ISAE 3402: Externe auditor niet langer nodig!



Vergelijkbare documenten
ISA 610, GEBRUIKMAKEN VAN DE WERKZAAMHEDEN VAN INTERNE AUDITORS

College Kwaliteitsonderzoek JAARVERSLAG 2016

MKB Cloudpartner Informatie TPM & ISAE

College Kwaliteitsonderzoek CKO JAARVERSLAG 2018

Richtlijn 4401 Opdrachten tot het verrichten van overeengekomen specifieke werkzaamheden met betrekking tot informatietechnologie

OPKOMST VAN EEN NIEUWE WERELDWIJDE ASSURANCESTANDAARD ISAE 3402: einde van SAS 70 in zicht?

Ronald van der Wal Enterprise Risk Services

Toezien op privacy naleving bij (IT) leveranciers; ISO of ISAE 3000?

NOREA Richtijn 3402 ASSURANCE-RAPPORTEN BETREFFENDE INTERNE BEHEERSINGSMAATREGELEN BIJ EEN SERVICEORGANISATIE

INHOUD. Paragraaf

Third Party Audits Onderzoek naar de toegevoegde waarde van Third Party Audits voor gebruikersorganisaties en serviceorganisaties

De mogelijke rollen van de internal auditor in een ISAE 3402-traject

Verschillen en overeenkomsten tussen SOx en SAS 70

Oordelen van en door RE s

ISAE 3402 en de internal auditor

ISAE 3402: een nieuw hoofdstuk voor de IT-auditor

Controleverklaringen. Nieuwe stijl, heldere taal

REGLEMENT PERMANENTE EDUCATIE REGISTER OPERATIONAL AUDITORS

Zeker-OnLine is een onafhankelijk en transparant keurmerk voor online administratieve diensten (ook wel administratieve cloudoplossingen genoemd).

IT-audit in vogelvlucht. Jeanot de Boer 24 april 2012

Dit document maakt gebruik van bladwijzers. Consultatiedocument Gewijzigde Standaard 3000 en Stramien 4 juni 2015

SAS 70 herzien, focus ISAE 3402 blijft op beheersingsmaatregelen

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars!

Meer duidelijkheid over samenstellingsopdrachten met komst Standaard 4410

INTERNATIONAL STANDARD ON AUDITING (ISA)

DNB BEOORDELINGSKADER VOOR DE AUDITFUNCTIE BIJ TRUSTKANTOREN INGEVOLGE DE RIB WTT 2014

Het assurance-raamwerk De accountant en het verstrekken van zekerheid

SAS 70 maakt plaats voor ISAE 3402

Jacques Herman 21 februari 2013

INTERNATIONAL STANDARD ON AUDITING (ISA)

Interne beheersing: Aan assurance verwante opdrachten Inleiding. Het kwaliteitsonderzoek. Regelgeving. Vragenlijst.

INTERNATIONALE CONTROLESTANDAARD 610 HET IN AANMERKING NEMEN VAN DE INTERNE AUDITWERKZAAMHEDEN

INHOUD. Alleen voor identificatiedoeleinden RSM Nederland Risk Advisory Services B.V. 26 april 2018 w.g. M. Hommes RE

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level!

Reglement externe kwaliteitstoetsing interne audit functies van IIA Nederland

2014 KPMG Advisory N.V

SAS 70: Tekenbevoegdheid voor de IT-Auditor?

INTERNATIONAL STANDARD ON AUDITING (ISA)

De toegevoegde waarde van een ISAE 3402-

ENSIA assurance rapport DigiD en Suwinet verantwoordingsjaar 2018 Gemeente Leusden

Stichting Registered Tax Assurance Providers. Reglement toetreding register. Vastgesteld en in werking getreden op 12 september 2012

Reglement externe kwaliteitstoetsing interne audit functies van IIA Nederland

Charco & Dique. De auditfunctie bij trustkantoren. Risk Management & Compliance

Inleiding Begrippen en definities 5 3. Doelstellingen van een privacy-audit Opdrachtaanvaarding 8 9 4

Reglement externe kwaliteitstoetsing interne audit functies van IIA Nederland

ISA 710, TER VERGELIJKING OPGENOMEN INFORMATIE - OVEREENKOMSTIGE CIJFERS EN VERGELIJKENDE FINANCIELE OVERZICHTEN

Handleiding uitvoering ICT-beveiligingsassessment

SIS FINANCE. voor professionals door professionals. consulting. interim management. finance professionals. SIS finance

Audit Assurance bij het Applicatiepakket Interne Modellen Solvency II

INTERNATIONAL STANDARD ON AUDITING (ISA)

Internal Audit Charter

NOREA Richtijn 3402 ASSURANCE-RAPPORTEN BETREFFENDE INTERNE BEHEERSINGSMAATREGELEN BIJ EEN SERVICEORGANISATIE INHOUD

Als basis voor de NOREA Richtlijn Documentatie is gehanteerd ISA 230.

