ISAE 3402: Externe auditor niet langer nodig!

ISAE 3402: Externe auditor niet langer nodig!

D De Rapportagestandaard ISAE 3402 is inmiddels

een jaar geleden geïntroduceerd. Hoewel de standaard in grote lijnen overeenkomt met zijn voorganger SAS 70, zijn er ook verschillen. Deze

verschillen, waaronder de tekenbevoegdheid van

de Register EDP Auditor (de IT-auditor) bij een ISAE 3402-verklaring, bieden meer mogelijkheden voor de rol van de interne IT-auditor. De betrokkenheid van een externe auditor bij het afgeven van een

ISAE 3402-verklaring is in dat geval niet meer strikt noodzakelijk. In dit artikel wordt op basis van de

Nederlandse NOREA-vertaling van de ISAE 3402, genaamd Richtlijn 3402, uiteengezet hoe de

additionele mogelijkheden die ISAE 3402 aan interne RE’s biedt, ingevuld kunnen worden.

DENNIS BUITENDIJK EN ALEXANDER SLUITER

Bedrijven besteden al sinds jaar en dag activiteiten uit aan andere bedrijven. Om kosten te drukken, om zich beter te kunnen richten op de kernactiviteiten of om meer flexibiliteit in de eigen dienstverlening te creëren. Wanneer gebruikersorganisaties activiteiten uitbesteden, willen en moeten deze bedrijven zekerheden hebben dat de kwaliteit van de uitbestede dienstverlening voldoende is. Hierbij moeten dus onder andere de interne controle en de continuïteit op orde zijn. Wanneer de serviceorganisatie niet in staat is om de gewenste kwaliteit te leveren kan dat leiden tot  een continuïteitsrisico voor de gebruikersorganisatie. Het is voor de gebruikersorganisatie van belang om het risico op het optreden van verstoringen in de dienstverlening naar de eigen klanten zo beperkt mogelijk te houden. Verklaringen die de kwaliteit van de interne beheersing bij de serviceorganisatie bevestigen, zijn dan ook een veelgebruikt middel om inzicht te krijgen in de werking van interne beheersmaatregelen bij die serviceorganisatie. In dit artikel staan we stil bij een aantal in het oog springende verschillen tussen ISAE 3402 en SAS 70. Deze verschillen zijn al eerder benoemd in dit blad [EWAL10]. Wij

10

de IT-Auditor nummer 3 | 2012

constateren nog een belangrijk verschil dat niet eerder werd benoemd, te weten de rol die de intern opererende RE conform ISAE 3402 kan spelen, waardoor betrokkenheid van de externe auditor niet altijd meer nodig is. In dit artikel vatten wij de verschillen tussen SAS 70 en ISAE 3402 samen en gaan we daarna in op de mogelijkheden die deze bieden voor de praktijk. In de beschreven verschillen liggen kansen voor de organisatie om zelf transparant verantwoording af te leggen (het zogenaamde in control statement) met onafhankelijke assurance door de interne auditfunctie. Aan de hand van verschillende varianten voor de invulling van de rollen binnen een ISAE 3402-traject benoemen we de voor- en nadelen van de rolverdelingen en geven we aan welke randvoorwaarden gelden. We eindigen met een conclusie. SAS 70 Tot de introductie van ISAE 3402 was het Statement on Auditing Standards no. 70: Service Organizations, beter bekend onder de naam SAS 70, een veelgebruikt middel bij het geven van onafhankelijke assurance. De van origine Amerikaanse standaard SAS 70 heeft sinds de introductie wereldwijd een flinke groei doorgemaakt en

in veel sectoren bekendheid verworven als de meest gebruikte standaard voor het verkrijgen van (een redelijke mate van) zekerheid over de beheersing van uitbestede processen. In de SAS 70-standaard wordt geen uitsluitsel gegeven over de mate waarin een externe auditor gebruik mag maken van de inzet van de interne auditafdeling. Wel zijn de volgende mogelijkheden beschreven als wijze waarop de externe auditor gebruik kan maken van de inzet van de interne auditafdeling [EWAL09]: t

7JB
EF
[PHFOBBNEF
direct assistance, waarbij de medewerker van de interne auditafdeling wordt ingezet als deelnemer aan het auditteam. t

