Jaarrekeningcontrole en risicomanagement in de cloud

14 maart 2016
In dit artikel:

Accountants en IT-auditors krijgen bij de auditwerkzaamheden voor de jaarrekeningcontrole steeds vaker te maken met cloudapplicaties die door externe dienstverleners worden beheerd voor hun opdrachtgevers. Volgens kritische rapporten blijkt dat accountants in de praktijk moeite hebben met de complexiteit die voorkomt bij het auditen van externe dienstverleners. Cloudgerelateerde issues die de accountant en de IT-auditor tegenkomen in het kader van management control en de jaarrekeningcontrole zijn nog relatief onderbelicht. Dit artikel belicht enkele aandachtpunten bij de toepassing van de controlestandaard NV COS 402 in relatie tot de interne beheersingsmaatregelen bij de externe dienstverlener.

De accountant wil voor zijn controlewerkzaamheden kunnen steunen op assurancerapporten van IT-serviceorganisaties en de integriteit van de data uit cloudapplicaties. Volgens kritische rapporten blijkt dat accountants in de praktijk moeite hebben met de complexiteit die voorkomt bij het auditen van externe dienstverleners. [AFM14-2], [KPMG12], [BLOK11] Cloudgerelateerde issues die de accountant en de IT-auditor tegenkomen in het kader van management control en de jaarrekeningcontrole zijn nog relatief onderbelicht. Het is de vraag of de accountant zich voldoende bewust is van de veranderingen in risico’s naarmate de samenwerking met ketenpartners (externalisatie) stijgt. De toenemende globalisering, de opkomst van de informatie-economie en samenwerking in ketenverband hebben de rol van IT in het bedrijfsleven drastisch veranderd. Internet is de basis geworden van nieuwe ondernemingsmodellen, nieuwe processen en nieuwe manieren voor het distribueren van kennis. Uiteindelijk leiden deze ontwikkelingen tot nagenoeg volledig gedigitaliseerde organisaties waarin de processen, informatiesystemen en relaties met de klant digitaal zijn geregeld.

Vraag is of de accountant zich voldoende bewust is van veranderingen in risico’s

 

Het toenemende gebruik van informatietechnologie heeft ook geleid tot een toename van bijbehorende risico’s. Hierdoor is een groeiende behoefte aan zekerheid ontstaan bij de partijen die op de een of andere manier afhankelijk zijn van ICT. De ontwikkelingen op het gebied van de cloud brengen aanvullende risico’s met zich mee ten opzichte van traditionele oplossingen. Steeds vaker wordt de accountant geconfronteerd met applicaties die kritisch zijn voor de financiële processen en die gehost worden in een cloudomgeving. Binnen de beschikbare literatuur over de cloud wordt veel geschreven over security en privacy, maar minder over governance- en assuranceaspecten.

Sommige experts voorspellen dat binnen vijf tot tien jaar zo’n 90 procent van de wereldwijde computing en dataopslag via de cloud plaats zal vinden, terwijl cloudapplicaties in de komende vijf jaar een voorspelde vijfvoudige groei zullen doormaken. Hoewel de belofte van financiële besparingen als aantrekkelijk lokmiddel geldt voor cloudcomputing, liggen de beste kansen voor de cloud waarschijnlijk bij bedrijven die processen willen stroomlijnen en innovatie willen vergroten. [CHUN11] Op deze wijze wordt de productiviteit verhoogd en worden bedrijfsprocessen getransformeerd met middelen die voorheen zonder cloud te duur waren. Organisaties kunnen zich meer richten op hun kernactiviteiten zonder zich zorgen te hoeven maken over de schaalbaarheid van de informatie-infrastructuur. Het oplossen van pieken in bedrijfseisen qua uitvoering kan makkelijk worden bereikt door middel van cloudcomputing, wat vertaald wordt naar betrouwbare back-ups, meer tevreden klanten, een verhoogde schaalbaarheid en hogere marges.

