De NOREA 4400 richtlijn

De NOREA richtlijn 4400 is gebaseerd op de wereldwijd erkende standaard (ISRS4400) die het uitvoeren van overeenkomen specifieke werkzaamheden (Agreed Upon Procedures, AUP) regelt. Bij een NOREA 4400-opdracht wordt een onafhankelijke auditor ingeschakeld om specifieke werkzaamheden uit te voeren op financiële of niet-financiële informatie, op verzoek van de klant. Een NOREA 4400-opdracht resulteert niet in een oordeel of conclusie, maar biedt het feitelijke bevindingen die de klant of andere belanghebbenden onafhankelijk kunnen evalueren.

Het doel van een NOREA 4400-opdracht is om een objectief en gestandaardiseerd kader te bieden voor het uitvoeren van specifieke procedures en het nauwkeurig en transparant rapporteren van de bevindingen. Dit maakt het een ideale oplossing wanneer belanghebbenden feitelijke verificatie nodig hebben in plaats van interpretatieve assurance.

Verschil tussen de NOREA 4400 en andere types assurance

Hoewel NOREA 4400 zich richt op specifiek overeengekomen procedures (werkzaamheden), zijn ISAE3402- en SOC2-opdrachten breder van opzet en gericht op interne controles over financiële rapportage (ISAE3402) of informatiebeveiliging, beschikbaarheid en vertrouwelijkheid (SOC2).

• NOREA 4400 – Feitelijke rapportage op basis van specifieke procedures, waarbij geen algemeen oordeel wordt gegeven, maar een weergave van de uitgevoerde werkzaamheden. Het rapport is gericht op het bieden van inzicht, maar biedt dus geen zekerheid (assurance).
• ISAE3402 – Een rapportage dat zekerheid (assurance) biedt over het ontwerp en de mate van operationele effectiviteit van interne controles met betrekking tot financiële verslaglegging.
• SOC2 – Een rapportage dat zekerheid (assurance) biedt over de mate van interne controles op het gebied van beveiliging, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy.

Bij een NOREA 4400 toetsing rapporteert de auditor alleen de feiten, dus zonder deze te interpreteren of een conclusie te geven over de effectiviteit ervan. Bij ISAE3402 en SOC2-opdrachten geeft de auditor wel een oordeel over de effectiviteit van de controles of naleving.

Voorbeelden van NOREA 4400 opdrachten

NOREA 4400 opdrachten zijn zeer veelzijdig en worden gebruikt in verschillende sectoren en bedrijfsfuncties waar feitelijke verificatie nodig is. Enkele voorbeelden zijn:

• Naleving van contractvoorwaarden
  Bedrijven moeten vaak aantonen dat ze voldoen aan specifieke contractvoorwaarden, zoals service level agreements (SLA’s) of betalingsvoorwaarden. Een NOREA4400-opdracht kan inzicht bieden of service levels zijn gehaald of financiële verplichtingen op tijd zijn nagekomen.
• Regelgevende en juridische naleving
  Bedrijven in sterk gereguleerde sectoren moeten aantonen dat ze voldoen aan overheidsvoorschriften of industriële normen. NOREA 4400-opdrachten bieden inzicht in hoe bepaalde operationele of financiële praktijken zijn in overeenstemming zijn met specifieke regelgeving.

• Milieu-, sociale en governance-rapportage (ESG)
  Sommige bedrijven moeten belanghebbenden feitelijke verificatie bieden van specifieke ESG-statistieken (bijv. CO₂-uitstoot of arbeidsomstandigheden). Een NOREA 4400-opdracht kan de nauwkeurigheid van deze gerapporteerde statistieken bevestigen zonder bredere interpretatieve assurance te bieden.
• Verificatie van financiële transacties
  Wanneer belanghebbenden zekerheid nodig hebben over specifieke financiële gegevens (bijv. leningen of omzetberekeningen), kan een NOREA 4400-opdracht de juistheid van deze transacties verifiëren. Bijvoorbeeld of betalingen volgens de contractvoorwaarden zijn gedaan of of bepaalde inkomsten correct zijn erkend.

Een NOREA 4400 audit is waardevol

NOREA 4400-opdrachten bieden een gestructureerde en objectieve manier om specifieke feiten en processen te verifiëren, zonder de complexiteit van een volledige assurance-opdracht. Het biedt belanghebbenden duidelijke en betrouwbare gegevens ter ondersteuning van besluitvorming, naleving van contracten en operationeel toezicht. Dit maakt het een effectief instrument om transparantie en vertrouwen in bedrijfsvoering te verbeteren.

Het proces van een NOREA 4400 audit

Een NOREA 4400 audit omvat het uitvoeren van overeengekomen procedures zonder een assurance-oordeel te geven. Een klant of andere beoogde gebruikers zijn verantwoordelijk voor het beoordelen van de bevindingen. De stappen zijn:

• Aanvaarding van de opdracht en voorbereidende besprekingen
  De auditor beoordeelt of de overeengekomen procedures geschikt zijn en of zij over de benodigde kennis en middelen beschikken. Voorafgaande besprekingen verduidelijken de doelstellingen en het beoogde gebruik van het rapport.
• Bepalen van de reikwijdte en doelstellingen
  De auditor en klant definiëren de reikwijdte van de opdracht, inclusief de specifieke gebieden die onderzocht worden en de gewenste resultaten. Dit zorgt voor een wederzijds begrip van het doel en de beperkingen van de opdracht.
• Overeenstemming over specifieke procedures
  De overeengekomen procedures worden afgestemd op de behoeften van de klant en kunnen bestaan uit inspecties, bevestigingen, berekeningen of waarnemingen. De auditor zorgt ervoor dat ze objectief, meetbaar en duidelijk zijn.
• Uitvoering van overeengekomen procedures
  De auditor voert de overeengekomen procedures uit en documenteert het werk en de resultaten nauwkeurig. Strikte naleving van de procedures is essentieel voor de integriteit van de opdracht.
• Documentatie en kwaliteitscontrole
  Gedetailleerde documentatie van de uitgevoerde procedures en het bewijsmateriaal zorgt voor nauwkeurigheid en naleving van etnische standaarden kwaliteitsrichtlijnen vanuit de NOREA-richtlijnen.
• Opstellen van het rapport
  De auditor stelt een rapport op waarin de uitgevoerde procedures en de feitelijke bevindingen worden beschreven. Het rapport bevat geen subjectieve oordelen, waardoor de klant zelf conclusies kan trekken.
• Controle en distributie van het rapport
  Het conceptrapport wordt met de klant besproken om de nauwkeurigheid en duidelijkheid te waarborgen. Vervolgens wordt het rapport verspreid onder de beoogde gebruikers, zoals gespecificeerd in de opdrachtvoorwaarden.