ALGEMENE VOORWAARDEN VOOR DIENSTVERLENING
ALGEMENE VOORWAARDEN VOOR DIENSTVERLENING
Artikel 1 Algemeen
1. In deze algemene voorwaarden wordt verstaan onder:
a. Opdrachtgever: de partij die opdracht geeft.
b. Opdrachtnemer: besloten vennootschap Bureau voor Kwaliteitsborging Bij de Overheid (= BKBO).
2. Deze algemene voorwaarden zijn van toepassing op alle overeenkomsten voor werkzaamheden tussen Opdrachtnemer en Opdrachtgever, respectievelijk hun rechtsopvolgers. Hierna wordt hetgeen moet worden uitgevoerd, aangeduid als "de opdracht".
3. De algemene voorwaarden worden bij de het verstrekken van de offerte toegezonden aan Opdrachtgever en zijn te raadplegen op xxx.xxxx.xx en liggen ter inzage ten kantore van BKBO en zijn op 5 januari 2017 gedeponeerd bij de Kamer van Koophandel onder inschrijvingsnummer 67738516.
Artikel 2 Toepasselijkheid
1. Deze algemene voorwaarden zijn van toepassing op alle rechtsverhoudingen tussen Opdrachtnemer en Opdrachtgever, behoudens wijzigingen in deze voorwaarden welke door beide partijen uitdrukkelijk en schriftelijk dienen te zijn bevestigd.
2. Voor alle overeenkomsten met Opdrachtnemer wordt de werking van de artikelen 7:404 en 7:407 BW uitgesloten.
3. De gedrags en beroepsregels (zie bijlage) geldig voor medewerkers van de Opdrachtnemer maken deel uit van de overeenkomst. Het betreft de “Code of Ethics voor IT-auditors” welke is gebaseerd op de Code of Ethics van de International Federation of Accountants (IFAC) en geldig is met ingang van 14 juli 2006.
4. De Opdrachtgever verklaart de daaruit voor Opdrachtnemer voortvloeiende verplichtingen steeds volledig te zullen respecteren. De Code of Ethics is te raadplegen op xxx.xxxxx.xx.
Artikel 3 Totstandkoming van de overeenkomst
1. Teneinde de tussen partijen te sluiten overeenkomst een deugdelijke basis te geven, staat Opdrachtgever er voor in, dat hij naar beste weten alle essentiële informatie over de uit te voeren opdracht heeft verstrekt. De Opdrachtnemer zal op die basis de door hem te verrichten opdracht naar beste inzicht en vermogen en overeenkomstig de eisen van goed vakmanschap uitvoeren.
Versie: januari 2017 Pagina 1 van 16
2. De overeenkomst komt tot stand op het moment dat de door Opdrachtnemer en Opdrachtgever ondertekende opdrachtbevestiging door Xxxxxxxxxxxxx retour is ontvangen. De opdrachtbevestiging is gebaseerd op de ten tijde daarvan door Opdrachtgever aan Opdrachtnemer verstrekte informatie. De opdrachtbevestiging wordt geacht de overeenkomst juist en volledig weer te geven.
3. Het staat partijen vrij te bewijzen dat de overeenkomst op andere wijze tot stand is gekomen.
4. De overeenkomst wordt aangegaan voor bepaalde tijd tenzij uit de inhoud, aard of strekking van de verleende opdracht voortvloeit dat deze voor een onbepaalde tijd is aangegaan.
Artikel 4 Terbeschikkingstelling
1. De Opdrachtgever verstrekt tijdig en in de gewenste vorm alle documentatie en gegevens die de Opdrachtnemer nodig heeft. De Opdrachtgever staat in voor de juistheid, volledigheid en tijdigheid van de door hem verstrekte informatie.
2. Dit geldt ook voor de terbeschikkingstelling van medewerkers van de eigen organisatie van de Opdrachtgever, die bij de werkzaamheden van de Opdrachtnemer betrokken (zullen) zijn.
3. Wanneer de Opdrachtnemer daarom verzoekt, verschaft de Opdrachtgever op de locatie waar de opdracht moet worden uitgevoerd een terzake adequaat uitgeruste werkplek.
4. Indien en voor zover Opdrachtgever zulks verzoekt, worden de ter beschikking gestelde bescheiden aan deze geretourneerd.
Artikel 5 Het betrekken van derden bij de opdracht
Het betrekken of inschakelen van een derde bij de opdrachtuitvoering door Opdrachtgever of door de Opdrachtnemer geschiedt uitsluitend in onderling overleg.
Artikel 6 Geheimhouding
1. Opdrachtnemer is, tenzij hij een wettelijke plicht dan wel beroepsplicht tot bekendmaking heeft, verplicht tot geheimhouding tegenover derden.
2. Opdrachtnemer is niet gerechtigd de informatie die aan hem door Opdrachtgever ter beschikking wordt gesteld aan te wenden ten behoeve van een ander doel dan waarvoor zij werd verkregen. Hierop wordt echter een uitzondering gemaakt in het geval Opdrachtnemer voor zichzelf optreedt in een tucht, civiele, of strafprocedure waarbij deze informatie of de desbetreffende stukken van belang kunnen zijn.