De accountant en het bestuursverslag Visie NBA Young Profs

Beoordelingskader en normering onderzoek kwaliteit EVC-procedures in Nederland

Gemeente Veenendaal. ICT-beveiligingsassessment. Suwinet Inkijk Ten behoeve van gemeenten Rhenen en Renswoude. Audit Services

Praktijkhandreiking 1115 Aanpassing van het oordeel in de controleverklaring bij materiële tekortkomingen in de toelichting op de jaarrekening

Assurancerapport van de onafhankelijke IT-auditor

ISA 320, MATERIALITEIT BIJ DE PLANNING EN UITVOERING VAN EEN CONTROLE

Uitbestedingsbeleid Stichting Pensioenfonds van de ABN AMRO Bank N.V.

Format assurance over de juistheid van de collegeverklaring ENSIA 2017 van gemeente [naam gemeente]

Inleiding 1. Opdrachtaanvaarding 2 t/m 7. Planning en uitvoering professionele dienst 8 t/m 12. Dossier 13 t/m 16. Rapportage 17 t/m 20

B2 Reglement Beroepsbeoefening IT-auditors

Meer aandacht voor het bestuursverslag in de controleverklaring

Werkprogramma Risicobeheersing Volmachten 2018

Reglement van Toelating

Assurancerapport importeurs ten behoeve van het aanleveren van CvO-gegevens

ISA 520, CIJFERANALYSES

Externe assurance-regels voor het interne IT-audit beroep

Academy. pen inschrijving NAJAAR. Programma. Ons Open Inschrijving cursusaanbod voor najaar 2018 bestaat uit: Beheersing van uitbesteding.

Grip op fiscale risico s

Gedragseffecten in de (internal) audit-professie. 25-jarig jubileum Internal Auditing & Advisory 29 juni 2018

Consultatiedocument Nieuwe Nederlandse Standaard 3001N voor directe opdrachten 21 juli 2016

Consultatiedocument Evaluatie VGBA en ViO Wat hebben wij tot nu toe gehoord

B4 Reglement Kwaliteitsonderzoek NOREA (RKON) Preambule

NOREA Visie Brigitte Beugelaar. 14 september 2015

Internal Audit Charter BNG Bank

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

voorzitter NOREA Adri de Bruijn NIVRA-NOREA-aanpak privacy-certificering privacy-audit

ISA 510, INITIËLE CONTROLEOPDRACHTEN - BEGINSALDI

ISO 9000:2000 en ISO 9001:2000. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V.

SAS 70 en daarna: controls reporting in een breder kader

Naam/logo beoordelende organisatie. Beoordelingsrapport Onderzoek Kwaliteit EVC-procedures. Verlenging. [naam EVC-aanbieder] Datum:

Klaagster, is het bestuur van de Nederlandse Orde van Register EDP-Auditors, hierna mede

A7 Richtlijn Permanente Educatie (wijzigingsvoorstel 2018, ter consultatie)

II. VOORSTELLEN VOOR HERZIENING

Meerwaarde Internal Audit functie. 16 maart 2017

ISA 700, HET VORMEN VAN EEN OORDEEL EN HET RAPPORTEREN OVER FINANCIËLE OVERZICHTEN

Third-partymededelingen: de ervaringen van de gebruikersorganisaties

ISA 600, BIJZONDERE OVERWEGINGEN CONTROLES VAN FINANCIËLE OVERZICHTEN VAN EEN GROEP (INCLUSIEF DE WERKZAAMHEDEN VAN AUDITORS VAN GROEPSONDERDELEN)

SIS FINANCE. voor professionals door professionals. consulting. interim management. finance professionals SIS. finance

Besluit tot wijziging van de Nadere voorschriften controleen overige standaarden Vastgesteld 18 december 2008

INTERNATIONALE CONTROLESTANDAARD 260 COMMUNICATIE OVER CONTROLE-AANGELEGENHEDEN MET HET TOEZICHTHOUDEND ORGAAN

Praktijkhandreiking 1119 Nadere toelichtingen in de controleverklaring 24 april 2012

SAS70 en de internal auditor

SAS70 en de internal auditor

I T S X. Informatiebeveiliging, IT Audit & Compliance, Security as a Service, Risicomanagement, Educatie

Ons oordeel Wij hebben de jaarrekening 2016 van Lavide Holding N.V. te Alkmaar gecontroleerd.