7JB
BBOQBTTJOH
WBO
nature, timing and extent van de werkzaamheden van de service auditor aan de door de interne auditafdeling uitgevoerde werkzaamheden. Bij het gebruikmaken van de diensten van de interne auditafdeling dient wel rekening gehouden te worden met de mate van expertise van de interne auditor en diens onafhankelijkheid,

zoals vastgelegd in de ‘Code of Ethics’ [NORE06]. Overigens geldt dit natuurlijk voor elke auditor wanneer deze auditwerkzaamheden uitvoert. De SAS 70-standaard schrijft niet voor op welke wijze de externe auditor moet verantwoorden of (en op welke wijze) er gebruikgemaakt wordt van de werkzaamheden van de interne auditor. ISAE 3402 In 2011 heeft de SAS 70 een internationale opvolger gekregen in de vorm van de ‘International Standard on Assurance Engagements 3402’, oftewel ISAE 3402. Figuur 1 toont een overzicht van de ISAE 3402-werkzaamheden. De ISAE 3402 vertoont op veel vlakken sterke gelijkenissen met de SAS 70-standaard. Bij nadere bestudering komt echter ook een aantal verschillen naar voren. Beide standaarden geven de mogelijkheid om gebruik te maken van het  werk van interne auditors. Het

verschil tussen beide standaarden is de wijze van verantwoording van dat werk. Onder de SAS 70-standaard hoeft geen uitsluitsel te worden gegeven over de werkzaamheden van interne auditors waar de externe auditor op steunt. In de ISAE 3402-standaard is vastgelegd dat, wanneer de externe auditor werk van de interne auditors gebruikt om er (delen van) zijn conclusie op te baseren, zowel deze werkzaamheden als de door de externe auditor gevolgde procedures ten aanzien van die werkzaamheden, beschreven moeten worden. In theorie is het onder de ISAE 3402-standaard mogelijk om de werkzaamheden van de externe auditor te beperken tot het uitvoeren van een review op de door de interne auditafdeling uitgevoerde werkzaamheden. In dat opzicht zijn de mogelijkheden in lijn met wat onder SAS 70 toegestaan is. Een ander verschil tussen ISAE 3402 en SAS 70 is het vereiste onder ISAE 3402 van een formele managementbewering over de beheersing. Van

Figuur 1: Overzicht van 3402-werkzaamheden

de IT-Auditor nummer 3 | 2012

11

het management wordt verwacht dat het een mededeling afgeeft over de interne beheersing. Het management behoort de beheersmaatregelen te monitoren om vast te stellen dat deze effectief zijn. De monitoring houdt in dat uitzonderingen worden gerapporteerd, tijdig correcties worden uitgevoerd en de effectiviteit ervan wordt beoordeeld. Deze monitoring kan plaatsvinden door continue activiteiten, separate evaluaties of een combinatie van beide [EWAL10]. Door de vereiste toevoeging van een formele managementbewering wordt niet alleen het management meer bewust gemaakt van haar verantwoordelijkheid ten aanzien van de beheersdoelstellingen en maatregelen, maar wordt ook meer transparantie gecreëerd. Het management legt namelijk expliciet en separaat verantwoording af, naast het oordeel van de auditor in het rapport. Dit is een wezenlijk verschil met de SAS 70-standaard waarin de conclusie van de externe auditor voldoende is. Een verdere verandering, die in het bijzonder van belang is voor de beroepsgroep IT-auditors, is dat met de introductie van de ISAE 3402-standaard ook officieel tekenbevoegdheid is ontstaan voor de Register EDP Auditor. De Nederlandse NOREA-vertaling van de ISAE 3402-standaard geeft de mogelijkheid aan de Register EDP Auditor om, gegeven een aantal randvoorwaarden, het dossier op te stellen en af te tekenen. Zoals al eerder in dit blad geconcludeerd, is hier sprake van een belangrijke wijziging voor ITBVEJUPST
[JK
XPSEFO
EBBSNFF
NFFS
dan voorheen gezien als een beroepsgroep op wiens oordeel kan worden vertrouwd [EWAL10]. Een ISAE 3402-rapport dient volgens de door IFAC omschreven ISAE 3402-standaard [IFAC10-1] door een professionele auditor in een publieke praktijk afgetekend te worden. Hierbij moet deze auditor voldoen aan de Code of Ethics for Professional Accountants [IFAC10-2] die is opge-

