Praktijkgids Assurance-rapport 3000 · de criteria, te versterken. Elke assurance-opdracht wordt...

April 2019

Praktijkgids Assurance-rapport 3000April 2019

2 | Praktijkgids Assurance-rapport 3000

© 2019 KPMG Advisory N.V.

Inhoudsopgave

1. Wat is een ISAE/ Standaard (herzien)/Richtlijn 3000 rapport 4

Lijst met afkortingen 30

Introductie 3

2. Welke assurance standaard is van toepassing? 8

3. De standaard nader bekeken 12

4. Het assurance-rapport 18

5. Starten en werken aan een assurance-rapport 22

6. Waar zie je de Standaard 3000 terug komen? 26

Praktijkgids Assurance-rapport 3000 I 3


Introductie

In de negentiger jaren van de vorige eeuw ontstond in de maatschappij door de toenemende uitbesteding, het aan-gaan van samenwerkingsverbanden tussen organisaties op internationale schaal, opkomende vragen rond duurzaamheid en de toegenomen weten regelgeving behoefte aan meer zekerheid omtrent andere zaken dan de traditionele histori-sche financiële informatie. Op dat moment deed het begrip ‘assurance’ zijn intrede. Assurance betekent het versterken van zekerheid over de kwaliteit van diensten, producten of processen, vaak in een situatie waarbij organisaties af-hankelijk van elkaar zijn, vanwege contractuele afspraken, maatschappelijke relevantie of vanuit weten regelgeving. De mogelijke onderwerpen waarover zekerheid kan worden gegeven zijn, naast niet-financiële gegevens bijvoorbeeld ook toekomstgerichte financiële informatie, maar ook systemen en processen. Tegenwoordig zien we dat deze maatschappelijke behoefte steeds breder wordt en er ook vraag ontstaat voor onderwerpen als duurzaamheid, infor-matiebeveiliging, data privacy, cybersecurity, verantwoord ondernemen en ook cultuur en gedrag.

Accountants en IT-auditors zijn bij uitstek de professionals om assurance te verlenen over maatschappelijke vraag-stukken, verzoeken van toezichthouders en in het geval van uitbesteding over processen dan wel informatiever-werking in een keten. Beide beroepsgroepen maken gebruik van de 3000-standaard. Deze standaard biedt veel mogelijk-heden en is ook zo generiek beschreven, dat opdrachten met diverse verschillende onderwerpen hiermee kunnen worden uitgevoerd. Er bestaan verder geen voorschriften voor het rapportageformaat. Het voordeel hiervan is dat de standaard het heel flexibel kan worden ingezet. Het nadeel is dat soms onduidelijkheid ontstaat over wat ervan verwacht mag worden als deze 3000-standaard wordt gebruikt.

Deze praktijkgids heeft betrekking op assurance-rapporten in de breedte. Deze rapporten kunnen gaan over zowel producten als processen en kunnen gaan over oplage verklaringen, dataverwerking, dan wel beheersing van informatietechnologie en cyber security. In andere praktijk-gidsen is in het verleden gepubliceerd over veel specifieke assurance-standaarden en rapporten zoals SAS70, Standaard 3402 (SOC1) en SOC2. Met de veranderingen in de behoefte van gebruikers komt steeds meer de basis van al die stan-daarden, namelijk ISAE 3000 of in het Nederlands Standaard 3000 bij het NBA (Richtlijn 3000 bij NOREA), terug in de belangstelling. Deze standaard bestaat al heel lang maar gebruikers en de verantwoordelijke partij voor het opstellen ervan zijn vaak onbekend met hoe de standaard eigenlijk in elkaar zit. Wel zie je de standaard momenteel op veel plekken terugkomen bijvoorbeeld binnen de zorg, op gebied van IT (cyber)security en privacy en ook binnen de financiële sector wint de standaard aan terrein. Wanneer gebruiken we welke assurance standaard? Dit blijft een veelgestelde vraag naast de vraag: wat zijn eigenlijk de verschillen tussen de belangrijkste standaarden?

In deze praktijkgids gaan we hier verder op in en proberen we duidelijkheid te geven over de ontwikkelingen in de praktijk door deze vragen te beantwoorden.



1.

In onze samenleving zien wij een steeds verder gaande trend naar specialisatie. Ten gevolge hiervan ontstaan steeds meer vormen van ketensamenwerking. Op zich is dit niet iets nieuws. Het principe waarbij verschillende schakels in een keten ieder een onderdeel van een productie- of dienst-verleningsproces voor hun rekening nemen bestaat al even. Door de steeds verdergaande toepassing van ICT heeft dit echter een enorme vlucht genomen. Er is geen organisatie meer die geen onderdeel uitmaakt van een keten. Er kan hier sprake zijn van een productieketen, denk ook aan voedsel en kleding, maar veel vaker spreken we van ketens waarin gegevens worden gedeeld, bewerkt en doorgestuurd. Deze ketens ontstaan veelal door uitbestedings- of leveranciers-vraagstukken (soms ook door weten regelgeving), waarbij het managementtaken buiten de eigen organisatie wordt verlegd naar organisaties die verdere specialisaties hebben. Vaak is de uitbesteding zo’n logische stap dat deze bijna ongemerkt wordt gezet. Het management van de uit-bestedende organisatie blijft echter verantwoordelijk voor het gehele bedrijfsproces, dus ook voor de onderdelen, processen, maar ook data die zijn uitbesteed. Niet alleen ten aanzien van de financiële verslaglegging, maar op alle aspecten die de bedrijfsvoering kunnen raken, denk hierbij aan risico’s ten aanzien van de beveiliging, vertrouwelijkheid en beschikbaarheid van informatie(verwerking). Door uit-besteding kunnen belangrijke risico’s uit het zicht raken en is er geen directe invloed op het naleven van de gemaakte uitvoeringsafspraken.

Wat is een ISAE/ Standaard (herzien)/Richtlijn 3000 rapport

Als gevolg van alle ontwikkelingen ontstaat behoefte aan meer zekerheid over de afspraken in het (uitbestedings)contract, maatschappelijke relevante onderwerpen en voorschriften vanuit weten regelgeving of ketens van dienstverlening of informatieverstrekking. In toenemende mate ontstaat behoefte aan een assurance-rapport om inzicht en zekerheid te verschaffen. De Standaard 3000 is de standaard die dan van toepassing kan zijn.

Standaarden en stramien

De Internationale Federatie van Accountants (IFAC) heeft een internationaal raamwerk opgesteld voor assurance-opdrachten (ISAE: International Standards for Assurance Engagements). Er wordt onderscheid gemaakt tussen standaarden voor de jaarrekeningcontrole en overige assurance opdrachten. De 3000-standaard valt in deze laatste categorie en heeft betrekking op assurance door auditors inzake alle assurance-opdrachten die geen betrekking hebben op historische financiële informatie.

In Nederland is de internationale ISAE 3000-standaard overgenomen door de Nederlandse Beroepsorganisatie van Accountants (NBA) onder de naam Standaard 3000A en door de beroepsorganisatie van IT-auditors NOREA onder de naam Richtlijn 3000A. Beide zijn gelijkluidend. Naast de 3000A (attest) variant is er ook in Nederland een 3000D (directe opdracht) variant maar daarover later meer.

In de afgelopen decennia is onze maatschappij sterk veranderd als gevolg van de invloed

van informatietechnologie en globalisatie. Andere maatschappelijke informatiebehoeften zijn

ontstaan en weten regelgeving zijn sterk toegenomen. De traditionele historische financiële

informatie en controle van de jaarrekening door de accountant is niet langer voldoende om alle

informatiebehoeften af te dekken, bijvoorbeeld op gebied van duurzaamheid en uitbesteding.




Omwille van de leesbaarheid spreken we in het vervolg over Standaard 3000 waarmee dus ook de ISAE3000, 3000A, 3000D of Richtlijn 3000A of Richtlijn 3000D wordt bedoeld.

Moederstandaard voor assurance-opdrachten: 3000

De 3000-standaard vormt de basis voor diverse standaarden in de 3000 reeks en kan gezien worden als de ‘moeder-standaard’. Zo is de bekende ISAE 3402 standaard afgeleid van de algemene assurance standaard ISAE 3000 door de invulling specifiek te richten op de beheersing van risico’s rondom financiële verslaglegging. Daarnaast kennen we bijvoorbeeld ook de 3810N voor assurance-opdrachten bij maatschappelijke verslagen.

De 3000-standaard bepaalt wat ten minste in een assurance-rapport opgenomen moet zijn, maar laat de vorm vrij. In de praktijk zien wij dan ook veel verschijnings-vormen van deze assurance-rapporten. Een gebruiker (de partij die het rapport ontvangt) die een assurance-rapport wenst te ontvangen doet er daarom goed aan duidelijk te definiëren waar het rapport betrekking op moet hebben en hoe het rapport er uit moet zien.

Een assurance-rapport kan in het algemeen zowel betrekking hebben op een product (bijvoorbeeld de functionaliteiten in een applicatie) als op een proces (bijvoorbeeld over interne beheersingsmaatregelen) maar ook op gegevens (bijvoor-beeld over de basisgegevens van een pensioenfonds of verzekeraar). Expliciet is bepaald dat toetsing alleen mogelijk is als er geschikte criteria zijn om het onderzoeksobject te toetsen. Daarnaast is bepaald dat de criteria ook bekend moeten zijn of worden gemaakt bij de gebruiker van de rapportage en deze zo de conclusie ook kan begrijpen, bijvoorbeeld doordat de criteria deel uitmaken van de rapportage.

Stramien voor assurance-opdrachten en Standaard 3000

Door het IFAC is aanvullend nog een stramien voor assurance-opdrachten opgesteld. Dit is door NBA en NOREA vertaald. Het stramien voor assurance-opdrachten is uitgebracht om begrip van de elementen en doelstellingen van een assurance opdracht en de opdrachten waarop de standaarden van toepassing zijn, te vergemakkelijken. Een assurance opdracht is een professionele dienst waarbij een auditor voldoende en geschikte assurance informatie wil verkrijgen om een conclusie tot uitdrukking te brengen om de mate van vertrouwen van de beoogde gebruikers, niet zijn de verantwoordelijke partij in de uitkomst van de meting of evaluatie van het onderzoeksobject ten opzichte van de criteria, te versterken. Elke assurance-opdracht wordt ingedeeld op basis van twee aspecten: redelijke of beperkte mate van zekerheid en attest- danwel directe opdracht. In het figuur op de volgende pagina zijn onder andere de5 elementen van een assurance opdracht opgenomen.



© 2019 KPMG Advisory N.V.© 2019 KPMG Advisory N.V.

1. De betrokkenheid van drie partijen, namelijk een

verantwoordelijke partij, de beoogde gebruiker(s) en de auditor. • Deverantwoordelijkepartijisverantwoordelijkvoor

het onderzoeksobject. De verantwoordelijke partij is ook wel de partij die in een uitbestedingsrelatie de processen uitvoert en wordt ook vaak de service organisatie genoemd. De verantwoordelijke partij is meestal de partij die de auditor inschakelt om de assurance opdracht uit te voeren.

• Organisatiesdiedeprocessenuitbestedenwillen zeker weten dat deze processen beheerst en betrouwbaar worden uitgevoerd. Zij zijn dan ook de gebruikers van rapportage. De beoogde gebruikers zijn de personen, organisatie(s) of groep(en) waarvan de auditor verwacht dat zij gebruik zullen maken van het assurance rapport. De verantwoordelijke partij kan één van de beoogde gebruikers zijn, maar niet de enige gebruiker.

• Deauditorheeftdeverantwoordelijkheidvoordeassurance conclusie.

