IT-audit - toetsingsnormen
Ratiocinator Echte kwaliteit verloochent zich niet
IT-audit
© F.H.B. Kersten 2014-2024

Toetsingsnormen / toetsingskaders / normenkaders

De IT-auditor gebruikt doorgaans toetsingsnormen, ook wel toetsingskaders of normenkaders als Soll-positie waaraan het object van onderzoek moet voldoen. In het Raamwerk voor Assuranceopdrachten van de NOREA is hierover het onderstaande opgenomen. 34. Toetsingsnormen zijn de benchmarks die worden gebruikt voor het evalueren of toetsen van het object van onderzoek waaronder, voorzover van belang, die voor presentatie en toelichting. Toetsingsnormen kunnen formeel zijn. Bij het rapporteren over interne beheersingsmaatregelen kunnen de toetsingsnormen bestaan uit een bestaand kader voor interne beheersingsmaatregelen of uit individuele doelstellingen voor beheersing die specifiek zijn ontwikkeld ten behoeve van de opdracht; bij het rapporteren over naleving kunnen de toetsingsnormen bestaan uit de van toepassing zijnde wet, regelgeving of overeenkomst. Voorbeelden van minder formele toetsingsnormen zijn een intern ontwikkelde gedragscode of een afgesproken prestatieniveau (zoals het aantal keren dat een bepaalde commissie jaarlijks behoort te vergaderen). 35. Toepasbare toetsingsnormen zijn noodzakelijk voor een redelijk consistente evaluatie of toetsing van het object van onderzoek binnen de context van vakkundige oordeelsvorming. Zonder een referentiekader dat wordt verschaft door toepasbare toetsingsnormen laat elke conclusie de mogelijkheid open voor een eigen uitleg en voor misverstand. Toepasbare toetsingsnormen zijn contextgevoelig, dat wil zeggen dat ze van toepassing zijn voor de omstandigheden van de opdracht. Zo kan de ene verantwoordelijke partij het aantal klachten van klanten kiezen dat tot duidelijke tevredenheid van de klant is afgehandeld wanneer de klanttevredenheid het object van onderzoek is; een andere verantwoordelijke partij zou het aantal herhalingsaankopen kunnen nemen in de drie maanden na de eerste aankoop. 36. Toepasbare toetsingsnormen vertonen de volgende kenmerken: 1. elevantie: relevante toetsingsnormen dragen bij aan het trekken van conclusies die de besluitvorming van de beoogde gebruikers ondersteunen; 2. volledigheid: toetsingsnormen zijn volledig wanneer belangrijke factoren die de conclusies binnen de context van de omstandigheden van de opdracht zouden kunnen beïnvloeden, niet achterwege worden gelaten. Volledige toetsingsnormen omvatten voorzover van belang benchmarks voor de presentatie en de toelichting; 3. betrouwbaarheid: betrouwbare toetsingsnormen geven de mogelijkheid voor een redelijk consistente evaluatie of toetsing van het object van onderzoek waaronder, voorzover van belang, presentatie en toelichting wanneer zij onder vergelijkbare omstandigheden worden gehanteerd door IT-auditors die over vergelijkbare deskundigheid beschikken; 4. neutraliteit: neutrale toetsingsnormen dragen bij aan het onbevooroordeeld trekken van conclusies; 5. begrijpelijkheid: begrijpelijke toetsingsnormen dragen bij aan trekken van conclusies die duidelijk en bondig zijn en niet op significant verschillende wijzen kunnen worden geïnterpreteerd. De evaluatie of toetsing van een object van onderzoek op basis van de verwachtingen, oordeelsvorming of individuele ervaringen van de IT-auditor zelf vormen geen toepasbare toetsingsnormen. 37. De IT-auditor maakt een inschatting van de toepasbaarheid van toetsingsnormen voor een bepaalde opdracht door te beoordelen of zij voldoen aan de bovengenoemde kenmerken. Het relatieve belang van elk van de kenmerken voor een bepaalde opdracht is een zaak van oordeelsvorming. Toetsingsnormen kunnen generiek zijn dan wel specifiek zijn ontwikkeld. Onder generieke toetsingsnormen worden de toetsingsnormen verstaan die onderdeel uitmaken van wetten en regelgeving of die zijn uitgevaardigd door gezaghebbende of erkende instanties van deskundigen die werken volgens een inzichtelijk proces van totstandkoming. Onder specifiek ontwikkelde toetsingsnormen worden de toetsingsnormen verstaan die zijn ontwikkeld voor het doel van de opdracht. Of toetsingsnormen generiek dan wel specifiek ontwikkeld zijn is van invloed op de werkzaamheden die de IT-auditor zal uitvoeren om de toepasbaarheid van de toetsingsnormen voor een bepaalde opdracht te beoordelen. 38. Het is noodzakelijk dat de toetsingsnormen beschikbaar zijn voor de beoogde gebruikers zodat zij kunnen begrijpen hoe het object van onderzoek is geëvalueerd of getoetst. Toetsingsnormen zijn in één of meer van de volgende vormen toegankelijk voor de beoogde gebruikers: 1. doordat ze openbaar zijn; 2. door ze op duidelijke wijze op te nemen in de presentatie van de informatie omtrent het object van onderzoek; 3. door ze op duidelijke wijze op te nemen in het assurance-rapport; 4. doordat ze algemeen bekend zijn, bijvoorbeeld het weergeven van tijdregistratie in uren en minuten. Toetsingsnormen zijn soms alleen beschikbaar voor specifieke beoogde gebruikers, zoals contract-voorwaarden of toetsingsnormen die zijn uitgevaardigd door een vereniging binnen een bedrijfstak en die beschikbaar zijn voor gebruikers binnen die bedrijfstak. Wanneer bepaalde toetsingsnormen alleen beschikbaar zijn voor bepaalde beoogde gebruikers of alleen betrekking hebben op een bepaald doel wordt het gebruik van het assurance- rapport beperkt tot die gebruikers of tot dat doel.
Organisatie is ‘leading’ Het is in beginsel de ‘verantwoordelijke partij’ die bepaalt welke normen van toepassing zijn. Eén van de eerste stappen binnen de audit is dan om te bepalen of deze normen toereikend zijn. Zo niet, dan is overleg nodig met de verantwoordelijke partij. Deze kan bijvoorbeeld op basis van risicoanalyse besloten hebben bepaalde normen niet toe te passen. Ik ben een aantal malen auditors tegengekomen die dachten dat zij de normen bepaalden (en soms vond de organisatie dat wel zo makkelijk).  .  
Formele normen bieden geen garantie! Als in een bepaalde sitiuatie sprake is van specifieke, formeel vastgelegde normen hoeft dat nog niet te betekenen dat sprake is van toereikende (toepasbare) toetsingsnormen! In de Diginotar affaire bleek dat de certificering op basis van formele afspraken plaatsvondt tegen een aantal ETSI-normen. Nadere bestudering van deze normen leerde dat ze niet volledig waren (o.a. verwezen naar andere normen) en ruimte boden voor subjectiviteit en verschillende interpretaties (a mag, maar b mag ook).