NOTITIE Aan
:
Leden NOREA
Van
:
College Kwaliteitsonderzoek (CKO) NOREA
Datum
:
1 juni 2011
Betreft
:
Vragen en antwoorden Regiosessies RKON
Inleiding Tijdens de regionale voorlichtings- en discussiebijeenkomsten over het concept Reglement Kwaliteitsonderzoek (RKON) zijn aan het College Kwaliteitsonderzoek (CKO) vragen voorgelegd over de toepassing van het reglement. Afgesproken is om deze vragen en antwoorden te verzamelen en in deze notitie voor alle leden van het NOREA te bundelen. Vragen en antwoorden 1. Geldt de verplichting voor zowel interne als externe auditors? Ja. In het Reglement KwaliteitsBeheersing NOREA (RKBN) zijn de kwaliteitsbeheersingsmaatregelen beschreven. Die zijn van toepassing op alle professionele diensten die IT-auditors verlenen. Dat begrip is als volgt gedefinieerd: de werkzaamheden die de IT-auditor uitvoert binnen een ITauditorganisatie, waarvoor IT-auditdeskundigheid en deskundigheid op aanverwante terreinen is vereist. Het kwaliteitsonderzoek is een vervolg daarop voor de bevordering van de kwaliteit van de beroepsuitoefening van alle IT-auditors. 2. Bestaat de kans dat er door meerdere organisaties wordt getoetst? Dat proberen we te voorkomen. Auditorganisaties worden onderzocht door NBA/NIVRA, IIA of NOREA, afhankelijk van het lidmaatschap van de leden of de organisatie van een of meer van deze beroepsorganisaties. Door de onderlinge accreditatie van de beroepsorganisaties proberen we een onderzoek door meerdere organisaties te voorkomen. 3. Worden de financiële lasten evenredig verdeeld? Ja, voor zover mogelijk. Uitgaande van een samenwerking of (wederzijdse) accreditatie tussen NOREA, NBA/NIVRA en IIA (zie vraag 2) worden de kosten evenredig verdeeld. De kosten die NOREA in rekening brengt zijn de werkelijk gemaakte uren door de onderzoekers. De tijdbesteding van een kwaliteitsonderzoek wordt met name bepaald door het niveau van de kwaliteitsbeheersingsmaatregelen bij de ITauditorganisatie. 4. Als bij moedermaatschappij kwaliteitsonderzoek is gedaan, wordt daar dan gebruik van gemaakt bij kwaliteitsonderzoek dochtermaatschappij? Indien mogelijk: Ja. 1
Het antwoord op deze vraag hangt af of de moeder / dochter beiden in Nederland zijn gevestigd en of zij een uniform kwaliteitsstelsel hanteren. Als dat het geval is kan via bijvoorbeeld een dossier onderzoek bij één of meerdere dochters worden vastgesteld dat het stelsel binnen het hele concern in Nederland wordt toegepast. Een andere optie is, dat reeds uit interne kwaliteitsreviews blijkt dat ook de dochter binnen dat toezicht valt. In het algemeen zal zo veel als mogelijk gebruik worden gemaakt van kwaliteitsonderzoeken die al hebben plaatsgevonden. De mate van het gebruik is onder andere afhankelijk van de reikwijdte, diepgang en uitvoerder van het kwaliteitsonderzoek dat al heeft plaatsgevonden. 5. Hoe wordt omgegaan met de (administratieve) lastendruk voor ZZP-ers t.o.v. grote(re) organisaties? Zowel grotere organisaties als ZZP’ers hebben te maken met lastendruk. Wat betreft het kwaliteitsonderzoek is die lastendruk met name afhankelijk van het kwaliteitsstelsel dat een ITauditorganisatie reeds heeft ingericht. Kwaliteitsbeheersingsmaatregelen zijn onlosmakelijk verbonden met onze dienstverlening. Kleinere organisaties en ZZP’ers incorporeren de kwaliteitsbeheersing in hun dagelijkse werkzaamheden. Sommige grotere organisaties hebben de kwaliteitsbeheersingsmaatregelen verbijzonderd in interne kwaliteitsbewakingsafdelingen, met dien verstande dat de individuele dienstverlener onverdeeld verantwoordelijk is voor de kwaliteit van zijn dienstverlening en de effectiviteit van de kwaliteitsbeheersingsmaatregelen. De lasten van die inspanningen zijn bij NOREA niet bekend, maar die zullen naar verwachting aanzienlijk zijn. Het vergelijken van de lastendruk door NOREA is niet goed mogelijk. 6. Zijn er sancties als uiteindelijk (na verbetertermijn) niet aan de norm wordt voldaan? Ja, uiteindelijk wel. De sanctie in de meest vergaande situatie is, dat tegen de betrokken RE(’s) een tuchtrechtzaak wordt aangespannen. 