Praktijkhandreiking 1106 INTERNE ROULATIE BIJ NIET-OOB S Vastgesteld in de bestuursvergadering van 16 december Ingetrokken per dec '14

Transcriptie:

ISAE 3402: Externe auditor niet langer nodig! DBedrijven De Rapportagestandaard ISAE 3402 is inmiddels besteden al sinds jaar en dag activiteiten uit aan andere bedrijven. Om kosten te drukken, om zich een jaar geleden geïntroduceerd. Hoewel de standaard in grote lijnen overeenkomt met zijn voorganger SAS 70, zijn er ook verschillen. Deze beter te kunnen richten op de kernactiviteiten of om meer flexibiliteit in de eigen dienstverlening te creëren. verschillen, waaronder de tekenbevoegdheid van Wanneer gebruikersorganisaties activiteiten uitbesteden, willen en de Register EDP Auditor (de IT-auditor) bij een ISAE moeten deze bedrijven zekerheden 3402-verklaring, bieden meer mogelijkheden voor hebben dat de kwaliteit van de uitbestede dienstverlening voldoende is. de rol van de interne IT-auditor. De betrokkenheid Hierbij moeten dus onder andere de van een externe auditor bij het afgeven van een interne controle en de continuïteit op orde zijn. Wanneer de serviceorganisatie niet in staat is om de gewenste ISAE 3402-verklaring is in dat geval niet meer strikt noodzakelijk. In dit artikel wordt op basis van de kwaliteit te leveren kan dat leiden tot een continuïteitsrisico voor de Nederlandse NOREA-vertaling van de ISAE 3402, gebruikersorganisatie. Het is voor de genaamd Richtlijn 3402, uiteengezet hoe de gebruikersorganisatie van belang om het risico op het optreden van verstoringen in de dienstverlening naar additionele mogelijkheden die ISAE 3402 aan interne RE s biedt, ingevuld kunnen worden. de eigen klanten zo beperkt mogelijk te houden. Verklaringen die de kwaliteit van de interne beheersing bij de DENNIS BUITENDIJK EN ALEXANDER SLUITER serviceorganisatie bevestigen, zijn dan ook een veelgebruikt middel om inzicht te krijgen in de werking van interne beheersmaatregelen bij die serviceorganisatie. In dit artikel staan we stil bij een aantal in het oog springende verschillen tussen ISAE 3402 en SAS 70. Deze verschillen zijn al eerder benoemd in dit blad [EWAL10]. Wij constateren nog een belangrijk verschil dat niet eerder werd benoemd, te weten de rol die de intern opererende RE conform ISAE 3402 kan spelen, waardoor betrokkenheid van de externe auditor niet altijd meer nodig is. In dit artikel vatten wij de verschillen tussen SAS 70 en ISAE 3402 samen en gaan we daarna in op de mogelijkheden die deze bieden voor de praktijk. In de beschreven verschillen liggen kansen voor de organisatie om zelf transparant verantwoording af te leggen (het zogenaamde in control statement) met onafhankelijke assurance door de interne auditfunctie. Aan de hand van verschillende varianten voor de invulling van de rollen binnen een ISAE 3402-traject benoemen we de voor- en nadelen van de rolverdelingen en geven we aan welke randvoorwaarden gelden. We eindigen met een conclusie. SAS 70 Tot de introductie van ISAE 3402 was het Statement on Auditing Standards no. 70: Service Organizations, beter bekend onder de naam SAS 70, een veelgebruikt middel bij het geven van onafhankelijke assurance. De van origine Amerikaanse standaard SAS 70 heeft sinds de introductie wereldwijd een flinke groei doorgemaakt en 10 de IT-Auditor nummer 3 2012

in veel sectoren bekendheid verworven als de meest gebruikte stan daard voor het verkrijgen van (een redelijke mate van) zekerheid over de beheersing van uitbestede processen. In de SAS 70-standaard wordt geen uitsluitsel gegeven over de mate waarin een externe auditor gebruik mag maken van de inzet van de interne auditafdeling. Wel zijn de volgende mogelijkheden beschreven als wijze waarop de externe auditor gebruik kan maken van de inzet van de interne auditafdeling [EWAL09]: direct assis tance, waarbij de medewerker van de interne auditafdeling wordt ingezet als deelnemer aan het auditteam. nature, timing and extent van de werkzaamheden van de service auditor aan de door de interne auditafdeling uitgevoerde werkzaamheden. Bij het gebruikmaken van de diensten van de interne auditafdeling dient wel rekening gehouden te worden met de mate van expertise van de interne auditor en diens onafhankelijkheid, zoals vastgelegd in de Code of Ethics [NORE06]. Overigens geldt dit natuurlijk voor elke auditor wanneer deze auditwerkzaamheden uitvoert. De SAS 70-standaard schrijft niet voor op welke wijze de externe auditor moet verantwoorden of (en op welke wijze) er gebruikgemaakt wordt van de werkzaamheden van de interne auditor. ISAE 3402 In 2011 heeft de SAS 70 een internationale opvolger gekregen in de vorm van de International Standard on Assurance Engagements 3402, oftewel ISAE 3402. Figuur 1 toont een overzicht van de ISAE 3402-werkzaamheden. De ISAE 3402 vertoont op veel vlakken sterke gelijkenissen met de SAS 70-standaard. Bij nadere bestudering komt echter ook een aantal verschillen naar voren. Beide standaarden geven de mogelijkheid om gebruik te maken van het werk van interne auditors. Het verschil tussen beide standaarden is de wijze van verantwoording van dat werk. Onder de SAS 70-standaard hoeft geen uitsluitsel te worden gegeven over de werkzaamheden van interne auditors waar de externe auditor op steunt. In de ISAE 3402-standaard is vastgelegd dat, wanneer de externe auditor werk van de interne auditors gebruikt om er (delen van) zijn conclusie op te baseren, zowel deze werkzaamheden als de door de externe auditor gevolgde procedures ten aanzien van die werkzaamheden, beschreven moeten worden. In theorie is het onder de ISAE 3402-standaard mogelijk om de werkzaamheden van de externe auditor te beperken tot het uitvoeren van een review op de door de interne auditafdeling uitgevoerde werkzaamheden. In dat opzicht zijn de mogelijkheden in lijn met wat onder SAS 70 toegestaan is. Een ander verschil tussen ISAE 3402 en SAS 70 is het vereiste onder ISAE 3402 van een formele managementbewering over de beheersing. Van Figuur 1: Overzicht van 3402-werkzaamheden de IT-Auditor nummer 3 2012 11

