Transcript Algemene informatie auditverplichting en Assurance

Algemene informatie auditverplichting en Assurance-­‐rapport UWV Gegevensdiensten hanteert voor haar leveringen de contractuele verplichting voor afnemers
om jaarlijks een audit te doen. De audit geldt voor de afnemers van UWV gegevensleveringen
(behoudens de Suwipartijen ter uitvoering van Suwitaken).
Hiervoor dient de afnemer:
1. de genoemde normen zoals vermeld in het Auditreglement UWV Gegevensdiensten in de
bedrijfsvoering te hebben opgenomen,
2. jaarlijks een audit te doen, uitgevoerd o.l.v. een (interne of externe) auditor. De auditor
staat geregistreerd als Certificerend AA-accountant bij NBA, RA-accountant bij NBA of RERegister EDP-auditor bij NOREA. (De NBA is de Nederlandse Beroepsorganisatie van
Accountants.)
Het gaat om de termen Opzet, Bestaan en Werking.
•
Opzet is dat de afnemer normeringen en procedures heeft ingericht binnen de
bedrijfsvoering waarbinnen ook de gestelde normering van UWV Gegevensdiensten vallen.
•
Bestaan is dat de processen die dit borgen ook daartoe zijn ingericht binnen de organisatie
van de afnemer.
•
Werking is dat de afnemer gedurende het (audit)jaar heeft laten toetsen dat het
daadwerkelijk ook zo in de praktijk gebeurt.
Het kan zijn dat de afnemer al bestaande bedrijfsvoeringsnormen en –processen heeft ingericht
binnen de eigen bedrijfsvoering die de gestelde normering in het Auditreglement UWV
Gegevensdiensten afdekken; en daarmee dus als zodanig Opzet en Bestaan al zijn ingeregeld. Of
deze dekkend zijn zal de afnemer zelf moeten laten toetsen.
Daarnaast dient de afnemer expliciet aan te tonen dat met de UWV-gegevensleveringen binnen de
eigen organisatie conform de normen wordt omgegaan.
Terzijde: het komt vaak voor dat organisaties al andere audits doen (zoals ISAE) die bedrijfsbreed
worden gedaan. Dan kan de Werking voor UWV-leveringen wellicht in deze audit worden
meegenomen (waardoor er geen separate audit voor UWV nodig is, maar eventueel de afnemer
met de auditor kan bespreken om deze mee te laten lopen met de bestaande audits)
Van belang is dus ook dat de Werking wordt aangetoond en de resultaten van de audit in het
Assurance-rapport worden vastgelegd en opgestuurd aan UWV. De aanlevertermijn van het
Assurance-rapport is uiterlijk drie maanden na afloop van het kalenderjaar. Dit betekent dat in de
eerste drie maanden van het nieuwe jaar dit rapport met betrekking tot de audit over het
voorgaande jaar bij UWV Gegevensdiensten binnen dient te zijn. Dus in de eerste drie maanden
van 2017 dienst het Assurance-rapport over het auditjaar 2016 te zijn geleverd. Alleen dan kunnen
we gegevens blijven leveren.
UWV Gegevensdiensten kon al, contractueel, auditrapporten opvragen. Vanaf audits over het jaar
2016 geldt dat de afnemer een Assurance-rapport levert. In het Assurance-rapport legt de auditor,
net als bij de Assuranceverklaring, zijn oordeel vast. Er ligt daarom geen apart rapport aan ten
grondslag.
UWV Gegevensdiensten heeft haar Auditreglement en het Assurance-rapport sjabloon recentelijk
laten toetsen door de beroepsorganisatie van accountants, de NBA. Op basis hiervan zijn er kleine
tekstuele wijzigingen doorgevoerd en is binnenkort het nieuwe sjabloon voor het Assurance-rapport
beschikbaar. Met de wijzigingen voldoet UWV aan de Controleprotocollen (COPRO) van de NBA en
de daarmee samenhangende standaardnormering die geldt voor alle auditors. Het sjabloon is
daarmee ook opgenomen en door auditors op te vragen bij NBA (naast UWV uiteraard).
