8. 8
JvP/JV/VU
MEI/2010
Organisatie van het beroep - Ethiek, gedrags- en beroepsregels
Institutionele spaghetti: Assurance providers
• NOREA / NIVRA / NOvAA / ISACA / IIA / …
• AFM
• CTK
• Raad van Tucht / Accountantskamer / Klachtencommissie
• IFAC / IASB / IAASB
• FEE
• Raad voor Jaarverslaggeving
• Commissie Controlevraagstukken en Richtlijnen
• Ministerie van Financiën / Ministerie van Justitie
• BFT / DNB / FIOD-ECD (witwassen)
• Europese Commissie
• Education Standards IFAC / IAESB
9. 9
JvP/JV/VU
MEI/2010
Organisatie van het beroep - Ethiek, gedrags- en beroepsregels
Toezichthouders te vaak ‘zelfrijzend bakmeel’
• Tijdens de begrotingbehandeling van 2006.
• CDA-kamerlid Frans de Nerée:
– ‘Er is een wildgroei aan instellingen die namens de
overheid toezicht houden op een soms wel heel specifiek
terrein’.
– ‘De grootste van de toezichthouders lijken steeds meer
op zelfrijzend bakmeel: Als je niet goed oplet dan
worden ze steeds groter’.
10. 10
JvP/JV/VU
MEI/2010
Organisatie van het beroep - Ethiek, gedrags- en beroepsregels
Beleidsvervetting: Assurance providers
(Voorbeeld accountants)
• ISA / ISQ 1 / IFRS / Code of Ethics
• COS / Richtlijnen RJ
• Achtste richtlijn EG
• WRA / WTAA / WTA / BTA / WTRA
• Wet Toezicht Financiële Verslaggeving
• Wet MOT / WID
• VGC
• Regels toetsing integriteit bestuurders
• Verordening Accountantsorganisaties
• Verordening kwaliteitstoetsing
• Verordening beroepsprofiel
11. 11
JvP/JV/VU
MEI/2010
Organisatie van het beroep - Ethiek, gedrags- en beroepsregels
Beleidsvervetting: Assurance providers
(Vervolg accountants)
• Verordening accountantskantoren met assurance diensten
• Verordening accountantskantoren zonder assurance
diensten
• Onafhankelijkheid intern accountant
• Onafhankelijkheid overheidsaccountant
• Onafhankelijkheid openbaar accountant
• Controle en overige standaarden
• Inrichting en beheersing accountantsafdeling
• Permanente Educatie
15. 15
JvP/JV/VU
MEI/2010
Organisatie van het beroep - Ethiek, gedrags- en beroepsregels
Opzet
• Bestuur
• Commissie Vaktechniek
• Ad hoc Commissie Herziening Beroepsregels
• Raad voor de Beroepsethiek
• En vele anderen
16. 16
JvP/JV/VU
MEI/2010
Organisatie van het beroep - Ethiek, gedrags- en beroepsregels
Nieuwe opzet: Aanleiding
• IFAC affiliate membership
• Reglement Gedragscode v.v. GBRE
• IFAC-gerichtheid
– Ook NL-alignment (NIVRA)
– Eigen smaak!
• Behoefte aan voorlichting / cursus
17. 17
JvP/JV/VU
MEI/2010
Organisatie van het beroep - Ethiek, gedrags- en beroepsregels
Opzet: ‘ Het Huis’
•C1 Raamwerk
Assurance-
opdrachten
•C2 Richtlijn
Assurance-
opdrachten
A1 Statuten
• A2 Huishoudelijk
reglement
• A3 Reglement van
toelating
• A4 Reglement
Beroepsethiek
• A5 Reglement van
Tucht
• A6 Reglement van
beroep
• A7 Richtlijn PE
• A8 Regeling Over-
stappers en
herintreders
B1 Reglement Gedragscode
• E Advies
Invulling in
ontwikke-
ling
B2 Reglement Beroepsbeoefening
• G Uitvoeringsrichtlijnen
(Opdrachtaanvaarding, Documentatie)
• H Handreikingen (ZekeRE Business, ZekeRE Zorg);
studierapporten, Handboek en 'De IT-Auditor'
B3 Reglement KwaliteitsBeheersing NOREA
• DAudit
Assessment
Review
Quick Scan
Beoordeling
Analyse
• F ‘Niet-Actief’
(zoals In
business of
gepensioneerd)
[Geen invulling] –
[B2 en B3 n.v.t.]