7. Is het aan te raden als RE een nulmeeting te doen voordat je bij een organisatie gaat werken om te bezien of de organisatie voldoet volgens het RKON ? In het algemeen doet een IT-auditor er verstandig aan om na te gaan dat een (toekomstige) werkgever de beroepsuitoefening en daaraan verbonden regelgeving van de IT-auditor respecteert. Dat kan op meerdere manieren en de bedoelde meting is er één van. De vragenlijst selfassessment of de resultaten van voorgaande kwaliteitsonderzoeken kunnen een hulpmiddel zijn in de afweging van de IT-auditor om al dan niet een dienstverband aan te gaan. 8. Bij medeondertekening is zowel de interne dienst als de RE ZZP-er verantwoordelijk (er is geen sprake van slechts ondersteuning). Situatie: ZZP-er ondertekent mee, vertrouwt op kwaliteitssysteem interne dienst, heeft zelf geen kwaliteitssysteem, dus lift mee op andere kwaliteitssystemen? Natuurlijk kan een IT-auditor meeliften met andere kwaliteitssystemen, maar het begrip ‘vertrouwen op’ kan zich niet ‘blindelings’ voordoen. In de geschetste situatie is de IT-auditor (mede)verantwoordelijk voor de kwaliteitsbeheersingsmaatregelen. Tijdens de opdrachtverstrekking en –uitvoering moet de IT-auditor de invloed van het kwaliteitssysteem ervaren. Als die invloed ontbreekt, kan dat een aanwijzing zijn dat het stelsel onvoldoende is of onvoldoende functioneert. Dit is een belemmering in zijn beroepsoefening. In de geschetste situatie lift de RE inderdaad mee met het kwaliteitssysteem van de organisatie waarvoor hij werkzaam is. 2
Uiteraard heeft de ZZP-er ook een eigen kwaliteitssysteem. Zo zal de ZZP-er willen beschikken over een getekende opdracht. In deze situatie wordt de kwaliteitsbeheersing door de ZZP-er voor een belangrijk deel ingevuld door te steunen op het kwaliteitssysteem van de interne dienst. 9. Aangezien het om kwaliteitsbevordering gaat, is er - met name voor ZZP-ers - naar alternatieven gekeken zoals peerreviews? Is goedkoper, effectiever (leerzamer), kan frequenter worden gedaan. Voorgesteld wordt om kwaliteitscirkels te vormen voor de beoordeling van proces plan-do-check-act, waar NOREA toezicht ophoudt en regels voor opstelt. Het Bestuur zal waar mogelijk initiatieven ondersteunen gericht op samenwerkingsverbanden, dienstverlening en andere vormen van kwaliteitstoezicht die een bijdrage leveren aan kwaliteitsonderzoeken op het niveau zoals dat door (inter)nationale beroepsorganisaties is gedefinieerd. 10. In het kader van kwaliteitscirkels (zie vraag 9): kunnen we self assesment inzien? Ja. Het eerste concept van het self-assessment is gepubliceerd op de website. Deze vragenlijst moet nog worden besproken in het CKO. De vragenlijst wordt standaard aan de leden ter beschikking gesteld. 11. Waarom ‘beloning’ en ‘personeelsbeleid’ als object van onderzoek noodzakelijk? De invulling en het niveau van deze onderwerpen bepalen mede de kwaliteit (van het functioneren) van het kwaliteitsstelsel. 12. Wat is de aanleiding voor kwaliteitsbevordering, wat moet bevorderd worden? De term bevordering klinkt heel zwaar. Het begrip ‘bevordering’ moet binnen NOREA worden gerelateerd aan het begrip ‘handhaven’. Met het kwaliteitsonderzoek beoogt NOREA de leden te ondersteunen bij de kwaliteit van de beroepsbeoefening en te faciliteren waar mogelijk met behulp van producten die samenhangen met / voortvloeien uit ondermeer het RKON. De uitwerkingen die zijn opgesteld door het CKO zijn daarvan voorbeelden. Handhaven wordt alleen in situaties toegepast waarbij sprake is van zeer ernstige tekortkomingen en de IT-auditorganisatie / de IT-auditor geen stappen neemt om die op te heffen. 13. Kennisontwikkeling is ook een vorm van kwaliteitsbevordering, daar zou NOREA meer aan moeten doen. Eens. De Commissie Permanente Educatie is belast met het invullen van het NOREA-aandeel over dit onderwerp. 14. RKON = verplichting voor RE’s: wie toetst de toetsers? Achtereenvolgens: • Het CKO: via de selectieprocedure, een jaarlijkse evaluatie en de beoordeling van de conceptrapporten. Ook zijn bezwaarprocedures ingebouwd in het RKON. 3