3. Opdrachtnemer zal zijn verplichtingen op grond van dit artikel opleggen aan medewerkers en eventueel ingeschakelde derden.
Versie: januari 2017 Pagina 2 van 16
4. De Opdrachtgever zal zonder toestemming van de Opdrachtnemer aan derden geen mededelingen doen over de aanpak van de Opdrachtnemer, zijn werkwijze en dergelijke.
5. Tenzij daartoe door Opdrachtnemer voorafgaande schriftelijke toestemming is verleend, zal Opdrachtgever de inhoud van rapporten, adviezen of andere al of niet schriftelijke uitingen van Opdrachtnemer, die niet zijn opgesteld of gedaan met de strekking derden van de daarin neergelegde informatie te voorzien, niet openbaar maken. De Opdrachtgever zal er tevens voor zorgdragen dat derden niet van de in de vorige zin bedoelde inhoud kennis kunnen nemen.
Artikel 7 Intellectuele eigendommen
1. Het is Opdrachtgever uitdrukkelijk verboden die producten, waaronder mede begrepen computerprogramma’s, systeemontwerpen, werkwijzen, adviezen, (model)contracten en andere geestesproducten die eigendom zijn en blijven van Opdrachtnemer, een en ander in de ruimste zin des woords, al dan niet met inschakeling van derden te verveelvoudigen, te openbaren of te exploiteren.
Openbaarmaking kan derhalve alleen geschieden na verkregen toestemming van de Opdrachtnemer.
2. De Opdrachtgever heeft het recht geestesproducten van de Opdrachtnemer te vermenigvuldigen uitsluitend voor gebruik in zijn eigen organisatie voorzover passend binnen het doel van de opdracht. Ingeval van tussentijdse beëindiging van de opdracht, is het voorgaande ook van toepassing.
Artikel 8 Personeel
1. De Opdrachtnemer kan in overleg met de Opdrachtgever de samenstelling van het team wijzigen, indien hij meent dat dit voor de uitvoering van de opdracht noodzakelijk is. Een wijziging van het team kan ook op verzoek van de Opdrachtgever in overleg met de Opdrachtnemer plaatsvinden.
2. Geen van de partijen mag tijdens de uitvoering van de opdracht en binnen één jaar na beëindiging van de opdracht personeel van de wederpartij in dienst nemen of met dit personeel over indiensttreding onderhandelen, zonder overleg met de wederpartij.
Artikel 9 Honorarium
1. Het honorarium van Opdrachtnemer is niet afhankelijk van de uitkomst van de verleende opdracht.
2. Indien na de totstandkoming van de overeenkomst, doch voordat de opdracht geheel is uitgevoerd, lonen en/of prijzen een wijziging ondergaan, is Opdrachtnemer gerechtigd het overeengekomen tarief dienovereenkomstig aan te passen, tenzij Opdrachtgever en Opdrachtnemer hierover andere afspraken hebben gemaakt.
3. Het honorarium van Xxxxxxxxxxxxx, zo nodig vermeerderd met voorschotten en declaraties van ingeschakelde derden, wordt tweewekelijks of na volbrenging van de werkzaamheden aan Opdrachtgever in rekening gebracht, tenzij Opdrachtgever en Opdrachtnemer andere afspraken hebben gemaakt. Over alle door Opdrachtgever aan Opdrachtnemer verschuldigde bedragen wordt indien van toepassing de omzetbelasting afzonderlijk in rekening gebracht.
Versie: januari 2017 Pagina 3 van 16
4. Met betrekking tot de tarieven en de daarop gebaseerde kostenramingen staat in de opdrachtovereenkomst aangegeven, of daarin zijn begrepen de secretariaatskosten, reisuren, reis en verblijfkosten en ander opdrachtgebonden kosten. Voor zover deze kosten niet zijn inbegrepen, kunnen ze afzonderlijk worden berekend.
5. In het honorarium worden geen rentekosten opgenomen, tenzij in de opdracht anders is aangegeven.
Artikel 10 Betaling
1. Betaling door Opdrachtgever dient, zonder aftrek, korting of schuldverrekening te geschieden binnen 14 kalenderdagen na factuurdatum. Betaling dient te geschieden in euro’s door middel van overmaking ten gunste van een door Opdrachtnemer aan te wijzen bankrekening.
2. Indien Opdrachtgever niet binnen de onder 10.1 genoemde termijn heeft betaald, is Opdrachtnemer gerechtigd, nadat hij Opdrachtgever ten minste eenmaal heeft aangemaand te betalen, zonder nadere ingebrekestelling en onverminderd de overige rechten van Opdrachtnemer, vanaf de vervaldag Opdrachtgever de wettelijke rente in rekening te brengen tot op de datum van algehele voldoening.
3. Alle in redelijkheid gemaakte gerechtelijke en buitengerechtelijke (incasso) kosten, die Opdrachtnemer maakt als gevolg van de niet nakoming door Opdrachtgever van diens betalingsverplichtingen, komen ten laste van Opdrachtgever.
