Assurance vs. certificering deel 1: Wat is een assurance rapportage?

Blogserie Maik assurance vs certificering 1500x800

Character Maik A2 72dpiRegelmatig krijgen wij vragen over de assurances en certificeringen die Eshgro bezit. Zijn deze wel noodzakelijk en wat is inhoudelijk nou het verschil? Heel begrijpelijk, want als je hier niet dagelijks mee te maken hebt, is het soms lastig om door de bomen het bos te zien. Maar geen nood! In deze driedelige blogserie legt Compliance Officer Maik je precies uit wat een assurance rapportage en certificering inhouden, wat het verschil is tussen ISAE en ISO / NEN en wat de meerwaarde ervan is voor jou als klant of partner. In dit eerste deel: wat is een assurance rapportage?

Lees ook:
Assurance vs. Certificering deel 2: Wat is een certificering?
Assurance vs. Certificering deel 3: Verschil tussen een assurance-opdracht en certificatie

Wat is een assurance-opdracht?

De Nederlandse Beroepsorganisatie van Accountants (NBA) heeft in het Stramien voor Assurance-opdrachten een beschrijving opgenomen van assurance-opdrachten en definieert dit als volgt: “Een assurance-opdracht is een professionele dienst waarbij een accountant voldoende en geschikte assurance-informatie wil verkrijgen om een conclusie tot uitdrukking te brengen om de mate van vertrouwen van de beoogde gebruikers, niet zijnde de verantwoordelijke partij, in de uitkomst van de meting of evaluatie van het onderzoeksobject ten opzichte van criteria te versterken”.

Waarschijnlijk moest je deze zin twee keer of zelfs vaker lezen om hem te begrijpen. Het is namelijk een vrij cryptische omschrijving. Laten we het daarom eens verder ontleden. In de kern is een assurance-opdracht opgebouwd uit zes elementen, namelijk een:

  1. beoogde gebruiker;
  2. uitbesteed proces;
  3. serviceorganisatie;
  4. onafhankelijke derde;
  5. toetsing;
  6. normenkader.

Als organisatie (beoogde gebruiker) besteedt je jouw IT (uitbesteed proces) uit aan een IT-leverancier (serviceorganisatie). Een auditor (onafhankelijke derde) controleert of jouw IT-leverancier deze uitbestede processen wel beheerst (toetsing). Voor deze controle maakt men gebruik van een zogenoemd control framework (normenkader).

Assurance-opdracht binnen de IT

Een assurance-opdracht kan in een breed spectrum worden uitgevoerd. In deze blog beperken we ons tot de branche waarin we onszelf begeven: IT. Daarbij ontkomen we er niet aan ook de naam van NOREA te noemen. Dit is de beroepsorganisatie van IT-auditors; iets anders dus dan de NBA. Omdat een assurance-opdracht binnen de IT een specialistische assurance-opdracht betreft, uit te voeren door een accountant, bestaat hiervoor een aparte beroepsorganisatie. NOREA beheert het register van gekwalificeerde IT-auditors (RE’s) en controleert of de IT-auditors de vereiste opleiding en ervaring hebben waaraan zij volgens de beroepsorganisatie moeten voldoen.

ISAE 3000 en ISAE 3402

Op het gebied van IT-assurances zijn ISAE 3000 en ISAE 3402 de bekendste typen assurance-opdrachten. Deze opdrachten worden door IT-auditors uitgevoerd aan de hand van richtlijn 3000 en 3402 van NOREA. Daarbij wordt onderscheid gemaakt tussen een type 1 of type 2 assurance-opdracht. Een type 1 opdracht heeft betrekking op een specifieke datum waarop door een auditor wordt vastgesteld of het normenkader met de juiste maatregelen wordt afgedekt. Of deze maatregelen ook daadwerkelijk effectief zijn, wordt hierbij niet gecontroleerd. Bij een type 2 opdracht gebeurt dat wel. Daarbij vindt een toetsing plaats ‘terug in de tijd’.