Uitbesteding van IT volgens NV COS 402

IT-applicaties in scope van de jaarrekeningcontrole zijn steeds vaker uitbesteed aan een externe dienstverlener of, zoals de NV COS dit noemt een ‘serviceorganisatie’. [NORE14] Ook de Cloud Service Provider (CSP) valt onder de noemer van serviceorganisatie. Indien sprake is van uitbesteding van (een deel) van de IT-omgeving is de NV COS Standaard 402 van toepassing. Deze standaard luidt: ‘Overwegingen met betrekking tot controles van entiteiten die gebruik maken van een serviceorganisatie’. [NBA15-1] Deze standaard behandelt de verantwoordelijkheid van de accountant voor het verkrijgen van voldoende en geschikte controle-informatie wanneer een organisatie gebruik maakt van de diensten van een of meer serviceorganisaties.

Voor een goede risicoanalyse is voldoende inzicht nodig in de processen en diensten van de serviceorganisatie. Als blijkt dat deze diensten invloed hebben op de transactiestromen of financiële administratie en/of een belangrijk onderdeel uitmaken van de interne beheersing van de gecontroleerde organisatie, dan is inzicht vereist in de beheersingsmaatregelen bij de serviceorganisatie. NV COS 402 kan zodoende gezien worden als een handleiding voor de werkzaamheden die de accountant moet verrichten, wanneer hij wil steunen op een externe dienstverlener en wanneer deze relevant zijn voor de controle van de financiële rapportages van een organisatie en de daarmee verband houdende bedrijfsprocessen.

In eerste instantie moet de accountant begrijpen welke diensten de externe serviceprovider verleent en hoe hij deze diensten verleent (NV COS 402.9). Hiervoor kan de accountant gebruikmaken van de overeenkomst met de serviceprovider, technische handleidingen van de applicatie of informatie verzamelen door middel van een interview met de applicatiebeheerder. De volgende stap (NV COS 402.10) is het beoordelen van de opzet van de interne beheersingsmaatregelen bij de klant (dus niet de serviceprovider). En als derde stap (NV COS 402.11) vereist de standaard dat de accountant evalueert of hij voldoende inzicht heeft in de aard en omvang van de dienstverlening en de opzet van de interne beheersing bij de serviceprovider. De werking van de beheersing is hier nog niet aan de orde. Wanneer de accountant voldoende inzicht heeft verworven in de aard van de dienstverlening, is het zaak om te bepalen hoe hij de ingeschatte risico’s op een afwijking van materieel belang gaat afdekken.

In de praktijk ziet men steeds vaker dat de serviceorganisatie een ISAE 3402-rapport verschaft aan haar klanten om aan hun behoefte aan assurance op de dienstverlening te kunnen voldoen. De reikwijdte van ISAE 3402 beslaat voornamelijk de financiële controlewerkzaamheden van de accountant in het kader van de jaarrekening. Alle processen die een materieel effect hebben op de jaarrekening moeten dan zijn opgenomen. In het algemeen geldt dat een ISAE 3402-verklaring nuttig is indien een derde partij (een deel van) de AO/IB uitvoert.

De controlestandaarden zoals beschreven in de NV COS zijn verankerd in richtlijnen. [SCHE14] Wanneer sprake is van cloudgebaseerde applicaties zullen er additionele risico’s van toepassing kunnen zijn in vergelijking tot uitbesteding van applicaties die in een traditioneel datacenter worden gehost. Deze verschillen zouden inzichtelijk gemaakt moeten worden door de controlerend accountant, waarbij de accountant dient te evalueren of de beheersingsmaatregelen relevant zijn voor de controle-informatie die hij nodig heeft om zijn risico-inschatting te kunnen ondersteunen.

Cloudrisico’s

Risicomanagement in de cloud is een topic dat sterk in de belangstelling staat. Cloud-risico’s, specifiek die relevant zijn voor de controlewerkzaamheden van de accountant in het kader van de jaarrekening, is een onderwerp waar nog niet veel over is geschreven.

