Voorstel concept NOREA Richtlijn Documentatie Achtergrond Uitgangspunt is om een Richtlijn Documentatie op te stellen die geldend is voor de in paragraaf 1 aangeduide professionele diensten van een IT-auditor. Als basis voor de NOREA Richtlijn Documentatie is gehanteerd ISA 230. De Richtlijn wordt in concept gepubliceerd tijdens de ledenvergadering op 17 juni 2009, als startpunt van de consultatiefase die duurt tot 1 oktober 2009. De definitieve besluitvorming zal derhalve plaatsvinden in de ledenvergadering van december 2009. De doelstelling is om met deze Richtlijn de Richtlijn in het kader van de attestfunctie / Dossiervorming in te trekken.
Concept NOREA Richtlijn Documentatie ##
Vertaling 230 NOREA 230 Documentatie Inleiding Deze Richtlijn is gebaseerd op ISA 230 (redrafted) van IFAC en de oorspronkelijke nummering van paragrafen is aangehouden. Indien bepalingen niet voor IT-auditors van toepassing zijn is dit als zodanig aangegeven. Reikwijdte van deze Richtlijn
1
Deze Richtlijn behandelt de verantwoordelijkheid van de IT-auditor om documentatie op te stellen voor het verrichten van professionele diensten, waarbij sprake is van een (eind)rapport. Deze Richtlijn kan echter eveneens nuttige aanwijzingen geven voor andere professionele diensten waarbij geen sprake is van een (eind-)rapport. Wetten of regelgeving kunnen aanvullende eisen stellen inzake documentatie. Aard en doel van documentatie
2
Documentatie die voldoet aan de vereisten van deze Richtlijn voorziet in: a) bewijs van de onderbouwing van de IT-auditor dat de uitkomst van de professionele dienst waarbij sprake is van een (eind-)rapport voldoet aan de algehele doelstelling van de opdracht; en b) informatie die aantoont dat de professionele dienst is gepland en uitgevoerd in overeenstemming met de Richtlijnen en met wettelijke en regelgevende vereisten.
3
In aanvulling op deze doelstellingen is documentatie onder meer gericht op: •
het ondersteunen van het opdrachtteam bij het plannen en uitvoeren van de professionele dienst;
•
het assisteren van de leden van het opdrachtteam die verantwoordelijk zijn voor het
Conceptrichtlijn 230 t.b.v. ALV 17 juni 2009
1
##
Vertaling 230
toezicht bij het aansturen van en het toezicht houden op de werkzaamheden;
•
het aan het opdrachtteam de mogelijkheid bieden om verantwoordelijkheid te dragen voor zijn werkzaamheden;
•
het bijhouden van een vastlegging van onderwerpen die voor toekomstige professionele diensten van belang zijn;
•
het bieden van de mogelijkheid om kwaliteitsbeoordelingen en inspecties uit te voeren in overeenstemming met het [voorgestelde] Reglement Kwaliteitsbeheersing NOREA (RKBN);
•
het bieden van de mogelijkheid om externe inspecties uit te (laten) voeren in overeenstemming met van toepassing zijnde vereisten op grond van wet- en regelgeving en overige vereisten.
Ingangsdatum 4
Deze Richtlijn is van toepassing op professionele diensten beginnende op of na 1 januari 2010. Doelstelling
5
De IT-auditor dient tijdig documentatie te vervaardigen die voorziet in: a) een toereikende vastlegging van de onderbouwing van de uitkomst van de professionele dienst (het advies of oordeel met betrekking tot de situatie ten aanzien van de informatietechnologie in een organisatie); en b) informatie die aantoont dat de professionele dienst is uitgevoerd in overeenstemming met de Richtlijnen en met vereisten voortkomend uit de van toepassing zijnde wet- en regelgeving. Definities
6
In de Richtlijnen hebben de volgende termen de daaraan hieronder toegekende betekenis: a)
Documentatie: de vastlegging van uitgevoerde werkzaamheden, verkregen relevante informatie en door de IT-auditor getrokken conclusies (soms worden ook termen als “werkdocumenten” of “dossierstukken” gebruikt).
b)
Dossier: een of meer mappen of andere opslagmedia, in fysieke of elektronische vorm, met daarin de bescheiden waarin de documentatie voor een specifieke opdracht is vastgelegd.
c)
Ervaren IT-auditor: een (interne of externe) persoon die over relevante IT-auditervaring beschikt, en een redelijk inzicht heeft in: i.
