Externe assurance-regels voor het interne IT-audit beroep
H
Het Raamwerk en de Richtlijn 3000 voor assuranceopdrachten door IT-auditors [NORE08-1, NORE08-2] van de NOREA is vanaf 1 januari 2008 van kracht voor Register EDP-auditors (RE’s). Verkruijsse [NORE07] stelt dat het Raamwerk voor assuranceopdrachten voor en door accountants is opgesteld, maar dat het in beginsel toch algemeen toepasbaar is. Maar is het wel echt algemeen toepasbaar? Erwin veth
Sommige interne IT-auditors vragen zich af of de assurance-regels wel toepasbaar zijn voor hun interne audit werkzaamheden. Bij interne IT-auditors leeft vaak het gevoel dat openbare accountants zich willen indek-
ken met regels en voorschriften en dat de vrijheid van interne IT-auditors vooral behouden moet blijven. Desondanks stellen allerlei verschillende beroepsorganisaties juist eisen aan de werkzaamheden van interne auditors, dat geldt zowel voor interne IT-auditors als ook voor interne operational auditors en interne financial auditors. Die organisaties leggen de eisen vast in regelgeving. Het hoofd van een Interne Audit Dienst (IAD) staat daardoor voor een uitdaging als hij leiding geeft aan een team dat bestaat uit Register EDP-auditors (RE’s), Register Operational auditors (RO’s) en Registeraccountants (RA’s). Dit artikel geeft antwoord op de vraag in welke mate het NOREA Raamwerk en de Richtlijn 3000 voor assurance-opdrachten toepasbaar
Figuur 1. Betrokken partijen bij een IT assurance-onderzoek
22
de EDP-Auditor nummer 3 | 2009
zijn voor de IAD met RE’s. Om antwoord te geven op die vraag, wordt eerst een definitie gegeven van een assurance-opdracht waaruit het kernprobleem wordt afgeleid. Vervolgens wordt ingegaan op de achtergrond van IT assurance-opdrachten. Aansluitend worden relevante aspecten behandeld die betrekking hebben op de invoering van het Raamwerk en Richtlijn. Dit alles is nodig om een eerste indruk te krijgen van mogelijke problemen die kunnen ontstaan ten aanzien van de toepasbaarheid van de regels. Vervolgens worden resultaten van een praktijkonderzoek weergegeven, om op basis daarvan conclusies te trekken en een definitief antwoord te geven op de hoofdvraag. Ten slotte worden aanbevelingen gegeven vanuit dit praktijkonderzoek om de toepasbaarheid van de assurance-regels te bevorderen. Definitie assuranceopdracht De NOREA geeft in het Raamwerk en de Richtlijn voor assuranceopdrachten de volgende definitie van een assurance-opdracht: ‘Een “assurance-opdracht” is een opdracht waarbij een IT-auditor een conclusie formuleert die is bedoeld om het vertrouwen van de beoogde gebruikers, niet zijnde de verantwoordelijke partij, in de uitkomst van de evaluatie van of de toetsing van het object van onderzoek ten opzichte van de toet-
singsnormen, te versterken.’ De beoogde gebruikers ‘bestaan uit de persoon, de personen of de groep van personen voor wie de IT-auditor het assurance rapport opstelt’. Een belangrijke toevoeging die hierbij wordt gegeven is: ‘de verantwoordelijke partij kan één van de beoogde gebruikers zijn maar niet de enige’. Met andere woorden: als de verantwoordelijke partij ook een gebruiker is, moet er nog minimaal één andere gebruiker zijn. Kernprobleem De definitie brengt met zich mee dat indien de gebruiker en de verantwoordelijke partij dezelfde zijn zonder dat er nog een andere gebruiker is, en dat is vaak het geval bij opdrachten die bij IAD’s worden uitgevoerd, het geen assurance-opdracht genoemd mag worden. De opdracht valt dan niet onder de regels van het Raamwerk en de Richtlijn. In figuur 1 zijn de betrokken partijen bij een assurance-onderzoek weergegeven. De achtergrond van IT assurance-opdrachten Om antwoord te kunnen geven op de hoofdvraag, wordt eerst inzicht gegeven in de oorsprong en ontwikkeling van IT-assurance-opdrachten, maar ook aspecten als ‘onafhankelijkheid’ en ‘gebruikers’ worden besproken. Dit is van belang omdat deze aspecten mogelijke problemen kunnen vormen of verklaren, ten aanzien van de toepasbaarheid van de regels. Dit geldt ook voor het verschil tussen de interne IT-auditor en de openbare accountant. Toenemend belang van IT en Interne Audit Diensten De oorsprong van auditing en ITassurance opdrachten ligt in de openbare accountancy [SCHI02, DRIE04, SAWY05]. De behoefte naar objectieve oordelen over de kwaliteit van de IT-beheersing, is sterk gevoed door de enorme snelle ontwikkeling die IT heeft doorgemaakt. Het belang van IT in bedrijven is zeer