12

de IT-Auditor nummer 3 | 2012

steld door de International Ethics Standards Board for Accountants. Deze code wordt ook wel als de ‘IESBA Code’ aangeduid. In deze IESBA Code wordt een professionele auditor in een publieke praktijk omschreven als een persoon die lid is van de IFAC en daarnaast, ongeacht functie (bijvoorbeeld RE en/ of RA), behoort tot een onderneming die professionele diensten levert op het gebied van auditing, zoals een externe auditfirma. Dit leidt tot de conclusie dat volgens de ISAE 3402-standaard alleen medewerkers van commerciële kantoren ISAE 3402-verklaringen mogen ondertekenen. In de Nederlandse vertaling van de  ISAE 3402-standaard – bekend als Richtlijn 3402, opgesteld door  de  NOREA en NIVRA [NORE10]  – wordt echter de term ‘beroepsbeoefenaar’ gebruikt. Daarbij wordt door de NOREA specifiek verwezen naar de IT-auditor, mits deze voldoet aan het Reglement Gedragscode ‘Code of Ethics’ [NORE06]. Deze code is van toepassing op iedere in het RE-register ingeschreven IT-auditor. Hij schrijft kort gezegd voor dat de IT-auditor: t

JOUFHFS
JT
t

PCKFDUJFG
JT t

EFTLVOEJH
FO
[PSHWVMEJH
JT t

WFSUSPVXFMJKL
PNHBBU
NFU
EF
JOGPS NBUJF t

[JDI
QSPGFTTJPOFFM
HFESBBHU In de naar het Nederlands vertaalde standaard wordt dus geen koppeling gelegd met een externe auditfirma. Dit biedt mogelijkheden voor de interne IT-auditor, die zijn expertise op het vakgebied en zijn kennis over de serviceorganisatie kan inzetten. GEBRUIK WERKZAAMHEDEN INTERNE AUDITOR DOOR EXTERNE AUDITOR ONDER ISAE 3402 Een externe auditor van een serviceorganisatie, die wil steunen op de werkzaamheden van een interne

auditor, moet volgens Richtlijn 3402 een aantal zaken in acht nemen. Hij moet bijvoorbeeld inzicht verwerven in de kwaliteit van de interne auditfunctie. Zo moet hij bepalen of: t

EF
JOUFSOF
BVEJUGVODUJF
PCKFDUJFG
JT t

EF
JOUFSOF
BVEJUPST
WBLUFDIOJTDI
DPNQFUFOU
[JKO t

EF
XFSL[BBNIFEFO
NFU
WPMEPFOEF
professionele zorgvuldigheid XPSEFO
VJUHFWPFSE t

IFU
XBBSTDIJKOMJKL
JT
EBU
FS
FGGFDUJFWF
communicatie zal plaatsvinden tussen de interne auditors en de auditor van de serviceorganisatie. Vervolgens moet de externe auditor bepalen of en in welke mate er van de werkzaamheden van de interne auditors gebruik kan worden gemaakt. De aard en reikwijdte van de door de interne auditors uitgevoerde of uit te voeren werkzaamheden moeten overwogen worden. Ook moet er een afweging worden gemaakt of die werkzaamheden significant zijn voor de auditor van de serviceorganisatie. Tot slot wordt omschreven dat er een overweging moet worden gemaakt van de mate van subjectiviteit die is gehanteerd bij de evaluatie van de onderbouwende informatie, die ter ondersteuning van de conclusies is verzameld. ROLVERDELING Over de ISAE 3402-standaard en de werkzaamheden van de interne auditor is al veel geschreven. De auteurs hebben het dan vaak over werkzaamheden die ondersteunend zijn voor de verklaring van de externe auditor. Ook het Instituut van Internal Auditors Nederland (IIA) heeft een praktijkhandreiking geschreven over de ISAE 3402-standaard en de interne auditor [IIA11]. Hierin beschrijft dit instituut onder andere de mogelijke inzetmomenten van de interne auditor binnen een ISAE 3402 bij de serviceorganisatie. Deze inzetmomenten zijn als volgt te verdelen: t

7PPSBGHBBOE
BBO
IFU
*4"&USBKFDU
(ex-ante).

