Een referentiekader en SIVA; wát is het eigenlijk?

Referentiekaders worden beschreven als een verzameling van criteria die door een onderzoeker gebruikt kan worden om een beeld te geven van diepgang. In het geval van audits wordt het kader een soort meetinstrument voor de auditor. In het algemeen blijkt echter dat auditors terug moeten vallen op eigen inzicht om te bepalen welke criteria relevant zijn. Het boek ‘’SIVA – Methodiek voor de ontwikkeling van auditreferentiekaders’’ van Wiekram Tewarie m.m.v. Eline ter Meer en Eric Nieuwland beschrijft het SIVA-raamwerk dat auditors ondersteunt in hun dagelijkse praktijk en in staat stelt relevante auditelementen systematisch in kaart te brengen.

Deze methodiek zal steeds meer worden toegepast binnen o.a. de overheid (baselines) en daarom maken wij je er graag alvast bekend mee. In deel 1 van onze blogreeks over SIVA starten we bij de basis: het referentiekader.

Wat is een referentiekader?

Een referentiekader is een verzameling criteria die wordt gehanteerd voor een onderzoek. Dit kader geeft zicht op de cruciale onderzoeksobjecten en de vereiste diepgang. Het kader dient als middel voor de auditor om op terug te kunnen vallen. Daarnaast draagt het kader bij aan zo objectief mogelijk auditen.
In de praktijk vallen auditors echter regelmatig (ook) terug op eigen documentatie, zoals eerder uitgevoerde audits. Dit geniet niet te voorkeur omdat de opdrachtgever ‘officieel’ zorg moet dragen voor een kader (daar waar geen sprake is van een opgelegd kader). Auditors bundelen vaak een selectie aan hulpmiddelen zoals baselines, handboeken en best practices om tot een bruikbaar kader te komen.

De noodzakelijke structuur

Een referentiekader resulteert uiteindelijk in een verzameling van zowel algemene als gedetailleerde normen, waarbij de gedetailleerde normen vaak voortkomen uit de algemene. Deze structuur wordtniet altijd gehanteerd door auditors, waardoor een lijst van normen snel ‘plat’ (vinkenlijst) kan worden en uiteindelijk niet optimaal bijdraagt aan hetgeen dat onderzocht wordt. Zaken die niet in de initiële gestructureerde lijst van de auditor staan opgenomen worden vervolgens ook niet meegenomen in het onderzoek. Volgens het principe: alles óf niets. Kortom: een overzichtelijke structuur (incl. gelaagdheid) in het referentiekader biedt houvast aan zowel de auditor als de opdrachtgever.

Van rule-based naar principle-based

Momenteel wordt bij audits veel gebruik gemaakt van een ‘’platte lijst’’, ofwel de rule-based benadering. Deze benadering gaat uit van een aantal specifieke regels voor de uitvoering van een actie of een regel waaraan voldaan moet worden. Bijvoorbeeld het aantal sloten op de deur is maximaal twee. Als wordt voldaan dan is er een check. Wordt niet voldaan dan wordt een vervolgstap beschreven.

Er is een alternatief voor deze rule-based benadering en dat is de principle-based benadering. Deze benadering is gebaseerd op de ontwikkelingen binnen de disciplines financial auditing en accounting. De principle-based benadering gaat uit van een conceptueel raamwerk (framework) dat als brede aanpak dient en die verschillende standaarden ondersteunt. Het framework helpt bij het krijgen van inzicht in de noodzakelijke controls en bij het definiëren van de essentiële elementen.

De SIVA-methodiek is ontwikkeld naar de aanpak binnen IT-auditing. SIVA gaat uit van de volgende componenten: Structuur, Inhoud, Vorm en Analysevolgorde (SIVA). Door deze vier componenten als structuur te gebruiken in het referentiekader valt het terug op een framework, waarbij (op systematische wijze) algemene en/of neutrale normen te identificeren zijn. Het conceptuele framework (principle-based benadering) is flexibeler dan een platte structuur (rule-based benadering), omdat per audit wordt bekeken hoe de (SIVA-)componenten in elkaar steken.

Een goed referentiekader is een boek

Een goed boek kent ook de componenten Structuur, Inhoud, Vorm en Analysevolgorde (SIVA). Denk aan hoofdstukken (structuur) om het leesbaar te maken, tekst als inhoud, grammatica als vorm en een lijn of plan in het verhaal dat dient als volgorde. Om referentiekaders te ontwikkelen wordt steeds teruggevallen op deze vier elementen. Het referentiekader bestaat uit domeinen als structuur, waarbinnen auditelementen worden omvat als inhoud. Een auditelement wordt in het kader van vorm als een norm opgesteld, met behulp van voorschriften. Vervolgens worden deze domeinen in een vooraf bepaalde volgorde geanalyseerd.

Structuur                ↔   Domeinen (bestaan uit auditelementen)

Inhoud                    ↔   Auditelementen (opgesteld als normen)

Vorm                       ↔   Voorschriften (voor consistente formulering van auditprincipes)

Analysevolgorde   ↔   Volgorde (logische volgordelijkheid)

Aanvulling op eisen

De International Federation of Accountants (IFAC) heeft in de International Standard on Assurance Engagements (ISAE) vijf kwaliteitseisen benoemd waar (verzamelingen van) normen aan moeten voldoen.
Het SIVA-raamwerk gaat o.a. uit van deze kwaliteitseisen, maar die zijn vervolgens aangevuld. Het overzicht van kwaliteitseisen aan referentiekaders komt er volgens het SIV(A)-raamwerk zo uit te zien:

Structuur     – Gestructureerdheid

– Coherentie

Inhoud          – Betrouwbaarheid

– Begrijpelijkheid

– Transparantie

– Relevantie

– Herbruikbaarheid

– Neutraliteit

– Geïntegreerdheid

– Volledigheid

– Coherentie (Inhoud)

Vorm             – Consistentie

Tezamen geven de bovengenoemde componenten van het SIVA-raamwerk invulling aan de kwaliteitseisen die aan referentiekaders worden gesteld.

SIVA componenten: wordt vervolgd

In latere blogs zullen wij je steeds meer bekend maken met het SIVA-raamwerk en daarin specifiek ingaan op de vier componenten: Structuur, Inhoud, Vorm en Analysevolgorde. In de basis biedt de component Structuur een patroon van domeinen om auditomgevingen in samenhang te kunnen analyseren en informatie te organiseren. De component Inhoud geeft daarbij een patroon van neutrale auditelementen (normen) om onderkende domeinen te kunnen analyseren en samenhang van elementen bij elkaar te brengen. De component Vorm biedt een formuleringsvoorschrift voor auditprincipes en bij de component Analysevolgorde gaat het om structuur in de volgordelijkheid binnen de analyses.

Uiteindelijk is de SIVA-methodiek een solide basis die auditors houvast biedt om audits uit te kunnen voeren.

Wil je meer weten over het SIVA-raamwerk? Blijf dan op de hoogte via onze blogs. In de volgende blog gaan we verder in op SIVA component 1: Structuur.

7 tips voor het implementeren van de AVG
Privacy-by-Design; 8 concrete en toepasbare strategieën

Comment

Reacties zijn gesloten.

Copyright © 2014-2018 IB&P B.V. - Informatiebeveiliging Gemeenten is een handelsnaam van IB&P B.V. 
Onze algemene voorwaarden & privacyverklaring.Ook handig: de sitemap