sterk toegenomen door bijvoorbeeld de intrede van ERP-systemen, het toenemende gebruik van internet, mobiele werkplekken en standaard kantoorapplicaties [SHA04, NORE06]. In de loop van de jaren negentig en in de eerste jaren van 2000 hebben IAD’s in de Verenigde Staten, Verenigd Koninkrijk en continentaal Europa sterk aan belang gewonnen en hebben in sommige gevallen een verplichtend karakter gekregen [PAAP05]. Dit komt mede door de corporate governance rapporten zoals in Nederland die van de Commissie Tabaksblat, naar aanleiding van onder andere een aantal grote boekhoudschandalen. IAD’s zijn in Nederland verplicht bij bankinstellingen en bij de ministeries van de Rijksoverheid. Door het toenemend belang van IT en IAD’s is het aantal interne IT‑auditors sterk toegenomen [NORE07]. Assurance en advies Internal auditing bestaat in essentie uit twee verschillende onderzoeksvormen. Dit betreft ten eerste een assurance-onderzoek dat is gericht op het verschaffen van zekerheid door het verstrekken van een oordeel. Ten tweede is er het adviesonderzoek [ JONK07]. Dit klassieke onderscheid tussen assurance en advies is eveneens afkomstig uit het financial audit beroep. Een essentieel verschil tussen een adviesopdracht en een assuranceopdracht is het aantal partijen dat betrokken is bij het onderzoek [IIA07]. Bij een assurance-opdracht zijn in beginsel drie partijen betrokken: de auditor, de verantwoordelijke partij (ook wel de auditee genoemd) en de beoogde gebruiker. Bij een adviesopdracht spelen in de regel alleen de auditor en de gebruiker een rol. Assurance-opdrachten, in Nederland ook vaak ‘audits’ genoemd, vergen bovendien een strikte aanpak met onder andere een duidelijke normstelling op basis waarvan
getoetst wordt [FIJN06, EIME06). Een adviesopdracht kent meer vrijheden, wordt uitgevoerd op verzoek van de gebruiker (ook wel de klant genoemd) en is in beginsel alleen ten behoeve van die gebruiker. De aard en de reikwijdte van de werkzaamheden worden bepaald door de auditor en de opdrachtgever [NIVR07-1, NORE08-1]. Bovendien is een adviesopdracht gericht op aanbevelingen die betrekking hebben op de toekomst. De assurance-opdracht geeft primair een oordeel over het verleden en is dan ook meer gericht op het uitvoeren van feitenonderzoek en het vergaren van voldoende informatie en bewijsmateriaal om een oordeel te kunnen ondersteunen. In tabel 1 zijn de belangrijkste verschillen tussen een assurance-opdracht en een adviesopdracht samengevat. Het is van belang om het onderscheid tussen de twee typen opdrachten te maken, omdat de waarde die de gebruiker kan hechten aan de uitkomsten van de opdrachten sterk verschilt. Voornamelijk in de beroepsgroep van openbare accountants is het onderscheid tot op de dag vandaag een belangrijk punt van aandacht. Een openbare accountant mag niet beide type opdrachten uitvoeren bij dezelfde entiteit. Het risico bestaat dan immers dat de openbare accountant zijn eigen adviezen beoordeelt bij het controleren van de jaarrekening en (de perceptie van) verminderde onafhankelijkheid ontstaat [SCHI02, GORT02, MAJO00]. Maar ook bij IAD’s kan het risico zich manifesteren dat een interne ITauditor de resultaten van zijn eigen adviezen beoordeelt. De kans daarop is zelfs relatief groot, omdat IAD’s vaak een beperkte omvang hebben en dezelfde auditor dus vaak wordt ingezet op gebieden in de organisatie waar hij al eerder actief is geweest. Toch is in de praktijk het onderscheid tussen advies en audit (verlenen van assurance) soms kunstmatig, want een audit zonder advies lijkt nauwelijks zinvol [FIJN06]. De de EDP-Auditor nummer 3 | 2009
23
Assurance-opdracht
Adviesopdracht
Drie betrokken partijen: de auditor, de verantwoordelijke partij en de gebruiker
Twee betrokken partijen: de auditor en de gebruiker (de klant)
Toetsingsnormen
Geen verplichte toetsingsnormen
Onafhankelijk oordeel over het verleden
Aanbevelingen voor de toekomst
De auditor bepaalt in grote mate de aard en de diepgang van de werkzaamheden
De opdrachtgever en de auditor stemmen de aard en de diepgang van de werkzaamheden af
Bewijsvoering essentieel
Bewijsvoering minder essentieel
