ISAE 3402: Externe auditor niet langer nodig! DBedrijven De Rapportagestandaard ISAE 3402 is inmiddels besteden al sinds jaar en dag activiteiten uit aan andere bedrijven. Om kosten te drukken, om zich een jaar geleden geïntroduceerd. Hoewel de standaard in grote lijnen overeenkomt met zijn voorganger SAS 70, zijn er ook verschillen. Deze beter te kunnen richten op de kernactiviteiten of om meer flexibiliteit in de eigen dienstverlening te creëren. verschillen, waaronder de tekenbevoegdheid van Wanneer gebruikersorganisaties activiteiten uitbesteden, willen en de Register EDP Auditor (de IT-auditor) bij een ISAE moeten deze bedrijven zekerheden 3402-verklaring, bieden meer mogelijkheden voor hebben dat de kwaliteit van de uitbestede dienstverlening voldoende is. de rol van de interne IT-auditor. De betrokkenheid Hierbij moeten dus onder andere de van een externe auditor bij het afgeven van een interne controle en de continuïteit op orde zijn. Wanneer de serviceorganisatie niet in staat is om de gewenste ISAE 3402-verklaring is in dat geval niet meer strikt noodzakelijk. In dit artikel wordt op basis van de kwaliteit te leveren kan dat leiden tot een continuïteitsrisico voor de Nederlandse NOREA-vertaling van de ISAE 3402, gebruikersorganisatie. Het is voor de genaamd Richtlijn 3402, uiteengezet hoe de gebruikersorganisatie van belang om het risico op het optreden van verstoringen in de dienstverlening naar additionele mogelijkheden die ISAE 3402 aan interne RE s biedt, ingevuld kunnen worden. de eigen klanten zo beperkt mogelijk te houden. Verklaringen die de kwaliteit van de interne beheersing bij de DENNIS BUITENDIJK EN ALEXANDER SLUITER serviceorganisatie bevestigen, zijn dan ook een veelgebruikt middel om inzicht te krijgen in de werking van interne beheersmaatregelen bij die serviceorganisatie. In dit artikel staan we stil bij een aantal in het oog springende verschillen tussen ISAE 3402 en SAS 70. Deze verschillen zijn al eerder benoemd in dit blad [EWAL10]. Wij constateren nog een belangrijk verschil dat niet eerder werd benoemd, te weten de rol die de intern opererende RE conform ISAE 3402 kan spelen, waardoor betrokkenheid van de externe auditor niet altijd meer nodig is. In dit artikel vatten wij de verschillen tussen SAS 70 en ISAE 3402 samen en gaan we daarna in op de mogelijkheden die deze bieden voor de praktijk. In de beschreven verschillen liggen kansen voor de organisatie om zelf transparant verantwoording af te leggen (het zogenaamde in control statement) met onafhankelijke assurance door de interne auditfunctie. Aan de hand van verschillende varianten voor de invulling van de rollen binnen een ISAE 3402-traject benoemen we de voor- en nadelen van de rolverdelingen en geven we aan welke randvoorwaarden gelden. We eindigen met een conclusie. SAS 70 Tot de introductie van ISAE 3402 was het Statement on Auditing Standards no. 70: Service Organizations, beter bekend onder de naam SAS 70, een veelgebruikt middel bij het geven van onafhankelijke assurance. De van origine Amerikaanse standaard SAS 70 heeft sinds de introductie wereldwijd een flinke groei doorgemaakt en 10 de IT-Auditor nummer 3 2012
in veel sectoren bekendheid verworven als de meest gebruikte stan daard voor het verkrijgen van (een redelijke mate van) zekerheid over de beheersing van uitbestede processen. In de SAS 70-standaard wordt geen uitsluitsel gegeven over de mate waarin een externe auditor gebruik mag maken van de inzet van de interne auditafdeling. Wel zijn de volgende mogelijkheden beschreven als wijze waarop de externe auditor gebruik kan maken van de inzet van de interne auditafdeling [EWAL09]: direct assis tance, waarbij de medewerker van de interne auditafdeling wordt ingezet als deelnemer aan het auditteam. nature, timing and extent van de werkzaamheden van de service auditor aan de door de interne auditafdeling uitgevoerde