IT-auditprocessen;
ii.
Richtlijnen en vereisten voortkomend uit de van toepassing zijnde wet- en
Conceptrichtlijn 230 t.b.v. ALV 17 juni 2009
2
##
Vertaling 230
regelgeving;
d)
iii.
de zakelijke omgeving waarin de entiteit actief is; en
iv.
aspecten op het gebied van informatie- en communicatietechnologie die van belang zijn voor de bedrijfstak van de entiteit en de professionele dienst.
Professionele dienst: de werkzaamheden van de IT-auditor waarvoor ITauditdeskundigheid en deskundigheid op aanverwante terreinen is vereist.
Vereisten Tijdige vervaardiging van documentatie 7
De IT-auditor dient de documentatie inzake de professionele dienst tijdig te vervaardigen. (Ref: Para. A1) Documentatie van uitgevoerde werkzaamheden en verkregen informatie Vorm, inhoud en omvang van de documentatie
8
9
10
De IT-auditor dient de documentatie zodanig te vervaardigen dat een ervaren IT-auditor die voorheen niet betrokken was bij de opdracht in staat is om inzicht te verkrijgen in: (Ref: Para. A2-A5, A16-A17) a)
de aard, de tijdsfasering en de omvang van de werkzaamheden die zijn uitgevoerd om te voldoen aan de Richtlijnen en de vereisten voortkomend uit de van toepassing zijnde wet- en regelgeving; (Ref: Para. A6-A7)
b)
de uitkomsten van de werkzaamheden en de verkregen informatie; en
c)
belangrijke onderwerpen die tijdens de professionele dienst aan het licht zijn gekomen, de daaruit getrokken conclusies en belangrijke professionele overwegingen bij het trekken van die conclusies. (Ref: Para. A8-A11)
Bij het documenteren van de aard, de tijdsfasering en de omvang van de uitgevoerde werkzaamheden dient de IT-auditor vast te leggen: a)
de onderscheiden kenmerken van de specifieke objecten die werden getoetst; (Ref: Para. A12)
b)
wie de werkzaamheden heeft uitgevoerd en de datum waarop deze werkzaamheden waren afgerond; en
c)
wie van het opdrachtteam de uitgevoerde werkzaamheden heeft gereviewd en de datum en diepgang van deze review. (Ref: Para. A13)
De IT-auditor dient besprekingen inzake belangrijke onderwerpen met het bestuur van de entiteit, de organen belast met governance, en anderen tijdig te documenteren, met inbegrip van de aard van de besproken belangrijke onderwerpen en wanneer en met wie de besprekingen hebben plaatsgevonden. (Ref: Para. A14)
Conceptrichtlijn 230 t.b.v. ALV 17 juni 2009
3
##
Vertaling 230
11
Indien de IT-auditor kennis neemt van informatie die inconsistent is met zijn eindconclusie met betrekking tot een belangrijk onderwerp, dient hij te documenteren hoe hij met deze inconsistentie rekening heeft gehouden. (Ref: Para. A15) Afwijken van een relevante vereiste
12
Indien de IT-auditor het, in bijzondere omstandigheden, noodzakelijk acht om af te wijken van een relevante vereiste in de Richtlijn, dient hij te documenteren op welke wijze door middel van uitgevoerde alternatieve werkzaamheden aan de doelstelling van die vereiste voldaan is en wat de redenen zijn voor het afwijken daarvan. (Ref: Para. A18-A19) Kwesties die zich voordoen na de datum van het (eind-)rapport
13
Indien de IT-auditor, in uitzonderlijke omstandigheden, na de datum van het (eind-)rapport nieuwe of aanvullende auditwerkzaamheden verricht of nieuwe conclusies trekt, dient hij te documenteren: (Ref: Para. A20) a)
de omstandigheden die zich hebben voorgedaan;
b)
de nieuwe of aanvullende auditwerkzaamheden die zijn uitgevoerd, de daaruit verkregen informatie en de daaruit getrokken conclusies, alsmede de invloed daarvan op het (eind-)rapport; en
c)
wanneer en door wie de daaruit voortvloeiende wijzigingen in de documentatie zijn aangebracht en zijn beoordeeld.