4. Indien de financiële positie of het betalingsgedrag van Opdrachtgever naar het oordeel van Opdrachtnemer daartoe aanleiding geeft, is Opdrachtnemer gerechtigd van Opdrachtgever te verlangen, dat deze onverwijld (aanvullende) zekerheid stelt in een door Opdrachtnemer te bepalen vorm. Indien Opdrachtgever nalaat de verlangde zekerheid te stellen is Opdrachtnemer gerechtigd, onverminderd zijn overige rechten, de verdere uitvoering van de overeenkomst onmiddellijk op te schorten en is al hetgeen Opdrachtgever aan Opdrachtnemer uit welke hoofde ook verschuldigd is, direct opeisbaar.
Artikel 11 Reclames
1. Reclames met betrekking tot het uitvoeren van de opdracht en/of het factuurbedrag dienen schriftelijk binnen 60 dagen na de verzenddatum van de stukken of informatie waarover Opdrachtgever reclameert, dan wel binnen 60 dagen na de ontdekking van het gebrek indien Opdrachtgever aantoont dat hij het gebrek redelijkerwijs niet eerder kon ontdekken, aan Opdrachtnemer te worden kenbaar gemaakt.
2. Reclames als in het eerste lid bedoeld, schorten de betalingsverplichting van Opdrachtgever niet op.
3. In geval van een terecht uitgebrachte reclame heeft Opdrachtnemer de keuze tussen aanpassing van het in rekening gebrachte honorarium, het kosteloos verbeteren of opnieuw verrichten van de afgekeurde werkzaamheden of het geheel of gedeeltelijk niet (meer) uitvoeren van de opdracht tegen een restitutie naar evenredigheid van door Opdrachtgever reeds betaald honorarium.
Artikel 12 Wijziging van de opdracht c.q. meerwerk
Versie: januari 2017 Pagina 4 van 16
1. De Opdrachtgever aanvaardt dat de tijdsplanning van de opdracht kan worden beïnvloed, indien partijen tussentijds overeenkomen de aanpak, werkwijze of omvang van de opdracht uit te breiden of te wijzigen.
2. Indien de tussentijdse wijziging het overeengekomen honorarium of de kostenvergoedingen beïnvloedt, zal de Opdrachtnemer dit de Opdrachtgever zo spoedig mogelijk melden.
3. Indien een tussentijdse wijziging in de opdrachtuitvoering ontstaat door toedoen van de Opdrachtgever, zal de Opdrachtnemer de noodzakelijke aanpassingen aanbrengen, indien de kwaliteit van de dienstverlening dit vergt. Indien een dergelijke aanpassing leidt tot meerwerk, zal dit als een aanvullende opdracht aan de Opdrachtgever worden bevestigd.
4. Opdrachtnemer kan slechts meerwerk verrichten en aan Opdrachtgever in rekening brengen als vooraf toestemming is verleend.
Artikel 13 Afsluiting van de opdracht
1. Het moment van afsluiten van de opdracht kan behalve door de inspanning van het team dat met de uitvoering van de opdracht is belast, worden beïnvloed door allerlei factoren, zoals de kwaliteit van de informatie die de Opdrachtnemer verkrijgt en de medewerking die wordt verleend. De Opdrachtnemer kan dan ook niet altijd van tevoren exact aangeven hoe lang de doorlooptijd voor uitvoeren van de opdracht zal zijn.
2. In financiële zin is de opdracht afgesloten, zodra de eindafrekening door de Opdrachtgever is goedgekeurd. Binnen een termijn van 14 dagen na dagtekening van deze eindafrekening dient de Opdrachtgever de Opdrachtnemer hierover te berichten. Indien de Opdrachtgever niet binnen deze termijn reageert, wordt de eindafrekening geacht te zijn goedgekeurd.
Artikel 14 Aansprakelijkheid
1. Opdrachtnemer zal de opdracht naar beste kunnen uitvoeren en daarbij de zorgvuldigheid in acht nemen die van een gecertificeerd RE en/of CISA auditor mag worden verwacht. Indien een fout wordt gemaakt doordat de Opdrachtgever hem onjuiste of onvolledige informatie heeft verstrekt, is Opdrachtnemer voor de daardoor ontstane schade niet aansprakelijk. Indien de Opdrachtgever aantoont dat hij schade heeft geleden door een fout van Opdrachtnemer die bij zorgvuldig handelen zou zijn vermeden, is Opdrachtnemer voor die schade slechts aansprakelijk tot een maximum van het bedrag van het honorarium voor de desbetreffende opdracht over het laatste kalenderjaar met een maximum van € 250.000,-.
2. Opdrachtgever vrijwaart Opdrachtnemer voor vorderingen van derden wegens schade die veroorzaakt is doordat de Opdrachtgever aan Opdrachtnemer onjuiste of onvolledige informatie heeft verstrekt, tenzij Opdrachtgever aantoont dat de schade geen verband houdt met verwijtbaar handelen of nalaten zijnerzijds dan wel veroorzaakt is door opzet of grove schuld van Opdrachtnemer.
Artikel 15 Vervaltermijn
Voor zover in deze algemene voorwaarden niet anders is bepaald, vervallen vorderingsrechten en andere bevoegdheden van Opdrachtgever uit welken hoofde ook jegens Opdrachtnemer in verband met het uitvoeren van de opdracht door Opdrachtnemer in ieder geval na één jaar na het moment waarop Opdrachtgever bekend werd of redelijkerwijs bekend kon zijn met het bestaan van deze rechten en bevoegdheden.