werkzaamheden. Bij het gebruikmaken van de diensten van de interne auditafdeling dient wel rekening gehouden te worden met de mate van expertise van de interne auditor en diens onafhankelijkheid, zoals vastgelegd in de Code of Ethics [NORE06]. Overigens geldt dit natuurlijk voor elke auditor wanneer deze auditwerkzaamheden uitvoert. De SAS 70-standaard schrijft niet voor op welke wijze de externe auditor moet verantwoorden of (en op welke wijze) er gebruikgemaakt wordt van de werkzaamheden van de interne auditor. ISAE 3402 In 2011 heeft de SAS 70 een internationale opvolger gekregen in de vorm van de International Standard on Assurance Engagements 3402, oftewel ISAE 3402. Figuur 1 toont een overzicht van de ISAE 3402-werkzaamheden. De ISAE 3402 vertoont op veel vlakken sterke gelijkenissen met de SAS 70-standaard. Bij nadere bestudering komt echter ook een aantal verschillen naar voren. Beide standaarden geven de mogelijkheid om gebruik te maken van het werk van interne auditors. Het verschil tussen beide standaarden is de wijze van verantwoording van dat werk. Onder de SAS 70-standaard hoeft geen uitsluitsel te worden gegeven over de werkzaamheden van interne auditors waar de externe auditor op steunt. In de ISAE 3402-standaard is vastgelegd dat, wanneer de externe auditor werk van de interne auditors gebruikt om er (delen van) zijn conclusie op te baseren, zowel deze werkzaamheden als de door de externe auditor gevolgde procedures ten aanzien van die werkzaamheden, beschreven moeten worden. In theorie is het onder de ISAE 3402-standaard mogelijk om de werkzaamheden van de externe auditor te beperken tot het uitvoeren van een review op de door de interne auditafdeling uitgevoerde werkzaamheden. In dat opzicht zijn de mogelijkheden in lijn met wat onder SAS 70 toegestaan is. Een ander verschil tussen ISAE 3402 en SAS 70 is het vereiste onder ISAE 3402 van een formele managementbewering over de beheersing. Van Figuur 1: Overzicht van 3402-werkzaamheden de IT-Auditor nummer 3 2012 11
het management wordt verwacht dat het een mededeling afgeeft over de interne beheersing. Het management behoort de beheersmaatregelen te monitoren om vast te stellen dat deze effectief zijn. De monitoring houdt in dat uitzonderingen worden gerapporteerd, tijdig correcties worden uitgevoerd en de effectiviteit ervan wordt beoordeeld. Deze monitoring kan plaatsvinden door continue activiteiten, separate evaluaties of een combinatie van beide [EWAL10]. Door de vereiste toevoeging van een formele managementbewering wordt niet alleen het management meer bewust gemaakt van haar verantwoordelijkheid ten aanzien van de beheersdoelstellingen en maatregelen, maar wordt ook meer transpa rantie gecreëerd. Het management legt namelijk expliciet en separaat verantwoording af, naast het oordeel van de auditor in het rapport. Dit is een wezenlijk verschil met de SAS 70-standaard waarin de conclusie van de externe auditor voldoende is. Een verdere verandering, die in het bijzonder van belang is voor de beroepsgroep IT-auditors, is dat met de introductie van de ISAE 3402-standaard ook officieel tekenbevoegdheid is ontstaan voor de Register EDP Auditor. De Nederlandse NOREA-vertaling van de ISAE 3402-standaard geeft de mogelijkheid aan de Register EDP Auditor om, gegeven een aantal randvoorwaarden, het dossier op te stellen en af te tekenen. Zoals al eerder in dit blad geconcludeerd, is hier sprake van een belangrijke wijziging voor IT- dan voorheen gezien als een beroepsgroep op wiens oordeel kan worden vertrouwd [EWAL10]. Een ISAE 3402-rapport dient volgens de door IFAC omschreven ISAE 3402-standaard [IFAC10-1] door een professionele auditor in een publieke praktijk afgetekend te worden. Hierbij moet deze auditor voldoen aan de Code of Ethics for Professional Accountants [IFAC10-2] die is opgesteld door de International Ethics Standards Board for Accoun tants. Deze code