Richtlijn KwaliteitsBeheersing NOREA (RKBN) 2025

16 april 2025
Door de introductie van een nieuwe RKBN heeft NOREA deze aparte pagina opgesteld met alle relevante stukken om het systeem van kwaliteitsbeheersing door IT-auditeenheden aan de kunnen passen op de nieuwe regelgeving.

Kijk het webinar terug

Video thumbnail

Bekijk het webinar op Youtube: https://www.youtube.com/watch?v=9vMinISsscM


Luister ook de podcast met Jaap van Beek, voorzitter van het CKO over de nieuwe RKBN. Wat is in hoofdlijnen gewijzigd, vergeleken met de voorgaande richtlijn? Hoe kun je als IT-auditor deze herziene richtlijn implementeren? En wat te verwachten van de kwaliteitsonderzoeken die NOREA verricht op de naleving van deze richtlijn?
In deze podcast gaat Jaap van Beek in op deze vragen. Jaap is voorzitter van het College Kwaliteitsonderzoek (CKO). Daarnaast heeft hij ruime ervaring in het IT-auditberoep en kan hij zich als zelfstandige goed verplaatsen in de uitdagingen die andere zelfstandigen hebben.
Beluister op Spotify https://lnkd.in/eDS7-kYY
Of op Soundcloud https://lnkd.in/enUVtK2z of in je favoriete podcast-app!

Q&A

01

Wanneer wordt de ISQM 1 en 2 ingevoerd? 

 
Voor opdrachten die op of na 1 juli 2025 aanvangen geldt de nieuwe RKBN waarin de ISQM 1 en 2 zijn geïntegreerd.
02

Voor wie zijn de delen 2 en 3 van de nieuwe RKBN van toepassing?

 
Voor alle IT-Auditeenheden die assurance of aan assurance verwante opdrachten uitvoeren. Momenteel zijn dat bij NOREA de Richtlijnen 3000A, 3000D, 3402 en 4400.
03

Ik doe één assurance opdracht. Moet ik dan de RKBN delen 2 en 3 toepassen?

 
Ja, dan moet je ook de delen 2 en 3 toepassen. Je kwaliteitsstelsel moet daarop zijn ingericht.
04

Vanaf wanneer wordt door NOREA getoetst op de nieuwe RKBN?

 
Vanaf 1 juli 2026. Je hebt dan een jaar gehad om de werking van het nieuwe stelsel aan te kunnen tonen.
05

Wat zijn de belangrijkste wijzigingen ten opzichte van de ‘oude’ RKBN?

 
Enkele belangrijke wijzigingen zijn:
  • Het risico-inschattingsproces van het kantoor (nieuw);
  • Governance en Leiderschap (Governance is nieuw);
  • Relevante ethische voorschriften (al onderdeel);
  • Aanvaarding en continuering van cliëntrelaties en specifieke opdrachten (reeds onderdeel);
  • Opdrachtuitvoering (al onderdeel);
  • Bronnen (al onderdeel);
  • Informatie en Communicatie (nieuw);
  • Het proces van monitoren en remediëren (Remediation is nieuw).
Daarnaast wordt in zijn algemeenheid in meer detail en uitgebreider het gehele kwaliteitssysteem en de werking daarvan gedocumenteerd. Ook is een audit trail belangrijk bij het documenteren. De hoogste leiding moet ook ten minste jaarlijks aftekenen over de werking van het kwaliteitsstelsel.
06

Mag ik assurance-opdrachten uitvoeren als ZZP'er?

 
Ja, zolang je maar voldoet aan de eisen in de nieuwe RKBN. Dat geldt uiteraard voor alle leden van NOREA.
07

Wat als ik onvoldoende personeel heb om het nieuwe kwaliteitsstelsel uit te voeren?

 
Als je niet kunt voldoen aan de eisen van de nieuwe RKBN mag je de opdracht niet accepteren. Je kunt echter samenwerken met collega-IT-auditeenheden en zodoende voldoen aan de eisen van de RKBN.
08

Wat moet ik doen als ik in loop van het jaar een afwijking in de uitvoering van mijn kwaliteitsstelsel vaststel?

 
Het is uiteraard afhankelijk van de geconstateerde afwijking, maar het is verstandig om tenminste de afwijking te beoordelen en de vereiste acties om de fout te herstellen te benoemen, deze te documenteren en de opvolging ook adequaat vast te leggen. Stel, dat een OKB niet is uitgevoerd. Dan is het verstandig om deze alsnog uit te voeren (en uiteraard vast te leggen, dat deze is uitgevoerd ná verstrekking van het rapport) en de conclusies vast te leggen (zoals gebruikelijk). Als daaruit naar voren komt dat een onjuist rapport of mededeling is verstrekt, zal het rapport moeten worden ingenomen. Hierbij kun je de acties uitvoeren zoals vastgelegd in de ‘Handreiking Correctie Assurance-rapport’.
09

Moet ik als ZZP-er jaarlijks aan mijzelf rapporteren over de effectiviteit van mijn kwaliteitsstelsel?

 
Ja, je rapporteert over de werking van het kwaliteitsstelsel.
10

Wat moet ik doen als de CKO constateert dat er een tekortkoming is in mijn kwaliteitsstelsel?

 
We verwachten van elke IT-auditor een constructieve houding, waarbij in overleg met de CKO in de regel een verbeterplan wordt opgesteld om de tekortkoming(en) weg te werken in een af te spreken periode. Dit is ook niet anders dan binnen de ‘huidige’ RKBN.