Versie: januari 2017 Pagina 5 van 16
Artikel 16 Toepasselijk recht en forumkeuze
1. Op alle overeenkomsten tussen Opdrachtgever en Opdrachtnemer waarop deze algemene voorwaarden van toepassing zijn, is Nederlands recht van toepassing.
2. Alle geschillen die verband houden met overeenkomsten tussen Opdrachtgever en Opdrachtnemer, waarop deze voorwaarden van toepassing zijn, worden beslecht door de bevoegde rechter in het arrondissement waarin Opdrachtnemer is gevestigd.
3. In afwijking van het bepaalde in lid 2 zijn Opdrachtgever en Opdrachtnemer bevoegd om geschillen aan een college voor geschillen voor te leggen.
Artikel 17 Deponering Algemene Voorwaarden
De algemene voorwaarden zijn op 15 januari 2015 gedeponeerd onder inschrijvingsnummer 54846641 bij de Kamer van Koophandel Gooi-, Eem- en Flevoland te Almere.
Versie: januari 2017 Pagina 6 van 16
Bijlage
Tijdens de Algemene Vergadering van de NOREA op 13 juli 2006 is ingestemd met de 'Code of Ethics voor IT- auditors' ter vervanging van het Reglement Gedrags- en Beroepsregels Register EDP-Auditors (GBRE). Deze Code of Ethics is gebaseerd op de Code of Ethics van de International Federation of Accountants (IFAC) en geldt met ingang van 14 juli 2006.
Gedragscode geldend voor iedere IT-auditor
Hoofdstukindeling:
A-100 Inleiding en fundamentele beginselen
X-000 Xxxxxxxxxxx
X-000 Xxxxxxxxxxxxx
X-000 Deskundigheid en zorgvuldigheid
X-000 Xxxxxxxxxxxxx
X-000 Professioneel gedrag
Hoofdstuk A-100 Inleiding en fundamentele beginselen
Artikel A-100.1
De IT-auditor aanvaardt te allen tijde de verantwoordelijkheid op te treden in het algemeen belang en behartigt dientengevolge niet uitsluitend de belangen van een individuele opdrachtgever. Daartoe neemt de IT-auditor bij zijn optreden deze Code in acht en handelt in overeenstemming daarmee.
Artikel A-100.2
De IT-auditor maakt van het in deze Code beschreven conceptueel raamwerk gebruik bij het signaleren van een bedreiging. Hij evalueert een bedreiging naar aard en belang. Indien blijkt dat een bedreiging van niet te verwaarlozen betekenis is, treft de IT-auditor waarborgen die de bedreiging wegnemen of terugbrengen tot een aanvaardbaar niveau, zodat de naleving van de fundamentele beginselen geen geweld wordt aangedaan. De IT- auditor legt de bedreiging van niet te verwaarlozen betekenis, de naar aanleiding daarvan getroffen waarborgen en zijn conclusie vast.
Artikel A-100.3
Deze Code bevat de fundamentele beginselen van de beroepsethiek voor de IT-auditor, alsmede het conceptueel raamwerk voor de toepassing van deze fundamentele beginselen. Het conceptueel raamwerk geeft richting aan de toepassing van deze fundamentele beginselen.
Het NOREA-bestuur kan nadere regels uitvaardigen over de toepassing van het conceptueel raamwerk in specifieke situaties opdat waarborgen worden opgenomen die in aanmerking komen om een bedreiging weg te nemen of terug te brengen tot een aanvaardbaar niveau. Ook kunnen voorbeelden worden opgenomen van situaties waarin geen waarborgen beschikbaar zijn en van activiteiten of relaties die moeten worden vermeden.
Deze Code is van toepassing op iedere in het RE- register ingeschreven IT-auditor
Versie: januari 2017 Pagina 7 van 16
Fundamentele beginselen
Artikel A-100.4
De IT-auditor neemt de volgende fundamentele beginselen in acht:
a) Integriteit
De IT-auditor treedt in zijn beroepsmatige en zakelijke betrekkingen eerlijk en oprecht op.
b) Objectiviteit
De IT-auditor accepteert niet dat zijn professioneel of zakelijk oordeel wordt aangetast door een vooroordeel, belangentegenstelling of ongepaste beïnvloeding door een derde.
c) Deskundigheid en zorgvuldigheid
De IT-auditor houdt zijn deskundigheid en vaardigheid op het niveau dat is vereist om aan een opdrachtgever professionele diensten te kunnen verlenen in overeenstemming met actuele ontwikkelingen in de praktijk, wetgeving en vaktechniek. De IT-auditor handelt bij het verlenen van professionele diensten zorgvuldig en in overeenstemming met de van toepassing zijnde vaktechnische en overige beroepsvoorschriften.
d) Geheimhouding
De IT-auditor eerbiedigt het vertrouwelijke karakter van informatie die hij in het kader van zijn beroepsmatig en zakelijk handelen heeft verkregen. Hij maakt deze informatie zonder specifieke machtiging daartoe niet aan een derde bekend, tenzij wettelijk of beroepshalve een recht of plicht daartoe bestaat. Het is de IT-auditor niet toegestaan vertrouwelijke informatie die hij bij zijn beroepsmatig of zakelijk handelen heeft verkregen, te gebruiken om zichzelf of een derde te bevoordelen.
e) Professioneel gedrag
De IT-auditor houdt zich aan de voor hem relevante wet- en regelgeving en onthoudt zich van handelen dat het auditberoep in diskrediet brengt. Bij samenloop van functies dient een zodanige zorgvuldigheid in acht genomen te worden dat de relatie tussen het optreden c.q. het uiting geven als Register EDP-auditor en de andere functie ondubbelzinnig bepaald is.