Afsluiten van het dossier 14
De IT-auditor dient de documentatie in een dossier te verzamelen en het administratieve proces van het afsluiten van het dossier tijdig na de datum van het oordeel of advies af te ronden. (Ref: Para. A21-A22)
15
Nadat het dossier is afgesloten dient de IT-auditor tot het einde van de bewaartermijn geen documentatie, van welke aard dan ook, meer te vernietigen of te verwijderen. (Ref: Para. A23)
16
Wanneer de IT-auditor het noodzakelijk acht om wijzigingen aan te brengen in bestaande documentatie of nieuwe documentatie toe te voegen nadat het dossier is afgerond dient hij, ongeacht de aard van de veranderingen of toevoegingen, te documenteren: (Ref: Para. A24) a)
de specifieke redenen voor het aanbrengen daarvan; en
b)
wanneer en door wie zij werden aangebracht en beoordeeld.
Toepassing en overige toelichtingen Tijdig opstellen van documentatie (Ref: Para. 7) A1
Het tijdig opstellen van toereikende documentatie vormt een bijdrage tot het versterken van de kwaliteit van de professionele dienst en bevordert de effectieve beoordeling en evaluatie van de verkregen informatie en de getrokken conclusies voordat het oordeel of advies
Conceptrichtlijn 230 t.b.v. ALV 17 juni 2009
4
##
Vertaling 230
definitief wordt gemaakt. Documentatie die na de uitvoering van de werkzaamheden wordt opgesteld is waarschijnlijk minder nauwkeurig dan documentatie die nog tijdens de uitvoering van de werkzaamheden is opgesteld. Documentatie van de uitgevoerde werkzaamheden en verkregen informatie Vorm, inhoud en omvang van de documentatie (Ref: Para. 8)
A2
A3
De vorm, de inhoud en de omvang van de documentatie hangt af van factoren als: •
de omvang en complexiteit van de entiteit;
•
de aard van de uit te voeren werkzaamheden;
•
de onderkende risico's van een afwijking van materieel belang;
•
het belang van de verkregen informatie;
•
de aard en omvang van de gesignaleerde uitzonderingen;
•
de noodzaak tot het documenteren van een conclusie of de basis van een conclusie wanneer deze niet rechtstreeks is af te leiden uit de documentatie van de uitgevoerde werkzaamheden of uit de verkregen informatie; en
•
de gehanteerde methodes en hulpmiddelen.
Documentatie kan zijn vastgelegd op papier, in digitale vorm of op andere gegevensdragers. Voorbeelden van documentatie zijn: •
plan van aanpak;
•
analyses;
•
gehanteerde toetsingsnormen;
•
memoranda inzake kwesties;
•
samenvattingen inzake belangrijke onderwerpen;
•
bevestigings- en volledigheidsverklaringen;
•
checklists;
•
correspondentie (waaronder e-mail) inzake belangrijke onderwerpen;
•
uitgebrachte rapportage(s).