• Het Bestuur. Jaarlijks stelt het CKO een rapportage van het CKO op. Verder voorziet het RKON in bezwaarprocedure. Ook kunnen de leden bilateraal hun zorgen uiten bij bestuursleden over het functioneren van de onderzoekers. • De partijen die NOREA hebben geaccrediteerd. Jaarlijks wordt vastgesteld dat NOREA het kwaliteitsonderzoek uitoefent conform de procedures. 15. Waarom wordt de toetsing niet belangeloos gedaan, zoals in het geval van peerreviews? Bij de opstelling van het reglement is overleg gevoerd met NIVRA en IIA die reeds langer kwaliteitsonderzoeken uitvoeren. Het is hun ervaring dat kwaliteitsonderzoeken niet kosteloos kunnen worden georganiseerd en zij vergoeden de tijdbesteding van zowel de leden van hun CKO’s alsook de tijdbesteding van de onderzoekers. Het RKON voorziet erin dat de tijdbesteding van de onderzoekers zal worden vergoed op basis van werkelijke bestede tijd/uren. De tijdbesteding van de leden van de CKO zal niet worden vergoed, overeenkomstig de tijdbesteding van leden van andere commissies van NOREA. De toekomst zal uitwijzen of de nu gekozen vergoedingenstructuur houdbaar is dan wel aanpassing behoeft. Peerreviews bevatten primair collegiale onderzoeken binnen een organisatie en maken daarmee deel uit van het stelsel van kwaliteitsbeheersingsmaatregelen van een IT-auditorganisatie. Deze peerreviews zijn geen onafhankelijke kwaliteitsonderzoeken als bedoeld in het RKBN. Wel zullen de uitkomsten van deze peerreviews worden betrokken bij de kwaliteitsonderzoeken en, mits zichtbaar uitgevoerd, bijdragen aan het verkrijgen van inzicht in het functioneren van het kwaliteitsstelsel. 16. Waarom gaat NOREA op de stoel van opdrachtgever zitten? NOREA meet zich niet de rol van opdrachtgever aan, noch heeft NOREA pretenties dat in de toekomst te doen. NOREA heeft tot doel om de kwaliteit van de beroepsuitoefening te bevorderen. In dat kader is het RKBN opgesteld en aanvaard. Het doel van het kwaliteitsonderzoek (RKON) is om te onderzoeken of het RKBN wordt toegepast en aanbevelingen te doen ter verbetering. Het RKBN is daarbij min of meer een minimumpositie wat betreft de (vaktechnische) kwaliteit van beroepsuitoefening en het RKON maakt dat, vanuit het gezamenlijk beroepsbelang, zichtbaar / transparant. De vraag is overigens of een opdrachtgever in staat is om te beoordelen dat een RE het onderzoek vaktechnisch juist heeft uitgevoerd en of de conclusies zijn onderbouwd door toereikende evidence. Het kwaliteitsonderzoek helpt de IT auditor om eventuele zwakke(re) plekken in het stelsel van kwaliteitsbeheersingsmaatregelen te verbeteren. Het is in het gezamenlijk belang van de beroepsgroep om dat vanuit onze eigen professionaliteit te organiseren en niet erop te wachten dat een opdrachtgever in de toekomst tot de conclusie zal komen dat een rapport is verstrekt waarvan de conclusies / oordelen onjuist zijn. 17. Bij bijvoorbeeld KPMG is het intern kwaliteitsbeheersingssysteem een marketingsysteem dat omzet genereert, voor de ZZP-er kost het geld. De basis en het doel van deze stelling zijn ons onduidelijk en daarom zijn we voorzichtig in onze respons. Het is ons niet bekend dat het interne kwaliteitsbeheersingssysteem van KPMG een marketingsysteem zou zijn, noch kunnen wij de suggestie plaatsen dat een intern kwaliteitsbeheersingssysteem de ZZP’er uitsluitend geld zou kosten. Ook andere IT-auditorganisaties en ZZP-ers leveren via een het kwaliteitsbeheersingssysteem een positieve bijdrage aan de verwerving en uitvoering van opdrachten en de daarmee samenhangende opbrengsten. 4
18. Voor ZPP-er is beoordeling van proces zinvoller dan terugkijken of kwaliteitssysteem voldoende is. Het proces en de daarin opgenomen beheersingsmaatregelen worden onderzocht in opzet en bestaan. De werking van de beheersingsmaatregelen wordt onderzocht aan de hand van uitgevoerde assurance opdrachten. De systematiek van het kwaliteitsonderzoek verschilt niet zo heel veel van de systematiek van een IT-audit en het proces en de daarin verweven beheersingsmaatregelen zijn daarmee elementen van het onderzoek.