t

5JKEFOT
IFU
*4"&USBKFDU t

/B
BGHJGUF
WBO
IFU
SBQQPSU

FYQPTU  Het lijkt er op dat het IIA zich bij haar praktijkhandreiking laat leiden door de internationale standaard en niet door de Nederlandse vertaling. In de Nederlandse vertaling van de ISAE 3402 wordt immers geen onderscheid gemaakt tussen de interne en de externe auditor, maar wordt alleen de beroepsbeoefenaar genoemd , zijnde de RE in het geval van de op IT-processen van toepassing zijnde ISAE 3402. Deze additionele mogelijkheden vanuit de Nederlandse vertaling worden nergens expliciet in de praktijkhandreiking aangegeven, terwijl ze de interne IT-auditor juist op de kaart kunnen zetten. TEKENBEVOEGDHEID RE: EXTERN OF TOCH OOK INTERN? Onder de eisen die door Richtlijn 3402 gesteld worden aan de aanvaarding en continuering van Richtlijn 3402-opdrachten worden eigenschappen genoemd die bij uitstek van toepassing zijn op interne auditors. Zo wordt onder meer de eis gesteld, dat de auditor kennis heeft van de betreffende sector en inzicht heeft in informatietechnologie en -systemen. Bij de RE op een interne auditpositie zal deze kennis aanwezig zijn. Het is aannemelijk dat de kennis en het inzicht meer toegespitst zullen zijn op de situatie waarover de Richtlijn 3402-verklaring wordt afgegeven. Zoals gezegd, legt Richtlijn 3402 officieel de tekenbevoegdheid van de RE vast. Deze RE-tekenbevoegdheid is echter alleen in Nederland van toepassing. Immers, de Nederlandse vertaling maakt melding van ‘de beroepsbeoefenaar’ en alleen in Nederland is de beroepsaanduiding ‘Register EDP Auditor’ bekend en erkend en daarmee de tekenbevoegdheid verleend.

Richtlijn 3402 biedt een aantal rolverdelingen aan die bij de uitvoer van een 3402-opdracht gebruikt kunnen worden. Gegeven de tekenbevoegdheid van de RE zijn er zelfs situaties denkbaar waarbij er geen externe auditor nodig is! Er kan gebruikgemaakt worden van de RE die werkzaam is op een interne BVEJUBGEFMJOH
EF[F
JT
JNNFST
HFCPOden aan precies dezelfde Code of Ethics als de RE’s bij externe auditfirma’s. Om mogelijke perceptuele knelpunten te verkleinen, is er wel een aantal randvoorwaarden die in acht moeten worden genomen. De volgende randvoorwaarden borgen de onafhankelijkheid, deskundigheid en kwaliteit van werkzaamheden, verricht door een RE op een interne auditpositie: t

&FO
[PSHWVMEJH
HFGPSNVMFFSE
auditcharter borgt de onafhankelijke positie van de auditfunctie binnen een organisatie en is daarmee een middel om de integriteit en objectiviteit van het oordeel van een RE in een interne auditpositie verder te waarborgen. t

&FO
QFSJPEJFLF
toetsing door een beroepsorganisatie [NORE11-1]. Door de NOREA zijn in het Reglement Kwaliteitsbeheersing NOREA (RKBN) [NORE09] de kwaliteitsbeheersingmaatregelen beschreven, die van toepassing zijn op alle professionele diensten die RE’s verlenen. Hierbij is ‘professionele dienst’ gedefinieerd als: ‘De werkzaamheden die de IT-auditor uitvoert binnen een IT-auditorganisatie, waarvoor IT-auditdeskundigheid en deskundigheid op aanverwante terreinen is vereist.’ De wijze van toetsing is nader uitgewerkt in het Reglement Kwaliteitsonderzoek NOREA (RKON) [NORE11-2]. Inmiddels hebben de beroepsorganisaties van financial-, IT- en operational auditors (respectievelijk de NBA, de NOREA en het IIA) het initiatief genomen om tot een gezamenlijke kwaliteitstoets te komen.

