastgesteld en gewijzigd in de bestuursvergadering van 12 februari 2014

Stichting Pensioenfonds Wolters Kluwer Nederland. Compliance program. Vastgesteld en gewijzigd in de bestuursvergadering van 12 februari 2014 Stichting Pensioenfonds Wolters Kluwer Nederland Compliance program Vastgesteld en gewijzigd in de bestuursvergadering van 12 februari 2014 1 Inleiding In dit Compliance Program is de inrichting van de

Nadere informatie

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system!

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system! Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system!! Tom Veerman! Triple A Risk Finance B.V.! 1! Programma! Solvency II stand

Nadere informatie

From business transactions to process insights. BPM Round Table, TU/e 26 mei 2014

From business transactions to process insights. BPM Round Table, TU/e 26 mei 2014 From business transactions to process insights BPM Round Table, TU/e 26 mei 2014 Agenda 1 2 3 4 Korte introductie Process mining in de audit Enkele voorbeelden Uitdagingen & de toekomst 1 Korte introductie

Nadere informatie

Third-partymededelingen: de ervaringen van de gebruikersorganisaties

Third-partymededelingen: de ervaringen van de gebruikersorganisaties 31 Third-partymededelingen: de ervaringen van de gebruikersorganisaties Mw. drs. S. van der Eijk-van Eck en drs. K.H.G.J.M. Ho RE RA Het begrip third-partymededeling (TPM) is onder IT-auditors inmiddels

Nadere informatie

Samenvattend auditrapport

Samenvattend auditrapport r?' m Auditdienst Rijk Ministerie van Financiën Samenvattend auditrapport I u fonds (A) IM xi' ".r r' rri Samenvattend auditrapport 2016 Infrastructuurfonds (A) 15 maart 2017 Kenmerk 2017-0000036092 Inlichtingen

Nadere informatie

Zwaarbewolkt met kans op neerslag

Zwaarbewolkt met kans op neerslag 8 ControllersMagazine januari - februari 2015 automatisering Zwaarbewolkt met kans op neerslag Cloud was het woord van 2014. Het gaat hierbij om hard- en software die niet meer hoeft te worden aangeschaft

Nadere informatie

Compliance Program. Voor pensioenfondsen die pensioenadministratie en/of vermogensbeheer geheel of gedeeltelijk hebben uitbesteed

Compliance Program. Voor pensioenfondsen die pensioenadministratie en/of vermogensbeheer geheel of gedeeltelijk hebben uitbesteed Compliance Program Voor pensioenfondsen die pensioenadministratie en/of vermogensbeheer geheel of gedeeltelijk hebben uitbesteed September 2008 Inhoudsopgave 1 Inleiding 1 1.1 Voorwoord 1 1.2 Definitie

Nadere informatie

Medewerker administratieve processen en systemen

Medewerker administratieve processen en systemen processen en systemen Doel Voorbereiden, analyseren, ontwerpen, ontwikkelen, beheren en evalueren van procedures en inrichting van het administratieve proces en interne controles, rekening houdend met

Nadere informatie

KWALITEIT MANAGEMENT PLAN CO2 EMISSIE INVENTARIS SOGETI

KWALITEIT MANAGEMENT PLAN CO2 EMISSIE INVENTARIS SOGETI KWALITEIT MANAGEMENT PLAN CO2 EMISSIE INVENTARIS SOGETI Auteur René Speelman Versie V1.0 Plaats Vianen Kenmerk Versie informatie VERSIE INFORMATIE Versie Datum Bijzonderheden Auteur V 1.0 09-03-2015 Aangepast

Nadere informatie

Meer duidelijkheid over samenstellingsopdrachten met komst Standaard 4410

Meer duidelijkheid over samenstellingsopdrachten met komst Standaard 4410 Spotlight Meer duidelijkheid over samenstellingsopdrachten met komst Standaard 4410 Robert van der Glas - Statutaire compliance, Tax Reporting & Strategy De NBA heeft onlangs de herziene standaard uitgebracht

Nadere informatie

Controleverklaring van de onafhankelijke accountant

Controleverklaring van de onafhankelijke accountant Controleverklaring van de onafhankelijke accountant Aan: de algemene vergadering van Nederlandse Waterschapsbank N.V. Verklaring over de jaarrekening 2014 Ons oordeel Wij hebben de jaarrekening 2014 van

Nadere informatie

WWW.CAGROUP.NL COMPLIANCE RADAR HET MEEST COMPLETE BESTURINGSSYSTEEM VOOR GEMEENTEN.

WWW.CAGROUP.NL COMPLIANCE RADAR HET MEEST COMPLETE BESTURINGSSYSTEEM VOOR GEMEENTEN. WWW.CAGROUP.NL COMPLIANCE RADAR HET MEEST COMPLETE BESTURINGSSYSTEEM VOOR GEMEENTEN. COMPLIANCE RADAR De Compliance Radar helpt gemeenten een brug te slaan tussen beleidsdoelstellingen en uitvoering. Door

Nadere informatie

Functieprofiel lid bestuur met portefeuille vermogensbeheer en risicomanagement van Stichting Notarieel Pensioenfonds

Functieprofiel lid bestuur met portefeuille vermogensbeheer en risicomanagement van Stichting Notarieel Pensioenfonds Functieprofiel lid bestuur met portefeuille vermogensbeheer en risicomanagement van Stichting Notarieel Pensioenfonds 1. Algemene kenmerken Het bestuur van de Stichting Notarieel Pensioenfonds (SNPF) is

Nadere informatie

Interne beheersing: Aan assurance verwante opdrachten Inleiding. Het kwaliteitsonderzoek. Regelgeving. Vragenlijst.