wordt ook wel als de IESBA Code aangeduid. In deze IESBA Code wordt een professionele auditor in een publieke praktijk omschreven als een persoon die lid is van de IFAC en daarnaast, ongeacht functie (bijvoorbeeld RE en/ of RA), behoort tot een onderneming die professionele diensten levert op het gebied van auditing, zoals een externe auditfirma. Dit leidt tot de conclusie dat volgens de ISAE 3402-standaard alleen medewerkers van commerciële kantoren ISAE 3402-verklaringen mogen ondertekenen. In de Nederlandse vertaling van de ISAE 3402-standaard bekend als Richtlijn 3402, opgesteld door de NOREA en NIVRA [NORE10] wordt echter de term beroepsbeoefenaar gebruikt. Daarbij wordt door de NOREA specifiek verwezen naar de IT-auditor, mits deze voldoet aan het Reglement Gedragscode Code of Ethics [NORE06]. Deze code is van toepassing op iedere in het RE-register ingeschreven IT-auditor. Hij schrijft kort gezegd voor dat de IT-auditor: In de naar het Nederlands vertaalde standaard wordt dus geen koppeling gelegd met een externe auditfirma. Dit biedt mogelijkheden voor de interne IT-auditor, die zijn expertise op het vakgebied en zijn kennis over de serviceorganisatie kan inzetten. GEBRUIK WERKZAAMHEDEN INTERNE AUDITOR DOOR EXTERNE AUDITOR ONDER ISAE 3402 Een externe auditor van een serviceorganisatie, die wil steunen op de werkzaamheden van een interne auditor, moet volgens Richtlijn 3402 een aantal zaken in acht nemen. Hij moet bijvoorbeeld inzicht verwerven in de kwaliteit van de interne auditfunctie. Zo moet hij bepalen of: professionele zorgvuldigheid communicatie zal plaatsvinden tussen de interne auditors en de auditor van de serviceorganisatie. Vervolgens moet de externe auditor bepalen of en in welke mate er van de werkzaamheden van de interne auditors gebruik kan worden gemaakt. De aard en reikwijdte van de door de interne auditors uitgevoerde of uit te voeren werkzaamheden moeten overwogen worden. Ook moet er een afweging worden gemaakt of die werkzaamheden significant zijn voor de auditor van de serviceorganisatie. Tot slot wordt omschreven dat er een overweging moet worden gemaakt van de mate van subjectiviteit die is gehanteerd bij de evaluatie van de onderbouwende informatie, die ter ondersteuning van de conclusies is verzameld. ROLVERDELING Over de ISAE 3402-standaard en de werkzaamheden van de interne auditor is al veel geschreven. De auteurs hebben het dan vaak over werkzaamheden die ondersteunend zijn voor de verklaring van de externe auditor. Ook het Instituut van Internal Auditors Nederland (IIA) heeft een praktijkhandreiking geschreven over de ISAE 3402-standaard en de interne auditor [IIA11]. Hierin beschrijft dit instituut onder andere de mogelijke inzetmomenten van de interne auditor binnen een ISAE 3402 bij de serviceorganisatie. Deze inzetmomenten zijn als volgt te verdelen: (ex-ante). 12 de IT-Auditor nummer 3 2012
Het lijkt er op dat het IIA zich bij haar praktijkhandreiking laat leiden door de internationale standaard en niet door de Nederlandse vertaling. In de Nederlandse vertaling van de ISAE 3402 wordt immers geen onderscheid gemaakt tussen de interne en de externe auditor, maar wordt alleen de beroepsbeoefenaar genoemd, zijnde de RE in het geval van de op IT-processen van toepas sing zijnde ISAE 3402. Deze additionele mogelijkheden vanuit de Nederlandse vertaling worden nergens expliciet in de praktijkhandrei king aangegeven, terwijl ze de interne IT-auditor juist op de kaart kunnen zetten. TEKENBEVOEGDHEID RE: EXTERN OF TOCH OOK INTERN? Onder de eisen die door Richtlijn 3402 gesteld worden aan de aanvaarding en continuering van Richtlijn 3402-opdrachten worden eigenschappen genoemd die bij uitstek van toepassing zijn op interne auditors. Zo wordt onder meer de eis gesteld, dat de auditor kennis heeft van de betreffende sector en inzicht heeft in informatietechnologie en -systemen. Bij de RE op