Tabel 1. Verschillen op hoofdlijnen tussen assurance- en adviesopdrachten. opdrachtgever zal immers een oplossingsrichting voor zijn mogelijke probleem willen hebben. In de praktijk lopen de twee onderzoeksvormen vaak in elkaar over. Openbare accountant versus interne IT-auditor Om antwoord te kunnen geven op de vraag of assurance-regels voor openbare accountants ook toepasbaar kunnen zijn voor interne IT-auditors, is het van belang de verschillen tussen openbare accountants en interne ITauditors te onderkennen. De interne IT-auditor beoordeelt primair beheersmaatregelen in IT-processen en systemen. De openbare accountant daarentegen richt zich primair op het uitvoeren van wettelijke controles waaronder het getrouwe beeld dat de jaarrekening moet geven [NIVR072, SAWY05]. Zijn werkzaamheden worden dus gerechtvaardigd en onder steund door een wettelijke verankering. Interne IT-audits daarentegen hebben vooral aan terrein gewonnen, omdat de gepercipieerde toegevoegde waarde ervan steeds groter werd, maar de ondersteuning van wet- en regelgeving blijft beperkt [MOLL08]. Er is in beginsel sprake van zelf regulering door beroepsorganisaties. Een ander verschil is dat de interne IT-auditor een werknemer is van de onderzochte organisatie zelf en dus de belangen dient van de organisatie en haar management [IIA04]. De ver antwoordelijke partij voor het onderzoeksobject behoort dus tot dezelfde organisatie als de organisatie waarbij
24
de EDP-Auditor nummer 3 | 2009
de interne IT-auditor in dienst is. De openbare accountant is echter extern werkzaam bij een accountantsorganisatie en wordt daarom ook wel een externe accountant genoemd. Hij dient in beginsel derden, het maatschappelijk verkeer, zoals aandeelhouders, banken, toezichthouders, werknemers, afnemers en de fiscus. Zij hebben allen behoefte aan betrouwbare financiële informatie. De verschillen tussen openbare accountants en interne IT-auditors zijn in tabel 2 samengevat. Onafhankelijkheid Onafhankelijkheid is de grondslag waarop het vertrouwen van de gebruiker in een onpartijdig oordeel is gebaseerd [MAJO00]. Het Institute of Internal Auditors (IIA) Nederland stelt dan ook dat onafhankelijkheid bij het uitvoeren van onderzoeken één van de kernelementen is die de toegevoegde waarde van een IAD bepalen [IIA08]. Echter, de onafhankelijkheid van een interne IT-auditor kan in gevaar komen, omdat hij in dienst is van de organisatie waar de onderzoeken worden uitgevoerd. Een IAD heeft vaak een directe relatie met het management, omdat het op diens behoeften moet inspelen als ‘tool of management’. De openbare accountant is daardoor in beginsel onafhankelijker van de onderzochte entiteit en dus onafhankelijker in zijn werkzaamheden dan de interne IT-auditor. In de praktijk zijn veel interne IT-auditors (maar ook anderen) het hier mee oneens, omdat openbare accountants ook
worden betaald voor zijn werkzaamheden door de onderzochte entiteit en dus belang hebben bij een goedkeurende verklaring van de jaarrekening of van bijvoorbeeld een SAS 70 onderzoek. Hierbij is het wel van belang of het eindoordeel van het onderzoek is bedoeld voor een derde gebruiker buiten de organisatie of een gebruiker binnen de organisatie. De verminderde gepercipieerde onafhankelijkheid van IAD’s is in beide gevallen aan de orde, maar vooral bij oordelen die bestemd zijn voor een derde gebruiker buiten de organisatie. Dergelijke gebruikers hechten in beginsel meer waarde aan een oordeel van een externe auditor die geheel buiten de organisatie staat [FIJN05]. Gebruikers Bij assurance-opdrachten wordt de volgende tweedeling in gebruikersgroepen onderkend [NORE06, LANG03, JONK07]: 1. een bekende gebruiker of een beperkte kring van bekende gebruikers, dus een specifieke doelgroep; 2. (deels) onbekende gebruikers, zoals het maatschappelijk verkeer. In tegenstelling tot de openbare accountant, kennen de interne ITauditors meestal alleen interne, bekende gebruikers [NORE06]. Dat kan naast de Raad van Bestuur of Raad van Commissarissen ook het operationele management zijn, of het hogere management, ook wel het directieniveau genoemd [IIA03]. Een kenmerk in die eerste gebruikers-
Openbare accountant
Interne IT auditor
Werkzaam bij accountantsorganisatie, wordt ingehuurd door een organisatie om de wettelijke controle uit te voeren.
Werkzaam bij de organisatie waar het onderzoek wordt uitgevoerd.
Geeft zekerheid aan derden (het maatschappelijk verkeer).
Geeft aanvullende zekerheid aan interne gebruikers en dient de belangen van de organisatie.
Primaire object van onderzoek is de getrouwheid van de jaarrekening.
Primaire objecten van onderzoek zijn IT-processen en systemen.
De controle is jaarlijks, financieel van aard en niet primair gericht op het voorkomen of vaststellen van fraude.
Beoogt processen regelmatig te beoordelen en is direct betrokken bij het voorkomen van fraude.