Deze fundamentele beginselen zijn gedetailleerd besproken in de artikelen A-110 tot en met artikel A-150.
Conceptueel raamwerk
Artikel A-100.5
De IT-auditor handelt in overeenstemming met het conceptueel raamwerk bij iedere door hem gesignaleerde bedreiging die niet van te verwaarlozen betekenis is en bij de naar aanleiding daarvan getroffen waarborgen die deze bedreiging wegnemen of terugbrengen tot een aanvaardbaar niveau.
De omstandigheid waaronder de IT-auditor zijn werkzaamheden verricht kan leiden tot een bedreiging. Het is niet mogelijk iedere situatie te beschrijven waarin een bedreiging ontstaat en aan te geven welke waarborgen daartegen kunnen worden getroffen. Bovendien kunnen de aard van de opdrachten en van de uit te voeren werkzaamheden verschillen. Als gevolg daarvan kunnen ook verschillende en meerdere bedreigingen optreden waardoor het treffen van verschillende en meerdere waarborgen noodzakelijk is. Een conceptueel raamwerk dat van de IT-auditor vraagt iedere bedreiging te signaleren, te evalueren en aan de orde te stellen, in plaats van de
Versie: januari 2017 Pagina 8 van 16
eis te voldoen aan een aantal min of meer arbitraire specifieke regels, is in het algemeen belang. Deze Code biedt een raamwerk ter ondersteuning van de IT-auditor bij het signaleren en evalueren van iedere bedreiging en bij het in reactie daarop treffen van de juiste waarborgen.
Artikel A-100.6
De IT-auditor evalueert omstandigheden of relaties waarmee hij bekend is of in redelijkheid bekend behoort te zijn, die de naleving van de fundamentele beginselen in gevaar kan brengen.
Artikel A-100.7
De IT-auditor betrekt bij het beoordelen van de aard, het belang en de ernst van een bedreiging zowel kwalitatieve als kwantitatieve factoren. Indien De IT-auditor niet in staat is adequate waarborgen te treffen weigert of beëindigt hij een opdracht tot het verlenen van een professionele dienst of beëindigt hij de opdrachtrelatie met de cliënt, dan wel zijn relatie met de organisatie waarbij of ten behoeve waarvan hij werkzaam is.
Artikel A-100.8
De IT-auditor kan onopzettelijk een bepaling uit deze Code schenden.
Indien dit het geval is, dan is het mogelijk, afhankelijk van de aard en de betekenis ervan, geen sprake van schending van de basisbeginselen mits de gevolgen onmiddellijk na ontdekking van de schending worden geëvalueerd, voorzover mogelijk gecorrigeerd en eventuele waarborgen worden getroffen.
Artikel A-100.9
De IT-auditor beperkt zich bij het toepassen van het conceptueel raamwerk niet tot de in deze Code opgenomen voorbeelden.
Bedreigingen en waarborgen
Artikel A-100.10
Het scala aan bedreigingen is groot. Een bedreiging valt doorgaans in één of meerdere van de volgende categorieën:
a. bedreiging als gevolg van eigenbelang: Dit is de bedreiging die ontstaat uit een financieel of ander belang van de IT-auditor dan wel van een gezins- of naast familielid van hem;
b. bedreiging als gevolg van zelftoetsing: Dit is de bedreiging die ontstaat indien de IT-auditor zijn eigen werkzaamheden of het resultaat daarvan beoordeelt;
c. bedreiging als gevolg van belangenbehartiging: Dit is de bedreiging die ontstaat indien de IT-auditor op een zodanige wijze een standpunt verdedigt dat objectiviteit in het gedrang komt;
d. bedreiging als gevolg van vertrouwdheid: Dit is de bedreiging die ontstaat indien er een nauwe band bestaat tussen de IT-auditor en zijn opdrachtgever of indien de IT-auditor te veel sympathie koestert voor de belangen van een ander;
e. bedreiging als gevolg van intimidatie: Dit is de bedreiging die ontstaat indien de IT-auditor door feitelijke of vermeende dreigementen wordt afgehouden van objectief handelen.
Versie: januari 2017 Pagina 9 van 16
Artikel A-100.11
Waarborgen die een bedreiging wegnemen of tot een aanvaarbaar niveau terugbrengen zijn globaal in twee categorieën te verdelen:
a) waarborgen tot stand gebracht door de wetgever, de NOREA of andere regelgevers; en
b) waarborgen in de werkomgeving.
