NOREA alert

Impact coronavirus op de werkzaamheden van IT-auditors

Doel van deze NOREA Alert is om in de periode van de maatregelen rond de pandemie van het coronavirus, IT auditors:
• aandachtspunten mee te geven voor het zorgvuldig kunnen uitvoeren en afwikkelen van IT-audits; en
• te informeren over de acties die de NOREA daarin onderneemt.

1. Rapportageverplichtingen

Bij veel organisaties gaat op dit moment alle beschikbare capaciteit en aandacht uit naar de maatregelen ter beperking van de verspreiding van het coronavirus. Tevens kunnen andere (landelijk aangegeven) maatregelen op organisatieniveau betekenen dat medewerkers onvoldoende beschikbaar of bereikbaar zijn omdat ze vanaf thuis werken. Dit kan de kwaliteit van de uitvoering van assurance-werkzaamheden in brede zin (inclusief overeengekomen specifieke werkzaamheden met betrekking tot informatietechnologie) onder druk zetten, waaronder de tijdigheid van de afwikkeling en afstemmen van bevindingen. Daarnaast bestaan er risico’s voor de tijdige afwikkeling van werkzaamheden waarover verantwoording moet worden afgelegd en de tijdige afwikkeling van de verantwoordingen zelf.
Deze uitzonderlijke situatie vergt de flexibiliteit en betrokkenheid van meerdere organisaties om zorg te dragen voor een zorgvuldige en vaktechnische juiste afwikkeling van de diverse IT-audits. Het bestuur van NOREA is betrokken in het overleg van beleidsverantwoordelijke instanties en belanghebbenden. Dit overleg betreft o.a. de tijdlijnen m.b.t. de aanlevering van verantwoordingen en bijbehorende (assurance-) rapporten.
Een actueel overzicht van de individuele coulanceregelingen treft u aan op de website van NOREA.
Daarnaast verdient het aanbeveling om kennis te nemen van de mededelingen op de websites van de beleidsverantwoordelijke instanties (bijvoorbeeld ministerie VWS, Logius, VNG-Realisatie, etc.).

 

2. Gevolgen voor inhoud rapportages

De maatregelen naar aanleiding van het coronavirus kunnen een significante impact hebben op organisaties, hun dienstverlening en mogelijk ook het onderzoeksobject van de IT-auditor. Wanneer het voor de opdracht relevant is, dient de IT-auditor het effect van deze recente gebeurtenissen op de informatie over het onderzoeksobject, alsmede op het assurance-rapport, tot op de datum van het assurance-rapport in overweging te nemen.
Indien relevant dienen zowel de organisatie als de IT-auditor informatie te verschaffen over de omstandigheden die ontstaan zijn na het einde van de verslagperiode, bijvoorbeeld in de toelichting in de verantwoording respectievelijk een toelichtende paragraaf in het assurance-rapport.

 

3. Niet tijdig kunnen verkrijgen van voldoende en geschikte assurance- informatie

Het is niet ondenkbaar dat als gevolg van de maatregelen die getroffen worden ter beperking van de verspreiding van het coronavirus het onmogelijk wordt om voldoende en geschikte assurance-informatie te krijgen als onderbouwing van een assurance-conclusie / het formuleren van feitelijke bevindingen.
Dit kan bijvoorbeeld het geval zijn als het niet mogelijk is om bij de cliënt de assurance-werkzaamheden tijdig af te ronden. Dit kan onder meer het geval zijn in situaties waarin:
a. Medewerkers van de cliënt niet beschikbaar zijn voor het uitvoeren van werkzaamheden (ziekte, belast zijn met uitvoeren van andere voor organisatie vitale werkzaamheden, verplicht thuiswerken, beleid over contacten met externe partijen – personen, etc.);
b. Het bij samenwerkingspartners niet mogelijk is om de controlewerkzaamheden tijdig af te ronden en / of (tijdig) een review ter plaatse uit te voeren.
In deze gevallen is het misschien mogelijk om bijvoorbeeld met behulp van skype, het delen van het elektronisch dossier, het toezenden van gescande documenten of andere technische hulpmiddelen toch voldoende assurance-informatie te verkrijgen. Betrek hierin ook het risico van delen van beveiligingsgevoelige informatie via Cloud services en de noodzaak daarbij (aanvullende) beveiligingsmaatregelen te treffen.
Hierbij dient rekening te worden gehouden met wet- en regelgeving die van toepassing is op (de wijze van) het verstrekken van de betreffende informatie aan de IT-auditor. In landen waar ‘het exporteren van’ assurance-informatie in brede zin niet is toegestaan, kan het verkrijgen van controle-informatie meestal niet mogelijk zijn. 2
Dit kan tot gevolg hebben dat het aftekenen van het assurance-rapport wordt vertraagd. Situaties kunnen ontstaan waarbij het niet mogelijk is om langer te wachten en de IT-auditor het gebrek aan assurance-informatie in het assurance- rapport moet verwoorden door middel van een oordeel met beperking of een oordeelonthouding. De IT-auditor zal dan in de onderbouwing van het oordeel aangeven wat de oorzaak is voor het niet kunnen verkrijgen van voldoende en geschikte assurance-informatie.
Overigens kunnen zich vergelijkbare situaties voordoen bij andere werkzaamheden zoals opdrachten onder Richtlijn 4401. Hier dient naar analogie te worden gehandeld.
Voor de volledigheid stelt het bestuur van NOREA dat bij de uitvoering van de assurance-werkzaamheden en de daarop gebaseerde oordeelsvorming geen concessies worden gedaan aan de vaktechnische vereisten aan en de kwaliteit van de uitvoering van de werkzaamheden. Dit geldt ook voor de overige door IT- auditors uit te voeren werkzaamheden.

 

4. Tenslotte

NOREA zal de komende periode de situatie rondom het coronavirus blijven volgen en waar nodig updates aanbrengen in deze uiting. Voor nadere informatie kan contact worden gezocht met het Bureau van NOREA via norea@norea.nl