Tabel 2. Verschillen op hoofdlijnen tussen openbare accountants en interne IT-auditors. groep is dat de IT-auditor de verwachtingen over het oordeel kan inschatten. Daarnaast kunnen afspraken worden gemaakt tussen de betrokken partijen. Ook indien de opdrachtgever de enige gebruiker is van het oordeel, wordt gesproken van een bekende gebruiker. Bij onbekende gebruikers wordt het oordeel openbaar gemaakt en kunnen geen afspraken gemaakt worden tussen de betrokken partijen over het onderzoek en de presentatie van het oordeel [NORE06]. Naast de primaire gebruikers zijn er ook nog andere partijen die de rapportages van IAD’s uiteindelijk kunnen gebruiken, de zogenaamde secundaire gebruikers. Dit betreffen bijvoorbeeld openbare accountants en toezichthouders zoals De Nederlandsche Bank en de Algemene Rekenkamer. Het Assurance-Raamwerk en de Richtlijn Met de invoering van wetgeving, regelgeving en richtlijnen wordt in beginsel beoogd om bepaalde orde in gedrag teweeg te brengen. Dit geldt ook voor het Raamwerk en de Richtlijn voor assurance-opdrachten. Hierna wordt dieper ingegaan op aspecten als de invoering en de essentie van het Raamwerk en de Richtlijn, evenals de beoogde voordelen die daarmee worden nagestreefd. Vervolgens worden het Raamwerk en de Richtlijn in een breder perspectief geplaatst door kort in te gaan op andere relevante regelgeving, zoals van het IIA, ISACA en reeds bestaande regelgeving van de
NOREA op het gebied van assurance-opdrachten. De invoering van het Assurance-Raamwerk en de Richtlijn Internationalisering is een trend die op het IT-audit vakgebied zijn sporen nalaat. Naast andere Nederlandse beroepsorganisaties, zoekt ook de NOREA aansluiting bij internationale beroepsorganisaties en bij de International Federation of Accountants (IFAC) in het bijzonder. De NOREA is sinds 15 november 2007 aangesloten bij de IFAC als ‘affiliate member’. Het Raamwerk en de Richtlijn voor assurance-opdrachten is in december 2007 geldig verklaard per 1 januari 2008. Het Raamwerk bepaalt en omschrijft de elementen en doelstellingen van een assuranceopdracht. De doelstelling van de Richtlijn is om de algemene uitgangspunten en noodzakelijke werkzaamheden vast te stellen en aanwijzingen te geven aan IT-auditors voor de uitvoering van assurance-opdrachten [NORE08-2]. De NOREA vermeldde bij het bekendmaken van de invoering van het Raamwerk en de Richtlijn: ‘De IT-auditors conformeren zich hiermee aan het ‘International Framework for Assurance Engagements’ van het IFAC’. Dat Framework geeft (voornamelijk openbare) accountants een kader van regelgeving dat niet alleen van toepassing is op audits naar historische financiële informatie, maar ook op andere assuranceopdrachten.
Naast het IFAC Framework conformeert de NOREA zich ook aan IFAC’s International Standard on Assurance Engagements Other than Audits or Reviews of Historical Financial Information, oftewel de ISAE 3000 [IFAC05-1, IFAC05-2]. Deze standaard vormt de exacte basis voor NOREA’s Richtlijn 3000, Assurance-opdrachten door IT-auditors en ook NIVRA’s NV COS 300. Dit is niet verwonderlijk, omdat bij IFAC aangesloten organisaties wordt gevraagd de standaarden die door IFAC zijn uitgevaardigd, te promoten en te implementeren in nationale standaarden [PHEI07]. Het enige verschil tussen de regelgeving van het NIVRA en de NOREA voor assurance-opdrachten ligt in de status (het dwingende karakter) dat NIVRA’s nader voorschrift heeft ten opzichte van NOREA’s Raamwerk en Richtlijn. De vraag is of de NOREA de Richtlijn 3000 minder dwingend bedoelt dan een voorschrift. De NOREA kent immers geen (nadere) voorschriften. Indien uniforme regels worden nagestreefd, rijst de vraag waarom de NOREA de Richtlijn niet ook de status van voorschrift heeft gegeven. In figuur 2 worden de regels per beroepsorganisatie weergegeven. Beoogde voordelen van het AssuranceRaamwerk en de Richtlijn Ook bij de IFAC is de noodzaak gevoeld om een assurance-opdracht zeer nadrukkelijk van een adviesopdracht te scheiden door regelgeving, omdat een openbare accountant de EDP-Auditor nummer 3 | 2009
25
niet beide opdrachten mag uitvoeren bij dezelfde entiteit, waardoor zijn onafhankelijkheid in het geding zou komen. Daarnaast was de IFAC er ook bij gebaat het onderscheid tussen assurance- en adviesopdrachten helder te maken voor het maatschappelijk verkeer, zodat geen onjuiste verwachtingen zouden ontstaan. Gebruik van het Raamwerk zou de duidelijkheid moeten bevorderen voor de gebruiker [ JONK07]. Een voordeel van uniforme (IFAC) richtlijnen is dat indien nationaal en internationaal dezelfde richtlijnen van toepassing zijn, waardoor regelgeving vergelijkbaar is, communicatie tussen beroepsorganisaties en beroepsuitoefenaars verbetert, de inzichtelijkheid in regelgeving toeneemt en uiteindelijk de kwaliteit van beroepsuitoefening verbetert. Bovendien wordt nationale regelgeving ook in een internationale omgeving toepasbaar. Voor auditors die zowel een RA titel als een RE titel voeren, is het bij de uitvoering van hun werk erg praktisch als zij gebonden zijn aan uniforme assurance-regels, ongeacht of ze als IT-auditor of als openbare accountant optreden. Ten slotte bevorderen uniforme regels de samenwerking tussen openbare accountants en interne IT-auditors. De openbare accountant kan immers makkelijker steunen op de werkzaamheden van interne IT-auditors die exact dezelfde regels hanteren bij