Artikel A-100.12
De waarborgen tot stand gebracht door de wetgever, de NOREA of andere regelgevers omvatten onder meer:
a. regelgeving ten aanzien van Corporate- en/of IT-Governance;
x. xxxxx voor inschrijving in het RE-register ter zake van, opleiding, ervaring en goed gedrag;
x. xxxxx ten aanzien van de permanente educatie;
x. vaktechnische en overige beroepsvoorschriften;
e. stelsel van kwaliteitsbeheersing;
f. externe beoordeling van de door de IT-auditor uitgevoerde assurance en daaraan verwante opdrachten;
x. xxxxxx- en tuchtrecht.
Artikel A100.13
P.M.
Artikel A-100.14
Bepaalde waarborgen kunnen de kans vergroten dat onethisch gedrag wordt voorkomen of wordt ontdekt. Dergelijke waarborgen die kunnen zijn getroffen door de wetgever, de NOREA, andere regelgevers of de huishouding waaraan de IT-auditor is verbonden of waarbij hij werkzaam is, omvatten onder meer een effectieve en in ruime kring bekend gemaakte procedure, uitgevoerd door de werkgever, de NOREA of een regelgever, die het mogelijk maakt dat collega's, werkgevers of andere personen onprofessioneel of onethisch gedrag kunnen melden.
Artikel A-100.15
In zijn professionele oordeelsvorming neemt de IT-auditor in aanmerking hetgeen een redelijk en goed geïnformeerde derde die over alle relevante informatie beschikt, waaronder de aard en het belang van de bedreiging en de getroffen waarborgen, als aanvaardbaar zal aanmerken.
De aard en het belang van de te treffen waarborgen zijn afhankelijk van de specifieke omstandigheden.
Oplossen van beroepsethische conflicten
Versie: januari 2017 Pagina 10 van 16
Artikel A-100.16
Bij het beoordelen van het al dan niet naleven van de fundamentele beginselen is het mogelijk dat van de IT- auditor wordt verlangd dat hij een oplossing vindt voor een conflict over de toepassing van de fundamentele beginselen.
Artikel A-100.17
Indien de IT-auditor formeel dan wel informeel het initiatief neemt een conflict over de toepassing van de fundamentele beginselen op te lossen neemt hij de volgende aspecten, hetzij afzonderlijk, dan wel in hun onderlinge samenhang, in aanmerking:
a. de relevante feiten;
b. de relevante beroepsethische aspecten;
c. de fundamentele beginselen die van toepassing zijn op het conflict;
x. xx xxxxxxxx interne procedures; en
e. de mogelijke alternatieve handelwijzen.
Nadat de IT-auditor deze aspecten in aanmerking heeft genomen, kiest hij een adequate handelwijze overeenkomend met de in het geding zijnde fundamentele beginselen. Daarbij weegt de IT-auditor de gevolgen van de alternatieve handelwijzen tegen elkaar af.
Indien voor het conflict geen oplossing wordt gevonden vraagt de IT-auditor advies aan de daartoe aangewezen personen van de auditorganisatie waarbij hij werkzaam is of waaraan hij is verbonden of van de organisatie waarbij of ten behoeve waarvan hij werkzaam is.
Artikel A-100.18
Als de kwestie bestaat uit een conflict met of binnen een organisatie overweegt de IT-auditor daarnaast om degenen die zijn belast met het bestuur van of met het toezicht op die organisatie te raadplegen.
Hierbij kan gedacht worden aan de directie, Raad van Commissarissen of de audit commissie.
Artikel A-100.19
Het is in het belang van de IT-auditor de meest belangrijke aspecten van het conflict, de details van de gevoerde besprekingen en de daaromtrent genomen besluiten te documenteren.
Artikel A-100.20
Indien de IT-auditor een ernstig conflict niet kan oplossen, verdient het aanbeveling dat hij, zonder de vertrouwelijkheid geweld aan te doen, advies vraagt aan de NOREA (Raad voor Beroepsethiek) of aan een juridische adviseur.
Indien de IT-auditor bijvoorbeeld wordt geconfronteerd met een fraude waarvan bekendmaking kan leiden tot een bedreiging voor de naleving van de geheimhoudingsplicht, overweegt hij of het noodzakelijk is juridisch advies in te winnen om te bepalen of hij al dan niet verplicht is de fraude bij de daarvoor aangewezen instanties te melden.
Versie: januari 2017 Pagina 11 van 16
Artikel A-100.21
Indien, nadat alle denkbare oplossingen in de beoordeling zijn betrokken, het niet mogelijk blijkt het beroepsethische conflict op te lossen, maakt de IT-auditor, indien mogelijk, een einde aan zijn betrokkenheid bij de aangelegenheid die heeft geleid tot het conflict.
Dit kan betekenen dat de IT-auditor, gezien de omstandigheden, moet besluiten zich uit het opdrachtteam terug te trekken, zijn medewerking aan een deelopdracht te beëindigen, zijn functie bij de opdracht neer te leggen of zijn relatie met de auditorganisatie of de organisatie waarbij of ten behoeve waarvan hij werkzaam is te verbreken of ontslag te nemen.
Hoofdstuk A-110 Integriteit
Artikel A-110-1
De IT-auditor treedt in zijn beroepsmatige en zakelijke betrekkingen eerlijk en oprecht op, doet eerlijk zaken en doet de waarheid geen geweld aan.