18. 18
JvP/JV/VU
MEI/2010
Organisatie van het beroep - Ethiek, gedrags- en beroepsregels
Ethiek
•C1 Raamwerk
Assurance-
opdrachten
•C2 Richtlijn
Assurance-
opdrachten
A1 Statuten
• A2 Huishoudelijk
reglement
• A3 Reglement van
toelating
• A4 Reglement
Beroepsethiek
• A5 Reglement van
Tucht
• A6 Reglement van
beroep
• A7 Richtlijn PE
• A8 Regeling Over-
stappers en
herintreders
• E Advies
Invulling in
ontwikke-
ling
B2 Reglement Beroepsbeoefening
• G Uitvoeringsrichtlijnen
(Opdrachtaanvaarding, Documentatie)
• H Handreikingen (ZekeRE Business, ZekeRE Zorg);
studierapporten, Handboek en 'De IT-Auditor'
B3 Reglement KwaliteitsBeheersing NOREA
• DAudit
Assessment
Review
Quick Scan
Beoordeling
Analyse
• F ‘Niet-Actief’
(zoals In
business of
gepensioneerd)
[Geen invulling] –
[B2 en B3 n.v.t.]
B1 Reglement Gedragscode
19. 19
JvP/JV/VU
MEI/2010
Organisatie van het beroep - Ethiek, gedrags- en beroepsregels
Reglement Gedragscode a.k.a. Code of Ethics
Hoofdstukindeling:
• A-100 Inleiding en fundamentele beginselen
• A-110 Integriteit
• A-120 Objectiviteit
• A-130 Deskundigheid en zorgvuldigheid
• A-140 Geheimhouding
• A-150 Professioneel gedrag
20. 20
JvP/JV/VU
MEI/2010
Organisatie van het beroep - Ethiek, gedrags- en beroepsregels
A-100 Inleiding en fundamentele beginselen
Artikel A-100.1
De IT-auditor aanvaardt te allen tijde de
verantwoordelijkheid op te treden in het algemeen
belang en behartigt dientengevolge niet uitsluitend
de belangen van een individuele opdrachtgever.
Daartoe neemt de IT-auditor bij zijn optreden deze
Code in acht en handelt in overeenstemming
daarmee.
Artikel A-100.3
… Deze Code is van toepassing op iedere in het
RE- register ingeschreven IT-auditor.
21. 21
JvP/JV/VU
MEI/2010
Organisatie van het beroep - Ethiek, gedrags- en beroepsregels
A-110.4 Fundamentele beginselen
De IT-auditor neemt de volgende fundamentele beginselen in acht:
a) Integriteit
De IT-auditor treedt in zijn beroepsmatige en zakelijke betrekkingen
eerlijk en oprecht op.
b) Objectiviteit
De IT-auditor accepteert niet dat zijn professioneel of zakelijk oordeel
wordt aangetast door een vooroordeel, belangentegenstelling of
ongepaste beïnvloeding door een derde.
c) Deskundigheid en zorgvuldigheid
De IT-auditor houdt zijn deskundigheid en vaardigheid op het niveau
dat is vereist om aan een opdrachtgever professionele diensten te
kunnen verlenen in overeenstemming met actuele ontwikkelingen in de
praktijk, wetgeving en vaktechniek. De IT-auditor handelt bij het
verlenen van professionele diensten zorgvuldig en in overeenstemming
met de van toepassing zijnde vaktechnische en overige
beroepsvoorschriften.