2. OnderzoeksobjectHet onderzoeksobject van een assurance opdracht kan veel verschillende vormen hebben, zoals historische of toekomstige financiële prestaties of condities, niet-financiële prestaties of condities, fysieke kenmerken, systemen, processen en gedrag.

3. CriteriaCriteria zijn de benchmarks die worden gebruikt om het onderzoeksobject te meten of evalueren. Zonder kader dat door de geschikte criteria wordt verschaft staat elke conclusie open voor afzonderlijke interpretatie en misverstand. Geschikte criteria zijn relevant, volledig, betrouwbaar, neutraal en begrijpelijk. Criteria moeten voor de beoogde gebruikers beschikbaar zijn om hen in staat te stellen te begrijpen hoe het onderzoeksobject is gemeten of geëvalueerd.

4. Assurance informatieAssurance opdrachten worden gepland en uitgevoerd om voldoende assurance informatie te verkrijgen over het onderzoeksobject ten opzichte van de criteria.

5. Assurance rapportDe auditor vormt een conclusie op basis van de verkregen assurance informatie en verschaft een schriftelijk rapport dat een duidelijke uitdrukking van die assurance conclusie bevat over de informatie over het onderzoeksobject.

Figuur 1: Betrokken partijen bij assurance

Verantwoordelijke partij Auditor

Auditor

Criteria

Onderzoeks-object

Assurancerapport

Assuranceinformatie

© 2019 KPMG Advisory N.V.© 2019 KPMG Advisory N.V.© 2019 KPMG Advisory N.V.

Standaard 3000 vereist geen gestandaardiseerd format voor het rapporteren over alle assurance-opdrachten. In plaats daarvan identificeert het de basiselementen die in het assurance-rapport moeten worden opgenomen. De basiselementen van de rapportage zijn:

• Titel(dieduidelijkaangeeftdatheteenonafhankelijkassurance-rapport betreft)

• Geadresseerde• Matevanzekerheid• Informatieoverhetonderzoeksobjectenhetonder-

zoeksobject zelf• Vantoepassingzijndecriteria• Inherentebeperkingen• Specifiekdoel(indienaanwezig)• Verantwoordelijkepartij,evalueerderenhunverant-

woordelijkheden en die van de auditor• Hetuitvoerenvandeopdrachtovereenkomstig

Standaard 3000 (en evt een specifieke Standaard voor het onderzoeksobject)

• Vantoepassingzijndevereisteninzakekwaliteits- beheersing

• Nalevingvanonafhankelijkheids-enoverigeethischevoorschriften

• Samenvattingvandeuitgevoerdewerkzaamheden• Conclusievandeauditor• Ondertekeningvandeauditor• Plaatsendatum

De auditor kan kiezen voor rapportage in beknopte vorm of rapportage in uitgebreide vorm om effectieve communicatie naar de beoogde gebruikers mogelijk te maken. Rapportages in beknopte vorm bevatten doorgaans alleen de basisele-menten. Rapportages in uitgebreide vorm bevatten nadere informatie waaronder bijvoorbeeld de werkzaamheden en de bevindingen of testresultaten in detail.

Wij noemen hier ter illustratie een aantal voorbeelden van 3000 rapporten die we vaak zien vanuit de praktijk: Oplage verklaring, DigiD assessment, ENSIA audit, VIPP, SUAG, SOC2, Algoritme Assurance, Privacy Assurance, Cyber Assurance, Interne beheersing in het kader van informatiebeveiliging, Interne beheersing in het kader van Horizontaal Toezicht. Op een aantal voorbeelden komen we terug in het laatste hoofdstuk.



© 2019 KPMG Advisory N.V.© 2019 KPMG Advisory N.V.

Welke assurance standaard is van toepassing?2.


De eerste vraag is of over het onderwerp reeds een specifieke standaard van toepassing is? Denk bijvoorbeeld aan assurance bij maatschappelijke verslaglegging waar standaard 3810N een bekende standaard is. Is het onder-zoeksobject generiek of domein specifiek? Domein specifiek omdat op basis van het domein, het doel, het beoogde gebruik en de beoogde gebruikers specifieke invulling is gegeven aan de vele aspecten en vrijheidsgraden van een assurance opdracht.

De tweede vraag gaat meer over de scope van het assurance object. Als bijvoorbeeld sprake is van diensten of processen die duidelijk zijn gerelateerd aan de risico-beheersing van de financiële verslaggeving, dan is een keuze voor een Standaard 3402 rapport zeer waarschijnlijk het meest geschikt. Als echter de diensten of processen meer operationeel gericht zijn of op technologie dan wel

weten regelgeving die niet direct een relatie hebben met de financiële verslaggeving van de gebruikersorganisatie dan zal een Standaard 3000 rapport meer voor de hand liggen. Hierbij kunnen dan algemeen bekende criteria of normensets worden gebruikt worden zoals bijvoorbeeld de AVG of de NEN7510. In deze situaties is de keuze voor de standaard eenvoudig.

Zoals we hebben beschreven merken we in de praktijk dat de keuze voor de standaard steeds vaker onderwerp van discussie is tussen de verantwoordelijke partijen, gebruikers en opstellers van de rapportages. Ook al is in eerste instantie in de instructie of het contract opgenomen dat het een standaard 3402 rapport moet zijn, heeft het zin hierover in gesprek te gaan als de onderlinge afspraken niet de best passende standaard aangeven.

Welke standaarden zijn er?

Veel organisaties worstelen met welke standaard zij moeten kiezen om assurance

te verlenen. We zetten hier de afwegingen om tot een keuze te komen op een rijtje.

Standaard NOREA Richtlijn Omschrijving

3000 3000 Assurance rapporten anders dan opdrachten tot controle of beoordeling van historische financiële informatie

3400 Nvt Onderzoek van toekomstgerichte financiële informatie

3402 3402 Assurance rapporten betreffende interne beheersingsmaatregelen bij een serviceorganisatie

3410 Nvt Assurance opdrachten betreffende emissieverslagen

3420 Nvt Assurance opdrachten om te rapporteren over het opstellen van pro forma financiële informatie die in een prospectus is opgenomen

3810N Nvt Assurance opdrachten inzake maatschappelijke verslagen

3850N Nt Assurance en overige opdrachten met betrekking tot prospectussen


Agile Internal Audit I 9

3000A en 3000D

Standaard 3000 bestaat sinds januari 2017 in Nederland uit twee verschillende standaarden, 3000A (Attest opdracht) en 3000D (Direct opdracht). Dit is niet te verwarren met assertion based versus direct reporting zoals we dat in het verleden kenden (met of zonder managementbewering).Er zijn belangrijke verschillen tussen die twee, maar hoe zit het nu precies?

Kenmerkend verschil is of de verantwoordelijke partij (of iemand namens deze) het object van onderzoek meet/evalueert of dat de auditor dit doet.

De 3000A opdracht, ook wel attest-opdracht, zijn assurance opdrachten waarbij niet de auditor maar een andere partij (meestal de klant zelf) het onderzoeksobject meet of evalu-eert ten opzichte van de criteria. Bij een attest opdracht stelt in veel gevallen de verantwoordelijke partij de verantwoor-dingsrapportage op en controleert de auditor vervolgens deze rapportage en geeft hierbij een assurance rapport af. In de praktijk zien we met name 3000A en slechts sporadisch een 3000D.

Voor een 3000A opdracht vraagt een zorgverzekeraar aan haar software leverancier in hoeverre deze de data die door de verzekeraar in de applicatie wordt gebruikt beschermd. Het management van de software leverancier schrijft daarop een verantwoording waarin zij aangeeft hoe deze voldoet aan bijvoorbeeld de norm NEN7510 inclusief welke interne beheersing daarvoor is ingericht. De auditor geeft dan vervolgens een oordeel over de verantwoording van het management.

De 3000D opdracht, ook wel directe opdracht, zijn assurance opdrachten waarbij de auditor zowel het onderzoeksobject meet of evalueert ten opzichte van de criteria en de controle op de rapportage uitvoert. Hierbij stelt de auditor zelf de verantwoordingsrapportage op waarbij er dus geen sprake is van een verantwoording door de klant. Dit kun je enigszins

vergelijken met een accountant die eerst de jaarrekening opstelt of samenstelt om vervolgens ook hier een controle-verklaring over af te geven.

In bepaalde gevallen kan de informatie over het onderzoek-sobject door de auditor in het assurance rapport worden weergegeven. Dat is eigenlijk een vrij bijzondere situatie omdat de auditor optreedt als opsteller en als controleur. Normaal is dat de verantwoordelijke partij zelf verantwoor-ding aflegt en de auditor alleen zekerheid toevoegt.

Voor een 3000D opdracht vraagt een pensioenuitvoerder aan haar service auditor in hoeverre haar pensioenportaal voldoet aan de eisen om in te kunnen loggen met DigID. De auditor bepaalt zowel de criteria op basis waaraan het portaal wordt beoordeeld en geeft de uitkomst van die beoordeling weer in haar assurance-rapportage. Het DigID-raamwerk van NOREA is dus een voorbeeld van een directe opdracht (3000D).

In de Verenigde Staten is het uitvoeren van deze variant feitelijk uitgesloten omdat een schriftelijke management bewering vereist wordt voor het uitvoeren van een assurance opdracht. Internationaal en in Nederland kan het dus wel maar zal de auditor goed moeten nagaan of de juiste condi-ties hiervoor wel aanwezig zijn. Standaard 3402 versus




Standaard 3000

In de praktijk is een veelgebruikt assurance rapport een Standaard 3402-(ISAE 3402/SOC1)-rapport. Een Standaard 3402-rapport is specifiek gericht op uitbesteding van processen en beheersingsmaatregelen die relevant zijn voor financiële verslaglegging.

Maar een 3402 rapport kent ook haar beperkingen. Dit komt voort uit de oorspronkelijk doelstelling van de 3402 standaard, namelijk het informeren van de accountant van de uitbestedende organisatie (de gebruikersorganisatie) over de door de serviceorganisatie getroffen beheersingsmaat-regelen die relevant is voor de financiële verslaggevings-processen van de uitbestedende partij. Omdat de standaard (en daarmee het rapport) bestemd is voor de ondersteuning van de accountant bij de controle van de financiële verslag-legging, vereist de standaard een scope die gerelateerd is aan beheersingsmaatregelen die betrekking hebben op processen die waarschijnlijk relevant zijn voor de financiële verslaglegging van de afnemer van de diensten. Deze afgrenzing richt zich niet alleen op de scope, maar ook op de kwaliteitsaspecten die het 3402 rapport afdekt. Dit zijn de aspecten juistheid, volledigheid en tijdigheid; de aspecten die van belang zijn voor een betrouwbare financiële verslaglegging. Vertrouwelijkheid en beschikbaarheid kunnen, gegeven de strekking van de 3402-standaard, geen deel van het rapport uitmaken. Dit kan uiteraard wel in een 3000-rapport.

In het algemeen kan gesteld worden dat het management van afnemers van uitbestede diensten een bredere assurance-behoefte heeft dan hun accountants. Dit is terug te vinden in de breedte van afspraken die in het uitbeste-dingscontract en/of de Service Level Agreement (SLA) zijn vastgelegd. Dit is breder dan een ISAE 3402-rapport kan afdekken. Een 3000 rapport kan hieraan tegemoetkomen.

Praktijkvoorbeeld: Waarom is SOC2 geen Standaard 3402?

In de maatschappij treden voortdurend veranderingen op waardoor de verwachtingen over de onderwerpen die onderdeel uitmaken van een assurance rapportage ook veranderen. Wij hebben hiervoor gesproken over de focus die in 3402 rapporten ligt op de interne beheersingsmaatregelen die relevant zijn voor de financiële rapportages. De afgelopen jaren zijn risico’s meer actueel geworden op gebied van operationele beheersing zoals security, cyberincidenten, privacy, maar ook bijvoorbeeld op het gebied van cultuur, soft controls en datakwaliteit. Dit past niet goed in een ISAE 3402 (SOC1) rapport.