Artikel A-110.2
De IT-auditor vermijdt dat hij in verband wordt gebracht met informatie die naar zijn oordeel een bewering bevat die:
a. materieel onjuist of misleidend is;
b. op ongefundeerde gronden is gedaan;
c. niet volledig is of een verkeerde indruk wekt als gevolg waarvan de bewering als misleidend kan worden ervaren.
Artikel A-110.3
De IT-auditor handelt niet in strijd met het bepaalde in artikel A-110.2 indien hij aan bedoelde informatie een mededeling toevoegt waarin hij zijn bezwaren tegen deze informatie tot uitdrukking brengt.
Hoofdstuk A-120 Objectiviteit
Artikel A-120.1
De IT-auditor accepteert niet dat zijn professioneel of zakelijk oordeel wordt aangetast door een vooroordeel, belangentegenstelling of ongepaste beïnvloeding door een derde.
Artikel A-120.2
De IT-auditor vermijdt iedere situatie die zijn professionele oordeelsvorming op een ongepaste wijze beïnvloedt.
De IT-auditor kan in een situatie komen te verkeren waarin zijn objectiviteit in het gedrang komt. Het is onmogelijk al deze situaties te beschrijven.
Hoofdstuk A-130 Deskundigheid en zorgvuldigheid
Versie: januari 2017 Pagina 12 van 16
Artikel A-130.1
De IT-auditor houdt zijn deskundigheid en vaardigheid op het niveau dat is vereist om aan een opdrachtgever professionele diensten te kunnen verlenen in overeenstemming met actuele ontwikkelingen in de praktijk, wetgeving en vaktechniek. De IT-auditor handelt bij het verlenen van professionele diensten zorgvuldig en in overeenstemming met de van toepassing zijnde vaktechnische en overige beroepsvoorschriften.
Artikel A-130.2
Deskundige dienstverlening vereist van de IT-auditor een deugdelijke oordeelsvorming bij de toepassing zijn van professionele kennis en vaardigheid.
Professionele deskundigheid kan worden verdeeld in twee verschillende fasen:
a. het verwerven van professionele deskundigheid; en
b. het in stand houden van professionele deskundigheid.
Artikel A-130.3
Voor het in stand houden van de professionele deskundigheid van de IT-auditor is kennis van en inzicht in de relevante vaktechnische en beroepsmatige ontwikkelingen vereist, alsmede van ontwikkelingen in het bedrijfsleven.
Permanente educatie stelt de IT-auditor in staat in de omgeving waarin hij beroepsmatig werkzaam is in continuïteit deskundig op te treden.
Artikel A-130.4
Zorgvuldigheid omvat de verantwoordelijkheid van de IT-auditor op te treden in overeenstemming met de eisen die gelden voor de uitvoering van een opdracht, te weten, toewijding, voldoende diepgang en tijdigheid.
Artikel A-130.5
De IT-auditor treft maatregelen die ervoor zorgen dat degenen die onder zijn verantwoordelijkheid werken de juiste opleiding hebben en onder adequaat toezicht staan.
Artikel A-130.6
De IT-auditor maakt indien daartoe aanleiding bestaat zijn opdrachtgevers of andere gebruikers van zijn professionele diensten attent op de inherente beperkingen die zijn verbonden aan zijn diensten. Aldus voorkomt hij dat een door hem gegeven oordeel wordt geïnterpreteerd als een feitelijke bewering.
Artikel A-130.7
Het bestuur kan nadere voorschriften geven aangaande het bepaalde in artikel A-130.1 t/m A-130.6 ten aanzien van permanente educatie, audit- en overige standaarden.
Hoofdstuk A-140 Geheimhouding
Artikel A-140.1
De IT-auditor onthoudt zich van:
Versie: januari 2017 Pagina 13 van 16
a. het buiten de auditpraktijk waarbij hij werkzaam is of waaraan hij is verbonden of buiten de organisatie waarbij of ten behoeve waarvan hij werkzaam is, bekend maken van vertrouwelijke informatie, die hij in het kader van zijn beroepsmatig en zakelijk optreden heeft verkregen, tenzij hij is gemachtigd tot bekendmaking over te gaan of wettelijk dan wel beroepshalve daartoe een recht of plicht bestaat; en
b. het gebruikmaken van vertrouwelijke informatie die hij in het kader van zijn beroepsmatig en zakelijk handelen heeft verkregen om zichzelf of een derde te bevoordelen.
Artikel A-140.2
De IT-auditor houdt zich in zijn sociale omgang ook aan zijn geheimhoudingsplicht.
De IT-auditor is erop bedacht dat bij een langdurige omgang met een zakenrelatie, een gezinslid of een naast familielid de mogelijkheid bestaat onopzettelijk te handelen in strijd met zijn geheimhoudingsplicht.
Artikel A-140.3
De IT-auditor neemt zijn geheimhoudingsplicht ook in acht ter zake van informatie die hem ter beschikking is gesteld door een potentiële opdrachtgever.
Artikel A-140.4
De IT-auditor overweegt de noodzaak de geheimhoudingsplicht in acht te nemen binnen de auditorganisatie waaraan hij is verbonden of waarbij hij werkzaam is of binnen de organisatie waarbij of ten behoeve waarvan hij werkzaam is.