Bij interne auditafdelingen, waarbinnen veelal meerdere auditdisciplines vertegenwoordigd zijn, kan daardoor bijvoorbeeld gebruik worden gemaakt van de toetsing door het Instituut van Internal Auditors Nederland (IIA). Deze beroepsorganisatie is al door de NBA geaccrediteerd om een gezamenlijke kwaliteitstoets voor interne auditfuncties uit te voeren. De vergelijkbare accreditatie door de NOREA is op moment van schrijven nog in behandeling. De Nederlandse tekst voor de ISAE 3402-standaard biedt dus mogelijkheden om op een andere manier dan voorheen invulling te geven aan Richtlijn 3402-opdrachten. We zullen hieronder deze mogelijkheden binnen een 3402-onderzoek verder uiteenzetten door zowel te beschrijven wat twee bekende, veel toegepaste rolverdelingen (varianten 1 en 2) zijn, als een tweetal voorbeelden te geven van mogelijke rolverdelingen (varianten 3 en 4) die nog niet eerder benoemd zijn in de literatuur. We hanteren hierbij een aantal uitgangspunten. Op basis van de hierboven beschreven theorie luiden deze als volgt: t

#FSPFQTCFPFGFOBBS
JT
EF
JO
IFU
SF
gister ingeschreven IT-auditor (RE). t

)FU
HBBU
PN
VJUCFTUFEJOHPQESBDIten door Nederlandse bedrijven of instellingen, uitgevoerd door Nederlandse organisaties. t

%F
WFSLMBSJOH
CFUSFGU
FFO
WFSLMBSJOH
over de IT-systemen en de bijbehorende processen. In de varianten zullen steeds de volgende drie onderwerpen c.q. vragen centraal staan: t

%F
NBOBHFNFOUNFEFEFMJOH
A8JF
ondersteunt deze?’). t

%F
XFSL[BBNIFEFO
POEFSTUFV
 nend voor het dossier van de 3402-verklaring (‘Wie kan deze uitvoeren?’). t

%F
WFSLMBSJOH
A8JF
TUFMU
deze op?’).

de IT-Auditor nummer 3 | 2012

13

MOGELIJKE ROLVERDELING BIJ DE SERVICEORGANISATIE Variant 1 In deze variant worden enkel werkzaamheden verricht door het management en de externe auditor. Voor variant 1 zal het management de werkzaamheden ten behoeve van het in control statement of de managementverklaring zelf uitvoeren of delegeren aan zijn eerste- en tweedelijns medewerkers. De externe auditor van de serviceorganisatie geeft de 3402 verklaring af. Hierbij maakt hij gebruik van de door het management uitgevoerde werkzaamheden (door middel van het uitvoeren van reviewwerkzaamheden) en eigen vaststellingen. Voorwaarde hierbij is dat de serviceorganisatie voldoende inzicht heeft in de eigen beheersing, door middel van monitoringactiviteiten. De medewerkers hebben voldoende tijd nodig om deze monitoring uit te kunnen voeren.

ook de interne auditor een rol. Doordat de interne IT-auditor meer kennis heeft van en inzicht in de bedrijfsvoering en bijbehorende secundaire processen dan de externe auditor, kan deze het management ondersteunen bij het afgeven van de managementmededeling over de beheersing. Op basis van de werkzaamheden van de interne IT-auditor zal het management in staat zijn een onderbouwde mededeling af te geven. Net als bij variant 1 geeft de externe IT-auditor (RE) op basis van zowel eigen onderzoek als de in control werkzaamheden van de business de verklaring af.

Voordelen: t

%F
JOUFSOF
BVEJUPS
WFS[PSHU
EF
werkzaamheden ten behoeve van de managementverklaring. De opdrachtgever maakt optimaal gebruik van de kennis en kunde van de auditor op het gebied van risicobeheersing. Voordelen: t

%F
SBQQPSUBHF
WBO
FFO
FYUFSOF
t

%F
TFSWJDFPSHBOJTBUJF
IFFGU
IBBS
auditor heeft voor sommige partijeigen beheersing en met name de en meer het karakter van een onafmonitoring daarvan op orde. hankelijk oordeel. Kennis is bij de organisatie zelf in huis (eerste- en tweedelijn). Nadelen: t

%F
SBQQPSUBHF
WBO
FFO
FYUFSOF
t

%F
LPTUFO
[JKO
IPPH
PNEBU
FFO
auditor heeft voor sommige partijgroot aandeel in de werkzaamen meer het karakter van een heden wordt uitgevoerd door de onafhankelijk oordeel. externe auditor. t

