Toepassing Richtlijn 4400: Aandachtspunten voor de IT-auditor

01 november, 2024
Richtlijn 4400 voor opdrachten tot het verrichten van overeengekomen specifieke werkzaamheden bevat enkele belangrijke aandachtspunten voor de uitvoering door een IT- auditor.

21 oktober 2024 door Martina Saris en Ronald van Langen
Richtlijn 4400 heeft sinds 1 januari 2023 de voormalige Richtlijn 4401 ‘Opdrachten tot het verrichten van overeengekomen specifieke werkzaamheden met betrekking tot informatietechnologie’ vervangen en introduceert nieuwe vereisten voor het uitvoeren van dergelijke opdrachten. Kenmerkend hierbij is dat de IT-auditor geen assurance verstrekt, maar zich ertoe beperkt feitelijke bevindingen te rapporteren in een rapport van overeengekomen specifieke werkzaamheden. Richtlijn 4400 benadrukt het belang van duidelijkheid naar de gebruiker en sluit de mogelijkheid uit deel­conclusies te trekken over de uitkomsten. Richtlijn 4400 biedt daarnaast ten opzichte van de vervallen Richtlijn 4401 meer toelichtingen in de vorm van A-paragrafen, wat de IT-auditor helpt de Richtlijn te interpreteren en toe te passen. Ook zijn er toelichtingen toegevoegd met betrekking tot fraude en niet-naleving van wet- en regelgeving.
Opdrachtbevestiging
Een van de belangrijkste aspecten van de Richtlijn is de nadruk op het belang van een zorgvuldige opdrachtbevestiging. IT-auditors moeten ervoor zorgen dat de voorwaarden voor de opdracht duidelijk worden vastgelegd en dat alle betrokken partijen overeenstemming bereiken over de uit te voeren werkzaamheden. Dit is cruciaal om misverstanden te voorkomen en een effectieve uitvoering van de opdracht te waarborgen. Bij het uitvoeren van de overeengekomen specifieke werkzaamheden is het van groot belang dat IT-auditors zich strikt houden aan de afgesproken werkzaamheden. De Richtlijn laat geen ruimte voor activiteiten buiten deze overeengekomen werkzaamheden. Dit vereist een nauwkeurige en rigoureuze aanpak van de IT-auditor.
Onafhankelijkheid
Richtlijn 4400 benadrukt ook het belang van onafhankelijkheid. Hoewel het Reglement Gedragscode IT-Auditors (‘Code of Ethics’) geen specifieke onafhankelijkheidsvoorschriften bevat voor deze opdrachten, kunnen wet- of regelgeving, contractvoorwaarden of andere factoren wel eisen voor onafhankelijkheid stellen. IT-auditors moeten dit zorgvuldig overwegen en in de opdrachtbevestiging en het rapport vermelden of er onafhankelijkheidseisen van toepassing zijn.
Samenvatting van bevindingen
Daarnaast introduceert de Richtlijn ook het concept van een “samenvatting van bevindingen”. Dit benadrukt de beperkte professionele oordeelsvorming die van toepassing is bij deze opdrachten. Het doel is de gebruiker in staat te stellen zelf conclusies te trekken op basis van de gerapporteerde feitelijke bevindingen. Ook besteedt de Richtlijn aandacht aan het gebruik van schriftelijke bevestigingen. IT-auditors moeten overwegen of het nodig is schriftelijke bevestigingen van de opdrachtgever te verkrijgen, bijvoorbeeld in situaties waar mondelinge informatie is verstrekt of waar de opdrachtgever niet de verantwoordelijke partij is.