een interne auditpositie zal deze kennis aanwezig zijn. Het is aannemelijk dat de kennis en het inzicht meer toegespitst zullen zijn op de situatie waarover de Richtlijn 3402-verklaring wordt afgegeven. Zoals gezegd, legt Richtlijn 3402 officieel de tekenbevoegdheid van de RE vast. Deze RE-tekenbevoegdheid is echter alleen in Nederland van toepassing. Immers, de Nederlandse vertaling maakt melding van de beroepsbeoefenaar en alleen in Nederland is de beroepsaanduiding Register EDP Auditor bekend en erkend en daarmee de tekenbevoegdheid verleend. Richtlijn 3402 biedt een aantal rolverdelingen aan die bij de uitvoer van een 3402-opdracht gebruikt kunnen worden. Gegeven de tekenbevoegdheid van de RE zijn er zelfs situaties denkbaar waarbij er geen externe auditor nodig is! Er kan gebruikgemaakt worden van de RE die werkzaam is op een interne den aan precies dezelfde Code of Ethics als de RE s bij externe auditfirma s. Om mogelijke perceptuele knelpunten te verkleinen, is er wel een aantal randvoorwaarden die in acht moeten worden genomen. De volgende randvoorwaarden borgen de onafhankelijkheid, deskundigheid en kwaliteit van werkzaamheden, verricht door een RE op een interne auditpositie: auditcharter borgt de onafhanke lijke positie van de auditfunctie binnen een organisatie en is daarmee een middel om de inte griteit en objectiviteit van het oordeel van een RE in een interne auditpositie verder te waarborgen. toetsing door een beroepsorganisatie [NORE11-1]. Door de NOREA zijn in het Reglement Kwaliteitsbeheersing NOREA (RKBN) [NORE09] de kwaliteitsbeheersingmaatregelen beschreven, die van toepassing zijn op alle professionele diensten die RE s verlenen. Hierbij is professionele dienst gedefinieerd als: De werkzaamheden die de IT-auditor uitvoert binnen een IT-auditorganisatie, waarvoor IT-auditdeskundigheid en deskundigheid op aanverwante terreinen is vereist. De wijze van toetsing is nader uitgewerkt in het Reglement Kwaliteitsonderzoek NOREA (RKON) [NORE11-2]. Inmiddels hebben de beroepsorganisaties van financial-, IT- en operational auditors (respectievelijk de NBA, de NOREA en het IIA) het initiatief genomen om tot een gezamenlijke kwaliteitstoets te komen. Bij interne auditafdelingen, waarbinnen veelal meerdere auditdisciplines vertegenwoordigd zijn, kan daardoor bijvoorbeeld gebruik worden gemaakt van de toetsing door het Instituut van Internal Auditors Nederland (IIA). Deze beroepsorganisatie is al door de NBA geaccrediteerd om een gezamenlijke kwaliteitstoets voor interne auditfuncties uit te voeren. De verge lijkbare accreditatie door de NOREA is op moment van schrijven nog in behandeling. De Nederlandse tekst voor de ISAE 3402-standaard biedt dus mogelijkheden om op een andere manier dan voorheen invulling te geven aan Richtlijn 3402-opdrachten. We zullen hieronder deze mogelijkheden binnen een 3402-onderzoek verder uiteenzetten door zowel te beschrijven wat twee bekende, veel toegepaste rolverdelingen (varianten 1 en 2) zijn, als een tweetal voorbeelden te geven van mogelijke rolverdelingen (varianten 3 en 4) die nog niet eerder benoemd zijn in de literatuur. We hanteren hierbij een aantal uitgangspunten. Op basis van de hierboven beschreven theorie luiden deze als volgt: gister ingeschreven IT-auditor (RE). ten door Nederlandse be drijven of instellingen, uitgevoerd door Nederlandse organisaties. over de IT-systemen en de bijbehorende processen. In de varianten zullen steeds de volgende drie onderwerpen c.q. vragen centraal staan: ondersteunt deze? ). nend voor het dossier van de 3402-verklaring ( Wie kan deze uitvoeren? ). deze op? ). de IT-Auditor nummer 3 2012 13