Chung identificeert in zijn artikel drie specifieke kenmerken van cloudcomputing die verschillen van de traditionele on-premise IT en een impact hebben op de jaarrekeningcontrole, namelijk external data storage and processing, sharing of IT resources with other customers en dependency on public internet. [CHUN11] In zijn artikel verkent Chung de impact van deze cloudspecifieke kenmerken op de General IT-Controls waar de accountant doorgaans op steunt bij de controle van de jaarrekening en formuleert hij aandachtspunten voor gebruikersorganisaties en accountants om deze risico’s te kunnen mitigeren. In een ‘KPMG management alert’ worden eveneens mogelijke risico’s geïdentificeerd met een impact op de controlewerkzaamheden: ease of changeability, immediacy, disconnect/deviation of controls with existing IT governance framework, complex arrangements between entity and cloud service providers en ease of transportability of data. De risico’s beschreven in de twee bovenstaande bronnen hebben vele overeenkomsten. [KPMG12]

Cloudspecifieke kenmerken hebben Impact op General IT-Controls

 

Samengevat, de cloud brengt door haar specifieke kenmerken een aantal additionele risico’s met zich mee waaraan de accountant aandacht hoort te besteden bij zijn onderzoek naar de interne beheersingsmaatregelen bij de serviceorganisatie. Dit zijn de flexibele locatie van de data, multi-tenancy, snelheid en gemak van het aanpassen van de IT-infrastructuur, complexe structuur van CSP’s en beheersingsmaatregelen die afwijken van het IT-governanceframework van de gebruikersorganisatie.

Enkele aandachtspunten

Op welke wijze kan de accountant in de praktijk omgaan met de geldende voorschriften en met mogelijke cloudrisico’s indien hij te maken krijgt met een cloudapplicatie binnen de scope van de jaarrekeningcontrole en bij het versterken van management control?

Verwerven van inzicht

Een belangrijke observatie is de noodzaak voor zowel accountant als IT-auditor om een goed inzicht te verwerven in de auditsituatie. Dit omvat een goed begrip van de diensten en beheersingsprocessen van de CSP, de verantwoordelijkheden van de gebruikersorganisatie, de relevante bestaande processen van de gebruikersorganisatie en de impact op de ingeschatte risico’s van de jaarrekening. Zonder dit inzicht bestaat mogelijk het risico dat de accountant onvoldoende controle-informatie ter beschikking krijgt om de beweringen uit de financiële oordeelsvorming te toetsen. Het verwerven van voldoende inzicht is een investering die zowel de IT-auditor als de controlecliënt tijd kost. Deze investering kan het beste plaatsvinden tijdens de planningsfase van de controleopdracht. Op deze manier kan er tijdig worden ingespeeld op eventuele bevindingen die de algehele aanpak van de controle mogelijk beïnvloeden.

In de praktijk gebeurt dit te weinig. Wanneer een serviceorganisatie in beeld komt en een derden-verklaring beschikbaar is, dan documenteert de accountant deze verklaring vaak bijna achteloos als zijnde voldoende controle-informatie voor de dienstverlening van de serviceorganisatie. Hij laat dan na om een goed begrip te verkrijgen van de aard en impact van de dienstverlening op de interne beheersing van de gebruikende entiteit en de flow van de transacties van en naar de gebruikersorganisatie. Ook evalueert de accountant niet altijd voldoende op welke manieren in te spelen op risico’s in relatie tot afwijkingen van materieel belang. Dit is voor auditors geen nieuws, want ook de AFM is eerder tot eenzelfde conclusie gekomen in het ‘Rapport naar aanleiding van AFM-onderzoek naar kwaliteit accountantscontrole en stelsel van kwaliteitsbeheersing en -bewaking bij negen OOB-vergunninghouders’. [AFM13-2] Met andere woorden, de accountant heeft zich in deze situaties onvoldoende kritisch opgesteld ten opzichte van een door de cliënt ingeschakelde serviceorganisatie en zodoende onvoldoende zekerheid verkregen dat hij kan steunen op de interne beheersingsmaatregelen bij die serviceorganisatie.

