Skip to main content

Een referentiekader en SIVA; wát is het eigenlijk?


Referentiekaders worden beschreven als een verzameling van criteria die door een onderzoeker gebruikt kan worden om een beeld te geven van diepgang. In het geval van audits wordt het kader een soort meetinstrument voor de auditor. In het algemeen blijkt echter dat auditors terug moeten vallen op eigen inzicht om te bepalen welke criteria relevant zijn. Het boek ‘’SIVA – Methodiek voor de ontwikkeling van auditreferentiekaders’’ van Wiekram Tewarie m.m.v. Eline ter Meer en Eric Nieuwland beschrijft het SIVA-raamwerk dat auditors ondersteunt in hun dagelijkse praktijk en in staat stelt relevante auditelementen systematisch in kaart te brengen.

Deze methodiek zal steeds meer worden toegepast binnen o.a. de overheid (baselines) en daarom maken wij je er graag alvast bekend mee. In deel 1 van onze blogreeks over SIVA starten we bij de basis: het referentiekader.

Wat is een referentiekader?

Een referentiekader is een verzameling criteria die wordt gehanteerd voor een onderzoek. Dit kader geeft zicht op de cruciale onderzoeksobjecten en de vereiste diepgang. Het kader dient als middel voor de auditor om op terug te kunnen vallen. Daarnaast draagt het kader bij aan zo objectief mogelijk auditen.
In de praktijk vallen auditors echter regelmatig (ook) terug op eigen documentatie, zoals eerder uitgevoerde audits. Dit geniet niet te voorkeur omdat de opdrachtgever ‘officieel’ zorg moet dragen voor een kader (daar waar geen sprake is van een opgelegd kader). Auditors bundelen vaak een selectie aan hulpmiddelen zoals baselines, handboeken en best practices om tot een bruikbaar kader te komen.

De noodzakelijke structuur

Een referentiekader resulteert uiteindelijk in een verzameling van zowel algemene als gedetailleerde normen, waarbij de gedetailleerde normen vaak voortkomen uit de algemene. Deze structuur wordtniet altijd gehanteerd door auditors, waardoor een lijst van normen snel ‘plat’ (vinkenlijst) kan worden en uiteindelijk niet optimaal bijdraagt aan hetgeen dat onderzocht wordt. Zaken die niet in de initiële gestructureerde lijst van de auditor staan opgenomen worden vervolgens ook niet meegenomen in het onderzoek. Volgens het principe: alles óf niets. Kortom: een overzichtelijke structuur (incl. gelaagdheid) in het referentiekader biedt houvast aan zowel de auditor als de opdrachtgever.

Van rule-based naar principle-based

Momenteel wordt bij audits veel gebruik gemaakt van een ‘’platte lijst’’, ofwel de rule-based benadering. Deze benadering gaat uit van een aantal specifieke regels voor de uitvoering van een actie of een regel waaraan voldaan moet worden. Bijvoorbeeld het aantal sloten op de deur is maximaal twee. Als wordt voldaan dan is er een check. Wordt niet voldaan dan wordt een vervolgstap beschreven.

Er is een alternatief voor deze rule-based benadering en dat is de principle-based benadering. Deze benadering is gebaseerd op de ontwikkelingen binnen de disciplines financial auditing en accounting. De principle-based benadering gaat uit van een conceptueel raamwerk (framework) dat als brede aanpak dient en die verschillende standaarden ondersteunt. Het framework helpt bij het krijgen van inzicht in de noodzakelijke controls en bij het definiëren van de essentiële elementen.

De SIVA-methodiek is ontwikkeld naar de aanpak binnen IT-auditing. SIVA gaat uit van de volgende componenten: Structuur, Inhoud, Vorm en Analysevolgorde (SIVA). Door deze vier componenten als structuur te gebruiken in het referentiekader valt het terug op een framework, waarbij (op systematische wijze) algemene en/of neutrale normen te identificeren zijn. Het conceptuele framework (principle-based benadering) is flexibeler dan een platte structuur (rule-based benadering), omdat per audit wordt bekeken hoe de (SIVA-)componenten in elkaar steken.

Een goed referentiekader is een boek

Een goed boek kent ook de componenten Structuur, Inhoud, Vorm en Analysevolgorde (SIVA). Denk aan hoofdstukken (structuur) om het leesbaar te maken, tekst als inhoud, grammatica als vorm en een lijn of plan in het verhaal dat dient als volgorde. Om referentiekaders te ontwikkelen wordt steeds teruggevallen op deze vier elementen. Het referentiekader bestaat uit domeinen als structuur, waarbinnen auditelementen worden omvat als inhoud. Een auditelement wordt in het kader van vorm als een norm opgesteld, met behulp van voorschriften. Vervolgens worden deze domeinen in een vooraf bepaalde volgorde geanalyseerd.