Interne beheersing: Aan assurance verwante opdrachten Inleiding. Het kwaliteitsonderzoek. Regelgeving. Vragenlijst. Interne beheersing: Aan assurance verwante opdrachten 2010 Naam vragenlijst: Vertrouwelijk Inleiding In het kader van de Verordening Kwaliteitsonderzoek is het accountantskantoor geselecteerd voor een

Nadere informatie

Accountantsprotocol subsidievaststelling Tijdelijke subsidieregeling extramurale behandeling 2017

Accountantsprotocol subsidievaststelling Tijdelijke subsidieregeling extramurale behandeling 2017 Accountantsprotocol subsidievaststelling Tijdelijke subsidieregeling extramurale behandeling 2017 Pagina 1 van 11 Inhoudsopgave Hoofdstuk 1: Uitgangspunten 1.1 Doelstelling 3 1.2 Definities 3 1.3 Procedures

Nadere informatie

Zeker-OnLine is een onafhankelijk en transparant keurmerk voor online administratieve diensten (ook wel administratieve cloudoplossingen genoemd).

Zeker-OnLine is een onafhankelijk en transparant keurmerk voor online administratieve diensten (ook wel administratieve cloudoplossingen genoemd). Zeker-OnLine is een onafhankelijk en transparant keurmerk voor online administratieve diensten (ook wel administratieve cloudoplossingen genoemd). Transacties Financiële registratie Rapportering BTW aangifte

Nadere informatie

Niet-financiële informatie (NFI) in Nederland

Niet-financiële informatie (NFI) in Nederland Niet-financiële informatie (NFI) in Nederland Koninklijk NIVRA Michèl J.P. Admiraal RA IBR 7 december 2009 1 Inhoud van deze presentatie 1. Voorstellen spreker 2. State of the art in Nederland 3. NIVRA

Nadere informatie

Samenvattend auditrapport 2013 Staten-Generaal (MA)

Samenvattend auditrapport 2013 Staten-Generaal (MA) leze: Samenvattend auditrapport 2013 Staten-Generaal (MA) 14 maart 2014 Kenmerk ADR/2o1 4/35 8 Inlichtingen Auditdienst Rijk Postbus zooi 2500 EE Den Haag Inhoud Samenvatting 5 1.1 Controle financiële

Nadere informatie

Uitbesteding & Uitbestedingsrisico s. Ingrid Talsma Verzekeringsmiddag Bussum, 25 april 2018

Uitbesteding & Uitbestedingsrisico s. Ingrid Talsma Verzekeringsmiddag Bussum, 25 april 2018 Uitbesteding & Uitbestedingsrisico s Ingrid Talsma Verzekeringsmiddag Bussum, 25 april 2018 Agenda Agenda Het onderzoek Uitbesteding Opzet en doel Resultaten Inherent risico Beheersing van het uitbestedingsrisico

Nadere informatie

Reglement Audit & Risk Committee van de Raad van Commissarissen (het Reglement )

Reglement Audit & Risk Committee van de Raad van Commissarissen (het Reglement ) Reglement Audit & Risk Committee van de Raad van Commissarissen (het Reglement ) Dit Reglement is opgesteld op basis van artikel 6.3 van het Reglement van de Raad van Commissarissen van Achmea B.V. (de

Nadere informatie

Controleprotocol provincie Utrecht

Controleprotocol provincie Utrecht Controleprotocol provincie Utrecht Controleprotocol voor de accountantscontrole bij door de provincie Utrecht gesubsidieerde instellingen Januari 2010 Controleprotocol provincie Utrecht 1 van 7 Controleprotocol

Nadere informatie

ISA 402, Overwegingen met betrekking tot controles van entiteiten die gebruik maken van een serviceorganisatie

ISA 402, Overwegingen met betrekking tot controles van entiteiten die gebruik maken van een serviceorganisatie INTERNATIONAL STANDARD ON AUDITING (ISA) ISA 402, Overwegingen met betrekking tot controles van entiteiten die gebruik maken van een serviceorganisatie Copyright IFAC Deze Internationale controlestandaard

Nadere informatie

Onderzoeksrapport. Definitieve Vaststelling vn de. Risicovereveningsbijdrage 2011 van. Zorginstituut Nederland

Onderzoeksrapport. Definitieve Vaststelling vn de. Risicovereveningsbijdrage 2011 van. Zorginstituut Nederland Risicovereveningsbijdrage 2011 van Definitieve Vaststelling vn de Onderzoeksrapport Zorginstituut Nederland Auditdienst Rijk Ministerie van Financiën Colofon Titel Uitgebracht aan Definitieve Vaststelling

Nadere informatie