het management wordt verwacht dat het een mededeling afgeeft over de interne beheersing. Het management behoort de beheersmaatregelen te monitoren om vast te stellen dat deze effectief zijn. De monitoring houdt in dat uitzonderingen worden gerapporteerd, tijdig correcties worden uitgevoerd en de effectiviteit ervan wordt beoordeeld. Deze monitoring kan plaatsvinden door continue activiteiten, separate evaluaties of een combinatie van beide [EWAL10]. Door de vereiste toevoeging van een formele managementbewering wordt niet alleen het management meer bewust gemaakt van haar verantwoordelijkheid ten aanzien van de beheersdoelstellingen en maatregelen, maar wordt ook meer transpa rantie gecreëerd. Het management legt namelijk expliciet en separaat verantwoording af, naast het oordeel van de auditor in het rapport. Dit is een wezenlijk verschil met de SAS 70-standaard waarin de conclusie van de externe auditor voldoende is. Een verdere verandering, die in het bijzonder van belang is voor de beroepsgroep IT-auditors, is dat met de introductie van de ISAE 3402-standaard ook officieel tekenbevoegdheid is ontstaan voor de Register EDP Auditor. De Nederlandse NOREA-vertaling van de ISAE 3402-standaard geeft de mogelijkheid aan de Register EDP Auditor om, gegeven een aantal randvoorwaarden, het dossier op te stellen en af te tekenen. Zoals al eerder in dit blad geconcludeerd, is hier sprake van een belangrijke wijziging voor IT- dan voorheen gezien als een beroepsgroep op wiens oordeel kan worden vertrouwd [EWAL10]. Een ISAE 3402-rapport dient volgens de door IFAC omschreven ISAE 3402-standaard [IFAC10-1] door een professionele auditor in een publieke praktijk afgetekend te worden. Hierbij moet deze auditor voldoen aan de Code of Ethics for Professional Accountants [IFAC10-2] die is opgesteld door de International Ethics Standards Board for Accoun tants. Deze code wordt ook wel als de IESBA Code aangeduid. In deze IESBA Code wordt een professionele auditor in een publieke praktijk omschreven als een persoon die lid is van de IFAC en daarnaast, ongeacht functie (bijvoorbeeld RE en/ of RA), behoort tot een onderneming die professionele diensten levert op het gebied van auditing, zoals een externe auditfirma. Dit leidt tot de conclusie dat volgens de ISAE 3402-standaard alleen medewerkers van commerciële kantoren ISAE 3402-verklaringen mogen ondertekenen. In de Nederlandse vertaling van de ISAE 3402-standaard bekend als Richtlijn 3402, opgesteld door de NOREA en NIVRA [NORE10] wordt echter de term beroepsbeoefenaar gebruikt. Daarbij wordt door de NOREA specifiek verwezen naar de IT-auditor, mits deze voldoet aan het Reglement Gedragscode Code of Ethics [NORE06]. Deze code is van toepassing op iedere in het RE-register ingeschreven IT-auditor. Hij schrijft kort gezegd voor dat de IT-auditor: In de naar het Nederlands vertaalde standaard wordt dus geen koppeling gelegd met een externe auditfirma. Dit biedt mogelijkheden voor de interne IT-auditor, die zijn expertise op het vakgebied en zijn kennis over de serviceorganisatie kan inzetten. GEBRUIK WERKZAAMHEDEN INTERNE AUDITOR DOOR EXTERNE AUDITOR ONDER ISAE 3402 Een externe auditor van een serviceorganisatie, die wil steunen op de werkzaamheden van een interne auditor, moet volgens Richtlijn 3402 een aantal zaken in acht nemen. Hij moet bijvoorbeeld inzicht verwerven in de kwaliteit van de interne auditfunctie. Zo moet hij bepalen of: professionele zorgvuldigheid communicatie zal plaatsvinden tussen de interne auditors en de auditor van de serviceorganisatie. Vervolgens moet de externe auditor bepalen of en in welke mate er van de werkzaamheden van de interne auditors gebruik kan worden gemaakt. De aard en reikwijdte van de door de interne auditors uitgevoerde of uit te voeren werkzaamheden moeten overwogen worden. Ook moet er een afweging worden gemaakt of die werkzaamheden significant zijn voor de auditor van de serviceorganisatie. Tot slot wordt omschreven dat er een overweging moet worden gemaakt van de mate van subjectiviteit die is gehanteerd bij de evaluatie van de onderbouwende informatie, die ter ondersteuning van de conclusies is verzameld. ROLVERDELING Over de ISAE 3402-standaard en de werkzaamheden van de interne auditor is al veel geschreven. De auteurs hebben het dan vaak over werkzaamheden die ondersteunend zijn voor de verklaring van de externe auditor. Ook het Instituut van Internal Auditors Nederland (IIA) heeft een praktijkhandreiking geschreven over de ISAE 3402-standaard en de interne auditor [IIA11]. Hierin beschrijft dit instituut onder andere de mogelijke inzetmomenten van de interne auditor binnen een ISAE 3402 bij de serviceorganisatie. Deze inzetmomenten zijn als volgt te verdelen: (ex-ante). 12 de IT-Auditor nummer 3 2012