Artikel A-140.5
De IT-auditor treft de redelijkerwijs te nemen maatregelen om te waarborgen dat de voor hem geldende geheimhoudingsplicht tevens in acht wordt genomen door personeelsleden die hiërarchisch aan hem ondergeschikt zijn en door personen aan wie hij om advies of ondersteuning vraagt.
Artikel A-140.6
De IT-auditor houdt zich aan zijn geheimhoudingsplicht ook na het beëindigen van de verbintenis met een cliënt of met een organisatie waarbij of ten behoeve waarvan hij werkzaam is.
Wanneer een IT-auditor van werkgever verandert of nieuwe opdrachten verwerft, is het hem toegestaan gebruik te maken van de bij zijn eerdere werkzaamheden verkregen kennis en opgedane ervaring. De vertrouwelijke informatie die De IT-auditor tijdens deze eerdere werkzaamheden heeft verkregen mag hij niet gebruiken of bekendmaken.
Artikel A-140.7
De IT-auditor kan in een situatie komen te verkeren waarin hij verplicht is of waarin het maatschappelijk juist is vertrouwelijke informatie bekend te maken. Voorbeelden hiervan zijn:
(a) bekendmaking is wettelijk toegestaan en door de opdrachtgever goedgekeurd;
(b) bekendmaking is wettelijk verplicht, bijvoorbeeld in geval van:
(i) de oplevering van documenten of levering van bewijs in het kader van een rechtsgeding;
Versie: januari 2017 Pagina 14 van 16
(ii) de melding aan de geëigende overheidsinstanties van aan het licht gekomen schendingen van de wet; en
(c) de IT-auditor heeft een beroepsplicht, of is gerechtigd, tot bekendmaking, wanneer xxxxx niet bij wet verboden is:
(i) ter naleving van vaktechnische standaarden en ethische vereisten;
(ii) ter bescherming van de beroepsbelangen van een IT-auditor bij een rechtsgeding;
iii) teneinde medewerking te verlenen aan de kwaliteitsbeoordeling door de beroepsorganisatie; of
(iv) om te beantwoorden aan een verzoek om inlichtingen of een onderzoek door de beroepsorganisatie of een toezichthoudend lichaam.
Artikel A-140.8
Alvorens de IT-auditor besluit tot bekendmaking van vertrouwelijke informatie over te gaan betrekt hij in zijn besluitvorming:
a. in hoeverre de belangen van alle partijen, inclusief een derde waarvan de belangen in het spel zijn, kunnen worden geschaad in de situatie waarin een opdrachtgever de IT-auditor toestemming geeft tot het bekendmaken van de vertrouwelijke informatie;
b. in hoeverre alle relevante informatie bij hem bekend en voor zover uitvoerbaar, onderbouwd is. Indien het betreft het bekendmaken van onbewezen gegevens, onvolledige informatie of ongefundeerde conclusies, is professionele oordeelsvorming noodzakelijk om de wijze van bekendmaking vast te stellen; en
c de wijze van communicatie die wordt verwacht en degene aan wie deze wordt gericht. In het bijzonder overtuigt de IT-auditor zich ervan dat degene met wie wordt gecommuniceerd de juiste ontvanger is.
Hoofdstuk A-150 Professioneel gedrag
Artikel A-150.1
De IT-auditor houdt zich aan de voor hem relevante wet- en regelgeving en onthoudt zich van handelen dat het auditberoep in diskrediet brengt. Tot dit handelen behoren die handelingen die door een redelijke en goed geïnformeerde derde die over alle relevante informatie beschikt, zullen worden opgevat als schadelijk voor de goede naam van het auditberoep.
Artikel A-150.2
De IT-auditor brengt bij het zichzelf of zijn werk aanprijzen het auditberoep niet in diskrediet. De IT-auditor is eerlijk en oprecht in zijn promotionele activiteiten en onthoudt zich van:
a) het wekken van overdreven verwachtingen ter zake van de diensten die hij kan verlenen, de kwaliteiten die hij bezit en de ervaring waarover hij beschikt;
b) het maken van afkeurende verwijzingen naar of niet onderbouwde vergelijkingen met het werk van een derde.
Versie: januari 2017 Pagina 15 van 16
Definities
a. IT-auditor: de Register EDP-auditor (RE), ingeschreven in het register van de NOREA;
b. NOREA, de Orde, de beroepsorganisatie: De Nederlandse Orde van Register EDP-auditors
c. auditorganisatie: de organisatorische eenheid waarbinnen één of meer IT-auditors professionele diensten verrichten;
d. bedreiging: het risico van het niet volledig naleven door de IT-auditor van één of meer van de fundamentele beginselen;
e. bestuur: het bestuur van de Nederlandse Orde van Register EDP-Auditors;
f. fundamentele beginselen: de beginselen integriteit, objectiviteit, deskundigheid en zorgvuldigheid, geheimhouding en professioneel gedrag
g. opdracht: de tussen een opdrachtgever en auditorganisatie overeengekomen professionele dienst;
h. opdrachtgever: een cliënt waarmee de IT auditor een zakelijke relatie heeft, dan wel de organisatie waarmee de IT auditor een dienstverband heeft;
i. professionele dienst: de werkzaamheden van de IT-auditor waarvoor IT-auditdeskundigheid en deskundigheid op aanverwante terreinen is vereist.
Versie: januari 2017 Pagina 16 van 16