De IT-auditor kan uittreksels of kopieën van vastleggingen van de entiteit (bijvoorbeeld belangrijke en specifieke contracten en overeenkomsten) deel uit laten maken van de documentatie. Documentatie van de IT-auditor kan geen vervanging zijn van de vastleggingen door de entiteit.
Conceptrichtlijn 230 t.b.v. ALV 17 juni 2009
5
##
Vertaling 230
A4
De IT-auditor hoeft vervallen concepten van werkdocumenten en financiële overzichten, aantekeningen die betrekking hebben op een onvolledige of voorlopige gedachtegang, vorige versies van documenten die zijn verbeterd op grond van typefouten of andere fouten en duplicaten van documenten niet op te nemen in de documentatie.
A5
Mondelinge toelichtingen door de IT-auditor vormen op zichzelf geen adequate onderbouwing voor de werkzaamheden die hij heeft verricht of voor de conclusies die hij heeft getrokken, maar kunnen wel worden gebruikt om informatie die is opgenomen in de documentatie toe te lichten of te verduidelijken. Documentatie inzake het voldoen aan de Richtlijnen (Ref: Para. 8(a))
A6
In beginsel zal het voldoen aan de vereisten van deze Richtlijn ertoe leiden dat de documentatie in de omstandigheden toereikend is. Andere Richtlijnen kunnen specifieke documentatievereisten bevatten die zijn bedoeld ter verduidelijking van de toepassing van deze Richtlijn in de concrete omstandigheden van die andere Richtlijnen. De specifieke documentatievereisten van andere Richtlijnen beperken de toepassing van deze Richtlijn niet. Voorts houdt het ontbreken van een documentatievereiste in een bepaalde Richtlijn niet in dat er geen documentatie is die zal worden opgesteld als gevolg van het voldoen aan die Richtlijn.
A7
Documentatie toont aan dat de professionele dienst is uitgevoerd in overeenstemming met de Richtlijnen. Het is echter nodig noch praktisch dat de IT-auditor alle overwogen onderwerpen of vakkundige oordeelsvormingen bij de uitvoering van een professionele dienst documenteert. Voorts is het niet nodig dat de IT-auditor het voldoen aan onderwerpen waarvoor naleving wordt aangetoond door documenten afzonderlijk (bijvoorbeeld in een checklist) in het dossier documenteert. Zo toont: •
de aanwezigheid van een afdoende gedocumenteerd plan van aanpak aan dat de ITauditor de professionele dienst heeft gepland;
•
de aanwezigheid van een ondertekende opdrachtbevestiging in het dossier aan dat de ITauditor de bepalingen van de professionele dienst heeft afgestemd met het management of, al naar gelang van toepassing, met de organen belast met governance;
•
een assurancerapport dat een oordeel met voorbehoud bevat aan dat de IT-auditor heeft voldaan aan de vereiste om een oordeel met voorbehoud af te geven in de in de assurancerichtlijn vermelde gevallen.
Documentatie van belangrijke onderwerpen en bijbehorende belangrijke professionele overwegingen (Ref: Para. 8(c)) A8
Het beoordelen van het belang van een onderwerp vereist een objectieve analyse van de feiten en omstandigheden. Belangrijke onderwerpen omvatten onder andere: •
onderwerpen die aanleiding geven tot significante risico's;
•
uitkomsten van werkzaamheden die er op zouden kunnen wijzen (a) dat informatie omtrent het object van onderzoek een afwijking van materieel belang zou kunnen bevatten of (b) dat het nodig is de eerdere inschattingen door de IT-auditor van het risico van een afwijking van materieel belang en de wijze waarop hij op dat risico
Conceptrichtlijn 230 t.b.v. ALV 17 juni 2009
6
##
A9
Vertaling 230
inspeelt te herzien;
•
omstandigheden die voor de IT-auditor grote moeilijkheden veroorzaken bij het uitvoeren van noodzakelijke werkzaamheden; en
•
bevindingen die zouden kunnen leiden tot een aanpassing van de formulering van het oordeel of advies;
Een belangrijke factor bij het bepalen van de vorm, inhoud en omvang van de documentatie van belangrijke onderwerpen is de mate van professionele overwegingen bij het verrichten van de werkzaamheden en het evalueren van de resultaten. Documentatie van de professionele oordeelvorming dient, waar van belang, ter toelichting van de conclusies van de IT-auditor en ter versterking van de kwaliteit van de overwegingen. Dergelijke zaken zijn in het bijzonder van belang voor diegenen die verantwoordelijk zijn voor de beoordeling van de documentatie, met inbegrip van diegenen die vervolgdiensten verlenen als zij kwesties van doorlopend belang reviewen (bijvoorbeeld geconstateerde deficiënties bij doorlopende assurance-opdrachten).