%F
CVTJOFTT
IFFGU
[FMG
NJOEFS
Nadelen: kennis nodig en hoeft de eigen t

%F
LPTUFO
[JKO
IPPH
PNEBU
FFO
monitoring niet op orde te hebben. groot aandeel in de werkzaamheden wordt uitgevoerd door de externe Variant 3 auditor. Er kunnen eventueel Het management van de serviceorgakosten bespaard worden door de nisatie wordt ondersteund door de interne auditor (indien aanwezig) externe IT-auditor bij het afgeven van op te nemen in het auditteam van de managementmededeling. De de externe auditor (zie ook de eer- externe accountant helpt bij het dere paragraaf ‘Rolverdeling’ zoals opstellen van de key controls en het het IIA deze benoemt). monitoren daarvan en maakt het t

&S
XPSEU
HFFO
HFCSVJLHFNBBLU
WBO
dossier op. Wanneer de externe de kennis die aanwezig is bij de auditor ook de externe accountant interne auditor. van de serviceorganisatie is, kan gebruikgemaakt worden van dezelfde Variant 2 werkzaamheden die ook voor de jaarIn deze variant speelt naast het rekeningcontrole van belang zijn (of management en de externe auditor de huisaccountant ook in de toe-

14

de IT-Auditor nummer 3 | 2012

komst verklaringen mag geven naast werkzaamheden uitvoeren voor de jaarrekening is overigens onderwerp van maatschappelijke discussie). Met andere woorden, het management geeft een mededeling af op basis van de werkzaamheden van de externe IT-auditor. De interne ITauditor geeft, als onafhankelijke beroepsbeoefenaar, de 3402-verklaring af. Door de hoge kosten voor inhuur lijkt deze variant eerder een  theoretische dan een praktisch haalbare. Voordeel: t

7PPS
EF[F
WBSJBOU
LVOOFO
XJK
HFFO
voordelen benoemen. Nadelen: t

%F
FYUFSOF
BVEJUPS
NPFU
[JDI
OPH
verdiepen in de business. t

& FO
WFSLMBSJOH
BGHFHFWFO
door een interne auditor heeft voor sommige partijen minder het karakter van een onafhankelijk oordeel. t

%F
IPPHTUF
LPTUFO
WFSHFMFLFO
NFU
de andere varianten) door inhuur van de externe auditor voor de werkzaamheden ten behoeve van de managementverklaring. t

%F
FYUFSOF
BVEJUPS
WFS[PSHU
EF
monitoring. De business heeft zelf minder kennis nodig en hoeft haar eigen monitoring niet op orde te hebben. Variant 4 In deze laatste variant worden de ‘in control’ werkzaamheden door de serviceorganisatie zelf uitgevoerd en geeft de interne IT-auditor de verklaring af. Wanneer deze werkwijze acceptabel is voor de ontvangende partij van de ISAE 3402-verklaring, kan hier behoorlijk op de kosten bespaard worden. Wel vraagt dit een serviceorganisatie die aantoonbaar ‘in control’ is. Dit houdt in dat er een degelijk framework met controlemaatregelen aanwezig is en dat de organisatie dit zelf monitort. Hierbij is een zekere mate van volwassenheid van de organisatie vereist.

variant 1

variant 2

‘in control’ werkzaamheden

eerste- en tweede lijn business

interne auditor

externe auditor

eerste- en tweede lijn business

verklaring management

management

management

management

management

ISAE 3402-verklaring

externe auditor

externe auditor

interne auditor

interne auditor

volwassenheid interne beheersing

variant 3

variant 4

+++

++

+

+++

mogelijke perceptie onafhankelijkheid

++

+++

++

+

gebruik interne kennis en kunde

++

++

+

+++

kosten

€€

€€

€€€

€

Tabel 1: Rolverdeling samengevat Voordelen: t

%F
TFSWJDFPSHBOJTBUJF
IFFGU
EF
FJHFO
beheersing en monitoring op orde. Kennis is bij de organisatie zelf in huis. t

*OUFSO
BBOXF[JHF
LFOOJT
FO
LVOEF
worden optimaal gebruikt. t

%F
MBBHTUF
LPTUFO
WFSHFMFLFO
NFU
de overige varianten, met name doordat geen externe auditor ingehuurd hoeft te worden.