19. Op basis van de uitleg tijdens de Norea-bijeenkomst begrijp ik dat wanneer wij aan de eisen van IFAC willen voldoen de leden periodiek onderworpen moeten worden aan een kwaliteitsonderzoek. Gelden de eisen vanuit de IFAC alleen voor assuranceonderzoeken of ook voor adviesonderzoeken? Bij de opstelling van het reglement is onderscheid gemaakt naar onderzoek naar opzet, bestaan en werking van het stelsel van kwaliteitsbeheersingsmaatregelen. De achtergrond daarvan is hierna toegelicht. Onderzoek naar de werking van beheersingsmaatregelen Het lidmaatschap van IFAC verlangt kwaliteitsonderzoeken in relatie tot de erkenning van ‘assurance providers’, maar vereist geen onderzoek naar de werking van het stelsel van kwaliteitsbeheersingsmaatregelen met betrekking tot overige opdrachten. In relatie tot de erkenning van assurance providers door het NIVRA per 1 april 2010, dient NOREA kwaliteitsonderzoek naar assurance-opdrachten uiterlijk per 1 januari 2012 te hebben geïmplementeerd. NBA/NIVRA heeft dit overeenkomstig geregeld. Weliswaar omvat de regeling van het NIVRA ook ‘aan assurance verwante opdrachten’, doch dit zijn opdrachten tot specifiek overeengekomen werkzaamheden met betrekking tot financiële informatie en de samenstelling daarvan. Dergelijke opdrachten behoren niet tot het vakgebied van de IT-auditor. De veel voorkomende opdrachten aan IT-auditors, die leiden tot specifieke bevindingen en daarop gebaseerde aanbevelingen, zijn naar hun aard adviesopdrachten, en dus geen assuranceopdrachten zoals omschreven in het Raamwerk Assuranceopdrachten. Tenslotte beschikt de NOREA voor overige opdrachten nog niet over volledig uitgewerkte reglementen of richtlijnen, zoals dit bij assuranceopdrachten wel het geval is. Nadat het resultaat van de onder het CBR ressorterende Werkgroep Advies bekend is, zal worden overwogen om ook adviezen onder het regime van het RKON te brengen. Deze werkzaamheden maken namelijk onderdeel uit van het begrip ‘professionele dienst’ waarop het RKBN zich richt. Onderzoek naar de opzet en het bestaan van beheersingsmaatregelen Het RKBN schrijft kwaliteitsbeheersingsmaatregelen voor voor alle professionele diensten. Omwille van doelmatigheid richten IT-auditorganisaties een stelsel van kwaliteitsbeheersingsmaatregelen in voor alle professionele diensten van die IT-auditorganisatie. Het ligt dan ook voor de hand om het stelsel van kwaliteitsbeheersingsmaatregelen in opzet en bestaan voor alle professionele diensten te onderzoeken. 20. Waarom is gekozen voor 1 kwaliteitsonderzoek per 4 jaar? De periodiciteit van een kwaliteitsonderzoek bij een IT-auditorganisatie van eenmaal per vier jaar is gebaseerd op de (inter)nationale regelgeving.
5
21. Kunnen jullie aangeven welke IT-auditors worden betrokken in de kwaliteitsonderzoeken uitgevoerd door de Norea? De onderzoeken richten zich primair op IT-auditorganisaties. Dit begrip is als volgt gedefinieerd: de organisatorische eenheid waarbinnen één of meer IT-auditors op grond van een onderzoek met betrekking tot de situatie ten aanzien van de informatietechnologie een oordeel of advies geven. Pas indien de leiding van een IT-auditorganisatie geen medewerking wil verlenen aan een kwaliteitsonderzoek zal het onderzoek zich richten op in die organisatie werkzame (individuele) ITauditor(s). 22. Kunnen jullie aangeven welke IT-auditors door andere beroepsorganisaties worden onderzocht, met daarbij aangegeven welke beroepsorganisatie deze IT-auditors onderzoeken?