MOGELIJKE ROLVERDELING BIJ DE SERVICEORGANISATIE Variant 1 In deze variant worden enkel werkzaamheden verricht door het management en de externe auditor. Voor variant 1 zal het management de werkzaamheden ten behoeve van het in control statement of de managementverklaring zelf uitvoeren of delegeren aan zijn eerste- en tweedelijns medewerkers. De externe auditor van de serviceorganisatie geeft de 3402 verklaring af. Hierbij maakt hij gebruik van de door het management uitgevoerde werkzaamheden (door middel van het uitvoeren van reviewwerkzaamheden) en eigen vaststellingen. Voorwaarde hierbij is dat de serviceorganisatie voldoende inzicht heeft in de eigen beheersing, door middel van monitoring activiteiten. De medewerkers hebben voldoende tijd nodig om deze monitoring uit te kunnen voeren. Voordelen: eigen beheersing en met name de monitoring daarvan op orde. Kennis is bij de organisatie zelf in huis (eerste- en tweedelijn). auditor heeft voor sommige partij - en meer het karakter van een onafhankelijk oordeel. groot aandeel in de werkzaamheden wordt uitgevoerd door de externe auditor. Er kunnen eventueel kosten bespaard worden door de interne auditor (indien aanwezig) op te nemen in het auditteam van de externe auditor (zie ook de eerdere paragraaf Rolverdeling zoals het IIA deze benoemt). de kennis die aanwezig is bij de interne auditor. Variant 2 In deze variant speelt naast het manage ment en de externe auditor ook de interne auditor een rol. Doordat de interne IT-auditor meer kennis heeft van en inzicht in de bedrijfsvoering en bijbehorende secundaire processen dan de externe auditor, kan deze het management ondersteunen bij het afgeven van de managementmededeling over de beheersing. Op basis van de werkzaamheden van de interne IT-auditor zal het management in staat zijn een onderbouwde mededeling af te geven. Net als bij variant 1 geeft de externe IT-auditor (RE) op basis van zowel eigen onderzoek als de in control werkzaamheden van de business de verklaring af. Voordelen: werkzaamheden ten behoeve van de managementverklaring. De opdrachtgever maakt optimaal gebruik van de kennis en kunde van de auditor op het gebied van risicobeheersing. auditor heeft voor sommige partij - en meer het karakter van een onafhankelijk oordeel. groot aandeel in de werkzaamheden wordt uitgevoerd door de externe auditor. kennis nodig en hoeft de eigen monitoring niet op orde te hebben. Variant 3 Het management van de serviceorganisatie wordt ondersteund door de externe IT-auditor bij het afgeven van de managementmededeling. De externe accountant helpt bij het opstellen van de key controls en het monitoren daarvan en maakt het dossier op. Wanneer de externe auditor ook de externe accountant van de serviceorganisatie is, kan gebruikgemaakt worden van dezelfde werkzaamheden die ook voor de jaarrekeningcontrole van belang zijn (of de huisaccountant ook in de toe- komst verklaringen mag geven naast werkzaamheden uitvoeren voor de jaarrekening is overigens onderwerp van maatschappelijke discussie). Met andere woorden, het management geeft een mededeling af op basis van de werkzaamheden van de externe IT-auditor. De interne ITauditor geeft, als onafhankelijke beroepsbeoefenaar, de 3402-verklaring af. Door de hoge kosten voor inhuur lijkt deze variant eerder een theoretische dan een praktisch haalbare. Voordeel: voordelen benoemen. verdiepen in de business. door een interne auditor heeft voor sommige partijen minder het karakter van een onafhankelijk oordeel. de andere varianten) door inhuur van de externe auditor voor de werkzaamheden ten behoeve van de managementverklaring. monitoring. De business heeft zelf minder kennis nodig en hoeft haar eigen monitoring niet op orde te hebben. Variant 4 In deze laatste variant worden de in control werkzaamheden door de serviceorganisatie zelf uitgevoerd en geeft de interne IT-auditor de verklaring af. Wanneer deze werkwijze acceptabel is voor de ontvangende partij van de ISAE 3402-verklaring, kan hier behoorlijk op de kosten bespaard worden. Wel vraagt dit een serviceorganisatie die aantoonbaar in control is. Dit houdt in dat er een degelijk framework met controlemaatregelen aanwezig is en dat de organisatie dit zelf monitort. Hierbij is een zekere mate van volwassenheid van de organisatie vereist. 14 de IT-Auditor nummer 3 2012