A10 Enkele voorbeelden van omstandigheden waarin het, in overeenstemming met paragraaf 8, geëigend is om documentatie op te stellen met betrekking tot het gebruik van professionele overwegingen, waar de onderwerpen en overwegingen van belang zijn, zijn: •
de overwegingen voor de conclusie van de IT-auditor wanneer een IT-auditor volgens een vereiste bepaalde informatie of factoren “dient te overwegen” en die overweging van belang is in de context van de desbetreffende opdracht;
•
de onderbouwing van de conclusie van de IT-auditor inzake de redelijkheid van gebieden van subjectieve overwegingen (zoals de redelijkheid van van belang zijnde aannames van bijvoorbeeld gebruikers of transacties).
A11 De IT-auditor kan het nuttig achten als onderdeel van de documentatie een samenvatting op te stellen en te bewaren (ook wel afrondingsmemorandum genoemd) waarin een beschrijving is opgenomen van de belangrijke onderwerpen die tijdens de opdracht zijn gesignaleerd en van de wijze waarop deze zijn afgehandeld, of die verwijzingen bevat naar andere onderliggende documentatie die in deze informatie voorziet. Een dergelijke samenvatting kan effectieve en doelmatige beoordelingen en inspecties van de documentatie ondersteunen, in het bijzonder bij omvangrijke en complexe professionele diensten. Verder kan het opstellen van een dergelijke samenvatting een hulpmiddel zijn bij het beschouwen van belangrijke onderwerpen. Het kan de IT-auditor tevens helpen om te overwegen of er, in het licht van de verrichte werkzaamheden en getrokken conclusies, sprake is van een individuele relevante doelstelling van de Richtlijn waaraan de IT-auditor nog niet heeft voldaan of waaraan hij niet kan voldoen, waardoor de IT-auditor niet aan het algehele doelstelling van de IT-auditor kan voldoen.
Vaststelling van specifieke zaken of kwesties die zijn getoetst, en van de opsteller en reviewer (Ref: Para. 9) A12 Het vastleggen van onderscheidende kenmerken dient een aantal doelen. Het stelt het opdrachtteam bijvoorbeeld in staat de verantwoordelijkheid te dragen voor de uitgevoerde werkzaamheden en ondersteunt het onderzoek naar uitzonderingen en inconsistenties. Documentatie heeft niet tot doel om de werkzaamheden van de IT-auditor op basis van vastleggingen van de IT-auditor te kunnen herhalen. Het is daarom niet noodzakelijk alle tijdens de opdracht onderzochte uittreksels of kopieën van vastleggingen van de entiteit als Conceptrichtlijn 230 t.b.v. ALV 17 juni 2009
7
##
Vertaling 230
documentatie op te nemen, volstaan kan worden met de onderscheiden kenmerken van de specifieke objecten die werden getoetst. Onderscheidende kenmerken zullen variëren afhankelijk van de aard van de werkzaamheden en het onderwerp dat wordt onderzocht. Voorbeelden hiervan zijn: •
voor werkzaamheden waarbij inlichtingen van bepaalde personeelsleden van de entiteit moeten worden ingewonnen, kan de IT-auditor de datum van het verkrijgen van de inlichtingen en de namen en functiebeschrijvingen van de personeelsleden vastleggen;
•
voor het uitvoeren van waarnemingen ter plaatse kan de IT-auditor een vastlegging maken van het proces of het object van onderzoek, van de relevante personen, van hun respectievelijke verantwoordelijkheden en van de plaats waar en het tijdstip waarop de waarneming werd uitgevoerd.