Het lijkt er op dat het IIA zich bij haar praktijkhandreiking laat leiden door de internationale standaard en niet door de Nederlandse vertaling. In de Nederlandse vertaling van de ISAE 3402 wordt immers geen onderscheid gemaakt tussen de interne en de externe auditor, maar wordt alleen de beroepsbeoefenaar genoemd, zijnde de RE in het geval van de op IT-processen van toepas sing zijnde ISAE 3402. Deze additionele mogelijkheden vanuit de Nederlandse vertaling worden nergens expliciet in de praktijkhandrei king aangegeven, terwijl ze de interne IT-auditor juist op de kaart kunnen zetten. TEKENBEVOEGDHEID RE: EXTERN OF TOCH OOK INTERN? Onder de eisen die door Richtlijn 3402 gesteld worden aan de aanvaarding en continuering van Richtlijn 3402-opdrachten worden eigenschappen genoemd die bij uitstek van toepassing zijn op interne auditors. Zo wordt onder meer de eis gesteld, dat de auditor kennis heeft van de betreffende sector en inzicht heeft in informatietechnologie en -systemen. Bij de RE op een interne auditpositie zal deze kennis aanwezig zijn. Het is aannemelijk dat de kennis en het inzicht meer toegespitst zullen zijn op de situatie waarover de Richtlijn 3402-verklaring wordt afgegeven. Zoals gezegd, legt Richtlijn 3402 officieel de tekenbevoegdheid van de RE vast. Deze RE-tekenbevoegdheid is echter alleen in Nederland van toepassing. Immers, de Nederlandse vertaling maakt melding van de beroepsbeoefenaar en alleen in Nederland is de beroepsaanduiding Register EDP Auditor bekend en erkend en daarmee de tekenbevoegdheid verleend. Richtlijn 3402 biedt een aantal rolverdelingen aan die bij de uitvoer van een 3402-opdracht gebruikt kunnen worden. Gegeven de tekenbevoegdheid van de RE zijn er zelfs situaties denkbaar waarbij er geen externe auditor nodig is! Er kan gebruikgemaakt worden van de RE die werkzaam is op een interne den aan precies dezelfde Code of Ethics als de RE s bij externe auditfirma s. Om mogelijke perceptuele knelpunten te verkleinen, is er wel een aantal randvoorwaarden die in acht moeten worden genomen. De volgende randvoorwaarden borgen de onafhankelijkheid, deskundigheid en kwaliteit van werkzaamheden, verricht door een RE op een interne auditpositie: auditcharter borgt de onafhanke lijke positie van de auditfunctie binnen een organisatie en is daarmee een middel om de inte griteit en objectiviteit van het oordeel van een RE in een interne auditpositie verder te waarborgen. toetsing door een beroepsorganisatie [NORE11-1]. Door de NOREA zijn in het Reglement Kwaliteitsbeheersing NOREA (RKBN) [NORE09] de kwaliteitsbeheersingmaatregelen beschreven, die van toepassing zijn op alle professionele diensten die RE s verlenen. Hierbij is professionele dienst gedefinieerd als: De werkzaamheden die de IT-auditor uitvoert binnen een IT-auditorganisatie, waarvoor IT-auditdeskundigheid en deskundigheid op aanverwante terreinen is vereist. De wijze van toetsing is nader uitgewerkt in het Reglement Kwaliteitsonderzoek NOREA (RKON) [NORE11-2]. Inmiddels hebben de beroepsorganisaties van financial-, IT- en operational auditors (respectievelijk de NBA, de NOREA en het IIA) het initiatief genomen om tot een gezamenlijke kwaliteitstoets te komen. Bij interne auditafdelingen, waarbinnen veelal meerdere auditdisciplines vertegenwoordigd zijn, kan daardoor bijvoorbeeld gebruik worden gemaakt van de toetsing door het Instituut van Internal Auditors Nederland (IIA). Deze beroepsorganisatie is al door de NBA geaccrediteerd om een gezamenlijke kwaliteitstoets voor interne auditfuncties uit te voeren. De verge lijkbare accreditatie door de NOREA is op moment van schrijven nog in behandeling. De Nederlandse tekst voor de ISAE 3402-standaard biedt dus mogelijkheden om op een andere manier dan voorheen invulling te geven aan Richtlijn 3402-opdrachten. We zullen hieronder deze mogelijkheden binnen een 3402-onderzoek verder uiteenzetten door zowel te beschrijven wat twee bekende, veel toegepaste rolverdelingen (varianten 1 en 2) zijn, als een tweetal voorbeelden te geven van mogelijke rolverdelingen (varianten 3 en 4) die nog niet eerder benoemd zijn in de literatuur. We hanteren hierbij een aantal uitgangspunten. Op basis van de hierboven beschreven theorie luiden deze als volgt: gister ingeschreven IT-auditor (RE). ten door Nederlandse be drijven of instellingen, uitgevoerd door Nederlandse organisaties. over de IT-systemen en de bijbehorende processen. In de varianten zullen steeds de volgende drie onderwerpen c.q. vragen centraal staan: ondersteunt deze? ). nend voor het dossier van de 3402-verklaring ( Wie kan deze uitvoeren? ). deze op? ). de IT-Auditor nummer 3 2012 13