De andere beroepsorganisaties waarmee IT-auditors te maken kunnen krijgen bij onderzoeken naar de kwaliteit van de beroepsbeoefening zijn NBA/NIVRA en IIA. Door het over en weer accrediteren en afspraken over de reikwijdte van onderzoek wordt ernaar gestreefd dat een ITauditorganisatie in principe vanuit één beroepsorganisatie zal worden onderzocht. Voor organisaties van openbaar belang (OOB) geldt dat de AFM onderzoek uitvoert naar de kwaliteit van jaarrekeningcontroles en daarin begrepen IT-audit ondersteuning. 23. Worden alle IT-auditors (zowel die van vraag 21 als 22) 1 keer in de 4 jaar onderzocht. Indien nee, waarom niet? Ja. Ook de andere beroepsorganisaties hanteren een termijn van eenmaal in de vier jaar. 24. De kosten van het onderzoek worden geschat op circa € 2.000 voor een kleine organisatie, hiervan ben ik geschrokken. Is hierbij ook naar de verhouding gekeken qua kosten met grote organisaties zoals de big-4? Grote accountantsorganisaties worden onderzocht door de AFM. De verhouding ten opzichte van grote organisaties is moeilijk te bepalen, doordat die organisaties beschikken over verbijzonderde interne kwaliteitsbeheersingssystemen en – afdelingen. De kosten daarvan zijn bij NOREA niet bekend, maar die zullen naar verwachting aanzienlijk zijn, evenals de onderzoeken door de AFM. Het genoemde bedrag is ontleend aan ervaringscijfers van NBA/NIVRA en heeft betrekking op kwaliteitsonderzoek inzake assurance-opdrachten bij kleine accountantsorganisaties. Of het genoemde bedrag ook geldt voor NOREA is op dit moment nog niet te bepalen bij gebrek aan ervaringscijfers. De duur van een kwaliteitsonderzoek wordt sterk beïnvloed door de ITauditorganisatie zelf. Naarmate het beleid, de procedures en de toepassing daarvan zichtbaarder zijn, zal ook het kwaliteitsonderzoek vlotter kunnen worden afgerond. NOREA streeft ernaar om de kwaliteitsonderzoeken zo doelmatig mogelijk in te richten en uit te voeren. Om dat te bereiken is samenwerking met / accreditatie van NIVRA en IIA noodzakelijk en zijn de reglementen en te hanteren uurtarieven op elkaar afgestemd. Toch heeft NOREA op een aantal onderdelen een eigen koers bepaald: • overeenkomstig leden van andere commissies, ontvangen de leden van het CKO geen vergoeding voor de door hen bestede tijd; • de onderzoekers van het CKO krijgen een vergoeding op basis van de door hen werkelijk bestede onderzoekstijd; • de bureaukosten ter ondersteuning van het CKO worden niet doorbelast.
6
De toekomst zal uitwijzen of de nu gekozen vergoedingenstructuur houdbaar is dan wel aanpassing behoeft. 25. De kosten nemen namelijk door de kwaliteitsonderzoeken onevenredig toe voor zelfstandigen en kleine BV’s, wat door de individuele organisatie opgevangen moet worden. Is nog gekeken naar alternatieven om de kosten tot een minimum te beperken, zoja welke alternatieven zijn/waren er? Ja, er is gekeken naar alternatieven. NOREA kan niet bepalen of de kosten door de kwaliteitsonderzoeken onevenredig toenemen. Wel is gestreefd naar het inrichten van een optimaal kwaliteitstoezicht in plaats van een maximaal, waarvan de belangrijkste alternatieven hierna zijn toegelicht. •
• •
Totstandkoming reglement Bij de opstelling van het reglement is intensief overleg gevoerd met onze leden, commissies, bestuursleden en collega beroepsorganisaties en is het aspect doelmatigheid nadrukkelijk en veelvuldig aan de orde gesteld. Reikwijdte kwaliteitsonderzoek In het reglement is onderscheid gemaakt naar onderzoek naar opzet, bestaan en werking van het stelsel van kwaliteitsbeheersingsmaatregelen. Zie verder het antwoord bij vraag 19. Kostenstructuur Wat betreft kosten, verwijzen we op deze plaats naar het antwoord bij vraag 15 respectievelijk vraag 24.
Verder zal het Bestuur waar mogelijk initiatieven (blijven) onderzoeken / ondersteunen gericht op samenwerkingsverbanden of dienstverlening op het gebied van kwaliteitszorg die in staat zijn om een bijdrage te leveren aan kwaliteitsonderzoeken op het niveau zoals dat door (inter)nationale beroepsorganisaties is gedefinieerd.
7