Met betrekking tot de wijze waarop afnemers moeten toetsen binnen hun audits wijzigt er niets ten
opzichte van de voorgaande jaren. Zij moeten nog steeds op de al aangegeven normen toetsen
voor UWV-leveringen. Een bijkomend voordeel van het nieuwe sjabloon Assurance-rapport is dat
afnemers niet sec een auditrapport hoeven op te stellen over UWV gegevens. Zij mogen het
Assurance-rapport baseren op reeds uitgevoerde andere audits waarin dit is meegenomen. Wij als
UWV hoeven ook geen auditrapporten meer op te vragen omdat het Assurance-rapport al dekkend
is en verder er geen apart rapport aan ten grondslag hoeft te liggen. Wel is de afnemer verplicht
jaarlijks dit Assurance-rapport in te sturen.
Algemene informatie auditverplichting en Assurance-­‐rapport Algemene vragen over de audits
Hieronder treft u enkele highlights aan die zijn besproken met auditors van organisaties
Highlights:
•
De audit ligt bij de afnemer. UWV kijkt niet mee en tekent ook niet mee.
De afnemer blijft te allen tijde verantwoordelijk.
•
Een bewerker (mits er een bewerkersovereenkomst is) mag bij de Assurance verklaring een
bijlage opnemen met daarin de organisatie voor wie de audit is uitgevoerd.
•
Het verschil tussen een Assurance verklaring en een auditrapport
De verplichting voor het uitvoeren voor de audit was ook al in de oude contracten opgenomen.
Voorheen kon UWV het auditrapport opvragen. In de nieuwe situatie geeft de auditor een
Assurance-rapport af. Met het Assurance-rapport toont de auditor aan dat er een audit is
gedaan en de afnemer/bewerker voldoet aan de eisen van UWV. UWV kan het onderliggende
(uitgebreide) auditrapport eventueel opvragen.
•
Indien niet alle punten die gevraagd worden in het Auditreglement volledig uitgewerkt worden
in de reguliere audit, voor bijvoorbeeld het afgeven van een ISAE Assurance verklaring, dan
dient aanvullend onderzoek plaats te vinden. Het is van belang dat alle gevraagde normen wel
aantoonbaar verklaard kunnen worden.
• Voor het Assurance-­‐rapport komt binnenkort een vaste opzet. Er ligt nu een model dat door NBA is getoetst. •
Het ISAE3402 rapport mag gebruikt worden
Doel van het Assurancerapport is dat aantoonbaar is dat uw organisatie normen heeft
ingeregeld en hierop controleert. Als u het gegevensleverings-product meeneemt in de audit
ISAE3402, dan kan dit voldoende zijn. Van belang is dan dat de gegevensleveringen die u van
UWV afneemt expliciet benoemd zijn in dat auditrapport voor herleidbaarheid op basis van het
afgegeven Assurance-rapport. Aan een Assurance-rapport zit altijd een auditrapport verbonden
als ondergrond. Hierop kan een eventuele nadere beoordeling door UWV plaatsvinden. Van
belang is dat in het Assurance-rapport wordt verwezen naar de benoemde aspecten van het
Auditreglement die voor UWV traceerbaar moeten zijn.
•
Er wordt een Assurance-rapport gevraagd conform direct reporting. Het is ook toegestaan om
een assertion based verklaring af te geven. Hierbij geeft het management de verklaring over de
getroffen beheersmaatregelen en de auditor stelt vast dat de toetsing juist is gebeurd.
•
In het Assurance-rapport dienen bevindingen vermeld te worden. Bij een negatieve bevinding
wordt de ernst van de bevinding bekeken en of er een verbeterplan voor de bevinding is. Indien
de audit een negatieve bevinding bevat ligt het aan de ernst van de bevinding of de levering
wordt opgeschort of stopgezet. Een negatieve bevinding moet altijd gemeld worden aan de
directie, zowel bij de afnemer als bij UWV. Afhankelijk van de ernst van de bevinding wordt er
door het UWV een beslissing genomen.
•
De levering wordt opgeschort (tijdelijke stopgezet)
De afnemer maakt een verbeterplan voor de negatieve bevinding. In dit plan wordt
opgenomen wat het probleem is en wat de oplostermijn van het probleem is. De levering
wordt hervat zodra het probleem is opgelost, mede blijkend uit een daarop gericht
Assurance-rapport.
•
De levering wordt stopgezet
De negatieve bevinding is zo ernstig dat de levering direct stopgezet wordt.