•
Voor het verifiëren van documenten of vastleggingen kan de IT-auditor de bron, de selectiemethode en het unieke identificatienummer vastleggen (bijvoorbeeld een systematische selectie van elke 10e change requests in de periode 1 januari tot en met 30 juni; te beginnen bij change request ## 006).
A13 De IT-auditor dient de uitgevoerde werkzaamheden te beoordelen door middel van beoordeling van de documentatie. De eis van het documenteren wie de uitgevoerde werkzaamheden heeft gereviewd betekent niet dat uit elk specifiek dossierstuk deze review moet blijken. Uit de documentatie blijkt echter wel wie bepaalde onderdelen van de uitgevoerde werkzaamheden heeft gereviewd en wanneer dit is gedaan. Documentatie van discussies van belangrijke onderwerpen met het bestuur van de entiteit, de organen belast met governance, en anderen (Ref: Para. 10) A14 De documentatie is niet beperkt tot vastleggingen door de IT-auditor zelf maar kan ook andere nuttige vastleggingen bevatten zoals vastgestelde notulen van vergaderingen die zijn opgesteld door personeel van de entiteit en die zijn goedgekeurd door de IT-auditor. Tot de anderen met wie de IT-auditor belangrijke onderwerpen kan bespreken behoren de organen belast met governance, andere personeelsleden binnen de entiteit en externe partijen zoals personen die de entiteit van professioneel advies voorzien. Documentatie van de manier waarop rekening wordt gehouden met inconsistenties (Ref: Para. 11) A15 Het documenteren van de wijze waarop de IT-auditor met de inconsistenties rekening heeft gehouden gaat echter niet zover dat hij documentatie moet bewaren die onjuist of achterhaald is. Specifieke overwegingen voor kleinere entiteiten (Ref. Para. 8) A16 De documentatie voor een opdracht bij een kleinere entiteit is over het algemeen minder uitgebreid dan die voor een opdracht bij een grotere entiteit. Voorts bevat de documentatie, ingeval van een professionele dienst waarbij de eindverantwoordelijke professional alle werkzaamheden verricht, geen onderwerpen die misschien uitsluitend moeten worden gedocumenteerd ten behoeve van het verstrekken van informatie of instructies aan leden van een opdrachtteam, of van bewijsmateriaal van de beoordeling door andere leden van het team (zo zullen er geen onderwerpen zijn met betrekking tot teambesprekingen of supervisie die behoeven te worden gedocumenteerd). Desalniettemin voldoet de eindverantwoordelijke Conceptrichtlijn 230 t.b.v. ALV 17 juni 2009
8
##
Vertaling 230
professional aan het allesoverheersend vereiste van paragraaf 8 om documentatie op te stellen die door een ervaren IT-auditor kan worden begrepen, aangezien de documentatie onderworpen kan zijn aan review door externe partijen voor regelgevende of andere doeleinden.