Beoordelen van een derdenverklaring

De derdenverklaring in de vorm van een ISAE 3402 type 2-rapport kan de accountant gebruiken om te steunen op de interne beheersingsmaatregelen bij de externe serviceorganisatie. De accountant zou een kritische houding moeten aannemen bij de evaluatie van een dergelijke rapportage. Vaak hanteert de accountant de verkeerde vooronderstelling dat een goede beheersing bij de IT-serviceprovider automatisch inhoudt dat alles goed zal blijven verlopen; dit hoeft natuurlijk niet altijd het geval te zijn.

Er zijn gevallen waarin de accountant klakkeloos het type 2-rapport in het dossier documenteert en concludeert dat hij kan steunen op de dienstverlening van de serviceorganisatie, terwijl bij nader inzien de verklaring niet op de betreffende diensten betrekking had. Of dat de derden-verklaring niet op de gehele controleperiode betrekking had, of dat er geen follow-up is gepleegd over de periode die niet gedekt werd door de rapportage. Het is zaak om bij elk individueel onderzoek goed na te denken over de specifieke risico’s die per serviceorganisatie en per dienstverlening kunnen verschillen en na te gaan wat mogelijk de consequenties kunnen zijn van uitbesteding van cruciale IT-processen op essentiële bedrijfsprocessen. Bij voorkeur zal de accountant een IT-auditor inschakelen die ervaring heeft met het auditen van CSP’s en werkervaring heeft op het gebied van NV COS 402. De IT-auditor blijkt in de praktijk echter soms nog onvoldoende werkzaamheden uit te voeren om de gewenste zekerheid te verkrijgen volgens de betreffende richtlijnen die de toezichthouder stelt aan de controle-informatie en de documentatie hiervan.

Accountant documenteert derden-verklaring vaak bijna achteloos als zijnde voldoende controle-informatie

 

Flexibele locatie van de data en software

Bij verwerking van persoonsgegevens is in Nederland de Wet bescherming persoonsgegevens (Wbp) van toepassing. De Wbp stelt vorm- en inhoudelijke eisen aan de afspraken tussen de CSP en de gebruikersorganisatie. Een van die eisen is dat de serviceprovider persoonsgegevens vertrouwelijk behandelt en adequaat beveiligt. Voor de jaarrekening vormt dit een compliance-risico, het niet voldoen aan wet- en regelgeving. Voor het management van de gebruikersorganisatie is dit ook een risico, want die blijft eindverantwoordelijk voor de verwerking van de gegevens. Als de gebruikersorganisatie zijn personeelsgegevens door een serviceorganisatie laat verwerken en vervolgens blijkt dat dit niet volgens de privacywetgeving gebeurt, kunnen daar gevolgen uit voortvloeien in de vorm van boetes voor de opdrachtgever.

In het geval dat privacygevoelige informatie in het buitenland wordt opgeslagen, iets wat in het geval van een public cloud vaak van toepassing is, moet de CSP zelfs aan alle regels in alle verschillende landen voldoen. Sterker nog, privacygevoelige gegevens mogen niet in landen buiten de EU worden opgeslagen tenzij sprake is van een passend beschermingsniveau in dat land. Men kan zich voorstellen dat wanneer klantgegevens in een public cloud-omgeving staan en zich over de hele wereld kunnen bevinden, het voor de gebruiker een moeilijke opgave is om aan te tonen dat hij compliant is.