22. 22
JvP/JV/VU
MEI/2010
Organisatie van het beroep - Ethiek, gedrags- en beroepsregels
A-110.4 Fundamentele beginselen
d) Geheimhouding
De IT-auditor eerbiedigt het vertrouwelijke karakter van informatie die
hij in het kader van zijn beroepsmatig en zakelijk handelen heeft
verkregen. Hij maakt deze informatie zonder specifieke machtiging
daartoe niet aan een derde bekend, tenzij wettelijk of beroepshalve een
recht of plicht daartoe bestaat. Het is de IT-auditor niet toegestaan
vertrouwelijke informatie die hij bij zijn beroepsmatig of zakelijk
handelen heeft verkregen, te gebruiken om zichzelf of een derde te
bevoordelen.
e) Professioneel gedrag
De IT-auditor houdt zich aan de voor hem relevante wet- en regelgeving
en onthoudt zich van handelen dat het auditberoep in diskrediet brengt.
Bij samenloop van functies dient een zodanige zorgvuldigheid in acht
genomen te worden dat de relatie tussen het optreden c.q. het uiting
geven als Register EDP-auditor en de andere functie ondubbelzinnig
bepaald is.
Deze fundamentele beginselen zijn gedetailleerd besproken in de
artikelen A-110 tot en met artikel A-150.
23. 23
JvP/JV/VU
MEI/2010
Organisatie van het beroep - Ethiek, gedrags- en beroepsregels
Bedreigingen
Artikel A-100.5
De IT-auditor handelt in overeenstemming met het
conceptueel raamwerk bij iedere door hem
gesignaleerde bedreiging die niet van te
verwaarlozen betekenis is en bij de naar aanleiding
daarvan getroffen waarborgen die deze bedreiging
wegnemen of terugbrengen tot een aanvaardbaar
niveau.
24. 24
JvP/JV/VU
MEI/2010
Organisatie van het beroep - Ethiek, gedrags- en beroepsregels
Bedreigingenlijst
Artikel A-100.10
Het scala aan bedreigingen is groot. Een bedreiging valt doorgaans in één of
meerdere van de volgende categorieën:
a. bedreiging als gevolg van eigenbelang: Dit is de bedreiging die ontstaat uit een
financieel of ander belang van de IT-auditor dan wel van een gezins- of naast
familielid van hem;
b. bedreiging als gevolg van zelftoetsing: Dit is de bedreiging die ontstaat indien de
IT-auditor zijn eigen werkzaamheden of het resultaat daarvan beoordeelt;
c. bedreiging als gevolg van belangenbehartiging: Dit is de bedreiging die ontstaat
indien de IT-auditor op een zodanige wijze een standpunt verdedigt dat
objectiviteit in het gedrang komt;
d. bedreiging als gevolg van vertrouwdheid: Dit is de bedreiging die ontstaat indien
er een nauwe band bestaat tussen de IT-auditor en zijn opdrachtgever of indien de
IT-auditor te veel sympathie koestert voor de belangen van een ander;
e. bedreiging als gevolg van intimidatie: Dit is de bedreiging die ontstaat indien de
IT-auditor door feitelijke of vermeende dreigementen wordt afgehouden van
objectief handelen.
25. 25
JvP/JV/VU
MEI/2010
Organisatie van het beroep - Ethiek, gedrags- en beroepsregels
Stelling
• De internal auditor is per definitie onafhankelijker
dan de externe
• De externe auditor is per definitie onafhankelijker
dan de interne
26. 26
JvP/JV/VU
MEI/2010
Organisatie van het beroep - Ethiek, gedrags- en beroepsregels
Waarborgen
Artikel A-100.11
Waarborgen die een bedreiging wegnemen of tot een aanvaarbaar niveau terugbrengen
zijn globaal in twee categorieën te verdelen:
a) waarborgen tot stand gebracht door de wetgever, de NOREA of andere regelgevers; en
b) waarborgen in de werkomgeving.