MOGELIJKE ROLVERDELING BIJ DE SERVICEORGANISATIE Variant 1 In deze variant worden enkel werkzaamheden verricht door het management en de externe auditor. Voor variant 1 zal het management de werkzaamheden ten behoeve van het in control statement of de managementverklaring zelf uitvoeren of delegeren aan zijn eerste- en tweedelijns medewerkers. De externe auditor van de serviceorganisatie geeft de 3402 verklaring af. Hierbij maakt hij gebruik van de door het management uitgevoerde werkzaamheden (door middel van het uitvoeren van reviewwerkzaamheden) en eigen vaststellingen. Voorwaarde hierbij is dat de serviceorganisatie voldoende inzicht heeft in de eigen beheersing, door middel van monitoring activiteiten. De medewerkers hebben voldoende tijd nodig om deze monitoring uit te kunnen voeren. Voordelen: eigen beheersing en met name de monitoring daarvan op orde. Kennis is bij de organisatie zelf in huis (eerste- en tweedelijn). auditor heeft voor sommige partij - en meer het karakter van een onafhankelijk oordeel. groot aandeel in de werkzaamheden wordt uitgevoerd door de externe auditor. Er kunnen eventueel kosten bespaard worden door de interne auditor (indien aanwezig) op te nemen in het auditteam van de externe auditor (zie ook de eerdere paragraaf Rolverdeling zoals het IIA deze benoemt). de kennis die aanwezig is bij de interne auditor. Variant 2 In deze variant speelt naast het manage ment en de externe auditor ook de interne auditor een rol. Doordat de interne IT-auditor meer kennis heeft van en inzicht in de bedrijfsvoering en bijbehorende secundaire processen dan de externe auditor, kan deze het management ondersteunen bij het afgeven van de managementmededeling over de beheersing. Op basis van de werkzaamheden van de interne IT-auditor zal het management in staat zijn een onderbouwde mededeling af te geven. Net als bij variant 1 geeft de externe IT-auditor (RE) op basis van zowel eigen onderzoek als de in control werkzaamheden van de business de verklaring af. Voordelen: werkzaamheden ten behoeve van de managementverklaring. De opdrachtgever maakt optimaal gebruik van de kennis en kunde van de auditor op het gebied van risicobeheersing. auditor heeft voor sommige partij - en meer het karakter van een onafhankelijk oordeel. groot aandeel in de werkzaamheden wordt uitgevoerd door de externe auditor. kennis nodig en hoeft de eigen monitoring niet op orde te hebben. Variant 3 Het management van de serviceorganisatie wordt ondersteund door de externe IT-auditor bij het afgeven van de managementmededeling. De externe accountant helpt bij het opstellen van de key controls en het monitoren daarvan en maakt het dossier op. Wanneer de externe auditor ook de externe accountant van de serviceorganisatie is, kan gebruikgemaakt worden van dezelfde werkzaamheden die ook voor de jaarrekeningcontrole van belang zijn (of de huisaccountant ook in de toe- komst verklaringen mag geven naast werkzaamheden uitvoeren voor de jaarrekening is overigens onderwerp van maatschappelijke discussie). Met andere woorden, het management geeft een mededeling af op basis van de werkzaamheden van de externe IT-auditor. De interne ITauditor geeft, als onafhankelijke beroepsbeoefenaar, de 3402-verklaring af. Door de hoge kosten voor inhuur lijkt deze variant eerder een theoretische dan een praktisch haalbare. Voordeel: voordelen benoemen. verdiepen in de business. door een interne auditor heeft voor sommige partijen minder het karakter van een onafhankelijk oordeel. de andere varianten) door inhuur van de externe auditor voor de werkzaamheden ten behoeve van de managementverklaring. monitoring. De business heeft zelf minder kennis nodig en hoeft haar eigen monitoring niet op orde te hebben. Variant 4 In deze laatste variant worden de in control werkzaamheden door de serviceorganisatie zelf uitgevoerd en geeft de interne IT-auditor de verklaring af. Wanneer deze werkwijze acceptabel is voor de ontvangende partij van de ISAE 3402-verklaring, kan hier behoorlijk op de kosten bespaard worden. Wel vraagt dit een serviceorganisatie die aantoonbaar in control is. Dit houdt in dat er een degelijk framework met controlemaatregelen aanwezig is en dat de organisatie dit zelf monitort. Hierbij is een zekere mate van volwassenheid van de organisatie vereist. 14 de IT-Auditor nummer 3 2012