de uitvoering van hun werkzaamheden als de openbare accountant zelf. Echter, er zijn wel kanttekeningen te plaatsen bij het regelgevingsproces van de IFAC. Zo hebben de IFAC en de International Auditing en Assurance Board (IAASB), die standaarden formuleert voor de IFAC, beiden de primaire doelstelling om het maatschappelijk belang (‘public interest’) te dienen. Hiermee wordt duidelijk dat de standaarden in beginsel zijn opgesteld vanuit het perspectief van de openbare accountant. Het interne IT-audit beroep is niet betrokken geweest bij het opstellen van het IFAC Framework-Framework. Het regelgevingsproces van de IAASB en de IFAC wordt gedomineerd door de multinationale accountantskantoren. Essentie van het Assurance-Raamwerk en de Richtlijn De kern van het Raamwerk en de Richtlijn wordt gevormd door de beschrijving van de vijf kernelementen waaruit een assurance-opdracht bestaat, die aansluiten op de definitie van het begrip. Die elementen betreffen: 1. de betrokkenheid van drie partijen 2. een geschikt object van onderzoek 3. toepasbare toetsingnormen 4. toereikende assurance-informatie 5. een schriftelijk rapport voor een opdracht tot het verkrijgen van redelijke dan wel beperkte mate van zekerheid. Rondom deze kern wordt in het Raamwerk en de Richtlijn een groot
Figuur 2. Assurance-Raamwerk en Richtlijn 3000 per beroepsorganisatie.
26
de EDP-Auditor nummer 3 | 2009
aantal artikelen weergegeven. Een aantal daarvan kan ook voor andere typen opdrachten, zoals advies opdrachten, van toepassing zijn. Dit betreft onder meer artikelen die betrekking hebben op het voldoen aan de Code of Ethics, het bezitten van voldoende deskundigheid door de auditor, de planning van opdrachten, de scope, de reikwijdte en dossiervorming. Het IIA en de ISACA Een aantal RE’s dat werkt bij een IAD is naast lid van de NOREA ook lid van het IIA of de Information System Audit and Control Association (ISACA). Het IIA en de ISACA zijn de NOREA reeds voorgegaan als ‘IFAC-Affiliate’, een status voor organisaties die zich bezig houden met de ontwikkeling van auditstandaarden en vaktechniek op een gespecialiseerd terrein en bij de IFAC zijn aangesloten. Het Framework voor assuranceopdrachten en de ISAE 3000 richtlijn van de IFAC zijn door hen niet onverkort overgenomen, maar onderdelen zijn wel terug te vinden in hun regels. De ‘geest’ van de IFAC regels wordt gehanteerd. Bestaande NOREA regelgeving NOREA had reeds regelgeving voor assurance-opdrachten vóór de invoering van het Raamwerk en de Richtlijn. Het betreffen regels die zijn vastgelegd in de NOREA Richtlijnen in het kader van de attestfunctie en de concept-richtlijn ‘Oordelen van gekwa lificeerde IT-auditors’. De NOREA heeft geen uitspraak gedaan over de vraag of deze bestaande regels een aanvulling zijn op het Raamwerk en de Richtlijn voor assurance-opdrachten of dat ze juist worden vervangen door dat Raamwerk en de Richtlijn. Daarnaast is er de Code of Ethics. Het bevat beginselen die de IT-auditor bij elk type opdracht moet hanteren: integriteit, objectiviteit, deskundigheid, zorgvuldigheid, geheimhouding en professioneel gedrag. De IT-auditor moet dus ook bij het uitvoeren van een assurance-opdracht de Code
NOREA bestaande regelgeving
IIA regelgeving
Van toepassing indien: de auditor de RE titel draagt.
Van toepassing indien: - de RE zich vrijwillig heeft ingeschreven bij IIA, of - de CIA titel draagt - de RE ook RO is
Vastgelegd in o.a. Richtlijn in het kader van de attestfunctie Concept richtlijn oordelen Code of Ethics
NOREA nieuwe regelgeving: Assurance Raamwerk & Richtlijn 3000
Vastgelegd in: ‘International Standards for the Professional Practice of Internal Auditing’, o.a in Introduction
NIVRA regelgeving
ISACA regelgeving
Van toepassing indien: de RE ook RA is het hoofd van een IAD RA is *
Van toepassing indien: de RE ook de CISA titel draagt
Vastgelegd in: Handleiding Regelgeving Accountants, o.a. in Stramien voor assurance-opdrachten en NV COS 3000
IAD met RE’s in Nederland
➝
* deze regel uit de NV accountants afdelingen ter zake van assurance en aan assurance verwante opdrachten heeft een concept status.