Structuur                ↔   Domeinen (bestaan uit auditelementen)

Inhoud                    ↔   Auditelementen (opgesteld als normen)

Vorm                       ↔   Voorschriften (voor consistente formulering van auditprincipes)

Analysevolgorde   ↔   Volgorde (logische volgordelijkheid)

Aanvulling op eisen

De International Federation of Accountants (IFAC) heeft in de International Standard on Assurance Engagements (ISAE) vijf kwaliteitseisen benoemd waar (verzamelingen van) normen aan moeten voldoen.
Het SIVA-raamwerk gaat o.a. uit van deze kwaliteitseisen, maar die zijn vervolgens aangevuld. Het overzicht van kwaliteitseisen aan referentiekaders komt er volgens het SIV(A)-raamwerk zo uit te zien:

Structuur     – Gestructureerdheid

– Coherentie

Inhoud          – Betrouwbaarheid

– Begrijpelijkheid

– Transparantie

– Relevantie

– Herbruikbaarheid

– Neutraliteit

– Geïntegreerdheid

– Volledigheid

– Coherentie (Inhoud)

Vorm             – Consistentie

Tezamen geven de bovengenoemde componenten van het SIVA-raamwerk invulling aan de kwaliteitseisen die aan referentiekaders worden gesteld.

SIVA componenten: wordt vervolgd

In latere blogs zullen wij je steeds meer bekend maken met het SIVA-raamwerk en daarin specifiek ingaan op de vier componenten: Structuur, Inhoud, Vorm en Analysevolgorde. In de basis biedt de component Structuur een patroon van domeinen om auditomgevingen in samenhang te kunnen analyseren en informatie te organiseren. De component Inhoud geeft daarbij een patroon van neutrale auditelementen (normen) om onderkende domeinen te kunnen analyseren en samenhang van elementen bij elkaar te brengen. De component Vorm biedt een formuleringsvoorschrift voor auditprincipes en bij de component Analysevolgorde gaat het om structuur in de volgordelijkheid binnen de analyses.

Uiteindelijk is de SIVA-methodiek een solide basis die auditors houvast biedt om audits uit te kunnen voeren.

Wil je meer weten over het SIVA-raamwerk? Blijf dan op de hoogte via onze blogs. In de volgende blog gaan we verder in op SIVA component 1: Structuur.

IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Hoe kun je contractmanagement implementeren?

: Contractmanagement zorgt ervoor dat alle afspraken en verplichtingen in een zakelijk contract goed worden nageleefd en beheerd, vanaf het moment dat het contract wordt ondertekend tot het einde ervan. Maar wat houdt contractmanagement eigenlijk …

De rol van de lijnmanager op het gebied van privacy

In onze wereld, met alle informatietechnologie, is privacy belangrijker dan ooit. Als lijnmanager heb je een belangrijke rol om ervoor te zorgen dat iedereen zich aan de regels van de van de organisatie houdt. Maar wat houdt deze rol precies in en…

Waarom is contractmanagement ook belangrijk voor informatiebeveiliging?

Contractmanagement speelt een belangrijke rol in het kader van informatiebeveiliging. Het is namelijk niet alleen een manier om zakelijke overeenkomsten te beheren; het vormt ook de basis voor een goede informatiebeveiligingsstrategie. Waarom dat …

Een verwerkersovereenkomst afgesloten, en dan?

Een van de belangrijkste eisen uit de AVG is dat je een verwerkersovereenkomst moet opstellen wanneer je persoonsgegevens laat verwerken door anderen. In deze blog lees je meer over wat er moet gebeuren nadat je een verwerkersovereenkomst hebt afg…

Hoe kan het 9-vlaksmodel helpen bij de implementatie van BIO-maatregelen?

Het 9-vlaksmodel van Rik Maes is een handig hulpmiddel voor informatiemanagement. Het helpt organisaties bij het begrijpen en beheren van hun informatiesystemen en -processen. Ontdek in deze blog hoe dit model ook kan helpen bij de implementatie v…

Samenhang Europese digitale wetgeving: voorbereiding voor gemeenten

Tussen nu en 2026 krijg je als gemeente te maken met maar liefst 13 nieuwe wetten die de digitale toekomst van Europa vormgeven. Deze nieuwe digitale wetten hebben veel invloed op wat gemeenten doen. Om deze gevolgen beter te begrijpen, heeft de V…