In de Verenigde Staten wordt daarom in toenemende mate gebruik gemaakt van het zogenaamde SOC2 rapport waarin juist expliciet aan andere kwaliteitsaspecten wordt besteed (namelijk: Security, Availability, Confidentiality, Processing integrity en Privacy).

Deze kwaliteitsaspecten zijn niet primair relevant voor de interne beheersingsmaatregelen die relevant zijn voor de financiële rapportages, en daarom is SOC2 geen 3402-assurancerapport. De wijze van rapporteren voor een SOC2-rapport is wel direct ontleend aan de rapportageformat van een 3402-assurance rapport.

NB naast SOC2 bestaat er in de Verenigde Staten ook een SOC3-variant bestemd voor een breed publiek waarbij wel een oordeel wordt gegeven over de relevante kwaliteitsaspecten (Security, Availability, Confidentiality, Processing integrity en/of Privacy), maar waarbij de systeembeschrijving beknopter is en geen testresultaten van de auditor in detail worden toegevoegd.



In Nederland kan een SOC2 rapport worden uitgebracht onder de 3000-standaard. Het voordeel van SOC2 is dat hierin expliciet controledoelstellingen en een set van minimale normen zijn benoemd, zodat een marktstandaard is gezet. Natuurlijk kun je een eigen normenstelsel gebruiken dat of gebaseerd is op een normenstelsel dat al door de dienst-verlener is opgesteld of bij voorbeeld is afgeleid uit één van kenmerkende normenstelsels uit de markt. Denk hierbij aan Cloud Security Alliance, NIST, COBIT-normenkader DNB, BIR, Privacy Control Framework of andere normenkaders van NOREA etc. Ook in de nieuwste versie van SOC2 wordt ruimte gemaakt om dit soort normenkaders in te voegen en ook om eventueel in de toekomst over te gaan tot Cyber Assurance op basis van het cybersecurity risk management stelsel dat voor de gehele organisatie geldt. Verwacht mag worden dat steeds meer rapporten onder de 3000-standaard zullen worden uitgebracht. De meest actuele ontwikkeling inzake de behoefte om algoritme assurance te geven zal ook op basis van de 3000-standaard moeten gaan plaatsvinden.

3000-standaard is breed toepasbaar

De 3000-standaard is de basis standaard om assurance te verlenen. Het is niet specifiek gericht op controls en niet specifiek gericht op uitbesteding. De verantwoordelijk partij kiest een onderzoeksobject en aan de hand van de criteria wordt informatie over het onderzoeksobject verkregen om tot een assurance rapport te komen. Hiervoor heeft de auditor alle instrumenten in handen. Zowel het testen van beheersingsmaatregelen als het gegevensgericht controleren van de informatie over het onderzoeksobject is mogelijk. Dus data analyse kan onderdeel zijn van de scope van het assurance-rapport. In de maatschappij is de behoefte om steeds meer zekerheid te krijgen over de onderzochte processen. Niet meer testen op basis van een deelwaarneming, maar testen op basis van 100% van de populatie. Op basis van de risico-analyse van de auditor bepaalt hij/zij de passende testtechnieken voor de toetsing van het object van onderzoek.

Hoe verhoudt een assurance-rapport zich tot een uitbestedingscontract?

In uitbestedingscontracten wordt dikwijls zonder veel verdere specificatie opgenomen dat de opdrachtgever het recht heeft om audits uit te voeren. De serviceorganisatie realiseert zich meestal niet hoe kostbaar het kan zijn om deze audits in goede banen te leiden. Door het opstellen van een assurance-rapport kan de serviceorganisatie de regie in hand houden en ook proactief te werk gaan in de communicatie met haar opdrachtgever. Indien de service-organisatie bijvoorbeeld haar stelsel van interne controle

zichtbaar wil maken voor haar klanten is ook hier een assu-rance-rapport de oplossing. Het wordt een onderscheidend kenmerk; er wordt niet alleen verwerkingsservice geleverd maar daarboven wordt een door een auditor beoordeeld rapport inzake de beheersingsmaatregelen aan de gebruikers ter beschikking gesteld.

Kunnen een 3000 en een 3402 rapport worden gecombineerd?

Gegeven de ontwikkelingen zijn veel assurance-rapportages in Nederland begonnen in de context van de interne controles voor de financiële rapportering en worden daar nu onderdelen bijgevoegd op basis van de maatschappelijke verwachtingen die meer in een 3000 rapport passen. Een keuze voor één standaard zou in principe in het voordeel van de 3000-standaard uitvallen; echter voor de accountant blijft de 3402 de verplichte standaard en het meest herkenbaar. Om dit op te lossen is het advies om mogelijk beide verantwoordingen te combineren in één rapportage boekje. Wat goed mogelijk is om de eventuele systeembeschrijving te combineren (vaak het grootste gedeelte van het assurance-rapport) en daar dan de aparte verplichte elementen, zoals het auditorsrapport, voor beide standaarden aan toe te voegen.



De standaard nader bekeken3.


3.1 Gebruikers

Een assurance opdracht omvat het versterken van de mate van vertrouwen van de beoogd gebruikers in de uitkomst van de meting of evaluatie van het onderzoeksobject. Het onderkennen van de gebruikers is daarom van groot belang. Wat zijn hun behoefte, wat is het doel waarvoor het assurance-rapport wordt gebruikt?

Het kan zijn dat de beoogde gebruiker, of uitvragende partij, zelf heeft gedefinieerd op welke wijze de assurance opdracht moet worden uitgevoerd in de vorm van een controle-protocol of handreiking. Denk bijvoorbeeld aan Handreiking DigiD-assessment1 of Controleprotocol SUAG van UWV2.

Maar ook zonder specifieke handreiking of controle-protocol kan bij één of enkele gebruikers; of een vertegenwoordiging van gebruikers nadere afspraken zijn gemaakt met de verant-woordelijke partij omtrent bijvoorbeeld de reikwijdte, mate van zekerheid, periode van onderzoek en wijze van rapportage.

Voor de auditor is het van belang om de beoogde gebruikers te onderkennen. Niet alleen bij de opdrachtaanvaarding (is er een rationeel doel [3000.24.b.6]) of eventuele wijziging voorwaarden van de opdracht (zijn er omstandigheden die de vereisten van de beoogd gebruikers beïnvloed [3000.A59]).

De standaard 3000 is vrij in vorm en inhoud. Behalve de elementen zoals beschreven in het

stramien zijn er geen verplichtingen voor de assurance opdracht of rapportage. Het is belangrijk

te realiseren dat door deze vrijheid en diverse verschijningsvormen kunnen voorkomen van een

assurance-rapport. Een assurance-rapport kan daarmee ook moeilijker te begrijpen zijn voor

de beoogde gebruikers. De volgende elementen kunnen helpen bij het vormgeven van de

assurance-opdrachten.

Maar ook bij de opdrachtuitvoering en rapportage. Bij een assurance opdracht onderzoekt de auditor of een afwijking van materieel belang bestaat. En materialiteit wordt gebaseerd op de informatiebehoeften van de beoogde gebruikers [3000.A92/A94]. Denk ook aan het kennisniveau van en behoefte aan zekerheid van de gebruikersgroep welke van invloed kan zijn in de aard en omvang van de rapportage. Bijvoorbeeld een SOC3-rapport; bedoeld voor een breed publiek die zekerheid willen hebben ten aanzien van de naleving van de ‘Trusted principles and criteria’ binnen een serviceorganisatie, maar geen behoefte hebben aan een nadere onderbouwing. Dit in tegenstelling tot een SOC2-rapport waarbij de beschrijving uitgebreider is en ook de werkzaamheden van de auditor worden weergegeven.

3.2 Mate van zekerheid

Een van de meest kenmerkende elementen die assurance-opdrachten onderscheid, is de mate van zekerheid. De assurance standaard onderscheid redelijke mate van zekerheid en beperkte mate van zekerheid. We moeten dit niet verwarren met 2 specifieke nauwgedefinieerde niveaus van zekerheid, de mate van zekerheid is zowel voor redelijke mate als voor beperkte mate niet specifiek te definiëren3.

1 Zie: https://www.norea.nl/handreikingen 2 Zie: https://www.nba.nl/themas/controleprotocollen/uitkomst-copro-beoordelingen/protocollen-andere-organisaties/uwv/ 3 Zie paragraaf 29 http://www.ifac.org/system/files/publications/files/ISAE-3000-Basis-for-Conclusions.pdf



4 Tabel 2 van AS 2315 van PCAOB begint bij 10% control risk, https://pcaobus.org/Standards/Auditing/Pages/AS2315.aspx 5 DNB Handboek Gegevensaanlevering Depositogarantiestelsel versie 3.0 juli 2017, pagina 52 http://www.toezicht.dnb.nl/

binaries/50-236659.pdf

Redelijke mate van zekerheid

Bij redelijke mate van zekerheid zal de auditor het opdracht-risico (zijnde het niet ontdekken van een afwijking van materieel belang) terugbrengen tot een aanvaardbaar laag niveau. Gebruikelijk is een betrouwbaarheid van 95%. Maar in voorkomende situaties wordt ook 99% betrouwbaarheid door specifieke gebruikers gevraagd.

De conclusie van een assurance opdracht met redelijke mate van zekerheid wordt tot uitdrukking gebracht als een oordeel over de uitkomst van de meting of evaluatie. Voldoet het onderzoeksobject aan de criteria (of niet).

Beperkte mate van zekerheid

Bij een assurance opdracht met een beperkte mate van zekerheid is de mate van zekerheid lager en daarmee het opdrachtrisico hoger. Hoeveel lager ten opzichte van redelijke mate van zekerheid is niet bepaald. Maar de mate van beperkte zekerheid dient voor de beoogd gebruiker nog wel van zinvol niveau te zijn. Het onderkennen van de behoefte van de gebruiker(s) is hierbij dus van belang, maar ook of de gebruiker de beperkte mate van zekerheid goed kan duiden. De auditor moet hierbij bedacht zijn dat met het assurance- rapport geen grotere verwachtingen worden geschapen dan dat waargemaakt kan worden.

De conclusie van een assurance opdracht met beperkte mate van zekerheid wordt tot uitdrukking gebracht door vermelden dat de auditor geen weet heeft van aangelegen-heden die die duiden op een afwijking van materieel belang (niets is ons gebleken dat …).

Mate van zekerheid bij testen interne beheersingsmaatregelen.

Bij het testen van interne beheersingsmaatregelen worden veelal de methodieken en testaantallen gebruikt die gebruikelijk zijn voor jaarrekeningcontroles. Bij een jaarrekeningcontrole kan worden gesteund op de werking van beheersingsmaatregelen om tezamen met gegevens gerichte werkzaamheden uiteindelijk te komen tot een redelijke mate van zekerheid over de getrouwheid van de jaarrekening. De mate van zekerheid die wordt behaald door het testen van interne beheersingsmaat-regelen is daarom ook niet gericht op het verkrijgen van 95% zekerheid, maar lager bijvoorbeeld 90%4.

Als auditor dien je er dan ook bedacht op te zijn dat als je interne beheersingsmaatregelen toetst voor andere doeleinden, of dan het beoogde zekerheidsniveau voor de gebruiker voldoende helder is en met de geplande werkzaamheden kan worden behaald.

Zie bijvoorbeeld ‘De beheersing van reguliere bedrijfs-processen van de bank (AO/IC) moet daarbij gericht zijn op het vermijden van fouten (‘nul tolerantie op fouten’)5.’ Naast de vraag of een materialiteitsgrens van 0% wordt beoogd, is ook de vraag of de mate van zekerheid die de auditor bij het toetsten van de interne beheersings-maatregelen kan verschaffen, passend is bij hetgeen DNB beoogt.