Vastgelegd in: IS Standards, Guidelines and Procedures for Auditing and Control Professionals, o.a. in Guideline 20: Reporting
Regelgeving van de IAD
Vastgelegd in: Handboeken, charters, procedures
Figuur 3. Belangrijkste assurance- regelgeving die op een IAD met RE’s van toepassing kan zijn. of Ethics naleven. Het is opvallend dat onafhankelijkheid geen onderdeel is van de Code of Ethics van de NOREA. Bij de oorspronkelijke ver sie van deze code of Ethics van het IFAC, was dat vastgelegd in onderdeel B dat niet is overgenomen door de NOREA. In figuur 3 worden de assurance-regels van verschillende beroepsorganisaties zichtbaar die op IAD’s met RE’s van toepassing kunnen zijn. Op basis van het voorgaande en eerdere constateringen in dit artikel, is de verwachting dat niet alle onderdelen van het Raamwerk en de Richtlijn voor assurance-opdrachten in de praktijk toepasbaar zijn. Op de vraag of die verwachting reëel is, wordt antwoord gegeven aan de hand van een uitgevoerd praktijkonderzoek. Praktijkonderzoek In de tweede helft van 2008 heeft de auteur in de praktijk onderzoek gedaan naar de mate waarin het Assurance-Raamwerk en Richtlijn toepasbaar zijn voor IAD’s [VETH08]. Tijdens dat onderzoek zijn op basis van bestudering van de regels eerst
veertien theoretische problemen gedestilleerd met betrekking tot de toepasbaarheid van de regels uit het Raamwerk en de Richtlijn. Vervolgens zijn de veertien problemen getoetst in de praktijk onder zeven respondenten. Er waren twee groepen samengesteld: de IAD-groep bevatte vijf respondenten die allen werkzaam zijn bij een IAD en drie van deze respondenten geven zelf leiding aan hun IAD. De expert-groep bestond uit twee respondenten die werkzaam zijn bij grote accountantskantoren. Hieronder volgen de resultaten van het onderzoek, een toelichting op de resultaten en overige bevindingen. Resultaten Uit het praktijkonderzoek bleek dat zeven van die veertien problemen breed gedragen kernproblemen zijn: 1. De drie partijen vereiste (Raamwerk art. 7, 20a, 21, 22, 25, 27 en Richtlijn art. 7): de definitie van assurance-opdrachten richt zich op drie afzonderlijke partijen: de IT-auditor, de verantwoordelijke partij en de gebruiker.
In de uitwerking van dit beginsel in de regels is veel ruimte tot interpretatie mogelijk over de vraag wanneer sprake is van drie afzonderlijke partijen. Bij IAD’s kunnen daardoor opdrachten ten onrechte als advies worden geclassificeerd, omdat in de ogen van de auditor de gebruiker gelijk is aan de verantwoordelijke partij. De assurance-regels worden dan niet toegepast. Bovendien wordt de toegevoegde waarde van de regel voor IAD’s niet ingezien. De respondenten vinden dat het voor een IAD niet van groot belang is of er twee of drie partijen zijn bij een opdracht. Dat zou volgens de meeste respondenten niet moeten bepalen of een opdracht een assurance-opdracht is. Als de opdracht moet leiden tot aanvullende zekerheid middels het geven van een oordeel, is volgens hen sprake van een assurance-opdracht en indien de opdracht gericht is op de ver beteringen in de toekomst, is sprake van een adviesopdracht. De inhoud van de opdracht is in hun ogen dus veel meer bepalend voor de typering van de opdracht dan de aanwezige partijen. de EDP-Auditor nummer 3 | 2009
27
2. Onafhankelijkheid (Raamwerk art. 17, Richtlijn art. 5): er is niet expliciet aangegeven in het Raamwerk en de Richtlijn of en wanneer interne IT-auditors voldoende onaf hankelijk zijn ten opzichte van de verantwoordelijke partij om een assurance-opdracht uit te voeren. Hierdoor kunnen interne IT-auditors het verwijt krijgen van gebruikers, de verantwoordelijke partij of openbare accountants dat ze niet onafhankelijk genoeg zijn om een assurance-opdracht op het gebied van IT uit te voeren. Het ontbreken van een toelichting op de onafhankelijkheid van de interne IT-auditor wordt door de respondenten beschouwd als een essentieel gemis, het gaat hier om een omissie in de regelgeving. Genoemde redenen hiervoor zijn dat onafhankelijkheid juist het onderscheid bepaalt tussen interne ITauditors en openbare accountants en het grote belang dat wordt gehecht aan onafhankelijkheid door de auditors en gebruikers. 3. Negative assurance (Raamwerk art. 11, 59 en Richtlijn art. 49i): bij een beperkte mate van zekerheid is de IT-auditor verplicht om de conclusie negatief te formuleren (‘is ons niets gebleken’). Het negatief formuleren van oordelen wordt te veel als een zwaktebod gezien door de auditor zelf en de gebruiker. Bovendien speelt het niet in op de behoefte van de gebruiker. 4. Materialiteit (Raamwerk art. 57, Richtlijn art. 49i): de voorbeeldteksten van oordelen bevatten de begrippen materieel belang en materiële opzichten. Materialiteit is een abstract begrip dat voor de beoogde interne gebruiker meer vragen oplevert dan dat het waarde toevoegt aan het oordeel. Het begrip is moeilijk toepasbaar op IT-bevindingen en het begrip is niet voldoende gedefinieerd en toegelicht in het Raamwerk of de Richtlijn.