Artikel A-100.12
De waarborgen tot stand gebracht door de wetgever, de NOREA of andere regelgevers
omvatten onder meer:
a. regelgeving ten aanzien van Corporate- en/of IT-Governance;
b. eisen voor inschrijving in het RE-register ter zake van, opleiding, ervaring
en goed gedrag;
c. eisen ten aanzien van de permanente educatie;
d. vaktechnische en overige beroepsvoorschriften;
e. stelsel van kwaliteitsbeheersing;
f. externe beoordeling van de door de IT-auditor uitgevoerde assurance en daaraan
verwante opdrachten;
g. klacht- en tuchtrecht.
27. 27
JvP/JV/VU
MEI/2010
Organisatie van het beroep - Ethiek, gedrags- en beroepsregels
Nog een paar
Artikel A-140.1
• De IT-auditor onthoudt zich van:
• a. het buiten de auditpraktijk waarbij hij werkzaam is
of waaraan hij is verbonden of buiten de organisatie
waarbij of ten behoeve waarvan hij werkzaam is,
bekend maken van vertrouwelijke informatie, die hij in
het kader van zijn beroepsmatig en zakelijk optreden
heeft verkregen, tenzij hij is gemachtigd tot
bekendmaking over te gaan of wettelijk dan wel
beroepshalve daartoe een recht of plicht bestaat; en
• b. het gebruikmaken van vertrouwelijke informatie die
hij in het kader van zijn beroepsmatig en zakelijk
handelen heeft verkregen om zichzelf of een derde te
bevoordelen.
28. 28
JvP/JV/VU
MEI/2010
Organisatie van het beroep - Ethiek, gedrags- en beroepsregels
Artikel A-140.6
• De IT-auditor houdt zich aan zijn geheimhoudingsplicht
ook na het beëindigen van de verbintenis met een cliënt of
met een organisatie waarbij of ten behoeve waarvan hij
werkzaam is.
Wanneer een IT-auditor van werkgever verandert of
nieuwe opdrachten verwerft, is het hem toegestaan gebruik
te maken van de bij zijn eerdere werkzaamheden verkregen
kennis en opgedane ervaring. De vertrouwelijke informatie
die De IT-auditor tijdens deze eerdere werkzaamheden
heeft verkregen mag hij niet gebruiken of bekendmaken.
29. 29
JvP/JV/VU
MEI/2010
Organisatie van het beroep - Ethiek, gedrags- en beroepsregels
Stelling
• Een IT-auditor mag niet aangeven op basis van
welke ervaringsgronden zij/hij deskundig is
30. 30
JvP/JV/VU
MEI/2010
Organisatie van het beroep - Ethiek, gedrags- en beroepsregels
Artikel A-140.2
• De IT-auditor houdt zich in zijn sociale omgang
ook aan zijn geheimhoudingsplicht.
• De IT-auditor is erop bedacht dat bij een
langdurige omgang met een zakenrelatie, een
gezinslid of een naast familielid de mogelijkheid
bestaat onopzettelijk te handelen in strijd met zijn
geheimhoudingsplicht.
31. 31
JvP/JV/VU
MEI/2010
Organisatie van het beroep - Ethiek, gedrags- en beroepsregels
Stelling
• Een auditor moet niet langer dan (totaal) zes
maanden per jaar bij een klant over de vloer
komen
32. 32
JvP/JV/VU
MEI/2010
Organisatie van het beroep - Ethiek, gedrags- en beroepsregels
Reglement Beroepsbeoefening
•C1 Raamwerk
Assurance-
opdrachten
•C2 Richtlijn
Assurance-
opdrachten
A1 Statuten
• A2 Huishoudelijk
reglement
• A3 Reglement van
toelating
• A4 Reglement
Beroepsethiek
• A5 Reglement van
Tucht
• A6 Reglement van
beroep
• A7 Richtlijn PE
• A8 Regeling Over-
stappers en
herintreders
B1 Reglement Gedragscode
• E Advies
Invulling in
ontwikke-
ling
• G Uitvoeringsrichtlijnen
(Opdrachtaanvaarding, Documentatie)
• H Handreikingen (ZekeRE Business, ZekeRE Zorg);
studierapporten, Handboek en ‘De EDP-Auditor’
B3 Reglement KwaliteitsBeheersing NOREA
• DAudit
Assessment
Review
Quick Scan
Beoordeling
Analyse
• F ‘Niet-Actief’
(zoals In
business of
gepensioneerd)
[Geen invulling] –
[B2 en B3 n.v.t.]