Voorheen werd een opdracht met beperkte mate van zekerheid ook wel aangeduid als ‘negative assurance’, ten opzichte van ‘positive assurance’ voor een opdracht met redelijke mate van zekerheid. Maar een generieke term als ‘negative assurance’ is geen goede beschrijving van de beperkte mate van zekerheid die de auditor verschaft6 en zouden we daarom niet meer moeten hanteren. De samenvatting van de werkzaamheden van de auditor geeft meer betekenis aan de mate van zekerheid dan een generiek label en/of één niveau van (beperkte mate van) zekerheid.

De aard, timing en omvang van uitgevoerde werkzaamheden zijn bepalend voor de mate van de beperkte zekerheid die door de auditor wordt verschaft. De samenvatting van de uitgevoerde werkzaamheden helpt de beoogde gebruikers de conclusie van de auditor te begrijpen. Daarom dient de auditor bij een assurance opdracht met beperkte mate van zekerheid die samenvatting gedetailleerder te beschrijven, inclusief de aard, timing en omvang van de werkzaamheden De auditor kan eventueel ook aangeven welke werkzaamhe-den niet zijn uitgevoerd.

In de praktijk is het beschrijven van de werkzaamheden bij een assurance opdracht met beperkte mate van zekerheid uitdagend. Ook de beschikbare voorbeelden van rapportages met beperkte mate van zekerheid zijn niet altijd gedetailleerder dan de voorbeelden met beperkte mate van zekerheid of geven aan wat de aard, timing en omvang van de werkzaam-heden zijn geweest.

Bepalende factoren voor redelijke mate of beperkte mate van zekerheid

Voor assurance-opdrachten onderscheiden we redelijke mate van zekerheid en beperkte mate van zekerheid. In beginsel zou een assurance opdracht moeten worden uitgevoerd om redelijke mate van zekerheid te verschaffen. Hiermee voorkom je verkeerde verwachtingen bij gebruikers, die mogelijk een rapport met beperkte mate van zekerheid niet of onvoldoende kunnen doorgronden. Indien er één gebruiker is (of een beperkt aantal) kan moge-lijk worden afgesproken om beperkte mate van zekerheid te verschaffen, inclusief een indicatie van de aard, timing en omvang van uit te voeren werkzaamheden7.

Bij het verschaffen van zekerheid over interne beheersings-maatregelen ligt het minder voor de hand om de mate van zekerheid te beperken. De aard van de testwerkzaamheden zijn ook niet goed aan te passen. Bij dit soort opdrachten zie je dan dat niet de mate van zekerheid maar de reikwijdte van de opdracht wordt aangepast. Niet een type 2 opdracht inclusief de werking over een periode, maar een type 1 opdracht omtrent de opzet en het bestaan van maatregelen op een bepaald tijdstip8.

De aard van het onderzoeksobject (of relatief nieuw object van onderzoek) kan ook richting gevend zijn aan de mate van zekerheid die kan worden verschaft of. Denk hierbij aan assurance-opdrachten inzake maatschappelijk verslagen (standaard 3810N) waarvoor vaak een beperkte mate van zekerheid wordt afgegeven. Het onderzoeksobject is hierbij veelal kwalitatief van aard. De interne beheersing hier-omtrent bevat minder waarborgen dan in vergelijking met financiële kwantitatieve informatie. En hierbij is ook de bepaling van de relevante onderwerpen en wijze van rapporteren kan per organisatie sterk verschillen. Je ziet hierbij een groeipad waarin eerst assurance-rapporten met beperkte mate van zekerheid werden opgesteld, en nu steeds meer rapporten met een redelijke mate van zekerheid.

6 Zie paragraaf 28 http://www.ifac.org/system/files/publications/files/ISAE-3000-Basis-for-Conclusions.pdf 7 Zie hoofdstuk 3.1 van Controleprotocol jaarlijkse opgavemonitoringformulier van Stichting papier recycling Nederland https://www.nba.nl/

globalassets/themas/thema-controleprotocollen/andere-organisaties/papier-recycling-nederland-prn/copro15197-prn-controleprotocol-2016.pdf 8 Bijvoorbeeld Handreiking bij DigiD-assessments V2.0, pag 4 https://www.norea.nl/download/?id=2562



3.3 Criteria

Criteria zijn de benchmarks gebruikt om het onderzoeks-object te meten of evalueren. Criteria kunnen worden ontleend aan diverse bronnen, waaronder: Bij het bepalen van passende criteria zijn de volgende zaken van belang:

• relevantewet-enregelgeving;• bekendenormenofcriteriavanuitvakorganisatiesof

toezichthouders;• gepubliceerderaamwerkenvanuitopleidingsinstituten;• gezamenlijkovereengekomenmaatstavenofKPI’s;• specifiekontwikkeldenormenvoordespecifiekesituatie.

Bijvoorbeeld voor financiële instellingen zien we raamwerken vanuit de DNB voorgeschreven worden, maar voor informa-tiebeveiliging in de zorg kennen we weer de NEN7510 die vaak terugkomen als basis voor de criteria. Criteria kunnen intern of extern ontwikkeld zijn. Maar van belang is of de criteria geschikt zijn voor het opstellen van de informatie over het onderzoeksobject.

Bij de bepaling van criteria is het van belang om de behoefte van de gebruikers te onderkennen. Neem bijvoorbeeld de betrouwbaarheid van een netwerk van geldautomaten.

Op het moment dat deze geldautomaten gedurende een periode uitvallen, kan dit op verschillende wijzen worden beoordeeld. In kwantitatieve zin heeft dit geen financiële impact aangezien er geen transacties mogelijk zijn en daarmee de gegevens (als zijnde de verstrekte bankbiljetten aan een gebruiker) niet worden beïnvloed. Echter, het niet beschikbaar zijn van het netwerk van geldautomaten kan grote gevolgen hebben op zaken als transactieomzet, klanttevredenheid of de perceptie van de klanten.

Aandachtspunten bij bepalen geschiktheid van criteria

Er zijn 5 kenmerken voor de criteria te onderscheiden. Criteria zijn relevant, volledig, betrouwbaar, neutraal en te begrijpen ten opzichte van het onderzoeksobject. Vage beschrijvingen, verwachtingen of beoordelingen van iemands individuele ervaring zijn geen passende criteria. Wet- en regelgeving bieden wel een basis voor het opstellen van criteria, maar zijn vaak niet voldoende mate uitgewerkt om als criteria bij een assurance opdracht te worden gehanteerd. Door de NOREA is bijvoorbeeld een Privacy Control Frame-work (PCF) gepubliceerd9. Een nadere uitwerking van de Algemene Verordening Gegevensbescherming (AVG) die als startpunt voor op maat gemaakte privacy audits.

Mate van zekerheid en materialiteit

De mate van zekerheid heeft geen invloed op de materialiteit en/of andersom. De materialiteit is voor een redelijke mate van zekerheid en beperkte mate van zekerheid gelijk. De aard, timing en omvang van de werkzaamheden zijn leidend voor de mate van zekerheid. Dit laat zich het beste verduidelijken bij toepassen van statistiek. Neem een pot met 100 knikkers en een materialiteit van 10%, met andere woorden maximaal 10 knikkers mogen rood zijn. Hoeveel knikker moet je trekken/testen als je geen rode knikkers verwacht?

Mate van zekerheid 99% 95% 90% 75% 50% 10%

Aantal knikkers te testen 33 23 18 12 6 1

De materialiteit blijft gelijk (10%), de omvang van de werkzaamheden zijn bepalend voor de mate van zekerheid waarmee je een uitspraak kunt doen of de pot met knikkers niet meer van 10% aan rode knikkers bevat. Bij het testen van één knikker (indien groen) ben je 10% zeker; bij het testen van 33 knikkers (en allen groen) is de zekerheid 99%.

9 Zie: https://www.norea.nl/nieuws/4172/avg-privacy-control-framework-gepubliceerd



Voorbeeld uitwerking materialiteit in standaard 3402.A17

Materialiteit met betrekking tot de getrouwe weergave van de beschrijving van de serviceorganisatie van haar systeem, en met betrekking tot de opzet van interne beheersingsmaatregelen, houdt voornamelijk het in overweging nemen van kwalitatieve factoren in, bijvoor-beeld: of de beschrijving de significante aspecten van het verwerken van significante transacties omvat; of de beschrijving relevante informatie weglaat of verkeerd voorstelt; en het vermogen van interne beheersingsmaat-regelen, zoals ze zijn opgezet, om een redelijke mate van zekerheid te verschaffen dat interne beheersings-doelstellingen zouden worden bereikt.

Materialiteit met betrekking tot het oordeel van de accountant van de serviceorganisatie over de werking van interne beheersingsmaatregelen houdt het in overweging nemen van zowel kwantitatieve als kwalitatieve factoren in, bijvoorbeeld: de toelaatbare mate en waargenomen mate waarin wordt afgeweken (een kwantitatieve aan-gelegenheid) en de aard en oorzaak van een waargenomen deviatie (een kwalitatieve aangelegenheid).

Tevens is het van belang om te onderkennen waarover de auditor een oordeel geeft. Bij een 3402-rapportage betreft dit (1) de getrouwheid van de beschrijving; (2) de opzet van de maatregelen en indien van toepassing (3) de werking gedurende een periode. Voor al die drie oordelen zijn in standaard 3402 criteria opgenomen. Die criteria bieden voor opdrachten met betrekking tot interne beheersingsmaat-regelen anders dan een 3402-rapport ook een goede basis. Echter de criteria voor de beschrijving behoeven mogelijk aanpassingen als deze worden gebruikt in een andere context dan een 3402-rapportage.

Beschikbaarheid criteria

Criteria moeten beschikbaar zijn voor de beoogde gebruikers zodat zij kunnen begrijpen hoe het onderzoeksobject is gemeten of geëvalueerd. Dit kan door het verwijzen naar een publiekelijk beschikbare norm, het beschrijven van de criteria bij het beschrijven van het onderzoeksobject of door het beschrijven van de criteria in het assurance-rapport of bijlage daarbij.

3.4 Materialiteit

Materialiteit is relevant bij het plannen en uitvoeren van de assurance opdracht en bij het evalueren van het onderzoeksobject. Overwegingen van materialiteit door de auditor zijn een kwestie van professionele oordeelsvorming en worden beïnvloed door de perceptie van de auditor van de behoeften van de beoogde gebruikers als een groep. Materialiteit kan bij een assurance opdracht zowel kwantitatieve factoren als kwalitatieve factoren bevatten.Soms bevat een controleprotocol nadere aanwijzingen over materialiteit. Hetzij in de vorm van tolerantiepercentages, maar soms ook dat bepaalde afwijking bij een toetsing als een fout wordt aangemerkt.

Er bestaat een zekere wisselwerking tussen criteria en materialiteit. Soms zijn criteria zodanig stellig geformuleerd dat geen fouten wordt getolereerd. De materialiteitgrens is daarmee dan ook nihil. De criteria in standaard 3402.17 en 18 spreken doelbewust ook van ‘maatregelen die een redelijke mate van zekerheid verschaffen dat ….’.

Control framework en criteria

Een control-framework geeft aan wat een organisatie qua maatregelen moet hebben ingericht, maar is niet per definitie een set aan criteria die de auditor een handvat geeft om een oordeel te geven.