variant 1 variant 2 variant 3 variant 4 in control werkzaamheden eerste- en tweede lijn business interne auditor externe auditor eerste- en tweede lijn business verklaring management management management management management ISAE 3402-verklaring externe auditor externe auditor interne auditor interne auditor volwassenheid interne beheersing + + + + + + + + + mogelijke perceptie onafhankelijkheid + + + + + + + + gebruik interne kennis en kunde + + + + + + + + kosten Tabel 1: Rolverdeling samengevat Voordelen: beheersing en monitoring op orde. Kennis is bij de organisatie zelf in huis. worden optimaal gebruikt. de overige varianten, met name doordat geen externe auditor ingehuurd hoeft te worden. door een interne auditor heeft voor sommige partijen minder het karakter van een onafhankelijk oordeel. In tabel 1 is de rolverdeling binnen de benoemde varianten nog eens samengevat. ONAFHANKELIJKHEID De (on)afhankelijkheid van de auditor speelt in ons vakgebied een belangrijke rol. Een voor de hand liggend argument tegen het inzetten van de varianten 3 en 4, waarin een interne auditor een 3402-opdracht uitvoert, is dat de interne auditfunctie minder onafhankelijk zou kunnen zijn. Er wordt daarbij al snel geredeneerd dat de interne auditor bij zijn werkgever (de serviceorganisatie) op de loonlijst staat en dat er dientengevolge sprake is van financiële afhankelijkheid. Wanneer daarbij ook het logo van de serviceorganisatie aanwezig is op het assurancerapport, kan dit de perceptie van verminderde onafhankelijkheid versterken. Dit terwijl de verschillende Registerfuncties naar de buitenwereld uitdragen dat onder andere de gevoerde titel een hoge mate van kwaliteit en onafhankelijkheid waarborgt (zie ook de Code of Ethics), waarbij de gepresenteerde feiten voor waarheid mogen worden aangenomen. In de praktijk lijkt deze aanname, wanneer het gaat om assuranceverklaringen, ineens niet intern opererende RE wordt (ook door beroepsgenoten!) niet zonder meer voor waarheid aangenomen. Liever lijkt men een dossier en een verklaring op het briefpapier van een externe auditfirma te zien. Dit terwijl de eisen en randvoorwaarden die aan die werkzaam is op een interne auditafdeling moet aan dezelfde beroepseisen voldoen als de externe auditor, ook voor wat betreft objectiviteit en deskundigheid. Maar we kunnen niet zomaar voorbijgaan gaan aan de perceptie van verminderde onafhankelijkheid wanneer het een interne RE betreft. Daar ligt voor het vakgebied dan ook een uitdaging om de gebruikersorganisatie en haar accountant te overtuigen van de kwaliteit en onafhankelijkheid die verbonden zijn aan het voeren van de beroepsaanduiding RE. Bij het maken van de afspraken voor een verklaring zal de interne RE aan moeten tonen dat hij voldoende kwaliteit bezit en voldoet aan alle eisen zoals deze al eerder in dit artikel genoemd zijn. De aansluiting bij het IIA en de kwa liteitstoets kunnen hierbij een belangrijke rol spelen, vooral ook bij het aantoonbaar maken van kwaliteit en onafhankelijkheid. Wanneer de gebruikersorganisatie vertrouwen heeft in de kwaliteit van de interne RE en de interne auditfunctie als geheel, kan ook het kostenaspect meegenomen worden bij het overtuigen. Door de overlap van werkzaamheden kunnen de kosten omlaag vergeleken met de kosten voor een verklaring door een externe auditor. CONCLUSIE Volgens de literatuur brengt de invoering van Richtlijn 3402 als belangrijke wijziging met zich mee dat ook de IT-auditor mag tekenen. Tot nu toe werd in de literatuur niet vermeld dat de Richtlijn spreekt over de beroepsbeoefenaar en dat daarmee, mits aan specifieke voorwaarden wordt voldaan, ook mogelijkheden bestaan voor de interne RE. Het vakgebied ziet de ISAE 3402-standaard eerder als een update van de SAS 70 dan als een wezenlijk andere standaard. Zoals uiteengezet in dit artikel zien wij geen vaktechnische bezwaren om, gegeven de randvoorwaarden die daaraan gesteld worden, als internal auditfunctie assurance te verschaffen over de managementverklaring van de eigen organisatie. Hierbij dient wel rekening te worden gehouden met de perceptie van de ontvangende partij. Wanneer het logo van de serviceorganisatie aanwezig is op het assurancerapport, kan de onafhankelijkheid van de auditor in twijfel getrokken worden door de ontvangende de IT-Auditor nummer 3 2012 15