Verloop van een assurance-opdracht

De uitvoer van een assurance-opdracht bestaat uit vier stappen:

  1. Doel van de opdracht vaststellen: bijvoorbeeld het verkrijgen van een beperkte of redelijke mate van zekerheid dat uitbestede processen worden beheerst.
  2. Periode afstemmen: het doel van de opdracht wordt aan een bepaalde periode gekoppeld. Wanneer je met beperkte of redelijke mate van zekerheid wilt laten vaststellen of iets wordt beheerst, moet in de kern worden gekeken naar een voorafgaande periode. Hoe lang die periode is, is afhankelijk van wat de betrokken partijen afspreken.
  3. Te toetsen object bepalen: Het object van onderzoek, oftewel de scope, wordt afgebakend. Wij laten bijvoorbeeld binnen een ISAE 3402 assurance-opdracht onze publieke en private clouddiensten toetsen, alsmede de beheersorganisatie die hiervoor nodig is.
  4. Geschikte toetsingsnorm kiezen: Deze toetsingsnorm omvat eisen, criteria en/of (beheers)doelstellingen en wordt ook wel het control framework of normenkader genoemd.

Tijdens de toetsing kijkt de auditor naar de beheersing van de componenten die de scope van het onderzoek uitmaken, afgespiegeld tegen de toetsingsnorm. Alle stappen worden in een rapport beschreven, ook wel een assurance rapportage genoemd. Dit rapport zal uiteindelijk ook het oordeel en/of de conclusie van de auditor bevatten.

Meer weten?

In de volgende blog binnen deze serie gaat Maik verder in op het onderdeel certificeringen. Wil je meer weten over assurances, certificeringen en de waarde hiervan voor jou als klant of partner? Neem dan gerust contact op.

Download de brochure

Jouw strategische partner in digitale transformatie

Eshgro brochure mockup

Verken de wereld van IT

Deze website gebruikt cookies

Met deze cookies kunnen wij en derde partijen informatie over jou en jouw internetgedrag verzamelen, zowel binnen als buiten onze website. Op basis daarvan passen wij en derde partijen de website, onze communicatie en advertenties aan op jouw interesses en profiel. Meer informatie lees je in ons cookie statement.

Kies je voor accepteren, dan plaatsen we alle cookies. Kies je voor afwijzen, dan plaatsen we alleen functionele en analytische cookies. Je kunt je voorkeuren later nog aanpassen.

Accepteren Weigeren Meer opties

Deze website gebruikt cookies

Met deze cookies kunnen wij en derde partijen informatie over jou en jouw internetgedrag verzamelen, zowel binnen als buiten onze website. Op basis daarvan passen wij en derde partijen de website, onze communicatie en advertenties aan op jouw interesses en profiel. Meer informatie lees je in ons cookie statement.

Functionele cookies
Arrow down

Functionele cookies zijn essentieel voor het correct functioneren van onze website. Ze stellen ons in staat om basisfuncties zoals paginanavigatie en toegang tot beveiligde gebieden mogelijk te maken. Deze cookies verzamelen geen persoonlijke informatie en kunnen niet worden uitgeschakeld.

Analytische cookies
Arrow down

Analytische cookies helpen ons inzicht te krijgen in hoe bezoekers onze website gebruiken. We verzamelen geanonimiseerde gegevens over pagina-interacties en navigatie, waardoor we onze site voortdurend kunnen verbeteren.

Marketing cookies
Arrow down

Marketing cookies worden gebruikt om bezoekers te volgen wanneer ze verschillende websites bezoeken. Het doel is om relevante advertenties te vertonen aan de individuele gebruiker. Door deze cookies toe te staan, help je ons relevante inhoud en aanbiedingen aan je te vertonen.

Accepteren Opslaan

Eshgro Adventskalender

Tel samen met ons af tot de feestdagen, en
krijg 24 dagen lang een gratis verrassing.

Doe mee aan onze adventskalender en
maak kans op een gratis Microsoft CoPilot training!

Ga naar de inhoud