variant 1 variant 2 variant 3 variant 4 in control werkzaamheden eerste- en tweede lijn business interne auditor externe auditor eerste- en tweede lijn business verklaring management management management management management ISAE 3402-verklaring externe auditor externe auditor interne auditor interne auditor volwassenheid interne beheersing + + + + + + + + + mogelijke perceptie onafhankelijkheid + + + + + + + + gebruik interne kennis en kunde + + + + + + + + kosten Tabel 1: Rolverdeling samengevat Voordelen: beheersing en monitoring op orde. Kennis is bij de organisatie zelf in huis. worden optimaal gebruikt. de overige varianten, met name doordat geen externe auditor ingehuurd hoeft te worden. door een interne auditor heeft voor sommige partijen minder het karakter van een onafhankelijk oordeel. In tabel 1 is de rolverdeling binnen de benoemde varianten nog eens samengevat. ONAFHANKELIJKHEID De (on)afhankelijkheid van de auditor speelt in ons vakgebied een belangrijke rol. Een voor de hand liggend argument tegen het inzetten van de varianten 3 en 4, waarin een interne auditor een 3402-opdracht uitvoert, is dat de interne auditfunctie minder onafhankelijk zou kunnen zijn. Er wordt daarbij al snel geredeneerd dat de interne auditor bij zijn werkgever (de serviceorganisatie) op de loonlijst staat en dat er dientengevolge sprake is van financiële afhankelijkheid. Wanneer daarbij ook het logo van de serviceorganisatie aanwezig is op het assurancerapport, kan dit de perceptie van verminderde onafhankelijkheid versterken. Dit terwijl de verschillende Registerfuncties naar de buitenwereld uitdragen dat onder andere de gevoerde titel een hoge mate van kwaliteit en onafhankelijkheid waarborgt (zie ook de Code of Ethics), waarbij de gepresenteerde feiten voor waarheid mogen worden aangenomen. In de praktijk lijkt deze aanname, wanneer het gaat om assuranceverklaringen, ineens niet intern opererende RE wordt (ook door beroepsgenoten!) niet zonder meer voor waarheid aangenomen. Liever lijkt men een dossier en een verklaring op het briefpapier van een externe auditfirma te zien. Dit terwijl de eisen en randvoorwaarden die aan die werkzaam is op een interne auditafdeling moet aan dezelfde beroepseisen voldoen als de externe auditor, ook voor wat betreft objectiviteit en deskundigheid. Maar we kunnen niet zomaar voorbijgaan gaan aan de perceptie van verminderde onafhankelijkheid wanneer het een interne RE betreft. Daar ligt voor het vakgebied dan ook een uitdaging om de gebruikersorganisatie en haar accountant te overtuigen van de kwaliteit en onafhankelijkheid die verbonden zijn aan het voeren van de beroepsaanduiding RE. Bij het maken van de afspraken voor een verklaring zal de interne RE aan moeten tonen dat hij voldoende kwaliteit bezit en voldoet aan alle eisen zoals deze al eerder in dit artikel genoemd zijn. De aansluiting bij het IIA en de kwa liteitstoets kunnen hierbij een belangrijke rol spelen, vooral ook bij het aantoonbaar maken van kwaliteit en onafhankelijkheid. Wanneer de gebruikersorganisatie vertrouwen heeft in de kwaliteit van de interne RE en de interne auditfunctie als geheel, kan ook het kostenaspect meegenomen worden bij het overtuigen. Door de overlap van werkzaamheden kunnen de kosten omlaag vergeleken met de kosten voor een verklaring door een externe auditor. CONCLUSIE Volgens de literatuur brengt de invoering van Richtlijn 3402 als belangrijke wijziging met zich mee dat ook de IT-auditor mag tekenen. Tot nu toe werd in de literatuur niet vermeld dat de Richtlijn spreekt over de beroepsbeoefenaar en dat daarmee, mits aan specifieke voorwaarden wordt voldaan, ook mogelijkheden bestaan voor de interne RE. Het vakgebied ziet de ISAE 