28
de EDP-Auditor nummer 3 | 2009
Ondanks het optionele karakter, hechten de respondenten zwaar aan dit probleem, omdat het oordeel wordt gezien als één van de belangrijkste onderdelen van het Raamwerk en de Richtlijn. 5. Vermijden van bewoordingen bij een adviesopdracht (Raamwerk art. 15): in een rapport dat geen assurancerapport is, moeten de volgende woorden vermeden worden: ‘zekerheid’, ‘controle’, ‘beoordeling’ en ‘een uitspraak die redelijkerwijs ten onrechte zou kunnen worden opgevat als conclusie om het vertrouwen van de beoogde gebruiker te versterken’. Het is moeilijk uitvoerbaar en wordt als een onnodige extreme beperking van de vrijheden van interne IT-auditors gezien. Bij het vermijden van bepaalde bewoordingen bij adviesopdrachten moet in de praktijk te veel gezocht worden naar bewoordingen die nog wel gebruikt mogen worden. 6. Bevestiging van de verantwoordelijke partij (Raamwerk art. 26, Richtlijn art. 38): er dient een bevestiging van de verantwoordelijke partij te worden ontvangen, indien van toepassing, waarin het object van onderzoek wordt geëvalueerd en wordt aangegeven in hoeverre het beantwoordt aan de vastgestelde criteria. De betekenis van deze regel wordt niet begrepen. De respondenten speculeren naar de bedoeling van de artikelen en afwisselend wordt het verband gelegd met het beoordelen van een verantwoording van de verantwoordelijke partij en met een Letter Of Representation (LOR), maar eenduidigheid is er zeker niet. 7. Verwachtingen bij redelijke mate en beperkte mate van zekerheid (Raamwerk art. 11, 51, 52 en Richtlijn 35, 36, 49i): er wordt onderscheid gemaakt tussen twee verschillende maten van zekerheid die door een IT-auditor kunnen worden ver-
schaft, namelijk de assuranceopdracht tot het verkrijgen van een redelijke mate van zekerheid (‘audit’) dan wel een beperkte mate van zekerheid (‘review’). De termen zijn te abstract, er worden geen harde percentages gehanteerd. Bij een beperkte mate van zekerheid wordt het probleem als groter ervaren dan bij een redelijke mate van zekerheid. De reden daarvoor is dat in de praktijk de belevingen van auditors en gebruikers over een beperkte mate van zekerheid veel meer van elkaar afwijken dan bij een redelijke mate van zekerheid. Toelichting De stelling dat op zeven inhoudelijke gebieden de regels voor IAD’s niet goed toepasbaar zijn, betekent niet automatisch dat deze problemen alleen voor IAD’s gelden en niet voor externe auditors of openbare accountants. Tijdens het onderzoek is gebleken dat een aantal regels ook voor openbare accountants moeilijk toepasbaar is. Dat geldt voornamelijk voor de twee gebieden ‘negative assurance’ en ‘verwachtingen bij redelijke en beperkte mate van zekerheid’. Overige bevindingen Daarnaast bleek uit het onderzoek dat de relatie van het Raamwerk en de Richtlijn met andere regels nog niet optimaal inzichtelijk is. Bovendien bleek dat de gepercipieerde noodzaak om te voldoen aan de regels beperkt was. De regels in het Raamwerk en de Richtlijn hadden door hun afkomst (IFAC) bij voorbaat een imagoprobleem. Ten slotte gaven de respondenten ook aan dat er behoefte was aan meer communicatie en ondersteuning van de NOREA. Conclusies en aan bevelingen Het NOREA Raamwerk en de Richtlijn voor assurance-opdrachten zijn deels toepasbaar voor IAD’s met RE’s, omdat is gebleken dat op zeven
inhoudelijke gebieden de regels niet goed toepasbaar zijn. Op basis van het onderzoek van de auteur wordt de NOREA aanbevolen om een separate toelichting te schrijven op de betekenis, achtergrond en de invulling van de regels met, waar van toepassing, een toelichting die is toegespitst op IAD’s. Een belangrijk argument voor deze aanbeveling is dat de regels ten aanzien van de kernproblemen niet specifiek ingaan op een IAD situatie, gedetailleerd en complex zijn van aard of juist te abstract zijn. In een toelichting kunnen voorbeelden, toevoegingen, uitleg, definities en IAD specifieke situaties worden opgenomen om de zeven kernproblemen weg te nemen of in ieder geval te verminderen. Dit zou bijvoorbeeld in de vorm van een Handreiking kunnen. Daarin zou ook opgenomen kunnen worden hoe de regels zich verhouden tot de andere regels binnen de NOREA en tot relevante regels van andere beroepsorganisaties, zoals het IIA en het NIVRA. Andere elementen die in de Handreiking opgenomen kunnen worden, zijn het verplichte karakter van de regels en de noodzaak om te voldoen aan die regels. ■ Literatuur [DRIE04] Driessen, A.J.G. en Molenkamp, A. Operational auditing: een managementkundige benadering van internal auditing, Kluwer, 2004. [EIME06] Eimers, P. en Verkruijsse, H., Het ‘Stramien voor assurance-opdrachten’: een opmaat voor de toekomst, Maandblad voor Accountancy en Bedrijfseconomie, no. 12 (december), 2006. [FIJN05] Fijneman, R., Lindgreen, E. R., Veltman, P. (red.), Grondslagen IT-auditing, Sdu Uitgevers bv, 2005. [FIJN06] Fijneman, R., IT-auditor is meer dan controleur van informatietechnologie, Maandblad voor Accountancy en Bedrijfseconomie, no. 1/2 (januari/februari), 2006. [GORT02] Gortemaker, H., Waarderingsvraagstukken en de onafhankelijkheid van de accountant, Maandblad voor Accountancy en Bedrijfseconomie, juli/augustus, 2002. [IIA03] The Institute of Internal Auditors, Internal audit reporting relationships: serving two masters, IIA, 2003. [IIA04] IIA Nederland, Studierapport over de Internal Auditor in Nederland, Instituut van Internal Auditors Nederland, 2004.