Dit terwijl de verschillende Registerfuncties naar de buitenwereld uitdragen dat onder andere de gevoerde titel een hoge mate van kwaliteit en onafhankelijkheid waarborgt (zie ook de Code of Ethics), waarbij de gepresenteerde feiten voor waarheid mogen worden aangenomen. In de praktijk lijkt deze aanname, wanneer het gaat om assuranceverklaringen, ineens niet NFFS
PQ
UF
HBBO
EF
WFSLMBSJOH
WBO
FFO
intern opererende RE wordt (ook Nadelen: door beroepsgenoten!) niet zonder t

&FO
WFSLMBSJOH
BGHFHFWFO
meer voor waarheid aangenomen. door een interne auditor heeft voor Liever lijkt men een dossier en een sommige partijen minder het verklaring op het briefpapier van een karakter van een onafhankelijk oor- externe auditfirma te zien. Dit terwijl deel. de eisen en randvoorwaarden die aan 3&T
HFTUFME
XPSEFO
HFMJKL
[JKO
EF
3&
In tabel 1 is de rolverdeling binnen de die werkzaam is op een interne auditbenoemde varianten nog eens samen- afdeling moet aan dezelfde beroepsgevat. eisen voldoen als de externe auditor, ook voor wat betreft objectiviteit en ONAFHANKELIJKHEID deskundigheid. De (on)afhankelijkheid van de auditor speelt in ons vakgebied een Maar we kunnen niet zomaar voorbelangrijke rol. Een voor de hand lig- bijgaan gaan aan de perceptie van gend argument tegen het inzetten van verminderde onafhankelijkheid wande varianten 3 en 4, waarin een neer het een interne RE betreft. Daar interne auditor een 3402-opdracht ligt voor het vakgebied dan ook een uitvoert, is dat de interne auditfunctie uitdaging om de gebruikersorganisaminder onafhankelijk zou kunnen tie en haar accountant te overtuigen zijn. Er wordt daarbij al snel gerede- van de kwaliteit en onafhankelijkheid neerd dat de interne auditor bij zijn die verbonden zijn aan het voeren werkgever (de serviceorganisatie) op van de beroepsaanduiding RE. Bij de loonlijst staat en dat er dientenge- het maken van de afspraken voor een volge sprake is van financiële afhanke- verklaring zal de interne RE aan lijkheid. Wanneer daarbij ook het moeten tonen dat hij voldoende kwalogo van de serviceorganisatie aanwe- liteit bezit en voldoet aan alle eisen zig is op het assurancerapport, kan dit zoals deze al eerder in dit artikel de perceptie van verminderde onaf- genoemd zijn. De aansluiting bij het hankelijkheid versterken. IIA en de kwaliteitstoets kunnen

hierbij een belangrijke rol spelen, vooral ook bij het aantoonbaar maken van kwaliteit en onafhankelijkheid. Wanneer de gebruikersorganisatie vertrouwen heeft in de kwaliteit van de interne RE en de interne auditfunctie als geheel, kan ook het kostenaspect meegenomen worden bij het overtuigen. Door de overlap van werkzaamheden kunnen de kosten omlaag vergeleken met de kosten voor een verklaring door een externe auditor.   CONCLUSIE Volgens de literatuur brengt de invoering van Richtlijn 3402 als belangrijke wijziging met zich mee dat ook de IT-auditor mag tekenen. Tot nu toe werd in de literatuur niet vermeld dat de Richtlijn spreekt over de ‘beroepsbeoefenaar’ en dat daarmee, mits aan specifieke voorwaarden wordt voldaan, ook mogelijkheden bestaan voor de interne RE. Het vakgebied ziet de ISAE 3402-standaard eerder als een update van de SAS 70 dan als een wezenlijk andere standaard. Zoals uiteengezet in dit artikel zien wij geen vaktechnische bezwaren om, gegeven de randvoorwaarden die daaraan gesteld worden, als internal auditfunctie assurance te verschaffen over de managementverklaring van de eigen organisatie. Hierbij dient wel rekening te worden gehouden met de perceptie van de ontvangende partij. Wanneer het logo van de serviceorganisatie aanwezig is op het assurancerapport, kan de onafhankelijkheid van de auditor in twijfel getrokken worden door de ontvangende