B2 Reglement Beroepsbeoefening
33. 33
JvP/JV/VU
MEI/2010
Organisatie van het beroep - Ethiek, gedrags- en beroepsregels
RBB
Doelstelling
• Artikel 1.
Regels inzake de beroepbeoefening hebben tot doel uitvoering te geven
aan het gestelde in de Statuten (artikel 4, 1c.) en het Reglement
Gedragscode voor IT-auditors ("Code of Ethics", artikelen A100.3 en
A100.12) op grond waarvan door de Orde nadere beroepregels alsmede
regels over de toepassing van fundamentele beginselen voor de
beroepsbeoefening kunnen worden uitgevaardigd.
Deze artikelen beogen te bewerkstelligen dat een voldoende niveau van
beroepsbeoefening van de individuele Register EDP-auditor (‘IT-
auditor') kan worden gewaarborgd en evt. bedreigingen van de
fundamentele beginselen worden weggenomen.
Verplichting Register EDP-auditor
• Artikel 2.
Ingevolge artikel 12 van de Statuten dient de IT-auditor het door het
Bestuur gepubliceerde Reglement Beroepsbeoefening IT-auditors in
acht te nemen.
34. 34
JvP/JV/VU
MEI/2010
Organisatie van het beroep - Ethiek, gedrags- en beroepsregels
RBB (II)
Onderwerpen in kader beroepsbeoefening
• Artikel 3.
Krachtens het Reglement Beroepsbeoefening IT-auditors zullen ten
minste de volgende onderwerpen in nadere richtlijnen worden
behandeld:
• het raamwerk en de richtlijn voor assurance-opdrachten
• opdrachtverwerving en -aanvaarding;
• dossiervorming en -beheer;
• rapportage en (verplichte formulering inzake) Oordelen
• verplichte permanente educatie;
• Artikel 4.
Het Bestuur kan, naast de onderwerpen als vermeld in artikel 3,
overgaan tot het publiceren van aanvullende onderwerpen of van een
nadere onderverdeling van de in artikel 3 genoemde onderwerpen
indien dat noodzakelijk wordt geacht voor het realiseren van de
doelstelling als vermeld in artikel 1.
35. 35
JvP/JV/VU
MEI/2010
Organisatie van het beroep - Ethiek, gedrags- en beroepsregels
RBB (III)
Richtlijnen
• Artikel 5
Onderwerpen als bedoeld in de artikelen 3 en 4 met een dwingend karakter zullen nader
worden uitgewerkt in door de Orde uit te geven Richtlijnen voor de IT-auditor.
• Artikel 6.
De in artikel 5 bedoelde Richtlijnen vormen een onverbrekelijk geheel met dit Reglement.
Karakter van Richtlijnen
• Artikel 7.
Richtlijnen hebben een dwingend karakter. De IT-auditor is derhalve gehouden de
Richtlijnen te volgen.
Vaststelling Richtlijnen
• Artikel 8.
Richtlijnen worden als ontwerp voorgelegd aan de leden. Na een commentaarperiode legt
het Bestuur de (aangepaste) Richtlijn ter vaststelling voor aan de Algemene Vergadering.
Publicatie Richtlijnen
• Artikel 9.
Richtlijnen worden door het Bestuur, gehoord hebbende de Algemene Vergadering,
gepubliceerd
36. 36
JvP/JV/VU
MEI/2010
Organisatie van het beroep - Ethiek, gedrags- en beroepsregels
RBB (IV)
Handreikingen
• Artikel 10.
Naast de in artikel 5 genoemde Richtlijnen kan het Bestuur over gaan tot het doen van Handreikingen
voor de IT-auditor indien dat noodzakelijk wordt geacht voor het realiseren van de doelstelling als
vermeld in artikel 1.
• Artikel 11.
De in artikel 10 bedoelde Handreikingen vormen een onverbrekelijk geheel met dit Reglement.
Karakter van Handreikingen
• Artikel 12.
Handreikingen bevatten richtinggevende beschrijvingen van methoden, technieken of normen.
Afwijkingen van een handreiking moeten worden gemotiveerd en gedocumenteeerd.
Vaststelling Handreikingen
• Artikel 13.
Handreikingen worden vastgesteld door het bestuur, nadat de Vaktechnische Commissie advies heeft
uitgebracht
Publicatie Handreikingen
• Artikel 14.
Handreikingen worden door het Bestuur, rekening houdend met het ontvangen commentaar,
gepubliceerd.
37. 37
JvP/JV/VU
MEI/2010
Organisatie van het beroep - Ethiek, gedrags- en beroepsregels
RBB (V)
Studies
• Artikel 15.
Naast de Richtlijnen (artikel 5) en handreikingen (artikel 10) worden de
overige uitingen betreffende IT-audit als ‘studie' aangemerkt.
Saai?
Ja. Get over it. You ain’t seen nothing yet.
38. 38
JvP/JV/VU
MEI/2010
Organisatie van het beroep - Ethiek, gedrags- en beroepsregels
Reglement KwaliteitsBeheersing NOREA
B2 Reglement Beroepsbeoefening
•C1 Raamwerk
Assurance-
opdrachten
•C2 Richtlijn
Assurance-
opdrachten
A1 Statuten
• A2 Huishoudelijk
reglement
• A3 Reglement van
toelating
• A4 Reglement
Beroepsethiek
• A5 Reglement van
Tucht
• A6 Reglement van
beroep
• A7 Richtlijn PE
• A8 Regeling Over-
stappers en
herintreders
B1 Reglement Gedragscode
• E Advies
Invulling in
ontwikke-
ling
• G Uitvoeringsrichtlijnen
(Opdrachtaanvaarding, Documentatie)
• H Handreikingen (ZekeRE Business, ZekeRE Zorg);
studierapporten, Handboek en ‘De EDP-Auditor’
• DAudit
Assessment
Review
Quick Scan
Beoordeling
Analyse
• F ‘Niet-Actief’
(zoals In
business of
gepensioneerd)
[Geen invulling] –
[B2 en B3 n.v.t.]
B3 Reglement KwaliteitsBeheersing NOREA
39. 39
JvP/JV/VU
MEI/2010
Organisatie van het beroep - Ethiek, gedrags- en beroepsregels
RKBN: Kwaliteitssysteem
• De IT-auditorganisatie dient een zodanig systeem van
kwaliteitsbeheersing op te zetten dat een redelijke
mate van zekerheid wordt geboden, dat de organisatie
en haar personeel voldoen aan de vaktechnische
richtlijnen en de door wet- en regelgeving gestelde eisen
en dat de door de organisatie of haar voor opdrachten
verantwoordelijke professional afgegeven rapporten
onder de gegeven omstandigheden voldoen aan de
reglementen, richtlijnen en handreikingen die door
NOREA zijn uitgevaardigd.
40. 40
JvP/JV/VU
MEI/2010
Organisatie van het beroep - Ethiek, gedrags- en beroepsregels
Inhoud
• Het kwaliteitsbeheersingssysteem van de IT-
auditorganisatie dient gedragslijnen en
procedures te bevatten gericht op de volgende
aspecten:
1. Verantwoordelijkheid van de leiding voor kwaliteit
binnen de auditorganisatie.
2. Ethische normen.
3. Aanvaarden en voortzetten van de relatie met
opdrachtgevers en van specifieke opdrachten.
4. Personeelsbeleid.
5. Uitvoering van de opdrachten.
6. Het monitoren.
42. 42
JvP/JV/VU
MEI/2010
Organisatie van het beroep - Ethiek, gedrags- en beroepsregels
Assurance
A1 Statuten
• A2 Huishoudelijk
reglement
• A3 Reglement van
toelating
• A4 Reglement
Beroepsethiek
• A5 Reglement van
Tucht
• A6 Reglement van
beroep
• A7 Richtlijn PE
• A8 Regeling Over-
stappers en
herintreders
B1 Reglement Gedragscode
• E Advies
Invulling in
ontwikke-
ling
B2 Reglement Beroepsbeoefening
• G Uitvoeringsrichtlijnen
(Opdrachtaanvaarding, Documentatie)
• H Handreikingen (ZekeRE Business, ZekeRE Zorg);
studierapporten, Handboek en 'De IT-Auditor'
B3 Reglement KwaliteitsBeheersing NOREA
• DAudit
Assessment
Review
Quick Scan
Beoordeling
Analyse
• F ‘Niet-Actief’
(zoals In
business of
gepensioneerd)
[Geen invulling] –
[B2 en B3 n.v.t.]
•C1 Raamwerk
Assurance-
opdrachten
•C2 Richtlijn
Assurance-
opdrachten
43. 43
JvP/JV/VU
MEI/2010
Organisatie van het beroep - Ethiek, gedrags- en beroepsregels
Twee delen
• Raamwerk:
• Omschrijving, randvoorwaarden, uitgangspunten, etc.
• Waaronder definitie
• Richtlijn:
• Beschrijving, proces-inhoudelijke elementen
44. 44
JvP/JV/VU
MEI/2010
Organisatie van het beroep - Ethiek, gedrags- en beroepsregels
Raamwerk
• Definitie en doelstellingen
• Reikwijdte
• Opdrachtaanvaarding
• 5 elementen van assurance-opdracht
45. 45
JvP/JV/VU
MEI/2010
Organisatie van het beroep - Ethiek, gedrags- en beroepsregels
Definitie
• Een ‘assurance-opdracht’ is een opdracht waarbij
een IT-auditor een conclusie formuleert die is
bedoeld om het vertrouwen van de beoogde
gebruikers, niet zijnde de verantwoordelijke partij,
in de uitkomst van de evaluatie van of de toetsing
van het object van onderzoek ten opzichte van de
toetsingsnormen, te versterken.
46. 46
JvP/JV/VU
MEI/2010
Organisatie van het beroep - Ethiek, gedrags- en beroepsregels
Uitkomst van de evaluatie
• De informatie die het gevolg is van de toepassing
van de toetsingsnormen op het object van
onderzoek:
• Betrouwbaarheid van de presentatie en toelichting
in een verantwoording;
• Mate waarin het object voldoet aan de vooraf
overeengekomen normen
• Bewering omtrent effectiviteit van systeem van
interne beheersingsmaatregelen
47. 47
JvP/JV/VU
MEI/2010
Organisatie van het beroep - Ethiek, gedrags- en beroepsregels
Twee soorten uitkomsten
• Redelijke mate van zekerheid
• Beperkte mate van zekerheid
• Bepaalt werk; om opdrachtrisico tot een
aanvaardbaar laag niveau terug te brengen!
• Discussie: Werkt dit ..?
48. 48
JvP/JV/VU
MEI/2010
Organisatie van het beroep - Ethiek, gedrags- en beroepsregels
Reikwijdte
• (In Raamwerk:) negatieve begrenzing
• Niet: Aan assurance verwante opdrachten
• Niet: Consultancy- en adviesopdrachten, zoals
managementadviezen
• Discussie: Wat is wat ..?
49. 49
JvP/JV/VU
MEI/2010
Organisatie van het beroep - Ethiek, gedrags- en beroepsregels
Reikwijdte (vervolg)
Geen assurance, dan:
• Niet indruk wekken (cf. Raamwerk/ Richtlijn)
• Niet noemen ‘zekerheid’, ‘controle’ of ‘beoordeling’
• Geen conclusie die kan worden opgevat als
een conclusie die is bedoeld om het vertrouwen van de
beoogde gebruikers, niet zijnde de verantwoordelijke
partij, in de uitkomst van de evaluatie of de toetsing
van het object van onderzoek ten opzichte van de
toetsingsnormen te versterken
50. 50
JvP/JV/VU
MEI/2010
Organisatie van het beroep - Ethiek, gedrags- en beroepsregels
De vijf elementen
• Drie partijen
• Geschikt object
• Toepasbare toetsingsnormen
• Toereikende assurance-informatie
• Schriftelijk rapport
51. 51
JvP/JV/VU
MEI/2010
Organisatie van het beroep - Ethiek, gedrags- en beroepsregels
Drie partijen
• Beroepsbeoefenaar (Rw) / IT-auditor (Ri)
• Verantwoordelijke partij
• Direct reporting: verantw voor object onderzoek
• Assertion-based: verantw voor bewering
• Soms opdrachtgever
• Beoogde gebruiker(s)
• Kan tot zelfde entiteit behoren als verantwoordelijke
• Dus niet zelfde partij
• Kan verantwoordelijke zijn; hoeft niet
52. 52
JvP/JV/VU
MEI/2010
Organisatie van het beroep - Ethiek, gedrags- en beroepsregels
Toepasbare toetsingsnormen
• Eisen:
• Relevantie (voor conclusie)
• Volledigheid ( ,, ,,)
• Betrouwbaarheid (redelijke consistente evaluatie)
• Neutraliteit (onbevoordeeldheid)
• Begrijpelijkheid (eenduidigheid)
• Generiek (wet®elgeving, gezaghebbende opstellers)
of specifiek
• Beschikbaar voor beoogde gebruikers
53. 53
JvP/JV/VU
MEI/2010
Organisatie van het beroep - Ethiek, gedrags- en beroepsregels
Richtlijn 3000 Assurance
• Ethische normen
• Kwaliteitsbeheersing
• Planning en uitvoering
• Beoordelen aanvaard-
baarheid object
• Beoordelen toepas-
baarheid criteria
• Materieel belang en
opdrachtrisico
• Gebruik van deskundigen
• Assurance-informatie
• Bevestiging
verantwoordelijke
• Documentatie
• Opstellen van rapport
• Inhoud van rapport
• Conclusies (Oordelen)
55. 55
JvP/JV/VU
MEI/2010
Organisatie van het beroep - Ethiek, gedrags- en beroepsregels
Stellingen
• De Richtlijn Assurance is fijn voor de jaarrekening
maar alle opdrachten die ik doe, weet ik er wel
omheen te praten
• Als het geen Assurance-opdracht is, ben ik vrij te
doen wat ik wil
56. 56
JvP/JV/VU
MEI/2010
Organisatie van het beroep - Ethiek, gedrags- en beroepsregels
Ixtern, Entern
Maar waar
zitten de
verschillen
tussen interne
en externe
auditors …?
57. 57
JvP/JV/VU
MEI/2010
Organisatie van het beroep - Ethiek, gedrags- en beroepsregels
Is onderzocht
• http://www.norea.nl/readfile.aspx?ContentID=54174&ObjectID=522997&Type=1&File=0000026428_P22-29.pdf
(Google: Veth assurance)
• Er is geen verschil …!
• Hooguit nuance:
• Extern:
Soms assurance
Collisie
Onafhankelijkheid?
• Intern:
Separate opdrachten?
Collisie
Vertrouwdheid?