Figuur 1: Positie van Richtlijn 4400 en onderlinge relatie en de Code of Ethics
Nauwkeurig documenteren
Bij het uitvoeren van opdrachten onder Richtlijn 4400 is het essentieel dat IT-auditors de specifieke werkzaamheden nauwkeurig documenteren in een zelfstandig leesbaar dossier. Alle verrichte werkzaamheden, relevante onderliggende documentatie en feitelijke bevindingen moeten worden vastgelegd. Wanneer bepaalde werkzaamheden niet zijn uitgevoerd of zijn gewijzigd, moet dit expliciet worden vermeld in het rapport.
Praktijkcases
Richtlijn 4400 is toepasbaar op een breed scala van financiële en niet-financiële opdrachten, waarbij de IT-auditor zich strikt moet houden aan de overeengekomen werkzaamheden, zonder ruimte voor aanvullende activiteiten.
Voorbeelden van onderzoeksobjecten zijn:
  • Conversie-controle op data van een systeem naar een ander systeem. Bijvoorbeeld in het kader van de pensioentransitie om het pensioenfondsbestuur in staat te stellen een oordeel te vormen over de juistheid en volledigheid van de relevante pensioendata benodigd voor en na de transitie.
  • Voldoen aan convenanten of contractuele overeenkomsten. De IT-auditor kan worden gevraagd na te gaan of weergegeven IT-aspecten van een contract of overeenkomst worden nageleefd conform de overeengekomen voorwaarden.
  • Licentie overeenkomsten/onderzoek. Door bijvoorbeeld te rapporteren over hoeveel softwarelicenties bij een organisatie in gebruik zijn.
  • Interne beheersing. De IT-auditor kan worden gevraagd om vast te stellen of eventuele eerder gesignaleerde tekortkomingen in de interne beheersing, na een herstelperiode zijn geïmplementeerd en of voor een x aantal keer daadwerkelijk zijn uitgevoerd.

Figuur 2: Aanvaardbare en onduidelijke of misleidende termen voor beschrijving van de werkzaamheden (afhankelijk van de te gebruiken context)
Figuur 2 Aanvaardbare en onduidelijke of misleidende termen voor beschrijving van de werkzaamheden (afhankelijk van de te gebruiken context)
Niet voor alle opdrachten
Het is belangrijk voor IT-auditors te beseffen dat Richtlijn 4400 niet geschikt is voor alle soorten opdrachten. Voor onderzoeksobjecten die een “uitspraak op onderdelen” vereisen, kan bijvoorbeeld Richtlijn 3000A/D een meer geschikte optie zijn. IT-auditors moeten zorgvuldig overwegen welke Richtlijn het meest passend is voor de specifieke opdracht.
Valkuilen
Een belangrijk aandachtspunt bij het uitvoeren van opdrachten onder Richtlijn 4400 is het vermijden van valkuilen die in het verleden hebben geleid tot tuchtrechtelijke kwesties bij het toepassen van Standaard 4400 of 4400N door accountants. Uit recente tuchtrechtzaken blijkt dat accountants soms geneigd zijn eerdere werkzaamheden te kopiëren en plakken, zonder voldoende rekening te houden met de specifieke eisen van nieuwe onderzoeksobjecten. Dit kan leiden tot niet-conforme of onjuiste resultaten. Een voorbeeld hiervan is een accountants-tuchtrechtzaak (zaaknummer 22/2138 Wtra AK) waarbij een rapport van feitelijke bevindingen niet voldeed aan Standaard 4400N. In het rapport werd een oordeel gegeven over de kwaliteit van accountantsproducten, wat niet past bij een rapport van feitelijke bevindingen. Bovendien werd de term “oordeel” vaak gebruikt, wat ten onrechte een bepaalde mate van zekerheid suggereerde. Deze zaak benadrukt het belang van het nauwkeurig formuleren van bevindingen zonder een oordeel te geven.
Hoogwaardige diensten
Richtlijn 4400 introduceert belangrijke veranderingen voor IT-auditors die opdrachten tot het verrichten van overeengekomen specifieke werkzaamheden uitvoeren. De nadruk ligt op duidelijke opdrachtbevestigingen, zorgvuldige uitvoering van overeengekomen werkzaamheden, nauwkeurige rapportage van feitelijke bevindingen en het vermijden van valkuilen die in het verleden tot tuchtrechtelijke problemen hebben geleid. Als IT-auditors deze aspecten naleven, kunnen ze kwalitatief leveren die voldoen aan de verwachtingen van opdrachtgevers en andere belanghebbenden.
Over de auteurs
M.M. Sarris MSc AA is als accountant werkzaam bij Stichting Novak. Daarnaast is zij verbonden aan de post-hbo-opleiding AA MKB van de Hogeschool van Arnhem en Nijmegen.

Drs. R.J.M. van Langen RA RE is vaktechnisch medewerker bij KPMG. Daarnaast is hij voorzitter van de Vaktechnische Commissie van NOREA.

Dit artikel is oorspronkelijk geschreven door Martina Sarris en verschenen op de website van Accountancy Vanmorgen, als samenvatting van een artikel in het Accountancy Vanmorgen Magazine met als thema ICT en kengetallen in september 2024. Het artikel is ten behoeve van publicatie in het NOREA-magazine bewerkt door Ronald van Langen.