[IIA07] The Institute of Internal Auditors, International Standards for the Professional Practice of Internal Auditing, IIA, 2007. [IIA08] IIA Nederland, De internal auditor in Nederland, postion paper update 2008, Instituut van Internal Auditors Nederland, 2008. [IFAC05-1] IFAC, International framework for assurance engagements, International Federation of Accountants, 2005. [IFAC05-2] IFAC, International standard on assurance engagements 3000: Assurance engagements other than audits or reviews of historical financial information, International Federation of Accountants, 2005. [JONK07] Jonker, R., IT-auditing: Third Party Mededelingen en SAS70-onderzoeken, Sdu Uitgevers bv, 2007. [LANG03] Langen, R.J.M. van, Professioneel kader van de TPM opdracht, Compact, no.3, 2003. [MAJO00] Majoor, G. C. M., Accountant en onafhankelijkheid: onlosmakelijk met elkaar verbonden, Maandblad voor Accountancy en Bedrijfseconomie, no. 12 (december), 2000. [MOLL08] Mollema, K.Y., Akoepedie voor auditors?, Erasmus Shool of Accounting & Assurance, 2008. [NIVR07-1] NIVRA, Handleiding Regelgeving Accountancy: Regelgeving voor de accountant, Nadere voorschriften Controle- en overige standaarden, Stramien voor Assuranceopdrachten, NIVRA, Amsterdam en de Nederlandse Orde van Accountants-Administratieconsulenten, 2007. [NIVR07-2] NIVRA, Handleiding Regelgeving Acountancy: Regelgeving voor de accountant, Nadere voorschriften Controle- en overige standaarden, Begrippenlijst. NIVRA, Amsterdam en de Nederlandse Orde van AccountantsAdministratieconsulenten, 2007. [NORE06] NOREA, Concept-richtlijn Oordelen van gekwalificeerde IT-auditors, NOREA, 2006. [NORE07] NOREA, Jaarboek 2007/2008, NOREA, 2007. [NORE08-1] NOREA, Raamwerk voor assurance-opdrachten door IT-auditors, NOREA, 2008. [NORE08-2] NOREA, Richtlijn 3000, Assurance-opdrachten door IT-auditors, NOREA, 2008. [PAAP05] Paape, L., Commandeur, H., Pijl, G. van der, Internal audit on the rise, Maandblad voor Accountancy en Bedrijfseconomie, no. 6 (juni), 2005. [PHEI07] Pheijffer, M., De totstandkoming van IFACstandaarden: de beste stuurlui staan aan wal, Maandblad voor Accountancy en Bedrijfseconomie, no. 6 (juni), 2007. [SAWY05] Sawyer, L.B., Dittenhofer, M.A., Scheiner, J.H., Sawyer’s internal auditing: the practice of modern internal auditing, Institute of Internal Auditors, 2005. [SCHI02] Schilder, A., Gortemaker, H., Manen, J., Waardenburg, Moderne accountantscontrole, Academic Service, 2002. [SHA04] Shahim, A. (red.), Kracht van de vernieuwing, visies op ICT, Academic Service, 2004. [VETH08] Veth, E., Externe assurance-regels voor het interne IT audit beroep: een onderzoek naar de mate waarin de
NOREA Assurance-regelgeving toepasbaar is voor Interne Audit Diensten met Register EDP-auditors, Universiteit van Amsterdam, 2008.
Drs. E. Veth RE is werkzaam als Audit Manager IT bij Risk & Audit Services van Cordares, onderdeel van de APG Groep. Hij heeft Bedrijfskundige Economie gestudeerd aan de Vrije Universiteit Amsterdam (VU) en de studie voor Executive Master of IT-Auditing afgerond aan de Universiteit van Amsterdam (UvA). Voor zijn afstudeerreferaat heeft hij onderzoek gedaan naar de mate waarin NOREA assurance-regelgeving toepasbaar is voor Interne Audit Diensten met Register EDP-auditors. Dit artikel is gebaseerd op het afstudeerreferaat.
de EDP-Auditor nummer 3 | 2009
29