Omvat de rapportage een beschrijving, en welke elemen-ten dienen dan in de beschrijving te zijn opgenomen? Als de beheersingsmaatregelen vooraf gedefinieerd zijn in een control-framework kan een auditor dan nog een oordeel geven over de opzet van die maatregelen. Of dient het oordeel gericht te zijn op de implementatie van de voorgeschreven maatregelen. Immers de opsteller van het control-framework heeft zelf al bepaald dat dan de opzet voldoende is, tenzij de maatregelen slecht ter illustratie waren bedoeld. En wat zijn dan de criteria om een oordeel te geven over de werking (op grond waarvan concludeer je dat de maatregelen werken of niet)?

Naast de verwijzing naar een control-framework zullen dan ook aanvullende criteria beschikbaar moeten zijn voor de uitvoering van en rapportage bij een assurance opdracht. De criteria in standaard 3402 zijn hiervoor goede uitgangspunten.



Dit biedt enerzijds de organisatie enige flexibiliteit om de inrichting van haar interne beheersing af te stemmen op de risico’s; maar anderzijds de auditor om niet een volledige controle uit te voeren, maar de omvang van de werkzaam-heden ook op basis van de onderkende risico’s te bepalen en uitvoeren.

Bij de uitvoering van een assurance opdracht hoeft er niet één materialiteit te zijn gedefinieerd kunnen meerdere ‘materialiteiten’ bestaan. Een en ander afhankelijk van de aard het onderzoeksobject. Denk hierbij bijvoorbeeld aan een assurance opdracht omtrent maatschappelijke verslagen. Hierbij kan gerapporteerd worden over verschillende kwantitatieve factoren (man/vrouw verdeling; CO2 uitstoot; geïnvesteerde bedragen in duurzaamheid; etc.). Je kunt hiervoor niet één bedrag voor hanteren wat materieel is. Het hanteren van een generiek percentage (bijvoorbeeld 5% afwijking) is mogelijk een handig handvat, maar dit hoeft niet de behoefte van de beoogde gebruikers op alle gerap-porteerde onderdelen in voldoende mate te weerspiegelen. Daarnaast kan er sprake zijn van een gemêleerde gebruikers-groep met diverse verwachtingen. De bepaling van de materialiteit is daardoor in die situaties uitdagend.

Van belang is om de behoefte van de gebruikers goed te onderkennen en af te vragen of een gebruiker een bepaalde afwijking gerapporteerd had zien willen worden (is het van belang?). In voorkomende situatie kan het dan wenselijk zijn de mate van materialiteit die door de auditor is gehanteerd nader te toe te lichten in het assurance-rapport.

3.5 Bewering of vermelding

In de standaarden tot en met 2016 werd de term ‘bewering’ (in het Engels ‘Assertion’) gebruikt. In de standaarden vanaf 2017 is dit verandert in ‘vermelding’ (in het Engels ‘State-ment’). De Amerikaanse standaarden van AICPA spreken nog wel van ‘assertion’, maar dat ter zijde.

De assurance standaard 3000 vereist niet van de verant-woordelijk partij dat deze expliciet een uitspraak doet dat het onderzoeksobject voldoet aan de criteria. Dit in tegenstelling tot standaard 3402 waarin dit een van de vereisten is.

De conclusie van de auditor bij een assurance opdracht kan betrekking hebben op een vermelding die door de geschikte partij is gemaakt [3000A.12.a.2.a.3]. Hierbij wordt gesproken over de geschikte partij, niet per se de verantwoordelijke partij. De vermelding kan ook door bijvoorbeeld een derde partij (niet zijnde de auditor) die de meting of evaluatie heeft uitgevoerd worden opgesteld. De standaard 3000

geeft verder ook geen nadere bepalingen of voorbeelden hoe die vermelding er uit moet zien. Het kan de uitkomst van de meting of evaluatie omvatten, denk bijvoorbeeld aan een opgave of verantwoording. Maar zo’n vermelding behoeft niet een expliciete uitspraak te bevatten van de verantwoordelijke partij dat het onderzoeksobject voldoet aan de criteria.

De auditor dient van de verantwoordelijk partij een beves-tiging te verkrijgen van de meting of evaluatie van het onderzoeksobject ten opzichte van de van toepassing zijnde criteria [3000.56.b]. Maar zo’n bevestiging behoeft dus zoals hiervoor geschetst niet openbaar te worden gemaakt.

Een expliciete bewering van de verantwoordelijke partij schept wel duidelijkheid bij een assurance opdracht. De rol van de verantwoordelijke partij wordt daarmee helder neer gezet alsmede dat de verantwoordelijke partij dan zelf ook uiting geeft dat het object van onderzoek waar zij verant-woordelijk voor is voldoet aan de criteria. Anderen kunnen die bewering dan ook gebruiken en op vertrouwen. Doel van de auditor bij een assurance opdracht is juist om dat vertrouwen van de beoogde gebruikers in die uitkomst van de meting of evaluatie te versterken [3000.12.a]. Om het vertrouwen in de uitkomst te versterken is het nodig dat de uitkomst eerst ook beschikbaar is.

Bij de totstandkoming van een assurance opdracht is het derhalve wenselijk om met de verantwoordelijke partij afspraken te maken of dat zij een managementbewering zullen opstellen. Indien deze niet beschikbaar komt zal je als auditor de onder-liggende redenen kunnen nagaan. Is de verantwoordelijke partij in staat om zelf de meting of evaluatie uit te (laten) voeren en/of is hier meer sprake van een ‘Directe opdracht’. En waarom kan/wil de verantwoordelijk partij niet zelf voor de gebruikers zo’n bewering doen, maar vraagt dit wel aan de auditor? Maar zoals eerder vermeld hoeft een bewering niet openbaar te worden gemaakt bij een 3000-opdracht.



Het assurance-rapport 4.


Standaard 3000 benoemt de basiselementen die in het assurance-rapport dienen voor te komen.

De volgorde van de elementen, indeling in (sub)kopjes wordt geheel vrij gelaten. Standaard 3000

bevat zelf geen voorbeeldrapportages. Het voorbeeld van een assurance-rapport in standaard

3402 biedt hiertoe een basis. NBA heeft eind 201810 een nieuwe opzet van de assurance-rapporten

opgesteld waarbij – in navolging van de controleverklaringen – de conclusie van de auditor als

eerste wordt vermeld.

Voorbeeldtekst:

OordeelWij hebben (onderzoeksobject: het/de) … van … (naam entiteit(en)) te … ((statutaire) vestigingsplaats) over 201X (boekjaar) onderzocht.Naar ons oordeel is [indien van toepassing: het/de in [omvattend document] opgenomen] (onderzoeksobject: het/de) … van … (naam entiteit(en)) in alle van materieel belang zijnde aspecten opgesteld in overeenstemming met de van toepassing zijnde criteria.[Optioneel: (Onderzoeksobject: Dit/Deze/De/Het) … omvat/bestaat uit/betreft … .]

De basis voor het oordeelWij hebben ons onderzoek uitgevoerd volgens Nederlands recht, waaronder de Nederlandse Standaard 3000A ’Assurance opdrachten anders dan opdrachten tot controle of beoordeling van historische financiële informatie (attest-opdrachten)’. Deze opdracht is gericht op het verkrijgen van een redelijke mate van zekerheid. Onze verantwoordelijkheden op grond hiervan zijn beschreven in de sectie ‘Onze verantwoordelijkheden voor het onderzoek over (onderzoeksobject: het/de) … ’.

Wij zijn onafhankelijk van … (naam entiteit(en)) zoals vereist in de ‘Verordening inzake de onafhankelijkheid van accountants bij assurance-opdrachten ’ (ViO) en andere relevante onafhankelijkheidsregels in Nederland. Daarnaast hebben wij voldaan aan de Verordening gedrags- en beroepsregels accountants (VGBA).Wij vinden dat de door ons verkregen assurance informatie voldoende en geschikt is als basis voor ons oordeel.

10 Zie: https://www.nba.nl/nieuws-en-agenda/nieuwsarchief/2018/november/modellen-nieuw-format-assurance-rapporten-beschikbaar/




De auditor vormt een conclusie op basis van de verkregen assurance informatie en verschaft een schriftelijk rapport dat een duidelijke uitdrukking van die assurance conclusie bevat over de informatie over het onderzoeksobject. De conclusie van de auditor kan betrekking hebben op:

• hetonderzoeksobjectendevantoepassingzijndecriteria;• deinformatieoverhetonderzoeksobjectendevan

toepassing zijnde criteria; of• eenvermeldingdiedoordegeschiktepartijisgemaakt.

In één assurance-rapport kunnen meer dan één oordeel voorkomen. Voorbeeld hiervan is zoals eerder als benoemd een 3402-rapport waar de auditor een oordeel geeft over de beschrijving, de opzet van de maatregelen en (indien van toepassing) de werking van die maatregelen over een bepaalde periode. Maar ook bij DigID-assessments11 geeft de auditor niet één oordeel over de informatiebeveiliging als geheel, maar komt tot een oordeel per norm. Dit omdat bij een DigiD-assessment een selectie uit de actuele ICT-be-veiligingsrichtlijnen voor webapplicaties van het NCSC bevat.

Bij de opdrachtaanvaarding is het wenselijk om na te gaan op welke wijze het oordeel geformuleerd kan worden. Dat geeft daarmee gelijk richting over het onderzoeksobject, de criteria maar ook of de opdracht wel een rationele opdracht is, kan worden uitgevoerd en niet onbelangrijk aansluit op de behoefte van de beoogde gebruikers. Bijvoorbeeld een privacy audit op basis van het privacy control framework van NOREA12. Aangegeven in die handreiking is dat geen oordeel kan worden gegeven over het voldoen aan weten regelgeving op het gebeid van privacy (de AVG, Algemene Verordening Gegevensbescherming). Maar hierbij kan wel een oordeel worden gegeven over de opzet, bestaan en werking van de getroffen maatregelen.

De auditor brengt in de volgende omstandigheden een aangepaste conclusie tot uitdrukking:

• Wanneer,naardeprofessioneleoordeelsvormingvandeauditor, er sprake is van een beperking in de reikwijdte en het effect van de aangelegenheid van materieel belang zou kunnen zijn. In dergelijke gevallen formuleert de auditor een conclusie met beperking of een onthouding van een conclusie. In sommige gevallen overweegt de auditor om de opdracht terug te geven.

• Wanneer,naardeprofessioneleoordeelsvormingvandeauditor, de informatie over het onderzoeksobject een afwijking van materieel belang bevat. In dergelijke gevallen formuleert de auditor een conclusie met beperking of een afkeurende conclusie.

Er wordt een conclusie met beperking tot uitdrukking gebracht wanneer de effecten, of mogelijke effecten, van een aangelegenheid niet van dergelijk materieel belang en diepgaande invloed zijn dat er een afkeurende conclusie of een onthouding van een conclusie is vereist.

Dilemma uit de praktijk – standaard 3000 oordeel ten behoeve van equal pay assurance

•kunnenweeenuitspraakdoenovergelijkebetaling van mannen en vrouwen – wat is gelijk of wanneer is het ongelijk – wat is de bandbreedte; bestaan hiertoe

eenduidige criteria;

•ofgevenweassuranceoverderapportagedieinzichtgeeft hoeveel mannen en vrouwen per categorie (bijvoorbeeld ingedeeld naar functie en/of leeftijd) verdienen en laten de conclusie over equal over aan

de gebruiker.

11 Zie Handreiking bij DigiD-assessments V2.0; https://www.norea.nl/download/?id=256212 Zie NOREA Guide - Privacy Control Framework https://www.norea.nl/download/?id=4160




Voorbeeldtekst:

Van toepassing zijnde criteriaVoor deze opdracht gelden de volgende criteria: …(zelf invullen, mede op basis van Standaard 3000A.A164).

