De huidige gedragscode is gebaseerd op de ‘Code of Ethics’ van de IFAC, de International Federation of Accountants (waarvan de NOREA affiliate-member is) en dateert uit 2006. De wereld heeft daarna niet stilgestaan en de IFAC en in navolging de NBA, hebben enkele fundamentele aanpassingen doorgevoerd. Die zijn vooral gericht op waarborgen voor de onafhankelijkheid bij de uitvoering van professionele diensten, waaronder assurance-opdrachten.
Ook de NOREA zal de onafhankelijkheidsbepalingen nadrukkelijk moeten waarborgen, omdat dit een (steeds explicieter) voorwaarde is die wordt gesteld aan de RE’s die assurance-opdrachten uitvoeren. Zeker gezien het strategische belang van een stevig merk RE, het feit dat steeds meer assurance-werkzaamheden onder eindverantwoordelijkheid van een IT-auditor vallen en IT-auditing meer en meer een publiek karakter heeft. Juist de IT-assurance-opdrachten hebben steeds vaker betrekking op cruciale of vitale ICT-diensten en -systemen, die een grote maatschappelijke impact hebben. Denk hierbij aan ISAE3402-opdrachten, DigiD-assessments, ENSIA-audits, VIPP-assessments en privacy-audits. Deze prominentere rol van de IT-auditor stelt hoge eisen aan de kwaliteit en onafhankelijkheid.
Wat zijn de overeenkomsten tussen de huidige en de nieuw voorgestelde gedragscode?
Deel 1 van de nieuwe code lijkt veel op de huidige code. We zien dat bijvoorbeeld de fundamentele beginselen nog altijd geheel hetzelfde zijn. Wel is in de loop van de tijd de structuur aangepast aan de eisen van de tijd en zijn ook de bewoordingen aangepast. En uiteraard is nu een definitie van het begrip onafhankelijkheid opgenomen. De aanvullingen zitten in de nieuwe bijlage 4B. Deze bijlage, waarin bedreigingen zijn opgenomen voor de onafhankelijkheid, beschrijft een aantal van die bedreigingen en op welke wijze de IT-auditor daarmee moet of kan omgaan. Als je als IT-auditor betrokken bent bij assurance-opdrachten, dan moet je aan deze regelgeving omtrent onafhankelijkheid voldoen. De overige gedrags- en beroepsregels ('fundamentele beginselen') gelden voor alle RE's.
Wat zijn de essentiële verschillen tussen de huidige en nieuw voorgestelde gedragscode?
Deel 4B is nieuw en behandelt de artikelen die van toepassing zijn wanneer RE’s assurance opdrachten uitvoeren. Hierbij wordt met name ingegaan op het aspect onafhankelijkheid en de bedreigingen die hierbij een rol spelen.
In de Code of Ethics zie ik artikelen met een ‘R’ aangeduid en met een ‘A’ aangeduid. Wat is het verschil?
De R-artikelen ('Rules') duiden een verplichting aan vanuit de Code en de A-artikelen ('Applications') geven context, uitleg en suggesties voor acties of overwegingen, verduidelijkingen weer om de CoE goed te begrijpen. De A-artikelen zijn bedoeld om de IT-auditors te ondersteunen bij het juist toepassen van het conceptuele raamwerk in het kader van omstandigheden waarin zich een bedreiging voordoet. Het helpt ook om te voldoen aan de vereisten zoals opgenomen in de R-artikelen. De A-artikelen zelf zijn derhalve geen verplichting, maar de overwegingen opgenomen in de A-artikelen zijn wel nodig voor de goede toepassing van de Code.
Is de gedragscode voor alle RE’s van toepassing?
Ja. Het versterken van het merk RE staat centraal in onze strategie en is voor alle RE’s van belang. Hoe steviger, bekender en maatschappelijk relevanter het merk, hoe meer profijt de individuele RE daarvan heeft.
RE’s staan voor deskundigheid op IT-gebied en kwaliteit van ons werk. Wat ons onderscheidt ten opzichte van andere adviseurs, IT-adviseurs, informatiebeveiligingsspecialisten en aanverwanten, is onze Code of Ethics en onze onafhankelijkheid bij assurance-opdrachten. Wij maken het verschil door de onafhankelijke houding en mening; wij vertegenwoordigen geen IT-leverende partij. De herziene gedragscode zorgt juist voor een blijvende verankereing van die onafhankelijkheid. En is daarmee van belang voor het onderscheidend vermogen van ons als RE’s. Onafhankelijkheid en de beroepstitel RE zijn onlosmakelijk met elkaar verbonden. Zodra dat in het geding komt, is ons onderscheidend vermogen zeer beperkt.
Op welke wijze bieden de onafhankelijkheidsregels in de herziene gedragscode ruimte voor RE’s werkzaam binnen een Interne Audit Functie of binnen de overheid om bepaalde assurance-opdrachten uit te voeren?
Voor IT-auditors die in dienst zijn van de overheid en die een onafhankelijke uitvoering van assurance-opdrachten voorstaan, doet NOREA de aanbeveling om de uitgangspunten van artikel 4 van de
NBA Verordening inzake onafhankelijkheid (ViO) op te volgen.
Voor IT-auditors die werkzaam zijn in een Internal Audit Functie en assurance-opdrachten uitvoeren doet NOREA de aanbeveling om de uitgangspunten te volgen met betrekking tot de verspreidingskring van assurance-rapporten, conform artikel 3, lid 7 van de
NBA Verordening inzake onafhankelijkheid (ViO).
Vormt de herziene gedragscode een bedreiging voor mij als ZZP RE?
De herziene gedragscode geeft aan dat je te allen tijde je onafhankelijkheid als RE moet waarborgen bij de uitvoering van assurance-opdrachten. Dit onderscheidt ons tenslotte in de markt ten opzichte van andere deskundigen en consultants.
Maar wat nu als je volledig financieel afhankelijk bent van 1 of 2 opdrachtgevers als ZZP RE? Dat kan inderdaad lastig zijn. Als je afhankelijk bent van je inkomsten van 1 opdrachtgever, kun je je dan wel kritisch blijven opstellen jegens deze opdrachtgever? Of kun je in je oordeel of advies druk voelen om je mening bij te stellen om de opdrachtgever tevreden te houden en daarmee je inkomsten veilig te stellen? Dat is precies de vraag die je jezelf zou moeten stellen. Als die druk ervaren wordt is de onafhankelijkheid in het geding en conflicteert dit met het merk RE en de aanvullende regels omtrent diezelfde onafhankelijkheid.
De IFAC Code of Ethics is geschreven voor accountantskantoren, hoe zit dat voor de RE?
De NOREA is affiliate member van de IFAC. Dat betekent dat wij de Code of Ethics zoals opgesteld, waar deze van toepassing is op onze diensten zoveel mogelijk moeten volgen. Dat is ook de reden dat wij voorlopig alleen voorstellen om de delen 1 en 4B in te voeren voor onze leden. In de Code of Ethics wordt gesproken van ‘Firm’, in de Nederlandse vertaling zal dit worden vertaald als de ‘IT-auditorganisatie’ of ‘IT-auditeenheid’.
Komt er een Nederlandse vertaling van de Code of Ethics?