Het management van de gebruikersorganisatie is vaak niet op de hoogte van zijn verantwoordelijkheid om aan de Wbp te voldoen. Voor het management is een belangrijke reden om diensten uit te besteden juist dat de serviceorganisatie beter in staat wordt geacht om aan de geldende regelgeving te voldoen. Hier ligt een taak voor de accountant om het management zich ervan bewust te laten worden dat het te allen tijde verantwoordelijk is voor eigen gegevens ook al zijn deze in beheer bij een CSP. Als auditor zie je graag dat de gebruikersorganisatie ‘in control’ is van zijn data en ook weet in welke landen zijn data verblijft. De auditor zou bij elke engagement in situaties waar de cloud een rol speelt even stil moeten staan bij dit risico en in het dossier zijn werkzaamheden plus de evaluatie van zijn bevindingen op dit punt vastleggen. In de praktijk blijkt dit niet altijd voldoende uit de documentatie in het controledossier.

Delen van middelen met andere gebruikers

Multi-tenancy is het delen van fysieke middelen, administratieve diensten en software door verschillende klanten. In een multi-tenancy omgeving ligt de nadruk veel meer op de logische scheiding tussen de verschillende tenants (klanten) dan op de fysieke scheiding. Wanneer de accountant en de IT-auditor een cloudapplicatie tegenkomen, hebben zij inzicht nodig in de organisatorische en technische aspecten van de multi-tenancy omgeving en de bijbehorende risico’s en de beheersmaatregelen die de serviceorganisatie hiervoor heeft genomen. Vaak wordt multi-tenancy gezien als een security issue en daarom lijkt de impact op de jaarrekeningcontrole van minder belang. Vervuiling van data door onvoldoende scheiding tussen de virtuele layers van de tenants kan echter wel degelijk een risico voor de jaarrekening vormen. Ook zijn er voorbeelden uit de praktijk bekend waarbij door menselijke fouten deze scheiding tijdelijk lek was, met als gevolg dat gebruikers data te zien kregen die niet voor hen bestemd was. Op basis hiervan dienen bij cloud-omgevingen de risico’s wat betreft multi-tenancy te worden geëvalueerd.

Beheersing bij aanpassen infrastructuur

De identificatie van cloud services die relevant zijn voor de audit kan moeilijker worden doordat clouddiensten op eenvoudige wijze buiten de IT-afdeling om ingekocht kunnen worden. De IT-afdeling is in feite niet meer nodig om de applicatie te installeren en onderhouden. Dit heeft tot gevolg dat de IT-afdeling ook niet meer kan meedenken over de IT-risico’s die deze applicaties met zich meebrengen en niet betrokken wordt bij de contractuele afspraken hierover met de CSP. Het komt in de praktijk voor dat cloudapplicaties pas door de IT-afdeling opgemerkt worden op het moment van security monitoring wanneer de SaaS-applicatie (software as a service) gebruikt wordt door de gebruikers van de eigen organisatie. Of dat IT pas op het laatste moment wordt ingeschakeld als toegang tot de firewall nodig is. Hier is een taak weggelegd voor zowel de accountant als de IT-auditor om het management bewust te maken van de risico’s die schuilen in het ongecontroleerd implementeren van cloudapplicaties zonder de betrokkenheid van de IT-afdeling of een interne IT-auditor.

Complexe structuur CSP’s

CSP’s hebben vaak onderdelen van hun dienstverlening uitbesteed aan subcontractors. Als deze subcontractors diensten verlenen die relevant zijn voor de processen rondom de financiële rapportage bij de audit cliënt, dient de accountant ook hierover voldoende zekerheid te verkrijgen om te kunnen steunen op de rapportages over deze applicaties. Door inspectie van het ISAE 3402-rapport is vast te stellen of er sprake is van subcontractors in scope voor de jaarrekeningcontrole. Eventueel kan de conclusie zijn dat de beschikbare 3402 type 2-verklaring onvoldoende zekerheid biedt om te kunnen steunen op de dienstverlening en de IT-auditor follow-up-onderzoek moet uitvoeren. Zowel opdrachtgevers als accountants zijn niet altijd voldoende scherp op de interne beheersingsmaatregelen bij de subcontractors. Dit sluit aan bij het beeld dat het AFM-rapport schetst, waar 3402-rapportages soms zonder kritische evaluatie in het controledossier worden gedocumenteerd. Meer bewustwording bij alle betrokkenen is nodig om beter om te gaan met deze risico’s.