Optioneel: •Materialiteit•Reikwijdtevanhetgroepsonderzoek•Dekernpuntenvanonsonderzoek•Benadrukkingvanbepaaldeaangelegenheden•Beperkingingebruikenverspreidingskring•passagemetpassendeparagraafkop(pen)over

beperkingen bij het onderzoek of andere overige aangelegenheden

Het assurance-rapport kan zowel door de auditor als door de serviceorganisatie worden opgemaakt. Het rapport is bestemd voor de organisaties die de diensten of producten in scope gedurende de rapportageperiode hebben afge-nomen. In het auditorsrapport staat in de meeste gevallen vermeld dat het rapport uitsluitend bestemd is voor gebruik door deze groep gebruikers (en indien relevant hun accoun-tants).

Voorbeeldtekst:

Verantwoordelijkheden van het bestuur voor (onderzoeksobject: het/de) Het bestuur is verantwoordelijk voor het opstellen van (onderzoeksobject: het/de) … in overeenstemming met de van toepassing zijnde criteria, inclusief het identificeren van de beoogde gebruikers en het toepasbaar zijn van de gehanteerde criteria voor de doelstellingen van de beoogde gebruikers.

Het bestuur is ook verantwoordelijk voor een zodanige interne beheersing als het noodzakelijk acht om het opstellen, meten of evalueren van (onderzoeksobject: het/de) … mogelijk te maken zonder afwijkingen van materieel belang als gevolg van fraude of fouten.

Verantwoordelijkheden van de auditor voor het onderzoek over (onderzoeksobject)

Onze verantwoordelijkheid is het zodanig plannen en uitvoeren van ons onderzoek dat wij daarmee voldoende en geschikte assurance informatie verkrijgen voor het door ons af te geven oordeel.

Ons onderzoek is uitgevoerd met een hoge mate maar geen absolute mate van zekerheid waardoor het mogelijk is dat wij tijdens ons onderzoek niet alle materiële fouten en fraude ontdekken.

Wij passen de ‘Nadere voorschriften kwaliteitssystemen’ (NVKS) toe. Op grond daarvan beschikken wij over een samenhangend stelsel van kwaliteitsbeheersing inclusief vastgelegde richtlijnen en procedures inzake de naleving van ethische voorschriften, professionele standaarden en andere relevante weten regelgeving.

Ons onderzoek bestond onder andere uit:

het identificeren en inschatten van de risico’s dat (onder-zoeksobject: het/de) … afwijkingen van materieel belang bevat als gevolg van fouten of fraude, het in reactie op deze risico’s bepalen en uitvoeren van assurance werk-zaamheden en het verkrijgen van assurance informatie die voldoende en geschikt is als basis voor ons oordeel. Bij fraude is het risico dat een afwijking van materieel belang niet ontdekt wordt groter dan bij fouten. Bij fraude kan sprake zijn van samenspanning, valsheid in geschrifte, het opzettelijk nalaten transacties vast te leggen, het opzettelijk verkeerd voorstellen van zaken of het doorbreken van de interne beheersing;

het verkrijgen van inzicht in de interne beheersing die relevant is voor het onderzoek met als doel assurance werkzaamheden te selecteren die passend zijn in de omstandigheden. Deze werkzaamheden hebben niet als doel om een oordeel uit te spreken over de effectiviteit van de interne beheersing van de entiteit;

Ondertekening:Plaats en datum... (naam auditorspraktijk)... (naam auditor)



Waar moet de lezer van een assurance-rapport op letten?

De lezer van een assurance-rapport moet door eigen beoor-deling van het rapport vaststellen of dit aansluit op de eisen waarvoor het gebruikt gaat worden. Specifieke aandachts-punten daarbij zijn:

• detimingvanhetrapportenindienvantoepassingdeperiode waarover het is afgegeven;

• descopevanhetrapport:zijnallerelevanteobjecten,processen en sub processen onderdeel van de beoordeling?

• Eventueleaannames,beperkingenofuitsluitingen,zoalsgebruik van sub-serviceorganisaties en/of behoefte aan aanvullende interne beheersingsmaatregelen van een gebruikersorganisatie?

• decriteriadiezijngehanteerdvoordetoetsing.Zijnerbekende standaarden zoals ISO of NIST gebruikt of zijn eigen beheersingsmaatregelen beschreven en is de diepgang hiervan voldoende?

• verklaringvandeauditor:heefteenbetrouwbarepartijdeaudit gedaan en welke bevindingen zijn geconstateerd?

Aangezien de objecten van onderzoek van diverse assu-rance-opdrachten enorm kunnen verschillen is het ook van belang om na te gaan of de noodzakelijke gespecialiseerde vaardigheden en kennis in het team zijn opgenomen. Zo mag worden verwacht dat in geval van Cyber-assurance of Privacy-assurance de auditor er voor zorgt dat specialisten worden ingezet.

In veel aspecten heeft een 3000 rapport dezelfde kracht als een 3402 rapport maar er zijn ook verschillen

Beide standaarden kunnen leiden tot een assurance-rapport met een redelijke mate van zekerheid. Dit betekent dat de benodigde assurance-informatie voor beide rapporten het-zelfde is. Binnen een 3000 rapport is ook een rapport met een beperkte mate van zekerheid mogelijk, zie paragraaf 3.2. Standaard 3402 kent het onderscheid tussen een Type 1 rapport (toetsing van maatregelen op een moment in de tijd in opzet en bestaan) en een Type 2 rapport (toetsing van maatregelen over een periode op effectieve werking). Een3000-rapport beschrijft een dergelijke 2-deling niet, maar deze kan wel binnen een 3000-opdracht worden toegepast.

Bij een 3402 rapport is een management vermelding een verplicht onderdeel. Bij een 3000 is dit niet verplicht maar bevelen wij wel sterk aan om daarmee de rol van verant-woordelijke partij goed weer te kunnen geven. Het 3402 rapport kent een verplicht aantal onderdelen. Dat is bij een 3000 minder het geval hoewel het oordeel van de auditor wel standaard is. Zo is bijvoorbeeld ook de systeem-beschrijving niet verplicht voor een 3000-rapport. Het 3402-rapport is zoals hiervoor beschreven gericht op de interne beheersingsmaatregelen relevant voor de financiële rapportage en jaarrekening. Een 3000-rapport kent die specifieke reikwijdte niet. Een 3402-rapport wordt gebruikt bij uitbesteding en zal daarom het meest efficiënt zijn in een situatie waarbij meerdere cliënten gebruik maken van service organisatie. Voor een 3000-rapport kan dit aan de orde zijn maar kan ook voor specifieke onderwerpen worden gebruikt. Beide standaarden kennen het begrip materialiteit in relatie tot de evaluatie van de bevindingen in het rapport. Voor een 3402-rapport gaat het dan om de materialiteit van de bevin-ding in het proces in de context van de interne controle voor de financiële rapportering. Voor de 3000 kan veel meer de impact van de bevinding op het operationele proces van belang zijn. Als voorbeeld kun je hierbij denken aan de beheersingsmaatregelen om te voorkomen dat een geld-automaat uitvalt. De impact op de jaarrekening van een bank zal over het algemeen heel beperkt zijn. De impact op het bedrijfsproces (boze klanten, negatieve publiciteit) aanzienlijk groter. Een ander voorbeeld zijn de KPI’s die zijn opgenomen in een SLA. Van groot belang voor het bedrijfsproces maar over het algemeen veel minder voor de jaarrekeningcontrole.



Starten en werken aan een assurance-rapport 5.


Als u geconcludeerd heeft dat het voor uw organisatie nodig is om een 3000 assurance-rapport

te verkrijgen, dan kunt u het traject starten om deze vorm van zekerheid te verkrijgen. U start

dan met een implementatietraject, waarna u periodiek het assurance proces doorloopt en

een assurance-rapport verkrijgt. Rand voorwaardelijk hieraan is echter wel dat uw organisatie

voldoende volwassen is.

Waar moet je als organisatie al staan, voordatje begint

Voordat u met het implementatietraject begint, is het goed om te onderzoeken of uw organisatie het juiste volwassen-heidsniveau heeft. In figuur 2 ziet u de verschillende tredes hiervoor gevisualiseerd. Om het implementatietraject soepel te doorlopen is het namelijk een randvoorwaarde dat uw organisatie volwassenheidsniveau 3 ‘gestandaardiseerd’ heeft. Volwassenheidsniveau 3 houdt in dat de organisatie zijn processen heeft gestandaardiseerd en het management ‘in control’ is over deze processen. Daarnaast heeft de organisatie interne beheersingsmaatregelen ingevoerd om te valideren dat de processen daadwerkelijk goed worden uitgevoerd. Als deze elementen zijn ingericht, dan kan er vervolgens middels een assurance traject zekerheid gegeven worden over de uitvoering van deze controles en de verant-woording van het management over hun processen.

Om te bepalen hoe volwassen uw organisatie is kunt u een verschillenanalyse uitvoeren om te identificeren welke acties er nog nodig zijn, voordat het implementatietraject gestart kan worden. Figuur 2: Op weg naar volwassenheid

Volwassenheids-niveau 1








Implementatie traject

Zoals eerder aangegeven zijn er bepaalde zaken vereist bij een assurance opdracht en deze kunnen gedurende het implementatietraject voorbereid worden. Denk hierbij aan een duidelijk gedefinieerd onderzoeksobject en heldere criteria waartegen getoetst kan worden. Het is daarnaast een voordeel als de organisatie beschikt over een volwassen administratieve organisatie en stelsel van interne beheer-singsmaatregelen. Bij een 3000 opdracht helpt dit bijvoor-beeld bij de goede beschrijving van verantwoordelijkheden, uitwerking van procedures en de vastlegging van de uitgevoerde testwerkzaamheden.

Het implementatietraject kun je opdelen in een vijftal stappen, die hieronder worden uitgeschreven en hierna in figuur 3 worden weergeven:

1. Definiëren van het onderzoeksobject & Vaststellen van de criteria:

Begin met het omschrijven van het object waarover wil je zekerheid wilt verkrijgen. Zoals al aangegeven kan het onderzoeksobject vele vormen aannemen en daarom is het belangrijk om voor een duidelijke omschrijving te zorgen. Het is belangrijk om deze definitie en de reikwijdte af te stemmen met de beoogde gebruikers van het rapport.

Daarna moeten de criteria die worden gebruikt om het onderzoeksobject te meten of evalueren vastgesteldworden. Deze vormen het kader op basis waarvan zekerheid gegeven zal worden. Ook de criteria dienen afgestemd te worden met de beoogde gebruikers.

Als verantwoordelijke partij bent u de eigenaar van de criteria. Het is daarom belangrijk dat u de tijd neemt om de criteria te definiëren en af te stemmen. Let hier bij op het kiezen van criteria die écht relevant zijn voor het onderzoeksobject en beperk het aantal criteria zo veel als mogelijk. Door voldoende tijd te besteden aan het definiëren van de criteria kunt u later onduidelijkheid en moeizame testwerkzaamheden voorkomen.

In de praktijk zien we veelal dat de criteria in een raamwerk worden verwerkt, een zogenaamd risico en controle raam-werk. Dit raamwerk biedt een duidelijk kader waartegen het onderzoeksobject getoetst kan worden. Voor een 3402 assurance opdracht is een risico- en controleraamwerk een verplicht onderdeel en vanwege het duidelijke kader wordt dit raamwerk ook vaak opgesteld voor 3000 opdrachten. Daarnaast wordt er vaak gekozen voor een bekend raam-werk, zoals de ISO27001-standaard indien het onderzoeksobject informatiebeveiliging betreft of een privacy raamwerk voor een privacy-gerelateerd onderzoeksobject. Op deze manier zijn de criteria reeds vastgesteld en onderbouwt. Dit helpt om de juiste set van criteria te definiëren en bij de afstemming met de beoogde gebruikers.