3402-standaard eerder als een update van de SAS 70 dan als een wezenlijk andere standaard. Zoals uiteengezet in dit artikel zien wij geen vaktechnische bezwaren om, gegeven de randvoorwaarden die daaraan gesteld worden, als internal auditfunctie assurance te verschaffen over de managementverklaring van de eigen organisatie. Hierbij dient wel rekening te worden gehouden met de perceptie van de ontvangende partij. Wanneer het logo van de serviceorganisatie aanwezig is op het assurancerapport, kan de onafhankelijkheid van de auditor in twijfel getrokken worden door de ontvangende de IT-Auditor nummer 3 2012 15
auditwerkveld. Wanneer de gebruikersorganisatie en haar accountant overtuigd kunnen worden van de kwaliteit van de interne auditfunctie van de serviceorganisatie hebben de interne auditfunctie en de RE in het bijzonder met de introductie van Richtlijn 3402 meer mogelijkheden gekregen om toegevoegde waarde te bieden. En dat niet alleen voor de organisatie waarbinnen zij opereren, maar ook voor de overige stakeholders bij een assurancetraject. Haar kennis van het bedrijf en de bijbehorende processen, in combinatie met de factoren onafhankelijkheid en deskundigheid, maken de interne auditfunctie bij uitstek geschikt om een ISAE 3402-verklaring af te geven. Het feit dat het management voor de verantwoording moet tekenen, kan werken als een aanjager voor een verbeterde beheersing van de bedrijfsvoering. ISAE 3402 biedt met name aan de interne auditfunctie en de daarbinnen opererende RE uitstekende mogelijkheden om onafhankelijke assurance te geven bij de verantwoording die een organisatie zelf aflegt. Dit sluit aan bij andere ontwikkelingen binnen het vakgebied, zoals de kwaliteitscertificering door NOREA en in het verlengde daarvan de onderlinge accreditatie van NOREA, NBA en IIA. Daarnaast sluiten deze mogelijkheden aan bij eisen die wet- en regelgeving stellen aan de interne audit functie, zoals bijvoorbeeld Solvency II voor verzekeraars, of Basel II/III voor banken. Gebruikmaken van deze mogelijkheden versterkt de positie van de RE, die daarmee zowel zichzelf als de interne auditfunctie beter op de kaart kan zetten. Literatuur [EWAL09] Zekerheid bij uitbesteding, Drs. R.Ch.T. Ewals RE, Handboek IT-Auditing, februari 2009. [EWAL10] ISAE 3402: Een nieuw hoofdstuk voor de IT-auditor, René Ewals, IT-Auditor, nummer 3, 2010. [IFAC10-1] International Federation of Accountants, International Standard on Assurance Engagements (ISAE) 3402 assurance reports on controls at a service organization, 2010 http://www.ifac.org [IFAC10-2] International Federation of Accountants, Handbook of the code of ethics for professional accountants, 2010 http://www.ifac.org [IIA11] Instituut Internal Auditors (IIA), ISAE 3402 en de Internal Auditor, praktijkhandleiding, 2011. [NORE06] NOREA, Reglement Gedragscode ( Code of Ethics ), 2006 http://www.norea.nl [NORE09] NOREA, Reglement Kwaliteitsbeheersing NOREA (RKBN), 2009 http://www.norea.nl [NORE10] NOREA, NOREA richtlijn 3402 assurancerapporten betreffende interne beheersingsmaatregelen bij een serviceorganisatie, 2010 http://www.norea.nl [NORE11-1] NOREA, Introductie Kwaliteitsonderzoek NOREA, 2011. http://www.norea.nl [NORE11-2] NOREA, B4.2 Stappenplan Kwaliteitsonderzoek NOREA, http://www.norea.nl Ing. D. N. (Dennis) Buitendijk EMITA werkt als IT-auditor bij Coöperatie VGZ, (voorheen UVIT). Daarvoor werkte hij bij Ernst & Young. Dennis is lid van de IIA Commissie Young Professionals. Dit artikel is geïnspireerd op de scriptie waarmee hij in 2011 de IT Audit opleiding aan de Vrije Universiteit Amsterdam afrondde. Drs. A. F. (Alexander) Sluiter RE is werkzaam als Senior IT-auditor bij Univé Verzekeringen. Daarvoor werkte hij onder andere bij UVIT (Univé-VGZ-IZA-TRIAS) en Deloitte. Alexander rondde in 2008 zijn IT Audit opleiding aan de Vrije Universiteit Amsterdam af. 16 de IT-Auditor nummer 3 2012