Afstemming cloudomgeving met het IT-governanceframework

Een auditor verwacht dat een applicatie in de cloud voor zover mogelijk wordt meegenomen in het IT-governanceframework. Als de CSP niet afdoende beheersmaatregelen heeft genomen om de risico’s in het IT-governanceframework van de gebruiker af te dekken, zou de auditor van de gebruikersorganisatie moeten verlangen dat die het resterende risico evalueert en indien nodig aanvullende beheersmaatregelen neemt. Vaak wordt deze match tussen het bestaande IT-governanceframework en de beheersmaatregelen van de CSP echter niet gemaakt.

Vele organisaties maken juist de keuze voor het gebruik van serviceorganisaties omdat deze beter zijn in het beheersen van processen en risico’s dan de gebruikersorganisatie zelf. Het management is zich er echter soms niet voldoende van bewust dat zij zelf nog steeds aansprakelijk zijn/blijven als er iets mis gaat. Zij blijven bijvoorbeeld verantwoordelijk voor de compliance met de Wbp, en mocht de serviceorganisatie niet correct omgaan met persoonsgegevens, dan kan de gebruikersorganisatie hiervoor aansprakelijk worden gesteld. Maar ook andere risico’s kunnen een rol spelen. Onvoldoende controle over het doorvoeren van software changes kan bijvoorbeeld impact hebben op de integriteit van de data van de gebruikersorganisatie. De accountant kan het management bewust maken van deze risico’s door bijvoorbeeld opmerkingen in de managementletter te plaatsen.

Nieuwe privacywetgeving vanuit de EU en de introductie van de Wet meldplicht datalekken, die op 1 januari 2016 in werking is getreden, kunnen serieuze gevolgen hebben voor organisaties die niet compliant zijn, onder meer in de vorm van boetes of reputatieschade. Het uitbesteden van de opslag van persoonlijke gegevens is geen vrijbrief voor bestuur en management van de gebruikersorganisatie. Het is aan te bevelen om in een tijdig stadium de discussie hierover met hen aan te gaan, zodat zij zich bewust worden van mogelijke risico’s en gevolgen.

Tot slot

Wanneer een derdenverklaring (type 2) beschikbaar wordt gesteld door de CSP, is er behoefte aan een kritische en gestructureerde evaluatie van dit rapport om te bepalen in hoeverre de controlerend accountant kan steunen op de werkzaamheden van de serviceaccountant als onderdeel van de interne beheersing bij de audit cliënt. Indien nodig zal de accountant additionele controle-informatie bij de CSP willen opvragen, bijvoorbeeld over diensten van subcontractors of technische specificaties van cloudgerelateerde risicobeheersing. Op basis van literatuuronderzoek, praktijkonderzoek en aanvullende interviews is een vragenlijst samengesteld die de accountant kan gebruiken als geheugensteun bij het evalueren van de risico’s bij een materiële cloud-applicatie. De vragenlijst is opgesteld in het kader van dit onderzoek door de VU IT-auditing op basis van NV COS 300 en uitgevoerd bij twee organisaties en vormt de basis voor een volgende bijdrage.

Noot: De auteur dankt Noud Stienen MSc voor zijn medewerking bij de onderzoeksactiviteiten.

Literatuur

[AFM13] AFM, ‘Rapport naar aanleiding van AFM-onderzoek naar kwaliteit accountantscontrole en stelsel van kwaliteitsbeheersing en -bewaking bij negen OOB-vergunninghouders’. Amsterdam: Autoriteit Financiële Markten, maart 2013. https://www.afm.nl/~/profmedia/files/rapporten/2013/accountantscontrole-negen-oob-kantoren.ashx (geraadpleegd op 1 februari 2016).
 