A17 Bij het opstellen van documentatie kan de IT-auditor van een kleinere entiteit het eveneens nuttig en efficiënt vinden om diverse aspecten van de opdracht samen in één document vast te leggen, eventueel met verwijzingen naar onderliggende werkdocumenten. Voorbeelden van onderwerpen die bij bijvoorbeeld een assurance-opdracht bij een kleinere entiteit samen kunnen worden gedocumenteerd zijn onder andere het inzicht in de entiteit en haar interne beheersing, de algehele auditstrategie en het algehele auditplan, materialiteit, gesignaleerde risico’s, belangrijke onderwerpen die tijdens de assurance-opdracht zijn gesignaleerd, en getrokken conclusies. Afwijking van een relevante vereiste (Ref: Para. 12) A18 De doelstellingen en vereisten in de Richtlijnen zijn bedoeld ter ondersteuning van het bereiken van de algehele doelstelling van de IT-auditor. Daarom vereisen de Richtlijnen, uitzonderlijke omstandigheden daargelaten, dat wordt voldaan aan elk vereiste dat relevant is in de omstandigheden van de professionele dienst. A19 De documentatievereiste is uitsluitend van toepassing op vereisten die in dat geval relevant zijn. Een vereiste is uitsluitend niet relevant in gevallen waarin: a) Een Richtlijn niet relevant is (bijvoorbeeld de Richtlijn assurance-opdrachten door ITauditor is niet relevant bij een adviesopdracht); of b) de beoogde omstandigheden niet van toepassing zijn omdat de vereiste voorwaardelijk is en de voorwaarde niet vervuld is (zoals het vereiste om de conclusie bij een assuranceopdracht te wijzigen als er niet voldoende passende assurance-informatie kan worden verkregen en aan die voorwaarde niet wordt voldaan). Kwesties die na de datum van het (eind-)rapport aan het licht komen (Ref: Para. 13) A20 Voorbeelden van uitzonderlijke omstandigheden zijn feiten die de IT-auditor na de datum van het (eind-)rapport ter kennis zijn gekomen, maar die op die datum reeds aanwezig waren en die, als zij op die datum bekend zouden zijn geweest, zouden kunnen hebben geleid tot wijziging van het oordeel of advies van de IT-auditor in het (eind-)rapport. De daaruit voortvloeiende wijzigingen voor de documentatie worden gereviewd in overeenstemming met de reviewverantwoordelijkheden, waarbij de opdrachtpartner de eindverantwoordelijkheid voor de wijzigingen op zich neemt. Het afsluiten van het dossier (Ref: Para. 14-16) A21 Als passende periode om dossiers af te sluiten geldt normaliter een periode van maximaal 60 dagen na de datum van het oordeel of advies. A22 De afsluiting van het dossier na de datum van het oordeel of advies is een administratief proces dat geen betrekking heeft op de uitvoering van nieuwe werkzaamheden of op het trekken van nieuwe conclusies. Er mogen echter tijdens de afsluiting wijzigingen worden aangebracht in de documentatie mits zij administratief van aard zijn. Voorbeelden van
Conceptrichtlijn 230 t.b.v. ALV 17 juni 2009
9
##
Vertaling 230
dergelijke wijzigingen zijn: •
het vernietigen of verwijderen van achterhaalde (concept-)documentatie; o NB: conceptdocumentatie die relevant is voor het bewijs van de onderbouwing van de IT-auditor van een conclusie over het bereiken van de algehele doelstelling van de professionele dienst dient bewaard te blijven.
•
het sorteren, collationeren en opnemen van verwijzingen in werkdocumenten;
•
het aftekenen van checklists die worden gehanteerd bij het samenstellen van het dossier;
•
het documenteren van informatie die de IT-auditor heeft verkregen, besproken en afgestemd met de belangrijkste leden van het opdrachtteam voorafgaande aan de datum van het oordeel of advies.
A23 De bewaartermijn voor dossiers inzake professionele diensten bedraagt doorgaans niet minder dan zeven jaar vanaf de datum van het oordeel of advies. A24 Een voorbeeld van een omstandigheid waarin de IT-auditor het nodig kan achten om na afsluiting van het dossier bestaande documentatie te wijzigen of nieuwe documentatie toe te voegen is de behoefte om bestaande documentatie toe te lichten naar aanleiding van opmerkingen die gedurende toezichthoudende inspecties door interne of externe partijen zijn ontvangen.
Conceptrichtlijn 230 t.b.v. ALV 17 juni 2009
10