de IT-Auditor nummer 3 | 2012

15

QBSUJK
JO
QSJODJQF
WBLHFOPUFO
VJU
IFU
een aanjager voor een verbeterde beheersing van de bedrijfsvoering. auditwerkveld. Wanneer de gebruikersorganisatie en haar accountant overtuigd kunnen worden van de kwaliteit van de interne auditfunctie van de serviceorganisatie hebben de interne auditfunctie – en de RE in het bijzonder – met de introductie van Richtlijn 3402 meer mogelijkheden gekregen om toegevoegde waarde te bieden. En dat niet alleen voor de organisatie waarbinnen zij opereren, maar ook voor de overige stakeholders bij een assurancetraject. Haar kennis van het bedrijf en de bijbehorende processen, in combinatie met de factoren onafhankelijkheid en deskundigheid, maken de interne auditfunctie bij uitstek geschikt om een ISAE 3402-verklaring af te geven. Het feit dat het management voor de verantwoording moet tekenen, kan werken als

ISAE 3402 biedt met name aan de interne auditfunctie en de daarbinnen opererende RE uitstekende mogelijkheden om onafhankelijke assurance te geven bij de verantwoording die een organisatie zelf aflegt. Dit sluit  aan bij andere ontwikkelingen binnen het vakgebied, zoals de kwaliteitscertificering door NOREA en in het verlengde daarvan de onderlinge accreditatie van NOREA, NBA en IIA. Daarnaast sluiten deze mogelijkheden aan bij eisen die wet- en regelgeving stellen aan de interne audit functie, zoals bijvoorbeeld Solvency II voor verzekeraars, of Basel II/III voor banken. Gebruikmaken van deze mogelijkheden versterkt de positie van de RE, die daarmee zowel zichzelf als de interne auditfunctie beter op de kaart kan zetten. ■

Ing. D. N. (Dennis) Buitendijk EMITA werkt als IT-auditor bij Coöperatie VGZ, (voorheen UVIT). Daarvoor werkte hij bij Ernst & Young. Dennis is lid van de IIA Commissie Young Professionals. Dit artikel is geïnspireerd op de scriptie waarmee hij in 2011 de IT Audit opleiding aan de Vrije Universiteit Amsterdam afrondde.

Drs. A. F. (Alexander) Sluiter RE is werkzaam als Senior IT-auditor bij Univé Verzekeringen. Daarvoor werkte hij onder andere bij UVIT (Univé-VGZ-IZA-TRIAS) en Deloitte. Alexander rondde in 2008 zijn IT Audit opleiding aan de Vrije Universiteit Amsterdam af.

16

de IT-Auditor nummer 3 | 2012

Literatuur [EWAL09] Zekerheid bij uitbesteding, Drs. R.Ch.T. Ewals RE, Handboek IT-Auditing, februari 2009. [EWAL10] ISAE 3402: Een nieuw hoofdstuk voor de IT-auditor, René Ewals, IT-Auditor, nummer 3, 2010. [IFAC10-1] International Federation of Accountants, International Standard on Assurance Engagements (ISAE) 3402 assurance reports on controls at a service organization, 2010 http://www.ifac.org [IFAC10-2] International Federation of Accountants, Handbook of the code of ethics for professional accountants, 2010 http://www.ifac.org [IIA11] Instituut Internal Auditors (IIA), ISAE 3402 en de Internal Auditor, praktijkhandleiding, 2011. [NORE06] NOREA, Reglement Gedragscode (‘Code of Ethics’), 2006 http://www.norea.nl [NORE09] NOREA, Reglement Kwaliteitsbeheersing NOREA (RKBN), 2009 http://www.norea.nl [NORE10] NOREA, NOREA richtlijn 3402 assurancerapporten betreffende interne beheersingsmaatregelen bij een serviceorganisatie, 2010 http://www.norea.nl [NORE11-1] NOREA, Introductie Kwaliteitsonderzoek NOREA, 2011. http://www.norea.nl [NORE11-2] NOREA, B4.2 – Stappenplan Kwaliteitsonderzoek NOREA, http://www.norea.nl