2. Verschillen analyse:

Afhankelijk van het volwassenheidsniveau, wordt er beoor-deeld of er een verschillenanalyse nodig is. Tijdens deze stap wordt er geëvalueerd of er reeds aan de criteria wordt voldaan. Met andere woorden, voldoet de set van maat-regelen aan de criteria die opgesteld zijn en is het controleer-baar (auditable)? De analyse zal inzicht geven in de verschillen tussen de huidige en gewenste situatie. Waar nodig, kan de organisatie de geïdentificeerde, significante verschillen adresseren, zodat er wel aan de criteria wordt voldaan.




4. Bijsturing door management:

voordat het assurance traject gestart wordt en er een onafhankelijke evaluatie van het onderzoeksobject gaat plaatsvinden, kan de organisatie de resultaten van de gereed-heidsanalyse verwerken. Dit houdt veelal in dat geïdentifi-ceerde, significante bevindingen geadresseerd worden, zodat er aantoonbaar aan de criteria wordt voldaan. Hierbij kan de documentatie en het eigenaarschap van de criteria verder worden verfijnd.

5. Assurance traject – Testen en rapporteren:

als vijfde stap wordt er een onafhankelijke evaluatie van het onderzoeksobject o.b.v. de criteria door de onafhan-kelijke auditor uitgevoerd. De testwerkzaamheden worden uitgevoerd en hierover wordt gerapporteerd. Uiteindelijk resulteert dit in een assurance-rapportage.

Onderzoeksobject & Verschillen

A

ssur

ance

Tes

ten

management analyse

criteria vaststellen analyse

&

rapp

orta

ge

Bijsturing door Gereedheids-

01

0205

0304

Analysevolwassenheidsniveau

Management defineert het onder-zoeksobject en stelt de criteria vast

Defineer het onderzoeksobject, stel de criteria vast en stem deze af met de beoogde gebruikers

Verschillen analyse

• Afhankelijk van het volwassenheidsniveau, voer een verschillen- of gereedheidsanalyse uit• Evalueer de criteria en identificeer de verschillen tussen de huidige en gewenste situatie

Bijsturing door management

• Adresseer de verschillen• Verfijn documentatie en eigenaarschap

Gereedheidsanalyse

• Voer testen tegen de criteria uit om de gereedheid van de organisatie te analyseren• Identificeer verschillen en mogelijke verbeterpunten

Bijsturing door management

• Adresseer de verschillen• Verfijn documentatie en eigenaarschap

Assurance traject

• Laat een onafhankelijke evaluatie van het onderzoeksobject uitvoeren o.b.v. de criteria• Ontvang een assurance rapport

3. Gereedheidsanalyse – Testen tegen de criteria:

als derde stap worden de testwerkzaamheden tegen de vastgestelde criteria uitgevoerd. In deze fase wordt nader onderzocht in hoeverre voldoende geschikte assurance-informatie beschikbaar is ten behoeve van een assurance-opdracht. Een verschillen- en gereedheidsanalyse kan ook als één stap worden uitgevoerd.

Het uitvoeren en documentatie van de (test)werkzaamheden wordt vaak onderschat door organisaties. Het kost (initieel) veel tijd om de benodigde testwerkzaamheden uit te voeren en het is vaak moeilijk om de uitgevoerde werkzaamheden aantoonbaar te maken. Zo zien we dat organisaties wel allerlei activiteiten uitvoeren, maar om tot aantoonbare interne beheersingsmaatregelen te komen een proces-beschrijving nodig is die voldoet aan de 5 W-criteria: Wie doet Wat op Welk moment Waarmee en Waarom? Dit moet vervolgens dan ook achteraf zichtbaar (en gedocumenteerd) zijn.

Figuur 3: Implementatietraject



Het implementatie traject voor het verkrijgen van een assurance-rapport is een intensief proces voor de verant-woordelijke partij. Dit proces wordt in de praktijk nogal eens onderschat. Het is daarom raadzaam om een projectplan te maken en een projectmanager aan te stellen. Neem in het projectplan een realistische tijdsplanning op en reserveer daarnaast voldoende beschikbaarheid van betrokken mede-werkers. De voorbereidende werkzaamheden zullen bestaan uit het definiëren van het onderzoeksobject en het vast-stellen van de criteria (stap 1). Zodra deze stap is gezet, zal geanalyseerd moeten worden welke processen en testwerkzaamheden reeds uitgevoerd en welke geïmple-menteerd moeten worden tijdens de verschillenanalyse. Deze processen en controles zullen geïmplementeerd en getest moeten worden. Afhankelijk van het volwassen-heidsniveau van de organisatie zal stap 3 ‘Gereedheidsanalyse - testen tegen criteria’ uitgevoerd kunnen worden om te bepalen of de organisatie nu voorbereid voor de uitvoering van de assurance-opdracht. Indien dit het geval is, dan kan de organisatie vanaf dat moment een assurance opdracht laten uitvoeren.

Het kan helpen om een auditor gedurende de voorbereidende werkzaamheden mee te laten lopen. Deze kan dan met relatief beperkte inspanning kennisnemen van de verschillen en/of gereedheidsanalyses om te beoordelen of de criteria adequaat zijn en de opzet van de testwerkzaamheden voldoet.

Periodiek proces

Na een succesvol uitgevoerd implementatietraject en eerste assurance-rapport, kunt u periodiek het assurance proces doorlopen om over een andere/volgende periode zekerheid te verkrijgen. Een assurance-rapport geeft namelijk zekerheid over een specifieke periode of moment. Dus als u bijvoor-beeld voor elk jaar wilt meten of een proces volgens de criteria is uitgevoerd, dan zult u ieder jaar het assurance proces moeten doorlopen.

Het periodieke assurance proces voor de organisatie bestaat dan uit de volgende fases:

• voorbereiding en kick-off: als voorbereiding wordt een audit plan opgesteld. Hierin wordt onder andere de evaluatie van de definitie van het onderzoeksobject en de criteria opgenomen. Daarnaast wordt er een tijdslijn met deadlines opgesteld;

• testwerkzaamheden uitvoeren: de testwerkzaamheden worden uitgevoerd om het onderzoeksobject te meten tegen de criteria;

• review en rapportage: de resultaten van de uitgevoerde testwerkzaamheden worden geëvalueerd en de assurance-rapportage wordt voorbereid.



Waar zie je de Standaard 3000 terug komen? 6.


In dit laatste hoofdstuk beschrijven wij een aantal actuele ontwikkelingen

op gebied van de assurance-opdrachten en rapportages.

Horizontaal Toezicht Assurance

Bij Horizontaal Toezicht Zorg nemen zorgaanbieders (voorals-nog: ziekenhuizen en GGZ-instellingen) en zorgverzekeraars gezamenlijk de verantwoordelijkheid voor het verantwoor-dingsproces ten aanzien van een juiste besteding van de zorguitgaven. In plaats van gegevensgerichte controle achteraf richten zorgaanbieders hun interne beheersing in om de rechtmatigheid van declaraties aan de voorkant te borgen. Toetsing van de interne beheersing door een onafhankelijke assurance provider draagt vervolgens bij aan wederzijds vertrouwen tussen de zorgaanbieder(s) en de zorgverzekeraar(s). Toetsing (assurance) vindt plaats aan de voorkant (opzet en bestaan) en als verantwoording over de tijd (opzet, bestaan en werking).

KPMG is vanaf het begin betrokken bij de ontwikkeling van Horizontaal Toezicht Zorg en daardoor betrokken bij zorg-aanbieders die hiermee als eerste aan de slag zijn gegaan. KPMG is ook de eerste partij die assurance verklaringen heeft afgegeven in het kader van Horizontaal Toezicht. Link naar website toevoegen?

ISAE 3402 ‘look a like’

In de praktijk zien veel Standaard 3000 rapporten waar interne beheersing van processen wordt onderzocht eruit als een Standaard 3402 (altijd 3000A opdrachten). Het onderzoeksobject is dan vaak breder of niet van toepassing voor de risico’s in het kader van de financiële verggeving van de gebruiker (vandaar de Standaard 3000), maar de ‘look-and-feel’ van het rapport doet echter sterk denken aan een standaard 3402 rapportage. De standaard 3402 definieert minimaal wat ten minste in het rapport moet zijn opgenomen, maar bevat geen voorschriften voor de lay-out. In lijn met de opbouw van de oude SAS 70 rapporten hebben de ISAE 3402 rapporten in de praktijk een gelijke opbouw gekregen. Wordt hierbij rekening gehouden met de invoeging van de managementvermelding, dan is de indeling van een ISAE 3402 rapport als volgt:

1. auditorsrapport; 2. managementvermelding; 3. systeembeschrijving; 4. beheersingsdoelstellingen en -maatregelen aangevuld

met de informatie verstrekt door de auditor; 5. overige informatie (optioneel).

Deze indeling kan ook zeer goed gebruikt worden voor 3000 opdrachten die over interne beheersingsmaatregelen gaan, maar niet goed passen binnen het raamwerk van een 3402-rapport.




SOC2 speciale vorm

Zoals eerder beschreven is in de Verenigde Staten al een aantal jaren naast SOC1 ook het SOC2 assurance-rapport in de markt beschikbaar. Dit is een assurance-rapport met een specifieke norm voor IT organisaties en kan in Nederland worden gevolgd onder de Standaard 3000. Door NOREA is hier een handreiking voor uitgebracht en eerder is door KPMG hier ook Praktijkgids 5 hierover gepubliceerd. Deze kan worden gebruikt door Nederlandse IT-organisaties die aan cliënten in de Verenigde Staten rapporteren. De meeste grote wereldwijde cloud IT-organisaties vanuit de VS zoals Amazon en Microsoft beschikken al over een SOC2 rapport. Langzaam wint deze standaard ook in Nederland en Europa terrein. In April 2017 heeft de AICPA de nieuwe 2017 Trust Services Criteria (TSC) vrijgegeven. De 2017 TSC vervangen de 2016 Trust Services Principles and Criteria die nog gebruik mogen worden voor rapporten tot en met December 15 2018. De keuze voor de nieuwe TSC is gemaakt om meer aan te sluiten bij het COSO framework en om de flexibiliteit van de criteria te verhogen. De nieuwe TSC zijn meer geschikt voor een organisatie brede opdracht en zo kan bijvoorbeeld de nieuwe TSC worden toegepast voor de eveneens nieuwe System and Organization Controls (SOC) for Cybersecurity. Het nieuwe TSC wijkt op onderdelen behoorlijk af van de oude standaard zodat voor organisaties die hier gebruik van maken tijdig een gap-analyse moet worden uitgevoerd. Wij schatten in dat voor de meeste organisaties controls moeten toegevoegd aan het framework om aan de nieuwe TSC te voldoen. Het is daarom van belang dat organisaties die dit betreft daar zo snel mogelijk mee aan de slag gaan. Wij verwijzen hierbij meer gedetailleerd naar het whitepaper SOC 2 reporting: Changes Ahead13.

Cyber Assurance

Omdat een effectieve en veilige interactie van organisaties met zakenpartners, leveranciers en serviceorganisaties cruciaal is voor een efficiënte bedrijfsvoering, implementeren bedrijven risicomanagementprogramma’s om deze risico’s aan te pakken. Vaak hebben zij echter moeite met het verzamelen van interne en externe risicomanagement-informatie over cybersecurity. Om organisaties te helpen bij het vergaren van deze interne en externe risico-managementinformatie is er een raamwerk door de AICPA ontwikkeld. Organisaties kunnen dit raamwerk gebruiken bij het communiceren van relevante en bruikbare informatie over de effectiviteit van hun cybersecurity risicomanagementprogramma naar diverse stakeholders. Het raamwerk biedt een algemene aanpak voor het beoordelen van en rapporteren over het cybersecurity risicomanagementprogramma van een entiteit. Het daaruit resulterende cybersecurity-onder-zoeksrapport bestaat uit twee onderdelen:

• Debeschrijvingdoorhetmanagementvanhetcyber- security-risicomanagementprogramma en de positie van

het management met betrekking tot het programma;• Deeffectiviteitvandeinternebeheersingsmaatregelen

van het cybersecurity-risicomanagementprogramma, en het oordeel van de onafhankelijke IT-auditor over de beschrijving en de effectiviteit van de interne beheersingsmaatregelen van het cybersecurity- risicomanagementprogramma in het bereiken van de cybersecurity-doelstellingen.

