Met het adopteren van IFAC - ISA richtlijnen heeft de NOREA ook het woord ‘assurance’ in haar vocabulaire
opgenomen. Deze Engelse term wordt meestal vertaald met ‘zekerheid’. Wellicht gaan er bij deze vertaling echter
nuances verloren qua betekenis die in het Engels wel, maar in het Nederlandse ‘zekerheid’ niet opgesloten
liggen. Ik kan mij dan ook niet vinden in deze term, hoewel deze steeds vaker toegepast wordt (zie ook ISO
27014).Op deze pagina presenteer ik een alternatieve benadering om vervolgens weer aan te sluiten bij wat
gewoon is qua strekking van het oordeel.
Common body of knowledge ‘professionele beroepsbeoefenaar’
Er is een wat ik hier noem ‘common body of knowledge’ waarmee je ‘professionele beroepsbeoefenaar’ kunt kenmerken. Bijvoorbeeld het Koninklijk NIvRA hanteerde dergelijke kenmerken om te bepalen of een registeraccountant met een dergelijke beroepsbeoefenaar mocht samenwerken en in welke mate op de werkzaamheden van een dergelijke beroepsbeoefenaar gesteund kan worden. Tot deze kenmerken behoren: • een beroepsorganisatie die de belangen van de leden behartigt en toezicht uitoefent op de naleving van de gedragscode en regels en richtlijnen • een opleiding op academisch niveau • een systematiek van toelating • een gedragscode (code of ethics) • een stelsel van regels en richtlijnen voor de beroepsuitoefening. Degene die een dergelijke beroepsbeoefenaar inhuurt op zijn vakgebied, mag er dan ook (enige) zekerheid, ofwel assurance, aan ontlenen dat deze opdracht naar behoren wordt uitgevoerd. Zo niet, dan had hij iedere andere persoon kunnen inhuren die zich uitgeeft als deskundige op dat vakgebied. Om deze reden vindt ik het onzin om in de professionele diensten van een dergelijke professionele beroepsbeoefenaar onderscheid te maken tussen ‘assurance opdrachten’ en ‘niet-assurance opdrachten’. Hij hoort altijd enige assurance te geven die samenhangt met zijn bestaan als professionele beroepsbeoefenaar.Oordeel versus advies
Op basis van het hiervoor gestelde vind ik dan ook uitsluitend een indeling van mogelijke opdrachten annex diensten zinvol die gebaseerd is op het onderscheid of de IT-auditor wel of niet zelf een oordeel geeft in de vorm van een mededeling als sluitstuk van zijn onderzoek. Daarbij kan ik mij nog wel vinden in het onderscheid tussen ‘redelijke mate van zekerheid’ en ‘beperkte mate van zekerheid’. De overige werkzaamheden zou je dan als advieswerkzaamheden kunnen beschouwen. Aangezien in de praktijk echter niet alle werkzaamheden resulteren in een advies, is wellicht een derde groep noodzakelijk: nader overeengekomen werkzaamheden. In dat geval voert de IT-auditor uit hetgeen met zijn opdrachtgever is overeengekomen.Strekking oordelen
De volgende samenvattende oordelen zijn mogelijk: • goedkeurend: het object voldoet aan de gestelde eisen (de toetsingsnormen); • goedkeurend met beperking: het object voldoet aan de gestelde eisen, maar er geldt een beperking ten aanzien van het oordeel; de meest voorkomende is dat het onderzoek betrekking heeft op een afgebakend tijdstip of afgebakende periode en daarmee geen uitspraken gedaan kunnen worden over de toekomst; • afkeurend: het object voldoet niet aan de gestelde eisen; • oordeelonthouding: er zijn omstandigheden (objectieve verhinderingen) waardoor de auditor niet kan vaststellen dat het object voldoet aan de gestelde eisen. De NOREA heeft een “Handreiking Oordelen van gekwalificeerde IT-auditors” (wellicht verouderd) en voorbeelden van teksten beschikbaar gesteld: voor deze laatste zie hier.
Definitie
Begin jaren 90 van de vorige
eeuw toen ik de post-doctorale
EDP-opleiding aan de VU
volgde, werd binenn deze
opleiding de volgende definitie
gehanteerd:
Een onafhankelijke en
onpartijdige beoordeling van de
betrouwbaarheid, beveiliging
(incl. privacy), effectiviteit en
efficiëntie van
geautomatiseerde
informatiesystemen, de
organisatie van de
automatiseringsafdelingen en
de technisch/organisatorische
infrastructuur van de
geautomatiseerde
gegevensverwerking. Deze
activiteit heeft betrekking op
zowel operationele systemen
als systemen in ontwikkeling.
