Regelmatig krijgen wij vragen over de assurances en certificeringen die Eshgro bezit. Zijn deze wel noodzakelijk en wat is inhoudelijk nou het verschil? Heel begrijpelijk, want als je hier niet dagelijks mee te maken hebt, is het soms lastig om door de bomen het bos te zien. Maar geen nood! In deze driedelige blogserie legt Compliance Officer Maik je precies uit wat een assurance rapportage en certificering inhouden, wat het verschil is tussen ISAE en ISO / NEN en wat de meerwaarde ervan is voor jou als klant of partner. In dit eerste deel: wat is een assurance rapportage?
Lees ook:
Assurance vs. Certificering deel 2: Wat is een certificering?
Assurance vs. Certificering deel 3: Verschil tussen een assurance-opdracht en certificatie
Wat is een assurance-opdracht?
De Nederlandse Beroepsorganisatie van Accountants (NBA) heeft in het Stramien voor Assurance-opdrachten een beschrijving opgenomen van assurance-opdrachten en definieert dit als volgt: “Een assurance-opdracht is een professionele dienst waarbij een accountant voldoende en geschikte assurance-informatie wil verkrijgen om een conclusie tot uitdrukking te brengen om de mate van vertrouwen van de beoogde gebruikers, niet zijnde de verantwoordelijke partij, in de uitkomst van de meting of evaluatie van het onderzoeksobject ten opzichte van criteria te versterken”.
Waarschijnlijk moest je deze zin twee keer of zelfs vaker lezen om hem te begrijpen. Het is namelijk een vrij cryptische omschrijving. Laten we het daarom eens verder ontleden. In de kern is een assurance-opdracht opgebouwd uit zes elementen, namelijk een:
- beoogde gebruiker;
- uitbesteed proces;
- serviceorganisatie;
- onafhankelijke derde;
- toetsing;
- normenkader.
Als organisatie (beoogde gebruiker) besteedt je jouw IT (uitbesteed proces) uit aan een IT-leverancier (serviceorganisatie). Een auditor (onafhankelijke derde) controleert of jouw IT-leverancier deze uitbestede processen wel beheerst (toetsing). Voor deze controle maakt men gebruik van een zogenoemd control framework (normenkader).
Assurance-opdracht binnen de IT
Een assurance-opdracht kan in een breed spectrum worden uitgevoerd. In deze blog beperken we ons tot de branche waarin we onszelf begeven: IT. Daarbij ontkomen we er niet aan ook de naam van NOREA te noemen. Dit is de beroepsorganisatie van IT-auditors; iets anders dus dan de NBA. Omdat een assurance-opdracht binnen de IT een specialistische assurance-opdracht betreft, uit te voeren door een accountant, bestaat hiervoor een aparte beroepsorganisatie. NOREA beheert het register van gekwalificeerde IT-auditors (RE’s) en controleert of de IT-auditors de vereiste opleiding en ervaring hebben waaraan zij volgens de beroepsorganisatie moeten voldoen.
ISAE 3000 en ISAE 3402
Op het gebied van IT-assurances zijn ISAE 3000 en ISAE 3402 de bekendste typen assurance-opdrachten. Deze opdrachten worden door IT-auditors uitgevoerd aan de hand van richtlijn 3000 en 3402 van NOREA. Daarbij wordt onderscheid gemaakt tussen een type 1 of type 2 assurance-opdracht. Een type 1 opdracht heeft betrekking op een specifieke datum waarop door een auditor wordt vastgesteld of het normenkader met de juiste maatregelen wordt afgedekt. Of deze maatregelen ook daadwerkelijk effectief zijn, wordt hierbij niet gecontroleerd. Bij een type 2 opdracht gebeurt dat wel. Daarbij vindt een toetsing plaats ‘terug in de tijd’.
Verloop van een assurance-opdracht
De uitvoer van een assurance-opdracht bestaat uit vier stappen:
- Doel van de opdracht vaststellen: bijvoorbeeld het verkrijgen van een beperkte of redelijke mate van zekerheid dat uitbestede processen worden beheerst.
- Periode afstemmen: het doel van de opdracht wordt aan een bepaalde periode gekoppeld. Wanneer je met beperkte of redelijke mate van zekerheid wilt laten vaststellen of iets wordt beheerst, moet in de kern worden gekeken naar een voorafgaande periode. Hoe lang die periode is, is afhankelijk van wat de betrokken partijen afspreken.
- Te toetsen object bepalen: Het object van onderzoek, oftewel de scope, wordt afgebakend. Wij laten bijvoorbeeld binnen een ISAE 3402 assurance-opdracht onze publieke en private clouddiensten toetsen, alsmede de beheersorganisatie die hiervoor nodig is.
- Geschikte toetsingsnorm kiezen: Deze toetsingsnorm omvat eisen, criteria en/of (beheers)doelstellingen en wordt ook wel het control framework of normenkader genoemd.
Tijdens de toetsing kijkt de auditor naar de beheersing van de componenten die de scope van het onderzoek uitmaken, afgespiegeld tegen de toetsingsnorm. Alle stappen worden in een rapport beschreven, ook wel een assurance rapportage genoemd. Dit rapport zal uiteindelijk ook het oordeel en/of de conclusie van de auditor bevatten.
Meer weten?
In de volgende blog binnen deze serie gaat Maik verder in op het onderdeel certificeringen. Wil je meer weten over assurances, certificeringen en de waarde hiervan voor jou als klant of partner? Neem dan gerust contact op.