Vanwege de complexiteit, het volume en de dynamische aard van hun informatiesystemen zijn nog niet veel organisaties bereid om een onderzoek op entiteitsniveau te ondergaan. Het Cybersecurity raamwerk kan een waardevol hulpmiddel voor bedrijven zijn bij het voorbereiden op een onderzoek of bij het communiceren van de staat van het cybersecurity-risicomanagementprogramma aan senior management en andere relevante interne en externe stakeholders.

13 https://advisory.kpmg.us/content/dam/advisory/en/pdfs/soc2-reporting-changes-ahead.pdf




GDPR – privacy

Vanaf 25 mei 2018 moeten organisaties in Nederland voldoen aan de Algemene Verordening Gegevenbescherming (AVG), de nieuwe Europese privacywet. Door NOREA, de beroeps-organisatie van IT-auditors, is een Privacy Control Framework (PCF) ontwikkeld dat gebruikt kan worden voor een objectieve beoordeling van de manier waarop een organisatie met persoonsgegevens omgaat. Het PCF bevat de voorgeschreven doelstellingen en elementen voor privacy-onderzoeken op basis van de NOREA Assurance richtlijn 3000. In de toelich-ting wordt aangegeven dat het PCF moet worden gezien als een algemeen toetsingskader, aanscherping kan noodzakelijk zijn gegeven de specifieke situatie. Verder wordt aangegeven dat het karakter van de rapportage, meestal bestemd voor een brede groep van gebruikers, en de intentie van de AVG met zich meebrengt dat een lager zekerheidsniveau (beperkte mate van zekerheid) tot misinterpretaties zou kunnen leiden en derhalve wordt afgeraden. Bij voorkeur wordt een assurance-rapport uitgebracht onder de NOREA richtlijn 3000 A(ttest). Indien het assurance-rapport met een redelijke mate van zekerheid is uitgebracht, en er geen beperkingen in het oordeel zijn is het ook mogelijk op basis van het rapport het keurmerk ‘Privacy Audit Proof’ te ver-krijgen. NOREA heeft aangegeven dat met de introductie van het PCF de eerdere richtlijn 3600 voor Privacy-audits komt te vervallen.

Algorithm Assurance

In de huidige maatschappij worden steeds vaker complexe data-analyses gebruikt om belangrijke besluiten te nemen die van invloed zijn op organisaties, de maatschappij en ons als individu. De gedachte hierbij is dat we subjectieve afwegingen op basis van gevoel vervangen door objectieve gegevens gebaseerd op feiten die zijn vastgelegd in data. Echter in toenemende mate worden vragen gesteld in hoeverre we eigenlijk op de uitkomsten uit deze data-analyses kunnen vertrouwen. Is er sprake van Trusted Analytics? Zijn de juiste beheersingsmaatregelen bij het ontwerp, de implementatie en de uitvoering opgenomen? In de publicatie: Building trust in Analytics (KPMG International 2016)14 worden 4 key elementen onderkend: kwaliteit, effectiviteit, resilience en integriteit. In toenemende mate wordt onderkend dat er behoefte bestaat aan assurance over de data in de vorm van een audit of wel digital assurance. Sommige experts verwachten zelfs dat het audit beroep zich in hoge mate zal ontwikkelen naar een digital assurance beroep. Momenteel wordt hard gewerkt aan het ontwikkelen van de normenkaders op basis waarvan die assurance kan worden geleverd. Naar verwachting zal de 3000-standaard hier aan de basis staan.

14 https://assets.kpmg/content/dam/kpmg/xx/pdf/2016/10/building-trust-in-analytics.pdf



Continuous monitoring

Momenteel zijn veel assurance-rapporten 1 x per jaar beschikbaar. In de assurance standaarden staat overigens geen voorschrift over hoe vaak een assurance-rapport beschikbaar moet zijn. Vanuit de jaarrekeningcontrole is de gedachte van jaarlijks in onze beeldvorming terecht gekomen maar als de trend in de maatschappij gaat naar het continu beschikbaar stellen van informatie, het continue controleren daarvan door de organisatie (continuous monitoring) dan moet het mogelijk zijn om continuous assurance te verlenen. In toenemende mate wordt gewerkt aan het operationaliseren van deze belofte en hiervan zijn reeds concrete voorbeelden gerealiseerd. Wij verwijzen hier naar de publicatie ‘Digitization of Risk Management’ [Compact 2018]15 waarin het KPMG Digital Risk Platform wordt beschreven dat ondermeer moet leiden tot integrated and continuous assurance. Als leveran-ciers in de Cloud een continu dashboard kunnen leveren met hun belangrijkste KPI’s daarin opgenomen dan mag verwacht worden dat er ook behoefte komt aan assurance daarbij.

Sustainability Assurance

Er is steeds meer aandacht vanuit de maatschappij voor duurzaamheid. Van organisaties wordt verwacht dat ze in toenemende mate verantwoording afleggen over hun duurzaamheidsprestaties aan klanten, investeerders, NGO’s en andere belanghebbenden. Er wordt gevraagd om steeds breder te rapporteren, over meer verschillende indicatoren, over alle landen waar een organisatie actief is en over de impact op de supply chain. Dit vraagt om betrouwbare informatie die inzichtelijk maakt of duurzaamheidsdoel-stellingen worden gerealiseerd en die voldoet aan externe richtlijnen (GRI G4, IIRC, CDP). Voor veel organisaties is het rapporteren over duurzaamheidsprestaties een uitdaging. Het is niet eenvoudig om te bepalen welke onderwerpen belangrijk zijn en hoe er over deze onderwerpen gerappor-teerd moet worden. Daarnaast verwachten stakeholders steeds meer zekerheid over de gepubliceerde informatie. Om deze zekerheid te waarborgen wordt bij de rapportages een assurance verklaring afgegeven. In Nederland is een specifieke standaard uit de 3000 reeks van toepassing namelijk de Standaard 3810N. De belangstelling voor integrated reporting is hierbij de laatste jaren sterk toe-genomen. Integrated reporting is de samenvattende rapportage waarin organisaties aangeven hoe zij duurzaam opereren en hoe strategie, governance, prestaties en vooruitzichten (maatschappelijke) waarde opleveren voor de korte, middellange en lange termijn.

Assurance over gedrag

In de maatschappij is duidelijk dat in toenemende mate behoefte bestaat aan betrouwbare en relevante informatie over gedrag (of soft controls). Tot voor kort werd in het kader van interne controle vooral gekeken naar beheersingsmaat-regelen als functiescheiding, procedures en autorisaties, de zogenaamde hard controls maar in toenemend mate wordt ook het belang van gedrag beïnvloedende factoren als cultuur en voorbeeldgedrag onderkend. Die factoren worden beschreven als soft controls. Ook als onderdeel van de jaarrekeningcontrole wordt hier meer en meer aandacht aan besteed. Binnen het audit beroep is daarbij wel veel discussie of soft controls onderdeel zijn van de controle-omgeving danwel van control activities. Hoe kan de werking van soft controls worden aantoonbaar worden gemaakt op het niveau van de control activities? Volgens de theorie zou het mogelijk moeten zijn een assurance opdracht volgens het stramien uit te voeren om over de werking van de softcontrols uit te voeren. Inmiddels is er sprake van een eerste assurance-rapport over soft controls en dat is inder-daad ook onder de standaard 3000 uitgebracht. Duidelijk is dat dit onderwerp momenteel nog in de kinderschoenen staat maar dat dit voor de nabije toekomst waarschijnlijk verder gaat ontwikkelen.

Equal Pay

Een onderwerp wat recent in de maatschappelijke discussie is opgekomen betreft de gelijke betaling voor mannen en vrouwen voor vergelijkbare functies. Over dit onderwerp bestaat behoefte aan assurance maar moet nog verder worden uitgewerkt aan de hand van welke criteria dit soort potentiële assurance-opdrachten kan worden verleend.

15 https://www.compact.nl/en/articles/digitization-of-risk-management/



Lijst met afkortingen

Afkorting Betekenis

AICPA American Institute of Certified Public Accountants

AO/IC Administratieve organisatie / Interne Controle

AVG Algemene Verordening Gegevensbescherming

BIR Baseline Informatiebeveiliging Rijksdienst

CDP Carbon Disclosure Project

COBIT Control Objectives for Information and related Technology

DigiD Digitale Identiteit

DNB De Nederlandse Bank

ENSIA Eenduidige Normatiek Single Information Audit

GDPR General Data Protection Regulation

GGZ Geestelijke Gezondsheidszorg

GRI Global Reporting Initiative

ICT Informatie en Communicatie Technologie

IFAC Internationale Federatie van Accountants

IIRC International Integrated Reporting Council

ISAE International Standards for Assurance Engagements

IT Informatie Technologie

KPI Key Performance Indicator

NB Nota bene

NBA Nederlandse Beroepsorganisatie voor Accountants

NCSC Nationaal Cyber Security Centrum

NEN NEderlandse Norm

NGO non-governmental organization

NIST National Institute of Standards and Technology

NOREA Nederlandse Orde van Register EDP-Auditors

PCAOB Public Company Accounting Oversight Board

PCF Privacy Control Framework

SAS Statement on Auditing Standards

SLA Service Level Agreement

SOC System and Organization Controls

SOC1/2/3 Service Organization Control

SUAG Status Uitkering Arbeidsgeschiktheid

TSC Trust Services Criteria

UWV Uitvoeringsinstituut Werknemersverzekeringen

VIPP Versnellingsprogramma informatie-uitwisseling patiënt en professional

VS Verenigde Staten





Arvid de Bruin T: +31 (0)30 658 2408E: [email protected]

Rosemarie van AlstT: +31(0)40 250 8495 E: [email protected]

Ronald van LangenT: +31 (0)20 656 7072 E: [email protected]

Anouk SuntjensT: +31 (40) 250 2311 E: [email protected]

De in dit document vervatte informatie is van algemene aard en is niet toegespitst op de specifieke omstandigheden van een bepaalde persoon of entiteit. Wij streven ernaar juiste en tijdige informatie te verstrekken. Wij kunnen echter geen garantie geven dat dergelijke informatie op de datum waarop zij wordt ontvangen nog juist is of in de toekomst blijft. Daarom adviseren wij u op grond van deze informatie geen beslissingen te nemen behoudens op grond van advies van deskundigen na een grondig onderzoek van de desbetreffende situatie.

© 2019 KPMG Advisory N.V., ingeschreven bij het handelsregister in Nederland onder nummer 33263682, is lid van het KPMG-netwerk van zelfstandige ondernemingen die verbonden zijn aan KPMG International Cooperative (‘KPMG International’), een Zwitserse entiteit. Alle rechten voorbehouden. De naam KPMG en het logo zijn geregistreerde merken van KPMG International.

Wij komen graag met u in contact en stellen het zeer op prijs in een persoonlijk gesprek met u over Assurance-rapportages van gedachten te wisselen.

Praktijkgids Assurance-rapport 3000 · de criteria, te versterken. Elke assurance-opdracht wordt...

Documents

Transcript of Praktijkgids Assurance-rapport 3000 · de criteria, te versterken. Elke assurance-opdracht wordt...