[AFM14] AFM, ‘Uitkomsten onderzoek kwaliteit wettelijke controles Big-4 accountantsorganisaties’. Amsterdam: Autoriteit Financiële Markten, september 2014: http://www.afm.nl/~/profmedia/files/rapporten/2014/onderzoek-controles-big4.ashx (geraadpleegd op 11 januari 2016).
 
[BLOK11] Blokdijk, H.: ‘Reikwijdte COS 402: Verontrustende Conclusie’. https://www.accountant.nl/opinie/2011/4/reikwijdte-cos-402-verontrustende-conclusie/, (geraadpleegd op 2 maart 2016).
 
[BOLL04] Bollen, L.H.H., R.H.J. Ronken & E.H.J. Vaassen, ‘Risicomanagement in een geïntegreerde IT-omgeving’, Tijdschrift voor Financial en Management Accounting, nr. 5, p. 22-28, 2004.
 
[CHUN11] Chung, M., ‘Assurance in the Cloud, the impact of cloud computing on financial statements’, Compact, 2011: http://www.compact.nl/artikelen/C-2011-0-Chung.htm (geraadpleegd op 11 januari 2016).
 
[FIJN10] Fijneman R., E. Roos Lindgren & K.H. Ho, ‘IT-auditing en de Praktijk’. Den Haag: SDU Uitgevers, 2010.
 
[HRA15] ‘Handleiding Regelgeving Accountancy’, NBA, 2015. https://www.nba.nl/wet-en-regelgeving/beroepsregels/hra/, (geraadpleegd op 1 februari 2016).
 
[IIA12] IIA, ‘ISAE 3402 en de internal auditor, Praktijkhandreiking’, Naarden: Instituut van Internal Auditors Nederland, 2012. http://www.iia.nl/Sitefiles/IIA_leden/IIA_ISAE_3402_en_de_internal_auditor.pdf (geraadpleegd op 11 januari 2016).
 
[KPMG12] KPMG, ‘KAM alert Cloud Services’. KPMG: Amstelveen, 2012.
 
[NBA15-1] NBA, NV COS 402: ‘Overwegingen met betrekking tot controles van entiteiten die gebruik maken van een serviceorganisatie’ (HRA). Koninklijke Nederlandse Beroepsorganisatie van Accountants, Amsterdam, 2015.
 
[NBA15-2] NBA; NV COS 3402: ‘Assurance-rapporten betreffende interne beheersingsmaatregelen bij een serviceorganisatie’ (HRA). Koninklijke Nederlandse Beroepsorganisatie van Accountants, Amsterdam, 2015.
 
[SCHE14] Schellevis, W., V. van Dijk, ‘Jaarrekeningcontrole in het MKB: IT audit geïntegreerd in de controle-aanpak’, NBA, NOREA en Tuacc, 2014. http://www.norea.nl/readfile.aspx?ContentID=36650&ObjectID=343968&Type=1&File=0000041583_NBA-NOREA-TUACC_Bro%20Integrated%20Audit%20Approach%20WEB%20(2).pdf (geraadpleegd op 11 januari 2016).
 
[VAAS05] Vaassen, E.H.J. e.a, ‘Informatie en control: basisboek’. Wolters Noordhoff, Groningen, 2005.
 
[VAAS13] Vaassen, E.H.J., ‘Waardecreatie via financiële functie en accountant: Belang van accountantscontrole’, Finance & Control, augustus 2013, p. 32-37. http://executivefinance.nl/wp-content/uploads/2015/02/FC201304061.pdf (geraadpleegd op 11 januari 2016).

Dr. René Matthijsse RE

René Matthijsse is tevens benoemd als lector aan Fontys Hogescholen met als specialisatiegebied Keteninformatiemanagement en Control. Daarnaast is hij lid van de NOREA Kennisgroep Keteninformatiemanagement. Hij heeft diverse presentaties en publicaties op zijn naam staan op het gebied van IT- auditing en informatiemanagement.