auditwerkveld. Wanneer de gebruikersorganisatie en haar accountant overtuigd kunnen worden van de kwaliteit van de interne auditfunctie van de serviceorganisatie hebben de interne auditfunctie en de RE in het bijzonder met de introductie van Richtlijn 3402 meer mogelijkheden gekregen om toegevoegde waarde te bieden. En dat niet alleen voor de organisatie waarbinnen zij opereren, maar ook voor de overige stakeholders bij een assurancetraject. Haar kennis van het bedrijf en de bijbehorende processen, in combinatie met de factoren onafhankelijkheid en deskundigheid, maken de interne auditfunctie bij uitstek geschikt om een ISAE 3402-verklaring af te geven. Het feit dat het management voor de verantwoording moet tekenen, kan werken als een aanjager voor een verbeterde beheersing van de bedrijfsvoering. ISAE 3402 biedt met name aan de interne auditfunctie en de daarbinnen opererende RE uitstekende mogelijkheden om onafhankelijke assurance te geven bij de verantwoording die een organisatie zelf aflegt. Dit sluit aan bij andere ontwikkelingen binnen het vakgebied, zoals de kwaliteitscertificering door NOREA en in het verlengde daarvan de onderlinge accreditatie van NOREA, NBA en IIA. Daarnaast sluiten deze mogelijkheden aan bij eisen die wet- en regelgeving stellen aan de interne audit functie, zoals bijvoorbeeld Solvency II voor verzekeraars, of Basel II/III voor banken. Gebruikmaken van deze mogelijkheden versterkt de positie van de RE, die daarmee zowel zichzelf als de interne auditfunctie beter op de kaart kan zetten. Literatuur [EWAL09] Zekerheid bij uitbesteding, Drs. R.Ch.T. Ewals RE, Handboek IT-Auditing, februari 2009. [EWAL10] ISAE 3402: Een nieuw hoofdstuk voor de IT-auditor, René Ewals, IT-Auditor, nummer 3, 2010. [IFAC10-1] International Federation of Accountants, International Standard on Assurance Engagements (ISAE) 3402 assurance reports on controls at a service organization, 2010 http://www.ifac.org [IFAC10-2] International Federation of Accountants, Handbook of the code of ethics for professional accountants, 2010 http://www.ifac.org [IIA11] Instituut Internal Auditors (IIA), ISAE 3402 en de Internal Auditor, praktijkhandleiding, 2011. [NORE06] NOREA, Reglement Gedragscode ( Code of Ethics ), 2006 http://www.norea.nl [NORE09] NOREA, Reglement Kwaliteitsbeheersing NOREA (RKBN), 2009 http://www.norea.nl [NORE10] NOREA, NOREA richtlijn 3402 assurancerapporten betreffende interne beheersingsmaatregelen bij een serviceorganisatie, 2010 http://www.norea.nl [NORE11-1] NOREA, Introductie Kwaliteitsonderzoek NOREA, 2011. http://www.norea.nl [NORE11-2] NOREA, B4.2 Stappenplan Kwaliteitsonderzoek NOREA, http://www.norea.nl Ing. D. N. (Dennis) Buitendijk EMITA werkt als IT-auditor bij Coöperatie VGZ, (voorheen UVIT). Daarvoor werkte hij bij Ernst & Young. Dennis is lid van de IIA Commissie Young Professionals. Dit artikel is geïnspireerd op de scriptie waarmee hij in 2011 de IT Audit opleiding aan de Vrije Universiteit Amsterdam afrondde. Drs. A. F. (Alexander) Sluiter RE is werkzaam als Senior IT-auditor bij Univé Verzekeringen. Daarvoor werkte hij onder andere bij UVIT (Univé-VGZ-IZA-TRIAS) en Deloitte. Alexander rondde in 2008 zijn IT Audit opleiding aan de Vrije Universiteit Amsterdam af. 16 de IT-Auditor nummer 3 2012

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback