Van de redactie

Themanummer Assurance

18 december 2019 Thomas Wijsman
PDF
In dit artikel:

De vaste redactie van de IT-Auditor is bijzonder ingenomen met de inhoud van dit themanummer over assurance. Daar zijn twee redenen voor. Ten eerste ligt de behoefte aan assuranceverlening over ICT (ons unique selling point) ten grondslag aan de geboorte van ons beroep. Omdat de RE op dat terrein steeds meer een publieke taak krijgt, is het tijd om enkele actuele en fundamentele piketpaaltjes te slaan. Ten tweede heeft dit nummer een veel rijkere inhoud dan we vooraf hadden verwacht. De speciaal voor dit themanummer geworven gastredactie, bestaande uit Ronald van Langen en René Ewals, is vanaf het begin zeer voortvarend te werk gegaan. Het tweetal, voorzitters van respectievelijk de Vaktechnische Commissie en de Commissie Beroepsregels, is erin geslaagd in korte tijd een groep collega’s enthousiast te maken om artikelen te schrijven. Het resultaat: vier degelijke inhoudelijke artikelen, alle vier met een inhoud die rechtstreeks relevant is voor ons auditwerk. En verder twee bijdragen in de rubrieken ‘Een dag uit het leven van’ en ‘NOREA-commissies stellen zich voor’. Ook deze bijdragen staan in het teken van assurance: we volgen gedurende één dag een van onze collega die IT-audits voor de jaarrekeningcontrole doet en we maken kennis met de voor assurance direct relevante commissie Beroepsregels.

Uiteindelijk ligt het oordeel natuurlijk bij u, lezer van ons blad, maar wat ons betreft was dit een geslaagd experiment, dat voor herhaling vatbaar is. Hierdoor aangemoedigd zien we graag suggesties tegemoet voor andere onderwerpen waar we themanummers voor zouden kunnen samenstellen. Ook houden we ons aanbevolen voor spontane aanmeldingen van gastredacteuren en voor tips welke collega’s we zouden kunnen benaderen. Ze zelf even polsen kan natuurlijk ook.

Dan nu over naar de inhoud.

Han Boer schept in zijn artikel ‘Rapportages voor derden: Welke vorm past het best?’ duidelijkheid over de vraag wat en hoe een IT-auditor aan derde partijen moet rapporteren. Hij behandelt de NOREA-richtlijnen: 4401, 3402 en 3000 (A en D) en de Amerikaanse standaarden SOC 1 en SOC 2. Ook SAS70, de voorloper van 3402, komt aan de orde. Han breekt een en passant een lans voor de herintroductie van een oude bekende: de Third Party Mededeling.

Ronald van Langen zet in zijn artikel ‘Nieuwe opzet 3402-rapport nader verklaard’ de belangrijkste aanpassingen in de templates voor 3402-rapporten voor ons op een rijtje. Kenmerkend is dat de 3402-rapportages nu starten met het oordeel en eindigen met de verantwoordelijkheden van de auditor. Dit maakt de 3402- rapporten consistent met de controleverklaringen bij financiële overzichten.

Carlijn Frins en Jeroen Franco schetsen in ‘SOC 2: Update van de NOREA SOC Guide’ recente aanpassingen in de SOC Guide van NOREA. De wijzigingen waren dringend nodig omdat de eerdere guide al uit 2016 stamde. De vernieuwde guide is aangepast aan de sinds die tijd gewijzigde Trust Services Criteria (TSC) – onder meer is aan de TSC een set privacy-criteria toegevoegd – en aan het bredere gebruik van SOC2- en SOC3-rapportages dat hierdoor mogelijk is geworden.

Bram van der Heijden bespreekt in zijn artikel ‘Verkorte uitkeringstermijn Depositogarantiestelsel: Regelgeving en eerste ervaringen met assurance’ de ambitie van DNB om vanaf 2019 de uitkeringstermijn van het depositogarantiestelsel (DGS) in te korten tot maximaal zeven werkdagen. Bram doet ons aanbevelingen op basis van de eerste ervaringen met ISAE 3402-assurancerapporten type1 (opzet en bestaan) over de procedures en maatregelen van de banken rond DGS.

Michelle Kroon-Bakker, werkzaam bij de Aduditdienst Rijk, schetst een dag uit haar leven als IT-auditor, betrokken bij de jaarrekeningcontrole. Ze laat zien dat de werkzaamheden van een IT-auditor bij de Rijksoverheid zeer divers zijn.

René Ewals, ten slotte, stelt de NOREA-commissie Beroepsregels aan ons voor. De commissie blijkt allerminst te hebben stilgezeten. Onderwerpen waarmee de zes man sterke commissie aan de slag is gegaan zijn de templates voor de Richtlijnen 3000A en 3000D en 3402, onze Code of Ethics, de SOC-handreiking en een handreiking voor het gebruikmaken van de interne auditfunctie bij (assurance-)onderzoeken. Ook heeft de commissie verkend welke (toekomstige) mogelijkheden er zijn om data-analyse en artificiële intelligentie in onze onderzoeken toe te passen.

Geen categorie
Thomas Wijsman

Drs. Th. (Thomas) Wijsman RE | coach en strategisch adviseur

Gepokt en gemazeld bij de Algemene Rekenkamer is Thomas Wijsman nu actief als coach en strategisch adviseur. Hij is opgeleid in IT, IT-audit, pyschologie en coaching, en combineert zo hard en soft skills. Onlangs adviseerde hij de Georgische Rekenkamer over IT-auditaanpak en inrichting van de IT-auditfunctie. Daarnaast is hij actief in verschillende commissies van Norea.